Investigate: Vista Análisis de eventos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

En la vista Análisis de eventos, los analistas pueden ver eventos crudos y metadatos con funciones interactivas que mejoran la capacidad de encontrar patrones significativos en los datos. Esta es una alternativa a la vista Reconstrucción de evento estática. En esta vista, puede examinar eventos de red, registros y terminales. La vista Análisis de eventos ofrece reconstrucción de paquetes, texto y registros, y no es compatible directamente con la reconstrucción de correo electrónico y web. Sin embargo, en la versión 11.1 y superior, puede abrir una reconstrucción de correo electrónico o web de los resultados actuales en la reconstrucción de correo electrónico o web de la vista Eventos.

Note: El administrador configura el permiso para que los analistas accedan a esta vista. Si el administrador no le otorgó acceso y usted navega a la vista Análisis de eventos de cualquier otra forma, se muestra el siguiente mensaje: Forbidden. You cannot access the requested page. Por ejemplo, si está viendo una reconstrucción en la vista Eventos e intenta ver la misma reconstrucción en la vista Análisis de eventos, verá el mensaje Forbidden.

Los eventos que se muestran en la vista Análisis de eventos corresponden al punto de desglose actual en la Navigate view o en la vista Eventos. A partir de la versión 11.1, los eventos pueden ser los resultados de una consulta ingresada en la ruta de navegación de la vista Análisis de eventos. Independientemente del origen de la consulta, la vista Análisis de eventos enumera los eventos por hora. Puede volver a ordenar y cambiar el tamaño de las columnas. En la versión 11.1 y superior, también puede elegir las columnas que desea ver y seleccionar uno de los grupos de columnas incorporados o un grupo de columnas personalizado.

Cuando hace clic en un evento, el panel Detalles del evento de red, Detalles del evento de registro o Detalles del evento de Endpoint se abre en la misma ventana del navegador. Cada tipo de evento tiene uno o más tipos de análisis: Análisis de texto, Análisis de paquetes y Análisis de archivos.

En esta vista hay varios puntos de acceso, los que se describen en Comenzar una investigación en la vista Análisis de eventos.

Flujo de trabajo

La siguiente figura es un flujo de trabajo general que ilustra las tareas que puede realizar en NetWitness Investigate. Las tareas de la vista Análisis de eventos se resaltan en rojo.

the Investigate Workflow with Analyze Raw Events and Metadata highlighted

¿Qué desea hacer?

                                                                              
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos*

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazas

consultar eventos en la vista Análisis de eventos (versión 11.1) *

Filtrar los resultados en la vista Análisis de eventos

Buscador de amenazasexportar eventos y archivos en la vista Análisis de eventos*Descargar los datos en la vista Análisis de eventos

Buscador de amenazas

reconstruir eventos en la vista Análisis de eventos*

Análisis de eventos crudos y metadatos en la vista Análisis de eventos

Buscador de amenazasrealizar búsquedas externas desde la vista Análisis de eventos (versión 11.1)*Realizar acciones en datos en la vista Análisis de eventos
Buscador de amenazas consultar eventos en la vista Navegar Investigación de metadatos en la vista Navegar

Buscador de amenazas

consultar eventos en la vista Eventos

Análisis de eventos crudos en la vista Eventos

Buscador de amenazasinvestigar terminales (versión 11.1)Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

Cuando abre Investigate por primera vez, se muestran los campos de entrada de una consulta, lo que le permite seleccionar un servicio y un rango de tiempo, además de escribir una consulta opcional.

  • En la versión 11.0, los campos de entrada están en las vistas Navegar y Eventos.
  • En la versión 11.1, los campos de entrada están en las vistas Navegar, Eventos y Análisis de eventos.

Cuando abre un punto de desglose en la vista Análisis de eventos, el servicio que se investiga cuenta los resultados de la consulta inicial hasta un límite de 100,000 eventos, y los primeros 100 eventos (paquetes, registros y terminales) se cargan en el panel Eventos. Las columnas del panel Eventos son Hora del evento, Tipo de evento (red, registro o terminal), Tamaño de evento y Resumen. Puede realizar lo siguiente:

  • Desplazarse por la lista y hacer clic en Cargar más para ver los próximos 100 eventos.
  • Seleccionar un grupo de columnas (versión 11.1 y superior).
  • Seleccionar las columnas que desea incluir (versión 11.1 y superior).
  • Arrastrar las columnas para cambiar el orden.
  • Hacer que las columnas sean más anchas o angostas.
  • Ver el análisis de un evento.

En la siguiente figura se resaltan las funciones principales de la vista Análisis de eventos para la versión 11.1 y superior.

a quick look at the Event Analysis view for Version 11.1

                                                                 
1Ruta de navegación interactiva: Cuando se selecciona un servicio, muestra el selector de servicios, el selector de rango de tiempo y las consultas que se ingresaron. En la versión 11.1 y superior, puede seleccionar un servicio, como se describe en Comenzar una investigación en la vista Análisis de eventos, y acotar los filtros en la consulta, como se describe en Filtrar los resultados en la vista Análisis de eventos. Cuando hace clic en el botón Enviar consulta, se envía la consulta y se solicita al servicio seleccionado que cargue los datos.
2El tipo de evento que se analiza se refleja en el encabezado: Detalles del evento de red, Detalles del evento de registro o Detalles del evento de Endpoint. Cada vista se analiza en detalle en Análisis de eventos crudos y metadatos en la vista Análisis de eventos.
3Los tipos de análisis disponibles para el tipo de evento. Los eventos de red pueden usar todos los tipos de análisis: texto, paquetes y archivos. Los eventos de registro y terminal usan únicamente el análisis de texto.
4Los tipos de análisis Correo electrónico y Web abren el evento actual como una reconstrucción de correo electrónico o web en la vista Eventos.
5Estas opciones varían para los distintos tipos de análisis. Estos se analizan en detalle en Análisis de eventos crudos y metadatos en la vista Análisis de eventos.
6

