Investigation: Configurar la vista Navegar y la vista Eventos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Los analistas pueden configurar las preferencias que afectan el rendimiento y el comportamiento de Security Analytics cuando se analizan datos en Investigation > vistas Navegar y Eventos.

Estas configuraciones están disponibles en dos lugares de Security Analytics y los cambios realizados en cualquiera de las ubicaciones se aplican en la otra vista:

  • Vista Investigation > cuadro de diálogo Ajustes de configuración y campo Buscar de la vista Navegar y de la vista Eventos.
  • En Perfiles > panel Preferencias > pestaña Investigaciones. 

Acceder a la configuración de Investigation

Para acceder a la configuración, realice una de las siguientes acciones:

  • En la barra de herramientas de la vista Navegar, seleccione la opción Configuración.
    Se muestra el cuadro de diálogo Configuración de la vista Navegar.
  • En la barra de herramientas de la vista Eventos, seleccione la opción Configuración.
    Se muestra el cuadro de diálogo Configuración de la vista Eventos.
  • En el menú de Security Analytics, seleccione Perfil. En el panel de navegación izquierdo, seleccione Preferencias. Haga clic en la pestaña Investigaciones.
    Se muestra la pestaña Investigation.
    PrefInvTb.png

Calibrar los parámetros de carga de valor de la vista Navegar

Varios ajustes de Investigation influyen en el rendimiento de Security Analytics cuando se realiza la carga de valores en el panel Valores. Los valores predeterminados se configuran en función del uso común, y los analistas individuales pueden ajustar estas configuraciones para sus propias investigaciones.

Para ajustar estas configuraciones:

  1. Navegue a la pestaña Investigation o al cuadro de diálogo Configuración de la vista Navegar.
  2. Ajuste los siguientes parámetros:
  • Umbral: Ajuste el umbral para la cantidad máxima de sesiones cargadas de un valor clave de metadatos en el panel Valores. Un umbral más alto permite conteos precisos de un valor y también produce tiempos de carga mayores. El valor predeterminado es 100000.
  • Número máximo de resultados de valores: Ajuste la cantidad máximo de valores para cargar en la vista Navegar cuando la opción Resultados máximos está seleccionada en el menú Clave de metadatos para una Clave de metadatos abierta. El valor predeterminado es 1,000.
  • Máximo de exportación de sesiones: Especifique la cantidad de eventos que se pueden exportar en una única PCAP o archivo de registro.
  • Caracteres de vista de registro máximos: Configure el número máximo de caracteres que desea mostrar en Investigation > Eventos > Texto del registro. El valor predeterminado es 1,000.
  • Mostrar información de depuración: Si desea que Security Analytics muestre la cláusula where debajo de la ruta de navegación en la vista Navegar y el tiempo de carga transcurrido para cada servicio agregado en un Broker, seleccione esta opción. El valor predeterminado es Desactivado.
  • Cargar valores automáticamente: Si desea que Security Analytics cargue valores automáticamente para el servicio seleccionado en la vista Navegar, seleccione esta opción. Cuando no está seleccionada, Security Analytics muestra un botón Cargar valores, el cual da la oportunidad de modificar las opciones. El valor predeterminado es Desactivado.
  1. Haga clic en Aplicar.

Estos ajustes se aplican de inmediato y los podrá ver la próxima vez que cargue valores.

Configurar el comportamiento de descarga de PCAP en Investigation

Puede automatizar la descarga de las PCAP extraídas en el módulo Investigation a fin de que el navegador descargue la PCAP extraída y la abra en la aplicación predeterminada para abrir archivos PCAP, como por ejemplo Wireshark.

Para configurar esto:

  1. Asegúrese de que el sistema de archivos local tenga instalada una aplicación para abrir PCAP y que la aplicación esté establecida como la predeterminada para manejar formatos de archivos PCAP.
  2. Navegue a la pestaña Investigation o al cuadro de diálogo Configuración de la vista Navegar o la vista Eventos.
  3. Seleccione la opción Descargar PCAP finalizadas.
  4. Haga clic en Aplicar.
    La configuración se aplica de inmediato.

