Investigate: Visualizar metadatos como coordenadas paralelas

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Los analistas pueden usar la visualización de coordenadas paralelas de la vista Navegar para centrar la investigación en combinaciones de valores y claves de metadatos que pueden indicar que los eventos son anormales y que ameritan una investigación.

Note: En la versión 11.1 y superior, cuando se usan claves de metadatos, también se pueden usar entidades de metadatos configuradas.

El gráfico de coordenadas paralelas es una manera de visualizar el punto de desglose actual en Investigation para examinar más de dos claves de metadatos simultáneamente. La visualización simultánea de varias claves de metadatos puede ayudar a identificar problemas de seguridad asociados a comparaciones y patrones multivariantes, como cuando los valores y las claves de metadatos individuales no causan preocupación, pero si se combinan, pueden revelar un patrón o una relación anormales. Los grupos de metadatos (consulte Administrar grupos de metadatos) se puede utilizar de manera eficaz para definir un conjunto de claves de metadatos que se desean visualizar como coordenadas paralelas.

Mejores prácticas para obtener gráficos de coordenadas paralelas eficaces

Para crear gráficos de coordenadas paralelas eficaces, siga estas recomendaciones:

  • Comience desde un punto de desglose en la vista Navegar en lugar de intentar visualizar todos los datos.
  • Limite el rango de tiempo si es necesario.
  • Elija el conjunto útil de claves de metadatos más pequeño para mostrar como ejes.
  • Especifique la secuencia de ejes para resaltar las anomalías entre los valores de metadatos a medida que sigue una línea que cruza el gráfico.
  • Cuando pueda identificar un conjunto de claves de metadatos útil y una secuencia, cree un grupo de metadatos personalizado para usarlo en investigaciones futuras. Por ejemplo, puede crear un grupo de metadatos personalizado para tipos de archivos ejecutables de Windows.
  • Utilice los grupos de metadatos de uso inmediato de RSA que se incluyen en una instalación nueva.
  • Vuelva a utilizar y comparta los grupos de metadatos personalizados mediante su importación y exportación como archivos .jsn.
  • Puede ser útil crear dos versiones de cada grupo de metadatos personalizado. Una para el análisis de valores de metadatos y otra para crear un gráfico de coordenadas paralelas que se centre en un subconjunto más pequeño del mismo caso de uso.

Note: Cuando se importan grupos de metadatos, se muestra un mensaje de error si alguno de los grupos ya está presente. Para importar un grupo que es un duplicado, primero debe eliminar el grupo existente. Si desea eliminar un grupo de metadatos, un perfil no puede estar usándolo.

Como ayuda para optimizar la creación de gráficos de coordenadas paralelas, en NetWitness Suite se incluyen varias optimizaciones.

  • Los analistas pueden especificar que en el gráfico solo se representen las sesiones en las cuales existen todas las claves de metadatos.
  • El administrador puede aumentar la cantidad de valores de metadatos que se representan en Configuración de coordenadas paralelas de la vista Sistema de Administration.

Casos de uso de grupos de metadatos de RSA para coordenadas paralelas

En NetWitness Suite se incluye un conjunto de grupos de metadatos predefinidos. Si desea obtener la versión más reciente, puede importar el archivo de grupos de metadatos, MetaGroups_ootb_w_query.jsn, en el cuadro de diálogo Administrar grupos de metadatos. Algunas de las actividades dirigidas que se prestan para las visualizaciones de coordenadas paralelas son:

  • Señalización por botnet
  • Canales encubiertos
  • Correo electrónico
  • Sesiones cifradas
  • Análisis de Endpoint
  • Análisis de archivos
  • Malware Analysis
  • HTTP de salida
  • Protocolos SSL/TLS de salida
  • Ataques de inyección SQL
  • Análisis de amenazas
  • Análisis web

Ver una visualización de coordenadas paralelas

Desde una investigación en la vista Investigar > Navegar:

