Configuración de SA: Panel Configuración de Investigation

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se presentan las funciones de la vista Sistema > panel Configuración de Investigation, el cual proporciona la interfaz del usuario para que los administradores configuren ajustes en todo el sistema que Security Analytics Investigation usa cuando analiza datos y reconstruye un evento.

Los ajustes de Configuración de Investigation permiten que un administrador administre el rendimiento de las aplicaciones para Investigation. A medida que los analistas reconstruyen y analizan las sesiones que están investigando, el rendimiento se puede ver afectado por operaciones que implican la carga, la búsqueda, la visualización y la reconstrucción de grandes cantidades de datos.

Nota: los analistas también pueden configurar preferencias individuales para Investigation en la vista Perfiles y en la vista Navegación. 

Para acceder al panel Configuración de Investigation:

  1. En el menú de Security Analytics, seleccione Administration > Sistema.
  2. En el panel de opciones, seleccione Investigation.

En la siguiente figura se muestra la pestaña Navegar.

F-systems-navigate.png

En la siguiente figura se muestra la pestaña Eventos.

F-systems-events.png

Los procedimientos asociados a este panel se proporcionan en Procedimientos estándar.

En la siguiente figura se muestra la pestaña Búsqueda de contexto.

meta-key-mapping.png

Los procedimientos asociados con este panel se proporcionan en “Administrar mapeo de tipos de metadatos y claves de metadatos” en la Guía de Investigation y Malware Analysis.

Características

El panel Configuración de Investigation tiene tres pestañas: Navegar, Eventos y Búsqueda de contexto.

Aunque la mayoría de los campos de las pestañas tiene una lista de selección con incrementos específicos a través del rango de valores posibles, puede ingresar manualmente un valor dentro del rango permitido. Una entrada no válida se señala mediante el campo resaltado en rojo. Cuando se seleccionan valores válidos, si se hace clic en Aplicar en una determinada sección, los cambios se aplican de inmediato.

Pestaña Navegar

La pestaña Navegar tiene dos secciones: Configuración de hilos de ejecución de representación y Configuración de coordenadas paralelas.

Configuración de hilos de ejecución de representación

Este es un valor seleccionable entre 1 y 20 que define la cantidad de cargas (valores) simultáneas en la vista Navegar. El valor predeterminado es 1.

RenThrdSett.png

Configuración de coordenadas paralelas

La configuración de coordenadas paralelas se aplica a la visualización de coordenadas paralelas en la vista Navegar. Hay un límite fijo en la cantidad de datos que se pueden representar como un gráfico de coordenadas paralelas. En Security Analytics 10.5, el administrador puede configurar aquí los límites de las coordenadas paralelas.

Nota: Para mejorar el rendimiento, la configuración recomendada es Límite de escaneo de valores de metadatos: 100000 y Límite de resultados de valores de metadatos: entre 1,000 y 10,000

ParCorSet.png

En la siguiente tabla se describe la configuración de coordenadas paralelas.

               
ParámetroDescripción
Límite de escaneo de valores de metadatosLa cantidad máxima de valores de metadatos que se escanean en el rango de tiempo de Investigation que seleccionó el analista en la vista Navegar. Los valores posibles están en el rango de 1,000 a 10,000,000. El valor predeterminado es 100,000.
Límite de resultados de valores de metadatosLa cantidad máxima de valores de metadatos que se devuelven en el rango de tiempo de Investigation que seleccionó el analista en la vista Navegar. Los valores posibles están en el rango de 100 a 1,000,000,000. El valor predeterminado es 10,000.

Pestaña Eventos

En la pestaña Eventos se proporcionan ajustes configurables que afectan a la investigación de eventos. Esta pestaña contiene cuatro secciones: Configuración de búsqueda de eventos, Configuración de la reconstrucción, Configuración de reconstrucción de vista web y Configuración de caché de reconstrucción.

Configuración de búsqueda de eventos

La configuración de búsqueda de eventos ayuda a limitar la cantidad de eventos que se escanean cuando se realizan búsquedas en la vista Eventos.

InvEveSet.png

En la siguiente tabla se describe la configuración de búsqueda de eventos.

                 
ParámetroDescripción
Límite de eventos escaneadosCantidad máxima de eventos que se escanean cuando se realizan búsquedas en la vista Eventos.
Límite de resultados de eventosCantidad máxima de resultados que se devuelven cuando se realizan búsquedas en la vista Eventos.

Configuración de la reconstrucción

A medida que los analistas reconstruyen sesiones que están investigando, algunos eventos pueden ser muy grandes y pueden contener muchos miles de paquetes de origen. La reconstrucción de estas sesiones, especialmente en un ambiente multiusuario, puede degradar el rendimiento de las aplicaciones. La configuración de la reconstrucción permite que un administrador limite la cantidad de paquetes y el tamaño de un único evento durante la reconstrucción.

Nota: se puede configurar un reemplazo para la sección Configuración de la reconstrucción para las vistas web (en Configuración de reconstrucción de vista web).

AdmSysRec1.png

En la siguiente tabla se describen las funciones de Configuración de la reconstrucción.

                 
ParámetroDescripción
Cantidad máxima de paquetes para un único eventoEsta configuración protege el rendimiento mediante la definición de un límite en la cantidad de paquetes que se procesan para la reconstrucción de un único evento.

Los valores posibles están en el rango de 100 a 10,000 paquetes y se ingresan manualmente o en incrementos de 100 de la lista de selección. El valor predeterminado es 100 paquetes.
Tamaño máximo, en bytes, de un único eventoEsta configuración protege el rendimiento mediante la definición de un límite en el tamaño máximo, en bytes, de la reconstrucción de un único evento.

