Investigate: Configurar la vista Navegar y la vista Eventos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Los analistas pueden configurar las preferencias que afectan el rendimiento y el comportamiento de NetWitness Suite cuando se analizan datos en las vistas Navegar y Eventos. Algunas de estas configuraciones están disponibles en dos lugares de NetWitness Suite y los cambios realizados en cualquiera de ellos se aplican en la otra vista:

  • Vista Investigar > cuadro de diálogo Ajustes de configuración para las vistas Navegar y Eventos.
  • Perfiles > panel Preferencias > pestaña Investigación. 

También hay ajustes configurables en el menú desplegable Opciones de búsqueda del campo Buscar en las vistas Navegar y Eventos.

Acceder a la configuración de las vistas Navegar y Eventos

Para acceder a la configuración, realice una de las siguientes acciones:

  • En la barra de herramientas de la vista Navegar, seleccione la opción Ajustes de configuración.
    Se muestra el cuadro de diálogo Configuración de la vista Navegar. La versión 11.0 incluía la opción Agregar eventos en el panel de eventos, y esta se cambió al panel de configuración de la vista Eventos.
    Navigate View Settings
  • En la barra de herramientas de la vista Eventos, seleccione la opción Ajustes de configuración.
    Se muestra el cuadro de diálogo Configuración de la vistaEventos. La versión 11.1 y superior incluye la opción Agregar eventos en el panel de eventos.
    Event view settings for Version 11.1
  • En la esquina superior derecha de NetWitness Suite, vaya a Profile drop-down menu > Profile option y, en el panel Preferencias, haga clic en la pestaña Investigación.
    Se muestra el panel Investigación.
    User Profile Preferences > Investigation tab

Calibrar los parámetros de carga de valor de la vista Navegar

Varios ajustes influyen en el rendimiento de NetWitness Suite cuando se realiza la carga de valores en el panel Valores. Los valores predeterminados se configuran en función del uso común, y los analistas individuales pueden ajustar estas configuraciones para sus propias investigaciones.

Para ajustar estas configuraciones:

  1. Vaya a la pestaña Investigación o al cuadro de diálogo Ajustes de configuración de la vista Navegar.
  2. Ajuste los siguientes parámetros:
  • Umbral: Ajuste el umbral para la cantidad máxima de sesiones cargadas de un valor clave de metadatos en el panel Valores. Un umbral más alto permite conteos precisos de un valor y también produce tiempos de carga mayores. El valor predeterminado es 100000.
  • Número máximo de resultados de valores: Ajuste la cantidad máximo de valores para cargar en la vista Navegar cuando la opción Resultados máximos está seleccionada en el menú Clave de metadatos para una Clave de metadatos abierta. El valor predeterminado es 1,000.
  • Máximo de exportación de sesiones: Especifique la cantidad de eventos que se pueden exportar en una única PCAP o archivo de registro.
  • Caracteres de vista de registro máximos: Configure la cantidad máxima de caracteres que desea mostrar en Investigar > Eventos > Texto del registro. El valor predeterminado es 1,000.
  • Caracteres de valores de metadatos máximos: Configure la cantidad máxima de caracteres en un nombre de valor de metadatos que se muestra en el panel Valores de la vista Navegar. El valor predeterminado es 60.
  • Mostrar información de depuración: Si desea que NetWitness Suite muestre la cláusula where debajo de la ruta de navegación en la vista Navegar y el tiempo de carga transcurrido para cada servicio agregado en un Broker, seleccione esta opción. El valor predeterminado es Desactivado.
  • Agregar eventos en el panel de eventos: Esta opción afecta a la paginación en el panel Eventos y se describe a continuación en “Calibrar la recuperación de la vista Eventos y la reconstrucción predeterminada”.
  • Cargar valores automáticamente: Si desea que NetWitness Suite cargue valores automáticamente para el servicio seleccionado en la vista Navegar, seleccione esta opción. Cuando no está seleccionada, NetWitness Suite muestra un botón Cargar valores, el cual da la oportunidad de modificar las opciones. El valor predeterminado es Desactivado.
  1. Haga clic en Aplicar.

