Warehouse Analytics: Descripción general

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describe la manera en que los analistas de datos pueden analizar e identificar el indicador de riesgo (IOC) mediante el uso de datos de RSA Analytics Warehouse. Puede analizar datos de sesiones y registros en Warehouse con técnicas de ciencia de datos. Como analista de inteligencia de amenazas cibernéticas, puede ver informes de los primeros indicadores de riesgo. Los siguientes modelos de Warehouse Analytics son compatibles para datos de paquete:

  • Dominios sospechosos
  • Actividad de DNS sospechosa 
  • Perfil de host 

Extraer, transformar y cargar (ETL) trabajos

El trabajo de ETL ejecuta un proceso de back-end en Warehouse y procesa previamente los datos que pueden usar los modelos. Se ejecuta automáticamente a diario a la hora indicada en los datos de paquetes. En esta versión, el módulo maneja los datos de paquetes. La salida del trabajo de ETL se usa como la entrada de los modelos Dominios sospechosos, Actividad de DNS sospechosa y Perfil de host. Debe importar los trabajos más recientes para todos los modelos desde Live.

Cuando se ejecuta por primera vez, el trabajo de ETL procesa datos de los últimos 14 días (en la zona horaria UTC) y, a continuación, datos del día anterior (en la zona horaria UTC). Si desea ejecutar los trabajos de ETL para cualquier otro rango de fechas, puede usar la opción “Trabajo de prueba”.

Nota: No puede usar trabajos de ETL para generar ningún informe visible. Si el trabajo de ETL falla por primera vez, puede utilizar el “trabajo de prueba” para volver a procesar los datos para ese rango de tiempo.

Dominios sospechosos 

El modelo Dominios sospechosos identifica dominios maliciosos o sospechosos en función de su comportamiento comunicacional. Utiliza un enfoque automático impulsado por los datos que es reactivo y está diseñado para identificar la actividad de riesgo que es probable que se pierda por otras soluciones, basadas en firmas. Este modelo genera perfiles que describen los comportamientos de los dominios y aplica un método de evaluación de riesgos basado en probabilidades en estos perfiles para revelar los dominios más sospechosos. Con estos puntajes, puede encontrar los dominios que son más susceptibles de utilizarse para actividad maliciosa dentro de la red.

Puede ver un informe con la siguiente información:

  • Lista de dominios de destino de alto riesgo y una clasificación de todos los dominios observados según el nivel de anomalía
  • Un informe completo que explica por qué cada dominio es de alto riesgo
  • Puntaje de riesgo de cada dominio
  • Puntaje de riesgo unificado del dominio en relación con todos los dominios y basado en el análisis multidimensional de funciones de la conexión.

De acuerdo con esta información, puede investigar más a fondo, bloquear y recomendar cambios en las políticas de seguridad para evitar futuras apariciones de estas conexiones. También puede generar listas negras de dominios locales propias y utilizarlas en la investigación de incidentes o para definir una nueva política de seguridad que impida que sus activos se conecten a dominios maliciosos similares en el futuro. 

Actividad de DNS sospechosa

El modelo Actividad de DNS sospechosa puede identificar dominios maliciosos en función de un patrón de comunicación DNS específico, común a botnets. El módulo utiliza un método automático para identificar los dominios que muestran un patrón de alojamiento, en el cual la dirección IP de los dominios maliciosos está en constante cambio. Este patrón se encuentra en botnets, hosts con balanceo de carga y redes de distribución de contenido (CDN), y este modelo puede diferenciar entre ellos y detectar exclusivamente los dominios maliciosos. Una vez que se identifica el dominio, es posible aislar el host que hace las solicitudes y bloquear el acceso a la red.

Puede ver un informe con la siguiente información:

  • Lista de dominios que muestran DNS de flujo rápido sospechoso con un puntaje de riesgo asociado.
  • Gráfico de la comunicación de CDN asociada con un puntaje que indica si el dominio muestra o no el patrón de flujo rápido.

Perfil de host

El modelo Perfil de host recopila y resume toda la actividad de HTTP, HTTPS y DNS de cada host interno en los datos de red. El módulo permite una investigación rápida de los diferentes tipos de patrones de uso por parte del host y entrega al analista respuestas a las preguntas que podrían surgir durante una investigación que requiere múltiples consultas o comparaciones manuales.

Puede ver un informe con mapas de riesgos con códigos de colores para identificar el riesgo de tráfico de señalización relacionado con el host. También puede ver gráficos que proporcionan detalles sobre el tráfico.

Después de la generación del informe, puede realizar las siguientes tareas:

  • Usar una lista negra para alertar y una lista blanca para no hacer caso de direcciones IP o dominios que son benignos.
  • Crear incidentes de seguridad útiles a partir de alertas entrantes.

    • Integrar incidentes con un sistema de help desk de terceros para rastrear el proceso de corrección.
    • Integrarse con RSA Archer eGRC para la administración y corrección de incidentes.
  • Usar el módulo Investigation para identificar las causas raíz.
You are here
Table of Contents > Descripción general de Warehouse Analytics

Attachments

    Outcomes