Investigate: Cuadros de diálogo de configuración de las vistas de Investigate

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness SuiteLa versión 11.0 tiene dos cuadros de diálogo de configuración, uno para la vista Navegar y otro para la vista Eventos. Con la adición del cuadro de diálogo de configuración para la vista Análisis de eventos en la versión 11.1, Investigate tiene tres cuadros de diálogo de configuración.

La configuración en los cuadros de diálogo Ajustes de configuración de las vistas Navegar y Eventos es un subconjunto de la configuración de Investigation que se establece en Perfiles > panel Preferencias > pestaña Investigaciones. Si la configuración se proporciona en la vista Investigation, NetWitness Suite permite ahorrar tiempo a los analistas. Si cambia una configuración aquí, la misma configuración se cambia en la vista Perfiles, y si cambia una configuración en la vista Perfiles, la misma configuración se cambia aquí.

Para acceder a este cuadro de diálogo, vaya a las vistas Navegar o Eventos y seleccione la opción Ajustes de configuración en la barra de herramientas.

La configuración en la vista Análisis de eventos no tiene ninguna configuración correspondiente en el panel Perfiles > Preferencias.

¿Qué desea hacer?

                                                     
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazas

configurar las preferencias de Investigate*

Configuración de vistas y preferencias de NetWitness Investigate

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

Los cuadros de diálogo Ajustes de configuración de las vistas Navegar y Eventos tienen varias funciones en común.

Varios ajustes de Investigation en la vista Navegar influyen en el rendimiento cuando se realiza la carga de valores en el panel Valores. Los valores predeterminados se configuran en función del uso común, y los analistas individuales pueden ajustar estas configuraciones para sus propias investigaciones. La siguiente imagen es un ejemplo del cuadro de diálogo y en la siguiente tabla se describen las funciones.
This is the Navigate view Settings dialog.

                                                               
FunciónDescripción
UmbralAjusta el umbral de la cantidad máxima de sesiones cargadas para un valor clave de metadatos en el panel Valores. Un umbral más alto permite conteos precisos de un valor y también produce tiempos de carga mayores. El valor predeterminado es 100000.
Número máximo de resultados de valoresAjusta la cantidad máxima de valores para cargar en la vista Navegar cuando la opción Resultados máximos está seleccionada en el menú Clave de metadatos para una Clave de metadatos abierta. El valor predeterminado es 1,000.
Máximo de exportación de sesionesAjusta la cantidad máxima de sesiones que se pueden exportar. El valor predeterminado es 100000.
Formato de registro de exportaciónAjusta el formato de archivo de los registros exportados. Hay cuatro formatos disponibles:
  • Texto
  • SML
  • CSV
  • JSON

Formato de metadatos de exportación

Ajusta el formato de archivo de los valores de metadatos exportados. Hay cuatro formatos disponibles:

  • Texto
  • SML
  • CSV
  • JSON
Uso por caché local de dispositivoCuando esta función está deseleccionada, Investigate envía una consulta nueva a la base de datos en lugar de mostrar los datos almacenados en caché en las vistas de Investigate después de la carga inicial. Si está seleccionada, Investigate utiliza los datos de la caché local.
Mostrar información de depuraciónEsta opción controla la visualización de la cláusula where debajo de la ruta de navegación en la vista Navegar y el tiempo de carga transcurrido para cada servicio agregado en un Broker. Cuando está seleccionada, se muestra la información de depuración. El valor predeterminado es Desactivado (deseleccionada).
Agregar eventos en el panel de eventosEsta opción afecta la paginación en el panel Eventos. Cuando está seleccionada, se agrega el siguiente grupo de eventos a los eventos que ya se muestran. Cuando está deseleccionada, la página de eventos siguiente reemplaza a la anterior. El valor predeterminado es Desactivado (deseleccionada).
Cargar valores automáticamenteEsta opción controla la carga automática de valores del servicio seleccionado en la vista Navegar. Si está seleccionada, los valores se cargan automáticamente cuando usted selecciona un servicio para investigar. Cuando no está seleccionada, Investigate muestra un botón Cargar valores, el cual da la oportunidad de modificar las opciones. El valor predeterminado es Desactivado.
Descargar PCAP finalizadasEste ajuste automatiza la descarga de PCAP extraídas del módulo Investigation de modo que no sea necesario descargar ni abrir manualmente estos archivos en una aplicación que permite la visualización de datos en formato PCAP, como Wireshark.
Live Connect: Resaltar las IP riesgosas Si esta opción está deseleccionada, todos los valores de metadatos que tienen contexto disponible en Live Connect se resaltan en el panel Valores de la vista Navegar. Si la opción está seleccionada, entre los valores que tienen contexto en Live Connect, solo se resaltan aquellos que la comunidad considera riesgosos/sospechosos/inseguros. De manera predeterminada, esta opción está deseleccionada (Desactivado).
AplicarLa configuración se aplica de inmediato y estará visible la próxima vez que cargue valores. Los mismos cambios también se aplican en la vista Perfiles.
CancelarCancela la operación de edición y cierra el cuadro de diálogo. La configuración permanece sin cambios.

Cuadro de diálogo Configuración de la vista Eventos

La siguiente imagen es un ejemplo del cuadro de diálogo Ajustes de configuración de la vista Eventos y en la siguiente tabla se describen las funciones.

