Investigate: Inicio de una investigación

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suite ofrece distintos puntos de partida en función de la pregunta que está intentando responder: vista Navegar, vista Eventos, vista Análisis de eventos (versión 11.1), vista Hosts (versión 11.1), vista Archivos (versión 11.1) y vista Malware Analysis.

Note: Se requieren funciones y permisos de usuario específicos para que un usuario realice investigaciones en NetWitness Suite. Si no puede realizar una tarea de análisis o abrir una vista, es posible que el administrador necesite ajustar las funciones y los permisos configurados para usted. Las vistas Hosts y Archivos están disponibles en la versión 11.1 y superior. La vista Análisis de eventos está disponible en la versión 11.0, pero el método de acceder a ella es a través de la vista Eventos.

Enfoque en los metadatos, los eventos y el análisis de eventos

Para buscar eventos que impulsen el flujo de trabajo de respuesta ante incidentes y realizar un análisis estratégico después de que otra herramienta haya generado un evento, debe comenzar en la vista Navegar, vista Eventos o vista Análisis de eventos. Investigue los metadatos para un solo Broker o Concentrator. En cada una de estas vistas, inicie la investigación abriendo la vista, donde puede ejecutar una consulta y filtrar los resultados mediante la limitación del rango de tiempo y la creación de consultas de metadatos. En los siguientes temas se ofrece información detallada sobre el comienzo de una investigación en cada vista:

Enfoque en los hosts y los archivos

Para buscar información en los hosts en que se ejecuta el agente, comience la investigación en la vista Hosts (Investigar > Hosts). Para cada host, puede ver los procesos, los controladores, los archivos DLL, los archivos (ejecutables), los servicios y las ejecuciones automáticas que se ejecutan, así como la información relacionada con los usuarios que iniciaron sesión. (Consulte Investigar los hosts).

Puede comenzar la investigación en los archivos de su implementación en la vista Archivos (Investigar > Archivos). (Consulte Investigar los archivos).

Enfoque en el escaneo de archivos para encontrar malware

Para escanear archivos para encontrar malware potencial o configurar un escaneo continuo de un servicio, comience en la vista Malware Analysis. Los resultados se expresan como cuatro tipos de análisis: Red, Estático, Community y Sandbox con una clasificación de indicadores de riesgo (IOC). Existen varias maneras de comenzar a trabajar en Malware Analysis:

  • Puede comenzar Malware Analysis desde los dashlets de Malware Analysis en la vista Monitorear para ver rápidamente las amenazas potenciales más riesgosas.
  • Puede ir a Investigar > Malware Analysis para abrir Resumen de eventos de Malware Analysis.
  • Puede hacer clic con el botón secundario en una clave de metadatos en la vista Navegar y seleccionar Escanear para encontrar malware.

Consulte Realización de un análisis de malware para obtener detalles sobre cómo trabajar en la vista Malware Analysis.


You are here
Table of Contents > Inicio de una investigación

Attachments

    Outcomes