  1. Si el panel Visualización sobre el panel Valores está cerrado, seleccione Visualización.
  2. En la barra de herramientas, seleccione Meta > Usar grupo de metadatos > Análisis de archivos (Malware).
  3. En el panel Valores, en la clave de metadatos Huella digital forense, haga clic en windows_executable y en x86 pe, de modo que la ruta de navegación indique filetype = 'windows_executable' | filetype = 'x86 pe'.
    values in the Values panel
  4. Una visualización predeterminada para el punto de desglose actual se muestra como un cronograma.
    default visualization in the Navigate view
  5. En el panel Visualización, seleccione Opciones.
    Se muestra el cuadro de diálogo Opciones de visualización.
  6. En la lista desplegable Visualización, seleccione Coordenadas y haga clic en Aplicar.
    Visualization Options dialog
    La visualización se carga. En este ejemplo, se encuentran 249 eventos y se visualizan 199 rutas únicas.
    example of a parallel coordinates visualization

Seleccionar claves de metadatos para una visualización de coordenadas paralelas

Con una visualización de coordenadas paralelas abierta, realice lo siguiente:

  1. En el panel Visualización, seleccione Opciones.
    Se muestra el cuadro de diálogo Opciones de visualización. En la barra de herramientas, haga clic en ic-info2.png con el fin de mostrar la cantidad recomendada de ejes para una visualización legible. Cuando se muestra un conteo de claves recomendado, el conteo cambia en función del tamaño del navegador. Si agranda la ventana del navegador, el conteo recomendado aumenta.
    the Visualization Options dialog
  2. Si desea cambiar la secuencia de claves de metadatos, arrastre las claves de metadatos hacia arriba o hacia abajo para disponerlas en la secuencia deseada.
  3. Si desea eliminar las claves de metadatos, haga clic en el cuadro de selección y, a continuación, en icon-remove.png.
    Las claves de metadatos se quitan, pero el cambio aún no se aplica.
  4. Si desea revertir al estado anterior, haga clic en icon-revert.png.
    Las claves de metadatos que eliminó se restauran y los cambios que hizo se quitan.
  5. Si desea seleccionar claves de metadatos individuales, haga clic en the add icon, seleccione Desde claves predeterminadas y, en la lista desplegable, seleccione las claves de metadatos.
    From Default Meta Keys drop-down list
    Las claves seleccionadas se enumeran.
    selected keys listed in the Add Keys to Parallel Coordinates Visualization dialog
  6. Si desea agregar todas las claves de un grupo de metadatos, no puede agregar claves de metadatos individuales. Seleccione Desde grupos de metadatos y elija un grupo en la lista desplegable.
    From Meta Groups drop-down list in the Add Keys to Parallel Coordinates Visualization
    Los grupos de metadatos seleccionados se enumeran en el campo.
  7. Seleccione el método para agregar las claves o los grupos: Reemplazar la lista actual de claves, Agregar a la lista actual de claves (al final) o Insertar al comienzo de la lista actual de claves.
    Method to add meta keys is Replace the current list of keys
  8. Para completar el procedimiento, haga clic en Agregar.
    El cuadro de diálogo Opciones de visualización se muestra con los grupos o las claves de metadatos que seleccionó.
  9. Para mostrar el nuevo gráfico de visualización, haga clic en Aplicar.
    Parallel coordinates visualization

Optimizar una visualización de coordenadas paralelas

  1. Para optimizar la visualización mediante la eliminación de eventos en los cuales no existen todas las claves de metadatos, seleccione Opciones.
    Visualization options
  2. En el cuadro de diálogo Opciones de visualización, seleccione Todas las claves de metadatos deben existir en un evento. Haga clic en Aplicar.
    El gráfico resultante es más legible y útil, y tiene menos rutas únicas.
    Parallel Coordinates visualization with All Keys Must Exist in an Event in effect
  3. Si desea resaltar un conjunto de puntos pequeño para ver la ruta de la línea de derecha a izquierda, haga clic en un eje. El cursor cambia a una mira, la cual puede arrastrar para seleccionar uno o más valores. Cuando suelta el mouse, las líneas se resaltan. En el siguiente ejemplo, el tipo de servicio SSL se resalta con un cuadro de color gris.
    Parallel Coordinates visualization with a small set of points highlighted
  4. Si desea ampliar la visualización, arrastre hacia abajo el borde inferior del panel y ensanche la ventana del navegador desde el borde derecho.

