Investigate: Comenzar una investigación de Malware Analysis

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Puede investigar datos que Malware Analysis haya escaneado, marcado y clasificado por su contenido de indicadores de riesgo. Esto incluye todos los tipos de escaneos de Malware Analysis: sondeo en modo continuo, sondeo según demanda y archivos cargados según demanda. El sondeo en modo continuo se debe habilitar cuando el administrador configura ajustes básicos para el servicio Malware Analysis.

NetWitness Suite proporciona varios métodos para iniciar una investigación de Malware Analysis.

Más veloz: Inicio inmediato desde dashlets de Malware Analysis

La manera más rápida de comenzar una investigación de Malware Analysis es un inicio inmediato desde NetWitness Suite Dashboard mediante uno de los dashlets de Malware Analysis que enumera eventos o archivos que probablemente contienen malware. Los dashlets se describen como parte del contenido de RSA NetWitness en Dashlets. Desde uno de estos dashlets, puede ir directamente a los resultados de análisis de un evento específico que se ha enumerado como digno de investigación:

  • Lista del malware altamente sospechoso principal
  • Lista del posible malware de día cero principal
  • Dashlet Malware con IOC de alta confianza y altos puntajes

Sondeo según demanda desde un valor de metadatos en la vista Navegar

Puede iniciar un sondeo según demanda en una investigación si hace clic con el botón secundario en un valor de metadatos en la vista Navegar y selecciona una opción en el menú contextual. Cuando finaliza el sondeo, los datos escaneados quedan disponibles para Malware Analysis (consulte Iniciar un escaneo de Malware Analysis desde la vista Navegar.

Investigar un servicio de RSA específico

También puede iniciar una investigación de Malware Analysis de un servicio en la vista Investigate > Malware Analysis. Para una investigación de Malware Analysis por servicio, se debe especificar un servicio en la vista Investigate > Malware Analysis:

  1. Investigate abre la vista de Malware Analysis, donde está seleccionado el servicio predeterminado que especifica el usuario.
  2. Si no se especifica ningún servicio predeterminado, un cuadro de diálogo permite seleccionar el servicio de Malware Analysis que se investigará.
  3. Cuando se selecciona un servicio en la vista Malware Analysis, se muestra el Resumen de eventos para el servicio seleccionado y sus datos de escaneo continuo.

En este tema se proporcionan instrucciones para todos los métodos de inicio de una investigación de Malware Analysis.

Comenzar una investigación de malware desde un dashlet de Malware Analysis

Este procedimiento tiene el requisito previo de que uno de los siguientes dashlets debe estar visible en el tablero de NetWitness Suite o en la vista Malware Analysis, y se debe completar con eventos o archivos enumerados. Si no ve los dashlets, agréguelos y configúrelos.

  • Lista del malware altamente sospechoso principal
  • Lista del posible malware de día cero principal
  • Dashlet Malware con IOC de alta confianza y altos puntajes

Para iniciar una investigación de Malware Analysis desde un dashlet:

  1. Inicie sesión en NetWitness Suite y busque uno de los dashlets mencionados anteriormente en la vista Monitor o en la vista Malware Analysis
  2. En el dashlet, haga doble clic en un evento o un archivo para realizar un análisis más profundo. La vista Malware Analysis presenta un análisis detallado del evento en la Lista de eventos o el evento con el cual está asociado el archivo en la Lista de archivos.
    Analysis Results

Para obtener más información sobre cómo configurar los dashlets de Malware Analysis en el tablero Monitor, consulte “Dashlets” en la Guía de introducción de NetWitness Suite.

Para conocer los métodos para configurar y filtrar la información de los dashlets en la vista Malware Analysis, consulte Filtrar datos de dashlets en la vista Resumen de eventos.

Para obtener información sobre las acciones que puede realizar en los Resultados del análisis, consulte Ver detalles de Malware Analysis de un evento.