Estos ajustes se aplican de inmediato y los podrá ver la próxima vez que cargue valores.

Configurar los parámetros de las vistas Navegar y Eventos

Varios ajustes influyen en el rendimiento de NetWitness Suite cuando se realiza la carga de valores en las vistas Navegar y Eventos. Los valores predeterminados se configuran en función del uso común, y los analistas individuales pueden ajustar estas configuraciones para sus propias investigaciones. Puede configurar estos parámetros por separado en las vistas Navegar y Eventos. Cuando se configuran en una vista, la configuración no se aplica automáticamente en la otra.

Para ajustar estas configuraciones:

  1. Vaya a la pestaña Investigación o al cuadro de diálogo Ajustes de configuración de las vistas Navegar o Eventos.
  2. Ajuste los siguientes parámetros:
    -Live Connect: Resaltar los valores riesgosos: Si desea que NetWitness Suite resalte y muestre solo las direcciones IP que la comunidad de RSA considera riesgosas, seleccione esta opción. Cuando no está seleccionada, NetWitness Suite muestra todas las direcciones IP. De forma predeterminada, esta opción no está seleccionada (Desactivado).
    -Uso por caché local de dispositivo: Puede especificar el uso de los datos almacenados en caché localmente desde el servicio seleccionado. De forma predeterminada, esta opción no está seleccionada (Desactivado). Cuando esta función está deseleccionada, Investigate envía una consulta nueva a la base de datos en lugar de mostrar los datos almacenados en caché en las vistas de Investigate después de la carga inicial. Si está seleccionada, Investigate utiliza los datos de la caché local.
    -Descargar PCAP finalizadas: Puede automatizar la descarga de las PCAP extraídas en las vistas Navegar y Eventos a fin de que el navegador descargue la PCAP extraída y la abra en la aplicación predeterminada para la apertura de archivos PCAP, como Wireshark. De forma predeterminada, esta opción no está seleccionada (Desactivado). Si va a habilitar esta opción, asegúrese de que el sistema de archivos local tenga instalada una aplicación que pueda abrir PCAP y que la aplicación esté configurada como la predeterminada para manejar formatos de archivos PCAP.
    Live Connect: Resaltar los valores riesgosos: Si esta opción está deseleccionada, todos los valores de metadatos que tienen contexto disponible en Live Connect se resaltan en el panel Valores de la vista Navegar. Si la opción está seleccionada, entre los valores que tienen contexto en Live Connect, solo se resaltan aquellos que la comunidad considera riesgosos/sospechosos/inseguros. De manera predeterminada, esta opción está deseleccionada (Desactivado).
  1. Haga clic en Aplicar.
    Los cambios se implementan de inmediato.

Configurar el formato predeterminado de exportación de registros

Puede exportar registros desde las vistas Navegar y Eventos en distintos formatos. Las opciones disponibles son Texto, XML, valores separados por comas (CSV) y JSON. No hay valor predeterminado incorporado para el formato de exportación de registro. Si no selecciona un formato aquí, NetWitness Suite muestra un cuadro de diálogo de selección cuando invoca la exportación de registros.

Para seleccionar el formato de los registros exportados:

  1. Vaya a la pestaña Investigación o al cuadro de diálogo Ajustes de configuración de las vistas Navegar, Eventos o Análisis de eventos.
  2. Seleccione una de las opciones del menú desplegable Formato de registro de exportación.
  3. Haga clic en Aplicar.
    El ajuste se aplica de inmediato.

Configurar el formato predeterminado de exportación de metadatos

Puede exportar valores de metadatos desde las vistas Navegar y Eventos en distintos formatos. Las opciones disponibles son Texto, CSV, valores separados por tabulaciones (TSV) y JSON. No hay ningún valor predeterminado incorporado para el formato de exportación de metadatos. Si no selecciona un formato aquí, NetWitness Suite muestra un cuadro de diálogo de selección cuando usted invoca la exportación de valores de metadatos.