Ejemplo de caso de uso

El siguiente es un ejemplo de una visualización de coordenadas paralelas de claves de metadatos que representa metadatos de archivo en una sesión. Hay tres claves de metadatos o ejes de izquierda a derecha: Extensiones, Huella digital forense y Nombre de archivo con valores que se enumeran a lo largo de cada eje. Los valores del eje Extensión muestran la extensión de archivo y los valores del eje Huella digital forense son archivos ejecutables de Windows. Normalmente, el tipo de archivo coincide con la huella digital forense prevista; sin embargo, es anormal que un tipo de archivo gif esté en combinación con la huella digital de archivo ejecutable de Windows. Se selecciona el tipo de archivo gif para resaltar las correlaciones de ese tipo de archivo, x86pe, y dos nombres de archivo en el tercer eje, de modo que un analista pueda identificar rápidamente los archivos que ameritan una investigación.

Para llegar a esta vista:

  1. Ordene por valor y clasifique en orden ascendente.
  2. Aplique dos filtros (file type = 'windows executable' y extension = 'gif') en la vista Navegar para limitar la cantidad de datos.
  3. Configure un gráfico de coordenadas paralelas con la selección de tres ejes: file extension, forensic fingerprint y filename.
    parallel coordinates visualization with three axes

Ejemplo de la visualización de un conjunto de datos grande

En este ejemplo de una visualización de coordenadas paralelas aplicada a un conjunto de datos más grande se ilustran varios mensajes que ayudan a los analistas a comprender lo que se graficó.

  • Para crear un gráfico, NetWitness Suite comienza a escanear valores de metadatos y a devolver resultados. Un rango de tiempo típico podría tener hasta 10,000,000 valores de metadatos. Cuando la cantidad de valores de metadatos devueltos alcanza el Límite de resultados de valores de metadatos, el gráfico se genera incluso si NetWitness Suite no ha escaneado una cantidad de valores de metadatos equivalente al Límite de escaneo de valores de metadatos.
  • Hay un límite fijo en la cantidad de datos que se pueden representar como un gráfico de coordenadas paralelas. En NetWitness Suite 10.4 y versiones anteriores, el límite se basa en la cantidad de ejes por los valores de datos: 1,000 x la cantidad de ejes para proteger el rendimiento, pero en NetWitness Suite 10.5 y superior, el administrador configura límites de coordenadas paralelas como parte de los ajustes de Investigation en la vista Sistema de Administration.

parallel coordinates visualization illustrating messages to help user understand

Con un conjunto de datos más grande, el procesamiento del gráfico de coordenadas paralelas tarda más que con un conjunto de datos y claves de metadatos más pequeño. Para preservar el rendimiento, NetWitness Suite representa los valores de metadatos del panel Valores de abajo hasta que se alcanzan los límites que estableció el administrador. Un mensaje informativo indica: Solo se muestra un subconjunto de eventos.

De todos los datos visualizados para 249 eventos, solo hubo 199 rutas de coordenadas paralelas únicas. Ciertos eventos se incluyen aunque no contienen algunas de las claves de metadatos; estos se etiquetan DNE debido a que los metadatos no existen en el evento.

You are here
Table of Contents > Investigación de metadatos en la vista Navegar > Visualizar metadatos como coordenadas paralelas

Attachments

    Outcomes