Configuración de NW: Configurar los ajustes de Investigation

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on May 2, 2018
Version 3Show Document
  • View in full screen mode
 

En este tema se proporcionan instrucciones para los administradores que están configurando los ajustes que se aplican a todas las investigaciones en la instancia de NetWitness Suite que se configura. Los ajustes para configurar y ajustar el comportamiento de NetWitness Suite Investigation están disponibles en la vista Sistema > panel Investigation. Estos ajustes se aplican a todas las investigaciones y las reconstrucciones en la instancia actual de NetWitness Suite.

Configurar los ajustes de las pestañas Navegar, Eventos y Búsqueda de contexto

  1. Vaya a ADMIN > Sistema.
  2. En el panel de opciones, seleccione Investigation.
    Se muestra el panel Configuración de Investigation.
  3. En el campo Configuración de hilos de ejecución de representación de la pestaña Navegar, seleccione la cantidad máxima de valores de claves de metadatos simultáneos que carga un único usuario en la vista Navegar. Haga clic en Aplicar.
  4. En la sección Configuración de coordenadas paralelas de la pestaña Navegar, configure los límites máximos para los valores de metadatos escaneados y los resultados de valores de metadatos que se pueden incluir en una visualización de coordenadas paralelas. Para mejorar el rendimiento, esta es la configuración recomendada: Límite de escaneo de valores de metadatos: 100,000 y Límite de resultados de valores de metadatos: entre 1,000 y 10,000
    Haga clic en Aplicar.
  5. En la sección Configuración de búsqueda de eventos de la pestaña Eventos, configure la cantidad máxima de eventos escaneados y de resultados de eventos que se muestran cuando un analista realiza una búsqueda de eventos en la vista Eventos. Haga clic en Aplicar.
  6. En la sección Configuración de la reconstrucción de la pestaña Eventos, configure los límites para la cantidad de datos que se procesan en la reconstrucción de un único evento. Los valores predeterminados son un máximo de 100 paquetes y 2,097,152 de bytes. Si los analistas perciben un bajo rendimiento cuando reconstruyen sesiones en Investigation, la configuración de la reconstrucción puede requerir ajustes. Haga clic en Aplicar.

Precaución: La configuración de un valor más alto afecta el rendimiento del Servidor de NetWitness, ya que aumenta el tiempo y la memoria necesarios para crear la reconstrucción de un evento. La configuración del valor en cero deshabilita los límites y puede hacer que un Servidor de NetWitness falle.

  1. (Opcional) En la pestaña Eventos de la sección Configuración de reconstrucción de vista web, habilite el uso de archivos de soporte en una reconstrucción de vistas web y configure ajustes adicionales para calibrar estas reconstrucciones. Estos incluyen el rango de tiempo (en segundos) para escanear en busca de eventos relacionados, la cantidad máxima de eventos relacionados que se escanearán y reemplazos a la configuración de la reconstrucción que se usarán con reconstrucciones de vistas web. Haga clic en Aplicar.
  2. En la pestaña Búsqueda de contexto, administre el mapeo de tipos de metadatos de Context Hub con claves de metadatos en Investigation. Puede agregar o quitar claves de metadatos en la lista de tipos de metadatos compatibles en Investigation mediante Context Hub. Los procedimientos asociados con esta pestaña se proporcionan en “Administrar mapeo de tipos de metadatos y claves de metadatos” en la Guía de Investigation y Malware Analysis.

Limpiar la caché de reconstrucción para los servicios

La opción Configuración de caché de reconstrucción permite a los administradores limpiar la caché de uno o más servicios. Por ejemplo, el administrador puede limpiar la caché de un único Broker, un Broker y un Decoder o de todos los servicios conectados. Estos son algunos ejemplos de causas del uso de una caché obsoleta en una reconstrucción.

  • Las sesiones de los servicios downstream pueden haber perdido su validez o pueden haberse restablecido sus datos. Como ejemplo, si Investigation navega en un Broker y se produce un restablecimiento de datos en un Concentrator o un Decoder descendentes, los metadatos y los datos de sesión del servicio que realiza la investigación (Broker) no coinciden con el contenido si el servicio descendente se restableció y se volvió a completar. La reconstrucción en Investigation muestra contenido de la caché, el cual no coincide con el contenido real. Incluso si el Decoder está offline, el contenido continúa mostrándose en la reconstrucción del Broker. La limpieza de la caché en el Broker hace que NetWitness Suite acceda al Decoder y que se muestre un error debido a que el Decoder está offline.
  • Otro caso en el cual la caché puede estar obsoleta es cuando cambia un ID de servicio para un servicio descendente. Esto puede suceder cuando se exportan, se importan, se eliminan y se agregan servicios a NetWitness Suite, debido a que NetWitness Suite puede reutilizar los ID de servicio. En este caso, la limpieza de la caché en el Broker hace que NetWitness Suite solicite datos de los servicios.

Para borrar la caché de reconstrucción, realice una de las siguientes acciones:

  1. Para borrar la caché de uno o más servicios, seleccione los servicios y haga clic en Borrar caché de los servicios seleccionados.
  2. Para borrar la caché de todos los servicios enumerados, haga clic en Borrar caché de todos los servicios
    . Se borra la caché de reconstrucción para los servicios seleccionados. NetWitness Suite envía una solicitud de datos a los servicios.
You are here
Table of Contents > Procedimientos estándar > Configurar ajustes de Investigation

Attachments

    Outcomes