Controles para mostrar u ocultar el encabezado del evento, mostrar u ocultar solicitudes y respuestas, y abrir el panel Metadatos de eventos (16). Estos controles se describen en Análisis de eventos crudos y metadatos en la vista Análisis de eventos.

7, 11Controles para cambiar el tamaño del panel y cerrarlo.
8Vuelve a abrir el panel Eventos o el Event Meta panel si lo cerró.
9 Configura las preferencias de la vista Análisis de eventos (consulte Configurar la vista Análisis de eventos).
10

El panel Eventos para la versión 11.1 es interactivo y muestra los resultados de las consultas a medida que se envían consultas actualizadas. El panel Eventos incluye un conteo de los eventos. Puede volver a ordenar y cambiar el tamaño de las columnas. Puede desplazarse hasta la parte inferior de la lista y cargar más eventos (consulte Análisis de eventos crudos y metadatos en la vista Análisis de eventos).

12La lista desplegable Grupo de columnas enumera grupos de columnas incorporados y personalizados que se pueden aplicar al panel Eventos. Los grupos de columnas incorporados son Análisis de correo electrónico, Análisis de terminales, Análisis de malware, HTTP de salida, Protocolos SSL/TLS de salida y Lista de resumen. Lista de resumen es el grupo de columnas predeterminado.
13Configuración para seleccionar las columnas que se incluyen en el panel Eventos.
14El encabezado del evento proporciona información resumida acerca del evento. Esta información es diferente para los distintos tipos de eventos (paquetes, registros y terminal).
15Los datos de eventos (en ocasiones denominados carga útil para los paquetes). Los datos de eventos para un evento de registro o de terminal suelen ser una línea de texto desde el registro crudo en lugar de una solicitud y una respuesta que se muestra para un paquete.
16El Event Meta panel enumera las claves y los valores de metadatos que se encuentran en los datos. Algunos metadatos permiten búsquedas; tienen un icono de binoculares en el que puede hacer clic para ver los datos asociados resaltados en los datos del evento (consulte Análisis de eventos crudos y metadatos en la vista Análisis de eventos.

 

En la siguiente figura se resaltan las funciones principales de la vista Análisis de eventos para la versión 11.0.0.x.

 

                                                 
1 La ruta de navegación de solo lectura muestra el servicio seleccionado, el rango de tiempo y la consulta ingresada en las vistas Navegar o Eventos.
2Esta es una lista de eventos de solo lectura que se basa en la consulta realizada en la vista Navegar o en la vista Eventos. El panel Eventos incluye un conteo de los eventos. Puede volver a ordenar y cambiar el tamaño de las columnas. Puede desplazarse hasta la parte inferior de la lista y cargar más eventos (consulte Análisis de eventos crudos y metadatos en la vista Análisis de eventos).
3, 8Controles para cambiar el tamaño del panel y cerrarlo.
4El tipo de evento que se analiza se refleja en el encabezado: Detalles del evento de red, Detalles del evento de registro o Detalles del evento de Endpoint. Cada vista se analiza en detalle en Análisis de eventos crudos y metadatos en la vista Análisis de eventos.
5Los tipos de análisis disponibles para el tipo de evento. Los eventos de red pueden usar los tres tipos de análisis: texto, paquetes y archivos. Los eventos de registro y terminal usan únicamente el análisis de texto.
6Estas opciones varían para los distintos tipos de análisis. Estos se analizan en detalle en Análisis de eventos crudos y metadatos en la vista Análisis de eventos.
7

Controles para mostrar u ocultar el encabezado del evento, mostrar u ocultar solicitudes y respuestas, y abrir el panel Metadatos de eventos (12). Estos controles se describen en Análisis de eventos crudos y metadatos en la vista Análisis de eventos.

9Vuelve a abrir el panel Eventos o el Event Meta panel si lo cerró.
10El encabezado del evento proporciona información resumida acerca del evento. Esta información es diferente para los distintos tipos de eventos (paquetes, registros y terminal).
11Los datos de eventos (en ocasiones denominados carga útil para los paquetes). Los datos de eventos para un evento de registro o de terminal suelen ser una línea de texto desde el registro crudo en lugar de una solicitud y una respuesta que se muestra para un paquete.
12El Event Meta panel enumera las claves y los valores de metadatos que se encuentran en los datos. Algunos metadatos permiten búsquedas; tienen un icono de binoculares en el que puede hacer clic para ver los datos asociados resaltados en los datos del evento (consulte Análisis de eventos crudos y metadatos en la vista Análisis de eventos.
You are here
Table of Contents > Materiales de referencia de Investigate > Vista Análisis de eventos

Attachments

    Outcomes