Investigate: Vista Navegar

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

La Navigate view ( INVESTIGATE > Navigate) muestra los metadatos de eventos, las claves y los valores de metadatos, que se encontraron en los datos capturados del servicio seleccionado. Los datos se filtran y se muestran de acuerdo con las opciones que configuró para el perfil, el rango de tiempo, el grupo de metadatos y la consulta. También puede desglosar a los datos, para lo cual debe hacer clic en las claves y los valores de metadatos. La vista Navegar es el punto de entrada predeterminado a NetWitness Investigate; puede cambiar el punto de entrada predeterminado a una de las demás vistas en las preferencias del Perfil de usuario.

Flujo de trabajo

En la siguiente figura se describe el flujo de trabajo general para la investigación de metadatos de eventos.

high-level Investigate workflow with Browse Event Data and associated actions highlighted

Estas son las tareas que puede realizar en Navigate view:

  • Seleccione un servicio para investigar y cargar datos.
  • Vea los resultados de la consulta y filtre por rango de tiempo, perfil y grupo de metadatos.
  • Ordene los resultados y seleccione un método de cuantificación.
  • Guarde los eventos, vaya a un evento mediante el ID de evento, visualice un evento e imprímalo.
  • Vea datos contextuales adicionales para claves y valores de metadatos específicas.
  • Vaya a la Events view o a la vista Análisis de eventos, donde puede ver una lista cronológica de eventos, reconstruirlos y realizar un análisis interactivo de estos. Cuando visualiza y analiza eventos, puede exportar eventos, archivos y registros al sistema de archivos local.

¿Qué desea hacer?

                                                                         
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos*

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos*

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazasconfigurar las preferencias de usuario para la vista Navegar*Configurar la vista Navegar y la vista Eventos
Buscador de amenazasenviar una consulta o desglosar al conjunto de datos*Investigación de metadatos en la vista Navegar
Buscador de amenazaslimitar los resultados de consulta*Consulta y realización de acciones en datos en las vistas Navegar y Eventos
Buscador de amenazas

realizar búsquedas internas*

Ver el contexto adicional de un punto de datos

Buscador de amenazasrealizar búsquedas externas*Iniciar una búsqueda externa de una clave de metadatos

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

the Navigate view with Context Panel and Visualization open

La vista Navegar consta de las siguientes características:

  • Barra de herramientas
  • Botón Pausa/Recarga y ruta de navegación
  • Anuncio de tiempo
  • Información de depuración opcional.
  • Panel Visualización contraíble
  • Panel Valores
  • Panel Búsqueda de contexto
  • Menús contextuales

Barra de herramientas

La barra de herramientas proporciona una manera de:

  • Cambiar el servicio que se investiga.
  • Controlar el rango de datos que se muestra: puede seleccionar perfiles de uso, establecer un rango de tiempo, usar grupos de metadatos y crear consultas para aplicar a los datos.
  • Establecer el método de cuantificación y el método de clasificación de los datos en el panel Valores.
  • Realizar acciones en función de los resultados. Puede exportar e imprimir resultados, abrir un evento para el cual tiene un ID de evento en las vistas Eventos o Análisis de eventos y transmitir una consulta a Informer.
  • Configurar ajustes de Investigate sin salir de las vistas de Investigate.

Algunas de las opciones de la barra de herramientas están etiquetadas con el valor predeterminado o el valor seleccionado en lugar de mostrar el nombre de la opción. Por ejemplo, la opción de rango de tiempo del ejemplo anterior está etiquetada Últimos 5 minutos para reflejar el valor seleccionado actualmente. Estas son las opciones de la barra de herramientas.

                                                           
OpciónDescripción
Service icon Muestra el nombre del servicio seleccionado junto al ícono. Si hace clic en el icono, se abre un cuadro de diálogo Investigar un servicio, en el cual puede seleccionar un servicio para investigar y establecer el servicio predeterminado que se investigará (consulte Comenzar una investigación en las vistas Navegar o Eventos). El cambio del servicio no hace que se vuelvan a cargar los datos.
Rango de tiempo Muestra las opciones de Rango de tiempo; la opción seleccionada actualmente aparece en la barra de herramientas (consulte Filtrar resultados en la vista Navegar). Las posibles opciones son:
  • Todos los datos
  • Últimos 5, 10, 15 o 30 minutos
  • Última hora, últimas 3, 6, 12 o 24 horas
  • Últimos 2 o 5 días
  • Primera hora
  • Mañana
  • Tarde
  • Noche
  • Todo el día
  • Ayer
  • Esta semana
  • La semana pasada
  • Personalizado