Para seleccionar el formato de los valores de metadatos exportados:

  1. Vaya a la pestaña Investigación o al cuadro de diálogo Ajustes de configuración de las vistas Navegar o Eventos.
  2. Seleccione una de las opciones del menú desplegable Formato de metadatos de exportación.
  3. Haga clic en Aplicar.
    La configuración surte efecto de inmediato.

Calibrar la recuperación de la vista Eventos y la reconstrucción predeterminada

Puede configurar varios parámetros que controlan la manera en que NetWitness Suite recupera y reconstruye eventos en la vista Eventos. Para esto:

  1. Vaya a la pestaña Investigación o al cuadro de diálogo Ajustes de configuración de la vista Eventos.
  2. Configure los siguientes parámetros.
    -Optimizar cargas de la página Investigation: Establezca una opción de paginación. Cuando está optimizada, los resultados se devuelven lo más rápidamente posible, pero se renuncia a la capacidad original de ir a una página específica de la lista de eventos. La deselección de esta casilla cambia la paginación en la lista de eventos y permite ir a una página específica de la lista (o a la última página). El valor predeterminado es Habilitado.
    -Vista de sesión predeterminada: Selecciona el tipo de reconstrucción predeterminado para la reconstrucción inicial en la vista Eventos. El valor predeterminado es Mejor reconstrucción, con el cual los eventos se reconstruyen mediante el método de reconstrucción más apropiado para el evento.
  3. Navegue a la pestaña Investigación o al cuadro de diálogo Ajustes de configuración de la vista Navegar y configure la opción Agregar eventos en el panel de eventos. Cuando se selecciona esta opción, los eventos que se muestran en el Panel de eventos se agregan de manera incremental. Por ejemplo, cada vez que hace clic en el ícono de la página siguiente, se agrega el siguiente incremento de eventos; en primer lugar, verá 1 a 25, a continuación, 1 a 50, después, 1 a 75 y así sucesivamente. Esta opción está disponible solo si la opción Optimizar cargas de la página Investigation está habilitada.
  4. Para activar los cambios de inmediato, haga clic en Aplicar.

Habilitar o deshabilitar la generación de hojas de estilo en cascada en reconstrucciones de contenido web

Los analistas pueden habilitar el uso de hojas de estilo en cascada (CSS) cuando reconstruyen contenido web. Si está habilitada, la reconstrucción web incluye imágenes y estilos de CSS, de modo que su aspecto coincide con la vista original en un navegador web. Esto incluye el escaneo y la reconstrucción de eventos relacionados y la búsqueda de hojas de estilo e imágenes que se usan en el evento objetivo. Esta opción está habilitada de manera predeterminada. Deshabilítela si hay problemas para ver sitios web específicos. 

Note: Es posible que el aspecto del contenido reconstruido no coincida perfectamente con la página web original si no se pudo encontrar imágenes y hojas de estilo relacionadas o si estas se cargaron desde la caché del navegador web. Además, el diseño o el estilo que se ejecutan dinámicamente a través de JavaScript en el lado del cliente no se generarán en la reconstrucción debido a que todo el JavaScript del lado del cliente se quita por motivos de seguridad.

Para habilitar o deshabilitar esta opción:

  1. Vaya a la pestaña Investigación.
  2. Haga clic en la casilla de verificación Activar reconstrucción de CSS para vista web.
  3. Haga clic en Aplicar.
    La configuración se aplica de inmediato y se puede ver en la siguiente reconstrucción de contenido web.

Configurar opciones de búsqueda

Puede configurar opciones de búsqueda que se aplicarán cuando escriba una cadena de búsqueda en el campo Buscar.

  1. Haga clic en el campo Buscar de las vistas Eventos o Navegar para mostrar el menú desplegable Buscar eventos.
    Search Preferences menu
  2. Seleccione una o más opciones de búsqueda para aplicar a la búsqueda. En Buscar patrones de texto se proporciona información detallada acerca de cada opción.
  3. Para guardar la configuración de la búsqueda, haga clic en Aplicar.
    Las preferencias se guardan y se aplican de inmediato. 
You are here
Table of Contents > Configuración de vistas y preferencias de NetWitness Investigate > Configurar la vista Navegar y la vista Eventos

Attachments

    Outcomes