Los valores posibles están en el rango de 102,400 a 104,857,600 bytes y se ingresan manualmente o en incrementos de 10,240 de la lista de selección. El valor predeterminado es 2,097,152 bytes.

Configuración de reconstrucción de vista web

La configuración de reconstrucción de vista web permite que un administrador configure ajustes que mejoran la reconstrucción de una vista web mediante el escaneo y la reconstrucción de eventos relacionados que contienen los mismos archivos de soporte. Cuando Security Analytics reconstruye una vista web que abarca múltiples eventos, es posible mejorar la reconstrucción del evento de destino con el escaneo y la reconstrucción de eventos relacionados que contienen los mismos archivos de soporte, como imágenes y archivos de hoja de estilo en cascada (CSS).

  • Los únicos eventos relacionados que se escanean son eventos de tipo de servicio HTTP con la misma dirección de origen que el evento objetivo y un registro de fecha y hora dentro de un rango de tiempo especificado antes y después del evento objetivo.
  • La cantidad máxima de eventos relacionados que se escanean es configurable.

Si se hace clic en la opción Configuración avanzada, se muestran todos los ajustes configurables de esta sección.

WbVwReconSett.png

En la siguiente tabla se describe la configuración de reconstrucción de vista web.

                                     
ParámetroDescripción
Habilite los archivos de soporte para la vista webEsta opción determina cómo se reconstruyen las vistas web que tienen datos relacionados en otras sesiones. De manera predeterminada, la opción está habilitada.

Cuando está habilitada, los archivos de soporte de eventos relacionados se pueden usar en la reconstrucción de vistas web. En esta sección se habilitan ajustes adicionales para calibrar el rendimiento y los analistas tienen la opción de habilitar el uso de CSS en las reconstrucciones.

Cuando está inhabilitada, los archivos de soporte de eventos relacionados no se usan y el ajuste para que los analistas habiliten el uso de CSS en reconstrucciones está inhabilitado.
Rango de tiempo para escanear eventos relacionadosEstá disponible cuando se selecciona Habilite los archivos de soporte para la vista web. Configura el rango de tiempo dentro del cual Security Analytics escanea eventos relacionados que son del tipo de servicio HTTP y que tienen la misma dirección de origen que el evento de destino. Este es un valor entre 0 y 60.
  • Segundos antes del evento objetivo
  • Segundos después del evento objetivo
Limite la cantidad de eventos relacionados que se procesanPermite la configuración de la cantidad máxima de eventos relacionados que Security Analytics escanea en el rango de tiempo especificado para descubrir archivos de soporte para el evento de destino. De manera predeterminada, el parámetro está inhabilitado.  Cuando se habilita, también lo hace el campo Máximo de eventos relacionados.
Máximo de eventos relacionadosCuando se habilita el parámetro Limite la cantidad de eventos que se procesan, este campo especifica la cantidad máxima de eventos relacionados que Security Analytics escanea en el rango de tiempo especificado para descubrir archivos de soporte para el evento de destino.

Este es un valor seleccionable entre 10 y 1,000 y se ingresa en incrementos de 100. El valor predeterminado es 100.
Limite la cantidad de paquetes y el tamaño de cada evento relacionado.
 
Reemplaza la configuración general para la cantidad máxima de paquetes y el tamaño máximo (en bytes) de eventos relacionados individuales.
Cantidad máxima de paquetes para un único evento relacionadoLos valores posibles están en el rango de 100 a 10,000 paquetes y se ingresan en incrementos de 100 de la lista de selección. El valor predeterminado es 100 paquetes.
Tamaño máximo, en bytes, de un único evento relacionadoLos valores posibles están en el rango de 102,400 a 104,857,600 bytes y se ingresan en incrementos de 10,240 de la lista de selección. El valor predeterminado es 524,288 bytes.

Configuración de caché de reconstrucción

En algunos casos, la caché de reconstrucción puede presentar contenido incorrecto; por esta razón, Security Analytics quita de la caché las reconstrucciones que tienen más de un día.  La caché se borra a diario a la medianoche. Entre las limpiezas diarias de la caché, ciertas acciones pueden dejar obsoleta la caché que se usa en una reconstrucción y, si es necesario, los administradores pueden borrar manualmente la caché para uno o más servicios que están conectados al servidor de Security Analytics actual.

AdmSysRec3.png

En la siguiente tabla se describen las funciones de Configuración de caché de reconstrucción.

                     
CaracterísticaDescripción
Cuadro de selecciónEl cuadro de selección en filas individuales y en la barra de título permite la selección de uno o más servicios, o de todos ellos, cuya caché se debe borrar manualmente.
Borrar caché de los servicios seleccionadosBorra la caché de reconstrucción de cada servicio seleccionado.
Borrar caché de todos los serviciosBorra la caché de reconstrucción de todos los servicios.

Pestaña Búsqueda de contexto

La pestaña Búsqueda de contexto permite al administrador configurar el mapeo de claves de metadatos y tipos de metadatos de Investigation. El administrador puede agregar o quitar las claves de metadatos que se encuentran en Investigation en la lista de tipos de metadatos compatibles con el servicio Context Hub. Los procedimientos asociados con este panel se proporcionan en el tema Administrar mapeo de tipos de metadatos y claves de metadatos de la Guía de configuración de Context Hub.

Características

En la siguiente tabla se describen las funciones de la pestaña Búsqueda de contexto.

                   
CaracterísticaDescripción
ic-add.pngAgrega una clave de metadatos al tipo de metadatos seleccionado compatible con Context Hub.
ic-delete.pngElimina la clave de metadatos del tipo de metadatos seleccionado.
AplicarGuarda los cambios realizados en la pestaña Búsqueda de contexto.
You are here
Table of Contents > Referencias > Panel Configuración de Investigation

Attachments

    Outcomes