Note: Si se especifican horas de inicio o finalización personalizadas en segundos, siempre el valor de la hora de inicio en segundos se configura de manera predeterminada en :00 y siempre el valor de la hora de finalización en segundos se configura de manera predeterminada en :59. Por ejemplo, si está usando la hora para desglosar a un problema, la hora de desglose se interpretará como HH:MM:00 - HH:MM:59. Los segundos se muestran en este formato en las funciones de Investigate.

Consulta Se muestra el cuadro de diálogo Consulta, en el cual puede ingresar directamente una consulta personalizada, en lugar de desglosar los datos. Consulte Cuadro de diálogo Consulta para obtener una descripción del cuadro de diálogo.
Perfil Muestra el menú Perfil; el perfil seleccionado se muestra en la barra de herramientas. Un perfil permite administrar y usar perfiles que pueden incluir grupos de metadatos personalizados, un grupo de columnas predeterminado y una consulta inicial. Los perfiles se aplican a la vista Navegar (consultas y grupos de metadatos) y a la vista Eventos (consultas y grupos de columnas). Consulte Usar perfiles para encapsular vistas personalizadas para obtener más información.
MetadatosMuestra el menú Grupo de metadatos. Puede usar claves de metadatos predeterminadas o un grupo de metadatos personalizado. También tiene la opción de realizar cambios en ambos tipos de grupos (consulte Administrar grupos de metadatos).
Campo de clasificaciónMuestra el menú Campo de clasificación; la opción actualmente seleccionada se muestra en la barra de herramientas. Este menú tiene dos opciones: Ordenar por total y Ordenar por valor. El Campo de clasificación es un complemento de la opción Orden de clasificación; los datos de cada clave de metadatos se ordenan de acuerdo con el total (número verde) o con el valor de metadatos (texto azul) (consulte Filtrar resultados en la vista Navegar).
Orden de clasificación Muestra el menú Orden de clasificación; la opción seleccionada actualmente se muestra en la barra de herramientas. Este menú tiene dos opciones: Clasificar en orden ascendente y Clasificar en orden descendente. El Orden de clasificación es un complemento de la opción Campo de clasificación; el campo seleccionado de cada clave de metadatos se clasifica en orden ascendente o descendente (consulte Filtrar resultados en la vista Navegar).
Método de cuantificación Muestra el menú Método de cuantificación; la opción seleccionada actualmente se muestra en la barra de herramientas. El método de cuantificación solo se aplica a los resultados de claves de metadatos del panel Valores. No se aplica al cronograma.
El menú desplegable contiene tres opciones para calcular la cantidad (el número verde entre paréntesis) para un valor de metadatos: Cuantificar por conteo de eventos, Cuantificar por tamaño de evento y Cuantificar por conteo de paquetes (consulte Filtrar resultados en la vista Navegar).
Estas opciones se aplican de manera diferente según el tipo de datos de la vista.
Para datos de paquetes:
  • Cuantificar por conteo de eventos muestra la cantidad de sesiones.
  • Cuantificar por tamaño de evento muestra el tamaño en bytes.
  • Cuantificar por conteo de paquetes muestra la cantidad de paquetes.
Para datos del registro:
  • Cuantificar por conteo de eventos muestra la cantidad de registros.
  • Cuantificar por tamaño de evento muestra el tamaño en bytes.
  • Cuantificar por conteo de paquetes muestra la cantidad de registros.
Guardar eventosMuestra el menú Guardar eventos, en el cual pude utilizar opciones para: extraer archivos asociados con un evento, exportar el punto de desglose actual como un archivo PCAP y exportar el punto de desglose actual como un archivo de registro (consulte Exportar un punto de desglose).
Acciones El menú Acciones incluye acciones que puede realizar en la vista Navegar (consulte Investigación de metadatos en la vista Navegar). En la versión 11.0.0.x, las opciones son las siguientes: Visualizar, Ir a evento e Imprimir. En la versión 11.1 y superior, las opciones son Visualizar, Ir a evento en Reconstrucción de evento, Ir a evento en Análisis de eventos e Imprimir.
Buscar eventos Permite buscar patrones de texto en el conjunto de eventos actual. Si hace clic en el campo de búsqueda, se muestra un menú desplegable con opciones de búsqueda. Si hace clic en Aplicar, guarda las opciones seleccionadas y también actualiza las opciones de búsqueda en la vista Eventos y en el perfil de investigaciones (consulte Buscar patrones de texto).
Ajustes de configuraciónMuestra la configuración de la vista Navegar (la cual también se pueden editar en la vista Perfil), de modo que puede cambiar la configuración de Investigate sin salir de la vista Navegar. Cuando cambia un ajuste en la vista Navegar, este también se cambia en la vista Perfil (consulte Configurar la vista Navegar y la vista Eventos).

