Investigation: Cómo funciona Investigation

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

El módulo Investigation ofrece funcionalidades de análisis de datos en Security Analytics de modo que los analistas puedan analizar datos e identificar posibles amenazas internas o externas a la seguridad y la infraestructura de IP.

Datos y metadatos para Investigation

Security Analytics audita y monitorea todo el tráfico en una red. En la red de RSA, los Decoders recopilan, analizan y almacenan los paquetes y los registros que recorren la red. Los Concentrators almacenan los metadatos que generan los analizadores y los feeds a medida que los Decoders recopilan paquetes y registros. En la mayoría de los ambientes, todas las consultas de Investigation, Event Stream Analysis (ESA), Malware Analysis (MA) y Reporting Engine (RE) se procesan en el Concentrator. La primera interacción del analista es con los metadatos, y el Concentrator maneja la mayoría de las consultas, las cuales solo se dirigen al Decoder cuando se requiere una reconstrucción completa de sesiones o registros crudos. ESA, Malware Analysis y Reporting Engine también consultan al Concentrator, donde pueden obtener rápidamente todos los metadatos pertinentes asociados a un evento y generar información sobre este sin tener que dirigirse a cada Decoder.

Nota: Aunque un dispositivo híbrido puede desempeñar la función del Concentrator, cualquier ambiente grande que necesite un mayor nivel de ancho de banda o de eventos por segundo (EPS) requiere un dispositivo Concentrator por separado. El dispositivo Concentrator cuenta con diseño de almacenamiento que usa unidades de estado sólido para el índice, lo cual aumenta el rendimiento de lectura.

Métodos de análisis

Los analistas pueden investigar los datos capturados, abrir resultados de consultas de otros módulos de Security Analytics en una investigación e importar datos de otros orígenes de recopilación. Durante el curso de una investigación, los analistas pueden desplazarse sin inconvenientes entre las tres vistas de Investigation: vista Navegar, vista Eventos y vista Malware Analysis.

Nota: Se requieren funciones de usuario y permisos específicos para que un usuario realice investigaciones y análisis de malware en Security Analytics. Si no puede realizar una tarea de análisis o abrir una vista, es posible que el administrador necesite ajustar las funciones y los permisos configurados para usted.

Los analistas usan Investigation para buscar incidentes con el fin de impulsar su flujo de trabajo o para realizar análisis estratégico después de que otra herramienta ha generado un evento. En ambos casos, el analista desglosa o cambia a los metadatos para filtrar la cantidad de registros y paquetes y ver eventos sospechosos, a la vez que se centra en ciertas combinaciones de metadatos que llevan al incidente.

Vista Navegar

La vista Navegar proporciona la funcionalidad de desglosar y consultar datos sobre un servicio de Security Analytics. Cada situación es única en términos de los tipos de información que el analista intenta encontrar. Investigation presenta el contenido de los paquetes o los registros capturados como una recopilación en la vista Navegar. Se consultan las claves de metadatos definidas y se devuelven los valores junto con la cantidad de sesiones. Si se hace clic en un valor en cualquier nivel determinado, se revelan los resultados en detalle.

Por ejemplo, si hay alguna preocupación respecto de tráfico sospechoso con otros países, la clave de metadatos País de destino revela todos los destinos y la frecuencia del contacto. El desglose a estos valores genera los datos específicos del tráfico, como la dirección IP del originador y el destinatario. La comprobación de otros metadatos puede exponer la naturaleza los archivos adjuntos intercambiados entre las dos direcciones IP. La reconstrucción de evento puede revelar el contenido de cualquier conversación.

Vista Eventos

La vista Eventos proporciona una vista de eventos en formato de lista que permite ver eventos y reconstruirlos con seguridad. Puede abrir la vista Eventos para un valor de metadatos en un punto de desglose actual desde la vista Navegar. Para aquellos analistas que no tienen los privilegios suficientes para navegar a un servicio, la vista Eventos es una vista de investigación independiente en la cual pueden acceder a una lista de eventos de la red y de registro desde un servicio Security Analytics Core sin necesidad de desglosar primero a través de los metadatos.

La vista Eventos presenta información de eventos en tres formatos estándar: una lista de eventos en cuadrícula simple, una lista de eventos detallada y una vista de registros. Además de los formatos estándar, puede crear un grupo de columnas personalizado de claves de metadatos seleccionadas y, a continuación, asignarlo a un perfil personalizado para ver la lista de eventos. Una vez creados, los grupos de columnas personalizados y los perfiles se pueden seleccionar en una lista desplegable.

La vista Eventos permite:

  • Reconstruir un evento desde la lista de eventos.
  • Usar perfiles de investigación para vincular varias configuraciones de Investigation en conjuntos seleccionables, importar y exportar grupos de metadatos de Investigator e importar y exportar grupos de columnas de Investigator.
  • Exportar eventos y archivos asociados.

Vista Malware Analysis

La vista Malware Analysis proporciona una forma de analizar determinados tipos de objetos de archivos (como Windows PE, PDF y MS Office) para evaluar la probabilidad de que un archivo sea malicioso. El analista de malware puede aprovechar los módulos de puntaje de múltiples niveles para establecer prioridades entre la enorme cantidad de archivos capturados, con el fin de concentrar los esfuerzos de análisis en los archivos que tienen más probabilidad de ser maliciosos.

You are here
Table of Contents > Cómo funciona Investigation

Attachments

    Outcomes