Comenzar una investigación de Malware Analysis (sin servicio predeterminado)

Para comenzar una investigación sin especificar algún servicio predeterminado:

  1. Seleccione Investigation > Malware Analysis.
    Se muestra el cuadro de diálogo Seleccionar un servicio Malware Analysis con los hosts y los servicios de Malware Analysis disponibles para el usuario actual en el panel de la izquierda y los trabajos de escaneo disponibles en el panel de la derecha. Este panel de trabajos de escaneo contiene las mismas columnas que el dashlet Trabajos de escaneo de malware en el tablero Unified. Además, tiene una barra de herramientas y opciones de visualización, las cuales se describen en Cuadro de diálogo Seleccionar un servicio Malware Analysis.
    Select a Malware Analysis Service dialog
  2. En la lista de hosts de Malware Analysis, seleccione un host. Se muestra una lista de trabajos de escaneo en el panel de la derecha. Estos trabajos se crean cuando se escanea un evento o un archivo (consulte Cargar archivos para escaneo de Malware Analysis e Iniciar un escaneo de Malware Analysis desde la vista Navegar).
  3. Para comenzar a analizar un escaneo, realice lo siguiente:
    1. Seleccione un escaneo y haga clic en Ver escaneo.
    2. Haga clic en Ver modo continuo.
      El Resumen de eventos para el escaneo seleccionado se muestra con los dashlets predeterminados abiertos. Cada usuario puede agregar, modificar y eliminar dashlets predeterminados, lo cual persiste en las distintas investigaciones de escaneos. Los usuarios también pueden restaurar los dashlets predeterminados como se describe en Filtrar datos de dashlets en la vista Resumen de eventos.
      Summary of Events view

Configurar o borrar el servicio predeterminado

Puede configurar y borrar el servicio predeterminado en el cuadro de diálogo Seleccionar un servicio Malware Analysis.

Para configurar un servicio predeterminado:

  1. Haga clic en el nombre del servicio en la barra de herramientas Resumen de eventos.
    Se muestra el cuadro de diálogo Seleccionar un servicio Malware Analysis.
    Select a Malware Analysis Service dialog
  2. Seleccione un servicio en la lista de servicios de malware disponibles y haga clic en Default Service button.
    El servicio se convierte en el valor predeterminado (lo cual se indica con Default icon delante del nombre de host).
  3. Para borrar el servicio predeterminado, selecciónelo en la cuadrícula y haga clic en Default Service button.
    No se configura ningún servicio predeterminado.

Cargar y escanear archivos

Un analista de malware con permiso para Initiate Malware Analysis Scan puede cargar archivos para escanear mediante la opción Escanear archivos del cuadro de diálogo Seleccionar un servicio Malware Analysis (consulte Cargar archivos para escaneo de Malware Analysis). Un administrador puede cargar archivos de captura de paquete en un Decoder para Malware Analysis en la vista Sistema de servicios, como se describe en “Cargar archivo de captura de paquete” en la Guía de configuración de Decoder y Log Decoder.

Comenzar una investigación (se especifica el servicio predeterminado)

Para comenzar una investigación con un servicio predeterminado especificado:

  1. Seleccione Investigation > Malware Analysis.
    El Resumen de eventos para un escaneo continuo del servicio seleccionado se muestra con los dashlets predeterminados abiertos. Cada usuario puede agregar, modificar y eliminar dashlets predeterminados, lo cual persiste en las distintas investigaciones de escaneos. Los usuarios también pueden restaurar los dashlets predeterminados como se describe en Filtrar datos de dashlets en la vista Resumen de eventos.
    Summary of Events view

Aplicar un filtro de parámetros de tiempo a los resultados

Puede aplicar un filtro de umbral para actualizar los resultados de los dashlets seleccionados.

  1. Para seleccionar un rango de tiempo distinto, seleccione Modo continuo u otro escaneo en la barra de herramientas.
    Se muestra el Resumen de eventos de malware del escaneo seleccionado.
  2. Para seleccionar un nuevo rango de tiempo para el escaneo, haga clic en la lista de selección de rangos en la barra de herramientas. Los rangos disponibles son: Últimos 5 minutos, Últimos 10 minutos, Últimos 15 minutos, Últimos 30 minutos, Última hora, Últimas 3 horas, Últimas 6 horas, Últimas 12 horas, Últimas 24 horas, Últimos 2 días, Últimos 5 días, Primera hora, Mañana, Tarde, Noche, Todo el día, Ayer, Esta semana, La semana pasada o Personalizado.
    Time Range menu
    Los resultados se actualizan de inmediato.
  3. Para actualizar un escaneo en modo continuo con nuevos datos, haga clic en Refresh icon.