Botón Pausa/Recarga y ruta de navegación

La ruta de navegación rastrea cada consulta a medida que se desglosa a través de los metadatos del servicio. Cada consulta se enumera con un menú desplegable en una cadena separada por barras verticales. El último punto es el punto actual, que también se llama punta. El ícono frente a la ruta de navegación permite poner en pausa la carga de valores de metadatos y volver a cargarlos.

La ruta de navegación no incluye el nombre del servicio y solo se muestra si hay una consulta vigente. Si existen demasiados puntos de desglose para mostrar, el desbordamiento se indica como paréntesis angulares dobles, >>, al final de la ruta de navegación.

Cada menú desplegable en la ruta de navegación es igual, pero presenta una leve variación en función de la posición en la ruta de navegación.

En la siguiente tabla se describen los controles y las opciones de menú en la ruta de navegación.

                                           
FunciónDescripción
Pause icon
Botón Pausa y Recarga. Controla la carga de datos en la vista. Tiene tres funciones posibles: pausar carga, continuar carga y volver a cargar.
Navegar aquíAbre el punto de desglose seleccionado en el panel Valores actual.
Navegar aquí (nueva pestaña)Abre el punto de desglose seleccionado en una nueva pestaña.
Insertar antesInserta una consulta antes del punto de desglose actual. Se abre el cuadro de diálogo Crear filtro, en el cual puede definir una consulta personalizada para insertar en la ruta de navegación (consulte Crear una consulta personalizada).
Agregar Agrega una consulta después del punto de desglose actual. Se abre el cuadro de diálogo Crear filtro, en el cual puede definir una consulta personalizada para agregar al final de la ruta de navegación (consulte Crear una consulta personalizada).
QuitarElimina el punto de desglose seleccionado de la ruta de navegación.
Editar Abre el punto de desglose seleccionado en el cuadro de diálogo Crear filtro, lo cual le permite editar la consulta.
>> Si hace clic en los paréntesis angulares, se muestra un menú desplegable del desbordamiento de la ruta de navegación.

(Opcional) Información de depuración

Si activó el ajuste Mostrar información de depuración y el servicio en el cual está navegando es un Broker 10.4 o superior, NetWitness Suite muestra la información de depuración debajo de la ruta de navegación.

La información de depuración es la cláusula where de la consulta actual. La única vez que no hay una cláusula where es cuando el rango de tiempo corresponde a todos los datos y no hay puntos de desglose. Si el Broker tiene por lo menos un servicio agregado que está offline, la información de depuración también incluye el servicio offline.

Por ejemplo:

(attachment exists)&&(tcp.dstport = '80')&&(risk.info exists)$$time='2014-05-04 18:50:00"-"2014-05-09 18:59:59(attachment exists) && (tcp.dstport = '80') && (risk.info exists) && time="2014-05-04 18:50:00"-"2014-05-09 18:50:59"

Además, el tiempo de carga se muestra al final de cada clave de metadatos en el panel Valores.

Anuncio de tiempo

Inmediatamente debajo de la ruta de navegación y de la información de depuración (si está presente), el anuncio de tiempo muestra el rango de tiempo que se usó para crear el gráfico.

Visualizaciones

En la parte superior de la vista Navegar hay una visualización del punto de desglose actual. Puede usarlo para desglosar a datos desde el panel Visualización (consulte Filtrar resultados en la vista Navegar). Puede mostrar u ocultar la visualización y elegir una de las opciones de visualización: Cronograma o Coordenadas. La visualización se abre inicialmente en la última visualización guardada.

