Configuración de NW: Panel Configuración de Investigation

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on May 2, 2018
Version 3Show Document
  • View in full screen mode
 

En la vista Sistema > panel Configuración de Investigation se proporciona la interfaz del usuario para que los administradores configuren ajustes en todo el sistema que NetWitness Suite Investigation usa cuando analiza datos y reconstruye un evento.

Los ajustes de Configuración de Investigation permiten que un administrador administre el rendimiento de las aplicaciones para Investigation. A medida que los analistas reconstruyen y analizan las sesiones que están investigando, el rendimiento se puede ver afectado por operaciones que implican la carga, la búsqueda, la visualización y la reconstrucción de grandes cantidades de datos.

Nota: los analistas también pueden configurar preferencias individuales para Investigation en la vista Perfiles y en la vista Navegación. 

Flujo de trabajo

Flujo de trabajo de configuración de Investigation

¿Qué desea hacer?

                       
Función Deseo…Mostrarme cómo
AdministradorConfigurar los ajustes de Navegar, Eventos y Búsqueda de contextoConfigurar los ajustes de Investigation
AdministradorLimpiar la caché de reconstrucción para los serviciosConfigurar los ajustes de Investigation

Temas relacionados

Vista rápida

El panel Configuración de Investigation tiene tres pestañas: Navegar, Eventos y Búsqueda de contexto.

Aunque la mayoría de los campos de las pestañas tiene una lista de selección con incrementos específicos a través del rango de valores posibles, puede ingresar manualmente un valor dentro del rango permitido. Una entrada no válida se señala mediante el campo resaltado en rojo. Cuando se seleccionan valores válidos, si se hace clic en Aplicar en una determinada sección, los cambios se aplican de inmediato.

Pestaña Navegar

En la siguiente figura se muestra la pestaña Navegar.
Pestaña Navegar del panel Investigation

             
1Muestra el panel Configuración de Investigation.
2Muestra la pestaña Navegar.

Barra de herramientas y funciones

La pestaña Navegar tiene dos secciones: Configuración de hilos de ejecución de representación y Configuración de coordenadas paralelas.

Configuración de hilos de ejecución de representación

Este es un valor seleccionable entre 1 y 20 que define la cantidad de cargas (valores) simultáneas en la vista Navegar. El valor predeterminado es 1.

Configuración de hilos de ejecución de representación en la pestaña Navegar

Configuración de coordenadas paralelas

La configuración de coordenadas paralelas se aplica a la visualización de coordenadas paralelas en la vista Navegar. Hay un límite fijo en la cantidad de datos que se pueden representar como un gráfico de coordenadas paralelas. En NetWitness Suite, el administrador puede configurar aquí los límites de las coordenadas paralelas.

Nota: Para mejorar el rendimiento, la configuración recomendada es Límite de escaneo de valores de metadatos: 100000 y Límite de resultados de valores de metadatos: entre 1,000 y 10,000

Configuración de coordenadas paralelas en la pestaña Navegar

En la siguiente tabla se describe la configuración de coordenadas paralelas.

                     
ParámetroDescripción
Límite de escaneo de valores de metadatosLa cantidad máxima de valores de metadatos que se escanean en el rango de tiempo de Investigation que seleccionó el analista en la vista Navegar. Los valores posibles están en el rango de 1,000 a 10,000,000. El valor predeterminado es 100,000.
Límite de resultados de valores de metadatosLa cantidad máxima de valores de metadatos que se devuelven en el rango de tiempo de Investigation que seleccionó el analista en la vista Navegar. Los valores posibles están en el rango de 100 a 1,000,000,000. El valor predeterminado es 10,000.

Vista rápida

Pestaña Eventos

En la siguiente figura se muestra la pestaña Eventos.

Pestaña Evento en el panel Investigation

Los procedimientos asociados a este panel se proporcionan en Procedimientos estándar.

             
1Muestra el panel Configuración de Investigation.
2Muestra la pestaña Evento.

Barra de herramientas y funciones

En la pestaña Eventos se proporcionan ajustes configurables que afectan a la investigación de eventos. Esta pestaña tiene cuatro secciones: Configuración de búsqueda de eventos, Configuración de la reconstrucción, Configuración de reconstrucción de vista web y Configuración de caché de reconstrucción.

