Investigate: Vista Malware Analysis

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

En NetWitness Investigate, la vista Malware Analysis proporciona la interfaz del usuario para realizar un análisis de malware. Esta vista tiene un formato de tablero personalizable, en el cual los dashlets predeterminados de la vista inicial se basan en la función del usuario (Administración o Analista) y en sus personalizaciones. Inicialmente, en la vista Malware Analysis se muestra el dashlet Resumen de eventos. Los dashlets adicionales presentan distintas visualizaciones de los eventos que se ven, y cada representación se puede configurar para refinar aún más la vista a medida que usted busca indicadores de riesgo. Los dashlets de Malware Analysis disponibles en el tablero de también están disponibles en la vista Malware.

Para acceder a esta vista, seleccione INVESTIGATE > Malware Analysis. Si no se seleccionó un servicio predeterminado, se muestra el cuadro de diálogo Seleccionar un servicio Malware Analysis. Seleccione un servicio y haga clic en Ver modo continuo.

Flujo de trabajo

high-level Investigate workflow with Scan Files and Hosts for Malware and associated actions highlighted

¿Qué desea hacer?

                                                               
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventos*Realización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazasexportar eventos y archivos*Examinar archivos y eventos de escaneo en formato de lista
Buscador de amenazasrealizar búsquedas externas*Ver detalles de Malware Analysis de un evento
   

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

El siguiente es un ejemplo de la vista Malware Analysis.

The default view in Malware Analysis is the Summary of Events

La vista Malware Analysis consta del panel Resumen de eventos y de cuatro dashlets exclusivos. Cada uno de los dashlets únicos tiene cuadros de diálogo Opciones idénticos. Los dashlets de Malware Analysis en la vista MONITOREAR también están disponibles y se describen en el tema Dashlets del espacio Contenido de RSA para RSA NetWitness® Suite.

Panel Resumen de eventos

El panel Resumen de eventos permite seleccionar el servicio, el modo de escaneo y el rango de tiempo. Además, puede seleccionar un punto de datos y ver los eventos asociados al evento.

En la siguiente tabla se describen todas las funciones del panel Resumen de eventos.

                                         
FunciónDescripción
The service icon Selecciona un servicio para mostrar.
Modo de escaneoMuestra una lista desplegable de modos de escaneo disponibles.
Rango de tiempoMuestra una lista desplegable de rangos de tiempo para ver eventos.
Fecha de inicioCuando Rango de tiempo se configura en personalizado, ofrece un calendario que permite elegir la fecha inicial del rango de tiempo.
Fecha de finalizaciónCuando Rango de tiempo se configura en personalizado, ofrece un calendario que permite elegir la fecha final del rango de tiempo.
Add icon Muestra una lista desplegable de dashlets que puede agregar a la vista.
Actions icon Muestra una lista desplegable de acciones que puede realizar en esta vista:
  • Restaurar configuración predeterminada
  • Ordenar dashlets
  • Aplicar filtro de umbral
Refresh Icon Actualiza la vista Malware Analysis.

Cuadro de diálogo Opciones

El cuadro de diálogo Opciones permite personalizar los resultados que se muestran en el dashlet. Se puede acceder a él si se hace clic en el ícono Properties de la esquina superior derecha de cada dashlet. En la siguiente tabla se describen las funciones del cuadro de diálogo Opciones.

                                
FunciónDescripción
TítuloIndica si los datos mostrados se restringen o no a eventos marcados como de alta confianza. Si los datos no están restringidos, esta línea no se muestra.
Solo con influencia de alta confianzaIndica si los datos mostrados se restringen a eventos marcados como de alta confianza.
Estático, Red, Comunidad y SandboxPermite filtrar los resultados en función de los puntajes de los módulos de puntaje.
CancelarCierra el cuadro de diálogo sin guardar los cambios.
AplicarAplica los cambios al dashlet de inmediato y cierra el cuadro de diálogo.

Desgloses de metadatos

Desgloses de metadatos presenta eventos en forma de un gráfico circular, en el cual cada segmento representa un valor de metadatos para la clave de metadatos especificada. Puede seleccionar la clave de metadatos y el conteo de valores de metadatos para esa clave que se generará en el gráfico, comenzando por el valor de metadatos que tiene más eventos. Si mantiene el mouse sobre un evento se muestra el conteo.

Meta Breakdown dashlet

En la siguiente tabla se describen las opciones del dashlet Desgloses de metadatos.

                       
FunciónDescripción
Solo alta confianzaIndica si los datos mostrados se restringen o no a eventos marcados como de alta confianza. Si los datos no están restringidos, esta línea no se muestra.
Clave de metadatosLista desplegable de claves de metadatos disponibles.
ConteoLista desplegable que especifica cuántos de los resultados principales se muestran.

Mapa de árbol de metadatos

El Mapa de árbol de metadatos presenta eventos en forma de un mapa de riesgos. Puede seleccionar la clave de metadatos y el conteo de valores de metadatos para esa clave que se generará en el gráfico, comenzando por los valores de metadatos que tienen más eventos. Además, puede seleccionar el módulo que detectó el valor de metadatos en los eventos: estático, red, Community o Sandbox.

Meta Treemap dashlet

En la siguiente tabla se describen las opciones del dashlet Mapa de árbol de metadatos.

                               
FunciónDescripción
Solo alta confianzaIndica si los resultados se restringen o no a eventos marcados como de alta confianza. Si los resultados no están restringidos, esta línea no se muestra.
Clave de metadatosLista desplegable de claves de metadatos disponibles para seleccionar como filtro.
ConteoLista desplegable que especifica cuántos de los resultados principales se muestran.
MóduloLista desplegable que especifica de qué módulo se extraerán resultados.
ValorLista desplegable que especifica la información que se mostrará cuando se mantenga el mouse sobre un resultado (por ejemplo, Puntaje promedio).

Rueda de puntaje

La rueda de puntaje ofrece una vista de eventos como anillos concéntricos con colores que representan los puntajes de los eventos de acuerdo con indicadores de riesgo y el módulo de puntaje. Puede cambiar la posición de los anillos mediante las flechas hacia arriba y hacia abajo para obtener una vista que resalta los eventos que detectó un módulo de puntaje (rojo) y que no detectaron otros módulos de puntaje.

Score Wheel dashlet

En la siguiente tabla se describen las funciones del dashlet Rueda de puntaje.

                   
FunciónDescripción
Solo alta confianzaIndica si los resultados se restringen o no a eventos marcados como de alta confianza. Si los resultados no están restringidos, esta línea no se muestra.
Cuadrícula Orden de módulosMuestra el orden de los anillos en la rueda de puntaje. Anillo 1 es el anillo interior y Anillo 4, el exterior. Puede hacer clic en los botones Arriba y Abajo para reordenar los módulos y, a continuación, hacer clic en Actualizar para aplicar los cambios.

Cronograma de evento

El Cronograma de evento ofrece una vista de eventos organizados por el momento de la aparición en un gráfico de barras. Si se hace clic y se arrastra para seleccionar un rango de tiempo dentro del gráfico, se realiza un acercamiento al tiempo seleccionado.

Event Timeline dashlet

En la siguiente tabla se describen las funciones del dashlet Cronograma de evento.

                   
FunciónDescripción
Solo alta confianzaIndica si los resultados se restringen o no a eventos marcados como de alta confianza. Si los resultados no están restringidos, esta línea no se muestra.
Ver eventosMuestra la vista Investigation > Eventos.
You are here
Table of Contents > Materiales de referencia de Investigate > Malware Analysis View

Attachments

    Outcomes