Gráfico de cronograma

El cronograma es el conteo de la cantidad de eventos que ocurren en una instancia específica. El cronograma proporciona conteos de eventos que le permiten ver si la cantidad de eventos aumenta considerablemente en un punto en el tiempo determinado. El cronograma muestra actividad del servicio y el rango de tiempo especificados como un gráfico de líneas o un gráfico de barras, de acuerdo con la selección en el menú Opciones. En la segunda figura se ilustra un gráfico de líneas y en la tercera, un gráfico de barras.

Visualization Options dialog

example of a line chart

example of a bar chart

El cronograma muestra actividad del servicio y el rango de tiempo especificados como un gráfico de líneas o un gráfico de barras, de acuerdo con la selección en el menú Opciones.

                                       
FunciónDescripción
Número de eventos (Cronograma) El eje Y del gráfico, basado en miles de eventos.
Cronograma (Cronograma) El eje X del gráfico, basado en la hora en que ocurrieron los eventos.
Punto de evento (Cronograma) Si desea explorar una sección específica, seleccione simplemente el rango en el gráfico. El nuevo rango de tiempo se reflejará en el gráfico.
Investigar (Cronograma) Muestra los valores de metadatos del subconjunto seleccionado.
Restablecer zoom (Cronograma) Para volver al rango de tiempo original, haga clic en Restablecer zoom.
Opciones Muestra el cuadro de diálogo Opciones de visualización. Los puntos de datos se pueden mostrar como un gráfico de líneas (predeterminado), un gráfico de barras o un gráfico de coordenadas. Cuando se selecciona un tipo de gráfico, se muestran las opciones pertinentes.
Ocultar Contrae el gráfico.

Gráfico de coordenadas paralelas

El gráfico de coordenadas paralelas es una de las alternativas del menú Opciones para visualizar el punto de desglose actual. Si se selecciona Coordenadas en el cuadro de diálogo Opciones de visualización, puede elegir los metadatos que se mostrarán (consulte Visualizar metadatos como coordenadas paralelas).

example of a parallel coordinates visualization

                                   
FunciónDescripción
Ejes Cada eje es una clave de metadatos. La cantidad de claves de metadatos afecta el tiempo de carga del gráfico. Se cargan todas las claves de metadatos, pero la cantidad de eventos por clave de metadatos es limitada.
Líneas Las líneas representan eventos y conectan valores en los ejes para mostrar la correlación entre varias claves de metadatos.
Opciones Muestra el cuadro de diálogo Opciones de visualización. Los puntos de datos se pueden mostrar como un gráfico de líneas (predeterminado), un gráfico de barras o un gráfico de coordenadas. Cuando se selecciona un tipo de gráfico, se muestran las opciones pertinentes.
Solo se muestra un subconjunto de eventos. Este mensaje es una notificación que indica que en el gráfico no se representan todos los eventos del panel Valores. La eliminación de ejes o el filtrado de los datos en el panel Valores pueden ayudar a mostrar todos los eventos.
Eventos encontrados | Rutas únicas Muestra la cantidad total de eventos graficados en comparación con la cantidad de rutas únicas graficadas. La configuración de la opción Todas las claves de metadatos deben existir en un evento vuelve a generar el gráfico en una versión más concreta y legible.
DNEIndica que no hay valores para esta clave de metadatos en el evento.

El cuadro de diálogo Opciones de visualización para Coordenadas permite seleccionar las claves de metadatos que se graficarán.

                                               
FunciónDescripción
Selección de visualización Muestra una lista desplegable de tipos de visualización: Cronograma y Coordenadas
Todas las claves de metadatos deben existir en un evento Limita los datos representados en la visualización solo a aquellos eventos que incluyen todas las claves de metadatos seleccionadas. Esto puede dar lugar a una visualización más clara y concreta.
Add icon Muestra el cuadro de diálogo Agregar claves a visualización de coordenadas paralelas, el cual permite agregar ejes a la visualización. Esto es útil si busca relaciones entre las claves de metadatos predeterminadas y otras adicionales.
Delete icon Elimina las claves seleccionadas de modo que no aparezcan como ejes en la visualización. Esto puede contribuir a que la visualización sea menos desordenada y permitir que incluya más puntos de datos.
Reverse icon Revierte a las claves de metadatos predeterminadas para visualización, lo cual representa todas las claves de metadatos en el punto de desglose actual.
Info icon Controla la presentación de información adicional sobre la cantidad de ejes seleccionados en comparación con el conteo recomendado. Esto contribuye a que tenga en cuenta posibles mejoras en el rendimiento debido a la eliminación de ejes.
Ejes Enumera las claves de metadatos seleccionadas como ejes en la visualización.
Cancelar Cancela los cambios hechos en las opciones de visualización.
Aplicar Guarda los cambios hechos en las opciones de visualización y los aplica a la visualización actual.

