Warehouse Analytics: Analizar un informe Actividad de DNS sospechosa

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describe el informe Actividad de DNS sospechosa. En la siguiente figura se muestra el informe Actividad de DNS sospechosa que enumera todos los dominios sospechosos y el puntaje de riesgo de cada uno.

En la siguiente figura se muestran los diferentes paneles de esta vista.

WA_SuspiciousDNSActivity_report1.png

Contexto

El informe Actividad de DNS sospechosa incluye los siguientes paneles:

  • Encabezado de dominio
  • Campos de dominio
  • Histogramas de dominio

Panel Encabezado de dominio

El panel Encabezado de dominio permite ver el puntaje de riesgo, el nombre del dominio (ejemplo, bitminter.com), la hora en que se generó el informe y las fechas de inicio y de finalización en que se ejecutó el informe.

Nota: Si el puntaje de riesgo es mayor o igual que 50, la codificación en colores se muestra en rojo o, de lo contrario, en verde.

WA_SuspiciousDNSActivity_header.png

Panel Campos de dominio

En el panel Campos de dominio se muestran los siguientes campos de la base de datos Mongo DB.

domain_fields_panel.png

Nota: En todos los campos completados del panel Campos de dominio se muestran valores de acuerdo con la hora de ejecución.

                                                     
CampoDescripción
Alertas de Security AnalyticsLa cantidad de alertas de Security Analytics por respuesta.
Repetición de IPEl número de pares distintos para la dirección IP y la fecha dividido por el número total de direcciones IP en el dominio.
Puntaje crudoEl puntaje crudo.
Número de respuestasEl número de respuestas DNS (con las solicitudes omitidas).
Raíz de mediana en IPLa mediana del número de raíces distintas por IP devuelta.
Repetición de ASNEl porcentaje de ASN que se ve todos los días del total de direcciones IP vistas en el dominio.
Número de direcciones IPEl número total de direcciones IP.
ASN de mediana por respuestaLa mediana del número de ASN por respuesta.
Total de ASNEl número total de ASN.
Mediana de usuario de dirección IPLa mediana de las direcciones IP internas en las IP del dominio.
Número de direcciones IP internasEl número de direcciones IP de origen desde las cuales se abordó el dominio.

Panel Histogramas de dominio

El panel Histogramas de dominio muestra el histograma vertical que representa los ASN o los países sospechosos en color azul oscuro.

Histograma vertical

domain_histograms_panel.png

Ver un informe Actividad de DNS sospechosa

Para ver un informe Actividad de DNS sospechosa:

  1. En el menú de Security Analytics, haga clic en Informes.

    Se muestra la pestaña Administrar.

  2. Haga clic en Warehouse Analytics.

    Aparece la vista Warehouse Analytics.

    Deploy_screen.png

  3. En la barra de herramientas de Warehouse Analytics, haga clic en Ver todas las tareas.

    En la pestaña Ver se muestra una lista de trabajos junto con el nombre del calendario y la hora.

    Nota: Si no se muestra ninguna lista, seleccione una fecha del calendario para ver una lista de trabajos. 

  4. Haga doble clic en una ejecución de acuerdo con la Actividad de DNS sospechosa. 
    Se muestra el informe Actividad de DNS sospechosa del dominio.

Próximos pasos 

Realice la siguiente tarea: Haga clic en el botón Investigar para revisar la actividad de DNS sospechosa.

You are here
Table of Contents > Procedimientos requeridos > Paso 4. Analizar un informe de Warehouse Analytics > Analizar un informe Actividad de DNS sospechosa

Attachments

    Outcomes