Configurar el formato predeterminado de exportación de registros en Investigation

Puede exportar registros de Investigation en diferentes formatos. Las opciones disponibles son Texto, XML, CSV, JSON. No hay valor predeterminado incorporado para el formato de exportación de registro. Si no selecciona un formato aquí, Security Analytics muestra un cuadro de diálogo de selección cuando invoca la exportación de registros.

Para seleccionar el formato de los registros exportados:

  1. Navegue a la pestaña Investigation o al cuadro de diálogo Configuración de la vista Navegar.
  2. Seleccione una de las opciones del menú desplegable Formato de registro de exportación.
  3. Haga clic en Aplicar.
    El ajuste se aplica de inmediato.

Calibrar la recuperación de la vista Eventos y la reconstrucción predeterminada

Puede configurar varios parámetros que controlan la manera en que Security Analytics recupera y reconstruye eventos en la vista Eventos. Para esto:

  1. Navegue a la pestaña Investigation o al cuadro de diálogo Configuración de la vista Eventos.
  2. Configure los siguientes parámetros.
    Optimizar las cargas de páginas de InvestigationEstablezca una opción de paginación. Cuando está optimizada, los resultados se devuelven lo más rápidamente posible, pero se renuncia a la capacidad original de ir a una página específica de la lista de eventos. La deselección de esta casilla cambia la paginación en la Lista de eventos y permite ir a una página específica de la lista (o a la última página). El valor predeterminado es habilitado.
    Agregar eventos en el panel de eventos

    Cuando se selecciona esta opción, los eventos que se muestran en el Panel de eventos se agregan de manera incremental.

    Por ejemplo, cada vez que hace clic en el ícono de la página siguiente, se agrega el siguiente incremento de eventos; en primer lugar, verá 1 a 25, a continuación, 1 a 50, después, 1 a 75 y así sucesivamente.

    Nota: Esta opción está disponible solo si la opción Optimizar cargas de la página Investigation está habilitada.

    Vista de sesión predeterminadaSelecciona el tipo de reconstrucción predeterminado para la reconstrucción inicial en la vista Eventos. El valor predeterminado es Mejor reconstrucción, con el cual los eventos se reconstruyen mediante el método de reconstrucción más apropiado para el evento.

  3. Para activar los cambios de inmediato, haga clic en Aplicar.

Habilitar o inhabilitar la generación de hojas de estilo en cascada en reconstrucciones de contenido web

Los analistas pueden habilitar el uso de hojas de estilo en cascada (CSS) cuando reconstruyen contenido web. Si está habilitada, la reconstrucción web incluye imágenes y estilos de hoja de estilo en cascada (CSS), de modo que su aspecto coincide con la vista original en un navegador web. Esto incluye el escaneo y la reconstrucción de eventos relacionados y la búsqueda de hojas de estilo e imágenes que se usan en el evento objetivo. Esta opción está habilitada de manera predeterminada. Deshabilítela si hay problemas para ver sitios web específicos. 

Nota: Es posible que el aspecto del contenido reconstruido no coincida perfectamente con la página web original si no se pudo encontrar imágenes y hojas de estilo relacionadas o si estas se cargaron desde la caché del navegador web. Además, el diseño o el estilo que se ejecuta dinámicamente a través de JavaScript en el lado del cliente no se generarán en la reconstrucción debido a que todo el JavaScript del lado de cliente se elimina por motivos de seguridad.

Para habilitar o inhabilitar esta opción:

  1. Navegue a la pestaña Investigation.
  2. Haga clic en la casilla de verificación Habilitar reconstrucción de CSS para vista web.
  3. Haga clic en Aplicar.
    La configuración se aplica de inmediato y se puede ver en la siguiente reconstrucción de contenido web.

(Opcional) Configurar opciones de búsqueda

  1. Haga clic en el campo Buscar para mostrar el menú desplegable Buscar eventos.
    SearchEvents.png
  2. Seleccione una o más opciones de búsqueda que desee aplicar a la búsqueda. Investigation: Opciones de búsqueda ofrece información detallada sobre cada opción.
  3. Para guardar la configuración de la búsqueda, haga clic en Aplicar.
    Las preferencias se guardan y se aplican de inmediato. 
You are here
Table of Contents > Configurar las vistas y las preferencias de Investigation > Configurar la vista Navegar y la vista Eventos

Attachments

    Outcomes