En el cuadro de diálogo Agregar claves a visualización de coordenadas paralelas, puede seleccionar las claves de metadatos o los grupos de metadatos que se usarán como ejes en la visualización de coordenadas paralelas.

                           
FunciónDescripción
Selección de visualización Seleccionar claves: Las dos opciones para seleccionar claves de metadatos son:
  • Desde claves de metadatos predeterminadas
  • Desde grupos de metadatos
Cada opción ofrece una lista desplegable en la cual se hace una selección.
Con las claves de metadatos seleccionadas… Las opciones del método de adición de claves de metadatos permiten:
  • Reemplazar la lista actual de claves
  • Agregar a la lista actual de claves
  • Insertar en el comienzo de la lista actual de claves
Cancelar Cierra el cuadro de diálogo y no agrega ninguna clave.
Agregar Cierra el cuadro de diálogo y agrega las claves seleccionadas según lo especificado.

Panel Valores

La función principal de la vista Navegar es el panel Valores, el cual se puede usar para analizar datos (consulte Filtrar resultados en la vista Navegar).

La vista predeterminada corresponde a las últimas tres horas de recopilación, con uso de las claves de metadatos predeterminadas y las claves de metadatos no indexadas cerradas. Las claves de metadatos dentro de los grupos de metadatos se muestran en el orden en que NetWitness Suite las consulta. A medida que los datos se cargan en el panel Valores, NetWitness Suite se optimiza para mostrar resultados parciales, el progreso de la carga y el estado de los servicios durante la carga de datos.

El comportamiento de la carga lo determinan varios ajustes de configuración. Los ajustes de nivel más alto los configura el administrador para cada usuario. Son los siguientes:

  • La cantidad máxima de tiempo que se permite ejecutar una consulta a este usuario (Tiempo de espera agotado de consulta).
  • El límite en el cual NetWitness Suite deja de contar la cantidad de valores de metadatos en una sesión (Umbral de sesión). Si se establece un umbral para una sesión, la vista Navegar muestra que el umbral se alcanzó y el porcentaje de resultados cargados. Cualquier sesión que no muestre un porcentaje es precisa y se procesó hasta que se completó. Si hay un porcentaje, este refleja la cantidad de procesamiento que se completó. El porcentaje que se muestra se calcula mediante la extrapolación del valor en el momento en que finaliza el procesamiento, lo cual considera la cantidad de trabajo restante. Los porcentajes mayores suelen ser más precisos, ya que requieren menos extrapolación.
  • El límite en el cual NetWitness Suite deja de contar la cantidad de valores de metadatos en una sesión (Umbral de sesión). Si se establece un umbral para una sesión, la vista Navegar muestra que el umbral se alcanzó y el porcentaje del tiempo de consulta utilizado para alcanzarlo.

Note: los valores de las claves de metadatos no indexadas tardan más en cargarse en el panel Valores. Para optimizar la carga, NetWitness Suite no abre las claves de metadatos no indexadas de manera predeterminada. Consulte Administrar y aplicar claves de metadatos predeterminadas en una investigación para obtener una descripción detallada de las claves de metadatos no indexadas en Investigation.

Cuando ha iniciado la investigación de un servicio, NetWitness Suite muestra los resultados en el panel Valores.

  1. NetWitness Suite carga claves de metadatos y valores de metadatos en el panel Valores. Para cada carga de clave de metadatos, las etapas de carga son:
    1. En espera de carga o Cerrado. En el caso de Cerrado, no se cargan datos para esa clave.
    2. Cargando
      1. Progreso de carga: NetWitness Suite recibe y muestra mensajes de progreso.
      2. Resultados parciales: NetWitness Suite recibe mensajes de valores y se muestran resultados parciales en el panel Valores.
    3. Carga finalizada: terminó la carga de todos los resultados.
  2. A medida que termina la carga de cada clave de metadatos y que se muestran los valores finales, se inicia la clave de metadatos siguiente. El valor Hilos de ejecución de representación en la configuración Preferencias de Investigation especifica la cantidad o los valores que se generan para cada clave de metadatos. La carga continúa hasta que finalizan todas las claves que se cargarán.
  3. Si la opción Mostrar información de depuración está activa y el servicio en el cual está navegando es un Broker 10.4 o superior, NetWitness Suite muestra la información del tiempo de carga debajo de los valores para cada clave de metadatos y muestra detalles de carga adicionales para los servicios agregados. NetWitness Suite también muestra la información de depuración debajo de la ruta de navegación.