This is the Events view Settings dialog

                                               
FunciónDescripción
Formato de registro de exportaciónAjusta el formato de archivo de los registros exportados. Hay cuatro formatos disponibles:
  • Texto
  • SML
  • CSV
  • JSON

Formato de metadatos de exportación

Ajusta el formato de archivo de los valores de metadatos exportados. Hay cuatro formatos disponibles:

  • Texto
  • SML
  • CSV
  • JSON
Descargar PCAP finalizadasEste ajuste automatiza la descarga de PCAP extraídas del módulo Investigation de modo que no sea necesario descargar ni abrir manualmente estos archivos en una aplicación que permite la visualización de datos en formato PCAP, como Wireshark.
Live Connect: Resaltar las IP riesgosas Cuando esta función está seleccionada, Investigate usa un filtro para obtener solo las direcciones IP que la comunidad de RSA considera riesgosas. Cuando no está seleccionada, NetWitness Suite muestra todas las direcciones IP. De forma predeterminada, esta opción no está seleccionada (Desactivado).
Optimizar las cargas de páginas de InvestigationEstablece una opción de paginación. Cuando está optimizada, los resultados se devuelven lo más rápidamente posible, pero se renuncia a la capacidad original de ir a una página específica de la lista de eventos. La deselección de esta casilla cambia la paginación en la lista de eventos y permite ir a una página específica de la lista (o a la última página). El valor predeterminado es Habilitado.
Vista de sesión predeterminadaSelecciona el tipo de reconstrucción predeterminado para la reconstrucción inicial en la vista Eventos. El valor predeterminado es Mejor reconstrucción, con el cual los eventos se reconstruyen mediante el método de reconstrucción más apropiado para el evento.
Activar reconstrucción de CSS para vista webEsta configuración controla la forma en que se ejecuta la reconstrucción del contenido web. Si está habilitada, la reconstrucción web incluye imágenes y estilos de hoja de estilo en cascada (CSS), de modo que su aspecto coincide con la vista original en un navegador web. Esto incluye el escaneo y la reconstrucción de eventos relacionados y la búsqueda de hojas de estilo e imágenes que se usan en el evento objetivo. Esta opción está habilitada de manera predeterminada. Deseleccione esta opción si hay problemas para ver sitios web específicos.
AplicarLa configuración se aplica de inmediato y estará visible la próxima vez que vea eventos. Los mismos cambios también se aplican en la vista Perfiles.
CancelarCancela la operación de edición y cierra el cuadro de diálogo. La configuración permanece sin cambios.

Panel Preferencias de la vista Análisis de eventos

A partir de la versión 11.1, la vista Análisis de eventos incluye preferencias de usuario que se pueden configurar en la vista Análisis de eventos > panel Preferencias de eventos. Esta configuración persiste, de modo que se aplica cada vez que usted inicia sesión y se dirige a la vista Análisis de eventos. En la siguiente tabla se describen las opciones.

                               
FunciónDescripción
Vista Análisis de eventos predeterminada

Selecciona la vista Análisis de eventos predeterminada que se muestra cada vez que usted abre la vista Análisis de eventos. Por ejemplo, si selecciona Análisis de archivos, el panel Análisis de archivos se resalta y se muestra cada vez que investiga un evento en la vista Análisis de eventos. Las opciones son las siguientes:

  • Análisis de texto: Vea y analice la carga útil del texto crudo de un evento.
  • Análisis de paquetes: Vea y analice de manera interactiva los paquetes y la carga útil de un evento.
  • Análisis de archivos: Vea una lista de archivos y descargue uno o más archivos de un evento.
Formato de registro predeterminado

Selecciona el formato predeterminado para descargar registros:

  • Descargar registro: Registro crudo (log) mediante esta opción.
  • Descargar CSV: Valores separados por comas (CSV) mediante esta opción.
  • Descargar XML: Lenguaje de marcado extensible (XML) mediante esta opción.
  • Descargar JSON: JavaScript Object Notation (JSON) mediante esta opción.
Formato de paquete predeterminado

Selecciona el formato de paquete predeterminado para descargar paquetes.

  • Descargar PCAP: Permite descargar el evento completo como un archivo de captura de paquetes (*.pcap).
  • Descargar todas las cargas útiles: Permite descargar la carga útil como un archivo *.payload.
  • Descargar carga útil de la solicitud: Permite descargar la carga útil de la solicitud como un archivo *.payload1.
  • Descargar carga útil de la respuesta: Permite descargar la carga útil de la respuesta como un archivo *.payload2.
Formato de hora para la consulta

La vista Análisis de eventos puede mostrar los resultados en función de la hora de la base de datos o la hora actual del reloj. La configuración predeterminada de esta preferencia es Hora de la base de datos, que es el mismo formato de hora que se usa para mostrar los resultados de consulta en las vistas Navegar y Eventos.
Cuando se selecciona Hora de la base de datos, la hora de inicio y finalización de una consulta se basa en la hora en que se capturó el evento.

Cuando se selecciona Hora del reloj, la consulta se ejecuta con una hora de finalización basada en la hora actual del navegador; la hora de inicio se calcula según esa hora de finalización y el rango de tiempo.

Descargar archivos extraídos automáticamente

Permite la descarga automática de archivos si están en el formato predeterminado seleccionado en los campos Formato de registro predeterminado y Formato de paquete predeterminado del panel Preferencias de eventos.

Seleccione la casilla de verificación para habilitar la descarga automática del formato seleccionado a una carpeta local. De lo contrario, el trabajo de descarga se dirige a la línea de espera de trabajos y usted puede descargarlo manualmente.

 

You are here
Table of Contents > Materiales de referencia de Investigate > Settings Dialog for Investigate Views

Attachments

    Outcomes