Configuración de búsqueda de eventos

La configuración de búsqueda de eventos ayuda a limitar la cantidad de eventos que se escanean cuando se realizan búsquedas en la vista Eventos.

Configuración de búsqueda de eventos en la pestaña Eventos

En la siguiente tabla se describe la configuración de búsqueda de eventos.

                 
ParámetroDescripción
Límite de eventos escaneadosCantidad máxima de eventos que se escanean cuando se realizan búsquedas en la vista Eventos.
Límite de resultados de eventosCantidad máxima de resultados que se devuelven cuando se realizan búsquedas en la vista Eventos.

Configuración de la reconstrucción

A medida que los analistas reconstruyen sesiones que están investigando, algunos eventos pueden ser muy grandes y pueden contener muchos miles de paquetes de origen. La reconstrucción de estas sesiones, especialmente en un ambiente multiusuario, puede degradar el rendimiento de las aplicaciones. La configuración de la reconstrucción permite que un administrador limite la cantidad de paquetes y el tamaño de un único evento durante la reconstrucción.

Nota: se puede configurar un reemplazo para la sección Configuración de la reconstrucción para las vistas web (en Configuración de reconstrucción de vista web).

Configuración de la reconstrucción en la pestaña Investigation

En la siguiente tabla se describen las funciones de Configuración de la reconstrucción.

                         
ParámetroDescripción
Cantidad máxima de paquetes para un único eventoEsta configuración protege el rendimiento mediante la definición de un límite en la cantidad de paquetes que se procesan para la reconstrucción de un único evento.

Los valores posibles están en el rango de 100 a 10,000 paquetes y se ingresan manualmente o en incrementos de 100 de la lista de selección. El valor predeterminado es 100 paquetes.
Tamaño máximo, en bytes, de un único eventoEsta configuración protege el rendimiento mediante la definición de un límite en el tamaño máximo, en bytes, de la reconstrucción de un único evento.
Los valores posibles están en el rango de 102,400 a 104,857,600 bytes y se ingresan manualmente o en incrementos de 10,240 de la lista de selección. El valor predeterminado es 2,097,152 bytes.

Permitir el reemplazo de Reconstrucción completa con paquetes

Cuando se selecciona esta casilla de verificación, se proporciona a los analistas un botón Usar más paquetes en el panel Reconstrucción. Esto permite que el servidor de NW vuelva a generar eventos con el uso de todos los paquetes disponibles en el evento.

Permitir el análisis del conjunto de caracteres HTML para las páginas webEsta opción permite que el Servidor de NetWitness identifique la codificación de las páginas web definida en la etiqueta de metadatos HTML en lugar del encabezado HTTP. La configuración predeterminada es deshabilitado.

Configuración de reconstrucción de vista web

La configuración de reconstrucción de vista web permite que un administrador configure ajustes que mejoran la reconstrucción de una vista web mediante el escaneo y la reconstrucción de eventos relacionados que contienen los mismos archivos de soporte. Cuando NetWitness Suite reconstruye una vista web que abarca múltiples eventos, es posible mejorar la reconstrucción del evento objetivo con el escaneo y la reconstrucción de eventos relacionados que contienen los mismos archivos de soporte, como imágenes y archivos de hoja de estilo en cascada (CSS).

  • Los únicos eventos relacionados que se escanean son eventos de tipo de servicio HTTP con la misma dirección de origen que el evento objetivo y un registro de fecha y hora dentro de un rango de tiempo especificado antes y después del evento objetivo.
  • La cantidad máxima de eventos relacionados que se escanean es configurable.

Si se hace clic en la opción Configuración avanzada, se muestran todos los ajustes configurables de esta sección.

Configuración de reconstrucción de vista web en la pestaña Eventos

En la siguiente tabla se describe la configuración de reconstrucción de vista web.

                                     
ParámetroDescripción
Habilite los archivos de soporte para la vista webEsta opción determina cómo se reconstruyen las vistas web que tienen datos relacionados en otras sesiones. De manera predeterminada, la opción está habilitada.

Cuando está habilitada, los archivos de soporte de eventos relacionados se pueden usar en la reconstrucción de vistas web. En esta sección se habilitan ajustes adicionales para calibrar el rendimiento y los analistas tienen la opción de habilitar el uso de CSS en las reconstrucciones.