Resultados iterativos

Los resultados iterativos proporcionan retroalimentación sobre el estado de consultas dentro de las interfaces para ofrecer contexto adicional en cuanto a la duración de la carga de datos y si faltan datos de servicios. Por ejemplo, si está consultando un Broker que realiza la agregación desde dos Concentrators, NetWitness Suite comienza a mostrar los resultados del primer Concentrator tan pronto están disponibles, incluso si el segundo Concentrator continúa en espera de resultados.

Los resultados iterativos también incluyen una notificación que informa que faltan datos del servicio porque no está accesible.

Resultados parciales

Cuando se devuelven valores parciales del servicio Core, sin que haya finalizado, un mensaje al final de la lista de claves de metadatos muestra el progreso de los valores cargados. Por ejemplo, Currently looking at 38 ip.src values 71% indica que la carga de valores para la clave de metadatos lleva un 71 %.

Información de depuración

Si el ajuste Mostrar información de depuración está activo, un campo al final de los valores muestra el estado de los diversos sistemas contra los cuales realiza la consulta dentro de NetWitness Suite. Por ejemplo, cuando realiza una consulta contra un Broker 10.4 que extrae datos de múltiples Concentrators, NetWitness Suite muestra el estado de la consulta en cada uno de los Concentrators, lo cual proporciona información sobre la velocidad relativa de carga de datos desde cada Concentrator. Cada servicio que participó en la consulta se muestra con el tiempo total transcurrido para la consulta.

Cada servicio que participó en la consulta se muestra con el tiempo total transcurrido para la consulta. En el ejemplo anterior, dos servicios devolvieron resultados en 3.207 segundos; localhost:50005 tardó dos segundos en devolver los resultados. Además, la cláusula Where de la consulta se muestra debajo de la ruta de navegación. Puede copiar esta sintaxis directamente en una regla de aplicación o en la cláusula Where de Reporting de una regla.

Carga finalizada

Para cada clave de metadatos, hay una lista de valores (texto azul) y conteos (texto verde) en el punto de desglose actual. Cuando hace clic en un valor para desglosar a un subconjunto de los datos seleccionados actualmente, la pantalla se actualiza y el nuevo punto de desglose se registra en la ruta de navegación. Puede especificar los métodos de clasificación y cuantificación de la lista de valores mediante la opción de la barra de herramientas.

Note: el título, los valores y los conteos de claves de metadatos no indexadas no se pueden desglosar; los valores y los conteos se muestran en negro.

                                           
FunciónDescripción
Clave de metadatosEl nombre de los metadatos que se enumeran; por ejemplo, Tipo de servicio es una clave de metadatos.
Cantidad de valores generados frente a cantidad de valores disponibles para cargar El valor Hilos de ejecución de representación en la configuración Preferencias de Investigation especifica la cantidad o los valores que se generan. En el ejemplo anterior, la clave de metadatos es Tipo de servicio y se muestran 20 de más de 20 valores. Puede mostrar valores adicionales si hace clic en ...mostrar más.
the Search icon Si hace clic en The search icon en una clave de metadatos indexada, se abre el cuadro de diálogo Buscar, en el cual puede ingresar un filtro para la clave de metadatos actual. La función de búsqueda no está disponible para claves de metadatos no indexadas y se basa en el valor de metadatos real, no en el alias. El desglose mediante alias en el cuadro de diálogo Buscar no es compatible.
NOTA: Consulte al administrador para obtener una lista de los alias que se usan para una clave de metadatos en Investigation. Cuando se usa un alias, este cuadro de diálogo de búsqueda no proporciona resultados. En lugar de esto, debe consultar la clave de metadatos mediante la funcionalidad de consulta de clic con el botón secundario o el cuadro de diálogo Consulta.
Servicios offline: xxx.xxx.xxx.xxx:50004 Enumera los servicios offline que consulta un Broker 10.4.
Conteo de metadatos, por ejemplo
(3)
La cantidad de instancias que se encuentran para un metadato específico en la sesión.
Valor de metadatos, por ejemplo
other src
El nombre específico asociado con los metadatos encontrados.
...mostrar másSi se limitó la cantidad de valores de metadatos (por ejemplo, 20) y se hace clic en esta opción, se muestran valores de metadatos adicionales para la clave de metadatos seleccionada.
Se cargó en 0.418 s Tiempo de ejecución total 0.434 s (localhost:50005 se cargó en 1 s…Las estadísticas de depuración muestran los tiempos de carga de acuerdo con la configuración de Mostrar información de depuración.