Aplicar un filtro de umbral a los resultados del modo continuo

Puede aplicar un nuevo filtro de umbral a una instancia de los dashlets Malware con IOC de alta confianza y altos puntajes, Mapa de árbol de metadatos, Rueda de puntaje y Cronograma de evento.

Para personalizar el puntaje que se aplica al escaneo, realice lo siguiente en la barra de herramientas:

  1. Seleccione Actions drop-down menu > Aplicar filtro de umbral.
    Se muestra el cuadro de diálogo Aplicar filtro de umbral.
    Apply Threshold Filter dialog
  2. Si desea limitar la cantidad de eventos que se muestran a aquellos que obtuvieron un puntaje superior a un determinado número, realice lo siguiente:
    1. Arrastre el control deslizante en las barras Static, Red, Comunidad y Sandbox.
    2. Para seleccionar los dashlets a los cuales se aplican los umbrales, seleccione las casillas de verificación apropiadas.
    3. Haga clic en Aplicar.

Eliminar o volver a enviar un escaneo según demanda con una nueva configuración de omisión

Puede eliminar o volver a enviar un escaneo según demanda con una configuración de omisión distinta a la que se especificó en la vista Configuración del servicio para un servicio Malware Analysis.

Para eliminar un escaneo mientras observa un escaneo según demanda, realice lo siguiente:

  1. Seleccione Acciones > Eliminar escaneo.
    Un cuadro de diálogo solicita que confirme su intención de eliminar el escaneo.
  2. Haga clic en .
    El escaneo seleccionado se elimina.

Para aplicar una configuración de omisión distinta al escaneo actual:

  1. Seleccione Acciones > Volver a enviar escaneo.
    Se muestra el cuadro de diálogo Escanear para encontrar malware.
    Scan for Malware dialog
  2. Seleccione la configuración de omisión que desea utilizar en el escaneo nuevo y haga clic en Escanear.
    Malware Analysis restablece la caché y vuelve a enviar el archivo para un escaneo nuevo, y los trabajos de escaneo se agregan a la línea de espera de trabajos.
  3. Cuando el trabajo se complete, desplácese a la izquierda y seleccione Ver.
    Se muestra el Resumen de eventos de malware del escaneo seleccionado.

Ver la lista de archivos

Puede ver una lista de archivos para un evento desde el Resumen de eventos de Malware Analysis y desde cada uno de los gráficos de visualización: Cronograma de evento, Desgloses de metadatos, Mapa de árbol de metadatos y Rueda de puntaje.

Para ver la Lista de archivos, realice una de las siguientes acciones:

  • En el Resumen de eventos, haga clic en la cantidad de archivos en la fila Total o en la fila Alta confianza bajo Archivos procesados, Archivos de PE, Archivos de Office o Archivos PDF. Se muestra la Lista de archivos.
  • En cualquier dashlet de visualización, haga clic en el número junto al campo Archivos en la esquina superior derecha del dashlet.
    Se muestra la Lista de archivos para el punto de desglose seleccionado.
    Files List

En la Lista de archivos, puede buscar un archivo por nombre de archivo o hash de archivo MD5, clasificar la lista según dos criterios y orden ascendente o descendente y descargar archivos como se describe en Examinar archivos y eventos de escaneo en formato de lista.

Para volver al Resumen de eventos, haga clic en Volver al resumen.

Ver la lista de eventos

En el Resumen de eventos de Malware Analysis y desde cada uno de los gráficos de visualización (Cronograma de evento, Desgloses de metadatos, Mapa de árbol de metadatos y Rueda de puntaje), puede seleccionar eventos para ver en la cuadrícula Eventos.

Para ver la Lista de eventos, realice una de las siguientes acciones: 

  • En el Resumen de eventos, haga clic en la cantidad de Eventos creados en la fila Total o en la fila Alta confianza. Se muestra la Lista de eventos.
  • En cualquier dashlet de visualización, haga clic en el número junto al campo Eventos en la esquina superior derecha del dashlet.
    Se muestra la Lista de eventos para la hora seleccionada.
    Malware Analysis Events List
You are here
Table of Contents > Realización de un análisis de malware > Comenzar una investigación de Malware Analysis

Attachments

    Outcomes