Cuando está deshabilitada, los archivos de soporte de eventos relacionados no se usan y el ajuste para que los analistas habiliten el uso de CSS en reconstrucciones está deshabilitado.
Rango de tiempo para escanear eventos relacionadosEstá disponible cuando se selecciona Habilite los archivos de soporte para la vista web. Configura el rango de tiempo dentro del cual NetWitness Suite escanea eventos relacionados que son del tipo de servicio HTTP y que tienen la misma dirección de origen que el evento objetivo. Este es un valor entre 0 y 60.
  • Segundos antes del evento objetivo
  • Segundos después del evento objetivo
Limite la cantidad de eventos relacionados que se procesanPermite la configuración de la cantidad máxima de eventos relacionados que NetWitness Suite escanea en el rango de tiempo especificado para descubrir archivos de soporte para el evento objetivo. De manera predeterminada, el parámetro está deshabilitado.  Cuando se habilita, también lo hace el campo Máximo de eventos relacionados.
Máximo de eventos relacionadosCuando se habilita el parámetro Limite la cantidad de eventos que se procesan, este campo especifica la cantidad máxima de eventos relacionados que NetWitness Suite escanea en el rango de tiempo especificado con el fin de descubrir archivos de soporte para el evento de destino.

Este es un valor seleccionable entre 10 y 1,000 y se ingresa en incrementos de 100. El valor predeterminado es 100.
Limite la cantidad de paquetes y el tamaño de cada evento relacionado
 
Reemplaza la configuración general para la cantidad máxima de paquetes y el tamaño máximo (en bytes) de eventos relacionados individuales.
Cantidad máxima de paquetes para un único evento relacionadoLos valores posibles están en el rango de 100 a 10,000 paquetes y se ingresan en incrementos de 100 de la lista de selección. El valor predeterminado es 100 paquetes.
Tamaño máximo, en bytes, de un único evento relacionadoLos valores posibles están en el rango de 102,400 a 104,857,600 bytes y se ingresan en incrementos de 10,240 de la lista de selección. El valor predeterminado es 524,288 bytes.

Configuración de caché de reconstrucción

En algunos casos, la caché de reconstrucción puede presentar contenido incorrecto; por esta razón, NetWitness Suite quita de la caché las reconstrucciones que tienen más de un día.  La caché se borra a diario a la medianoche. Entre las limpiezas diarias de la caché, ciertas acciones pueden dejar obsoleta la caché que se usa en una reconstrucción y, si es necesario, los administradores pueden borrar manualmente la caché para uno o más servicios que están conectados al Servidor de NetWitness actual.

Configuración de caché de reconstrucción en la pestaña Eventos

En la siguiente tabla se describen las funciones de Configuración de caché de reconstrucción.

                       
FunciónDescripción
Cuadro de selecciónEl cuadro de selección en filas individuales y en la barra de título permite la selección de uno o más servicios, o de todos ellos, cuya caché se debe borrar manualmente.
Borrar caché de los servicios seleccionadosBorra la caché de reconstrucción de cada servicio seleccionado.
Borrar caché de todos los serviciosBorra la caché de reconstrucción de todos los servicios.

Vista rápida

Pestaña Búsqueda de contexto

En la siguiente figura se muestra la pestaña Búsqueda de contexto.

Pestaña Búsqueda de contexto en el panel Investigation

Los procedimientos asociados con este panel se proporcionan en “Administrar mapeo de tipos de metadatos y claves de metadatos” en la Guía de configuración de Context Hub.

             
1Muestra el panel Configuración de Investigation.
2Muestra la pestaña Búsqueda de contexto.

Barra de herramientas y funciones

La pestaña Búsqueda de contexto permite al administrador configurar el mapeo de claves de metadatos y tipos de metadatos de Investigation. El administrador puede agregar claves de metadatos que se encuentran en Investigation a la lista de tipos de metadatos compatibles con el servicio Context Hub o quitarlas de ella.

En la siguiente tabla se describen las funciones de la pestaña Búsqueda de contexto.

                   
FunciónDescripción
Agrega una clave de metadatos al tipo de metadatos seleccionado compatible con Context Hub.
Elimina la clave de metadatos del tipo de metadatos seleccionado.
AplicarGuarda los cambios realizados en la pestaña Búsqueda de contexto.
You are here
Table of Contents > Referencias > Panel Configuración de Investigation

Attachments

    Outcomes