Menús desplegables Clave de metadatos

Las claves de metadatos en el panel Valores tienen menús desplegables. Al lado de cada etiqueta de metadatos, una flecha desplegable muestra las opciones que se pueden aplicar a ese elemento. Puede usar esto para cambiar la manera en que se muestran los resultados de la clave de metadatos en la vista actual. Los cambios que se hacen en las claves de metadatos se muestran en la vista actual y persisten hasta que se actualiza la página o se selecciona un nuevo servicio en la barra de herramientas de la vista Navegar. Consulte Desglosar a datos en el panel Valores.

La actualización revierte a la vista actual de claves de metadatos según lo definido en el cuadro de diálogo Administrar claves de metadatos predeterminadas (consulte Administrar y aplicar claves de metadatos predeterminadas en una investigación). Si nunca ha hecho modificaciones en el cuadro de diálogo Administrar claves de metadatos predeterminadas, NetWitness Suite restaura las claves de metadatos predeterminadas desde el servicio principal.

  • Más resultados
  • Resultados máximos
  • Ocultar resultados
  • Información de clave de metadatos
  • Ver como CSV (versión 11.0.0.x) o Exportar valores (versión 11.1 y superior)

Panel Búsqueda de contexto

Las vistas Navegar y Eventos tienen un panel Búsqueda de contexto en el lado derecho. El panel Búsqueda de contexto es visible solo si ha instalado el servicio Context Hub, el cual debe estar configurado. Para obtener más información sobre cómo configurar el servicio Context Hub, consulte la Guía de configuración de Context Hub.

En el panel Búsqueda de contexto se muestran los datos pertinentes cuando un analista busca datos contextuales para un valor de metadatos en el panel Valores.

Navigate view with the Context Lookup panel open

Después de que el administrador configura el servicio Context Hub, puede ver la información contextual para los valores de metadatos en la vista Navegar y en la vista Eventos. Para obtener más información sobre cómo configurar el servicio Context Hub, consulte la Guía de configuración de Context Hub. Para obtener información acerca de cómo realizar la búsqueda de contexto de valores de metadatos, consulte Ver el contexto adicional de un punto de datos.

El servicio Context Hub está preconfigurado con un mapeo predeterminado de tipos de metadatos y claves de metadatos. Para obtener información sobre el mapeo del valor de metadatos de Context Hub con clave de metadatos de Investigation, consulte “Administrar el mapeo de tipos de metadatos y claves de metadatos” en la Guía de configuración de Context Hub.

Puede ver el tipo de datos de contexto que está disponible para un valor de metadatos resaltado si mantiene el mouse sobre un valor de metadatos resaltado. Un indicador de en línea muestra qué tipo de datos de contexto están disponibles para los metadatos: Endpoint, incidentes, alertas o listas.

Cuando se hace clic con el botón secundario en un valor de metadatos, se abre un menú con la opción de búsqueda de contexto. En la siguiente figura se muestra la opción Búsqueda de contexto cuando hace clic con el botón secundario en un valor de metadatos.

This menu is an example of the context menu.

En el caso de las claves de metadatos, como IP, host y dirección MAC, los detalles de los valores que se marcan se recopilan de Endpoint, incidentes, alertas y listas.

En el caso de las claves de metadatos, como archivo, hash de archivo, dominio y usuario, los detalles de los valores que se marcan se recopilan de incidentes, alertas y listas.

Los datos se muestran en el panel de contexto solo si están disponibles.

Para obtener más información sobre los resultados de búsqueda y la información contextual de distintos orígenes de datos, consulte Panel Búsqueda de contexto.

Previous Topic:Manage Profiles Dialog
Next Topic:Query Dialog
You are here
Table of Contents > Materiales de referencia de Investigate > Navigate View

Attachments

    Outcomes