Investigate: Lista de eventos y Lista de archivos de Malware Analysis

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

La Lista de eventos y la Lista de archivos de Malware Analysis proporcionan una vista detallada de eventos o archivos. Puede hacer doble clic en un evento o un archivo en cualquiera de las listas para mostrar la vista Resultados del análisis en una nueva pestaña del navegador.

Para acceder a esta vista, vaya a INVESTIGATE > Malware Analysis > cuadro de diálogo Seleccionar un servicio Malware Analysis. Seleccione un servicio en el panel izquierdo, seleccione un trabajo en el panel derecho y haga clic en Ver escaneo. En la vista Resumen de eventos, realice una de las siguientes acciones:

  • En el panel Total o en el panel Alta confianza, haga clic en el número de la sección Eventos creados.
  • Si desea ver la Lista de archivos, haga clic en el número de la sección Archivos procesados.

Flujo de trabajo

high-level Investigate workflow with Scan Files and Hosts for Malware and associated actions highlighted

¿Qué desea hacer?

                                                          
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventos*Realización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazasexportar eventos y archivos*Examinar archivos y eventos de escaneo en formato de lista
Buscador de amenazasrealizar búsquedas externas*Ver detalles de Malware Analysis de un evento

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

Este es un ejemplo de la vista Lista de eventos.

This is the Events List

Este es un ejemplo de la vista Lista de archivos.
This is the Files List.

Estas son las funciones de la barra de herramientas de la Lista de eventos y la barra de herramientas de la Lista de archivos es la misma, salvo que no tiene ninguna opción de eliminación de eventos.

This is the Events List toolbar

                                   
FunciónDescripción
Volver al resumenRegresa a la vista Resumen de eventos.
Eliminar eventosQuita los eventos seleccionados de la lista de eventos actual.
Descargar archivosMuestra el cuadro de diálogo Descarga de archivo de malware, el cual permite descargar los archivos disponibles.
Sort Menu Muestra un menú desplegable desde el cual puede decidir cómo ordenar la lista. Estas son las opciones disponibles para ordenar la lista:
  • Alta confianza
  • Estático
  • Red
  • Comunidad
  • Sandbox
  • AV
  • Nombre de archivo
  • Tipo de archivo
  • Hash
  • Fecha de archivado
  • Tamaño
El botón directamente a la derecha de esta lista desplegable indica si la lista se ordenará por valores ascendentes o descendentes.
Sort Menu Muestra un menú desplegable desde el cual puede seleccionar un orden de clasificación secundario. Este menú incluye una opciónNetWitness SuiteNinguno que hace innecesaria la selección de un orden de clasificación secundario.
Filter button Muestra una ventana desplegable en la cual puede filtrar la lista por nombre de archivo o hash de MD5.

Estas son las funciones de la Lista de eventos.

                                                                           
FunciónDescripción
The High Confidence icon Indica si el evento tiene influencia de la marca de alta confianza.
Estático, Red, Comunidad y SandboxMuestra los puntajes de cada módulo de puntaje.
AVIndica si el antivirus marcó este evento como sospechoso.
The customized rule icon Indica si el evento tiene influencia de una regla personalizada.
Fecha de archivadoMuestra la fecha y la hora en que se archivó el evento.
Tiempo de sesiónMuestra el tiempo de la sesión del evento.
Trusted icon Indica si el valor de hash está marcado como de confianza.
Número de archivosMuestra la cantidad de archivos que se incluyen en el evento.
Dirección de origenMuestra la dirección del origen de eventos.
IdentidadMuestra la identidad del origen de eventos.
Dirección de destinoMuestra la dirección del destino del evento.
País de destinoMuestra el país del destino del evento.
Host de aliasMuestra el nombre de host del alias.
Tipo de eventoMuestra el tipo de evento. Por ejemplo, Carga manual.
ServicioMuestra el servicio en el cual se produjo el evento.
Organización de destinoMuestra la organización del destino.

Estas son las funciones de la cuadrícula de la Lista de archivos.

                                                    
FunciónDescripción
The high confidence icon Indica si el evento tiene influencia de la marca de alta confianza.
Estático, Red, Comunidad y SandboxMuestra los puntajes de cada módulo de puntaje.
AVIndica si el antivirus marcó este evento como sospechoso.
Nombre de archivoMuestra el nombre del archivo.
Tipo de archivoMuestra el tipo del archivo (por ejemplo, PDF o x86 PE)
Hash de MD5Muestra el hash de MD5.
Dirección de origenMuestra la dirección del origen del archivo.
Dirección de destinoMuestra la dirección del destino del archivo.
Fecha de archivadoMuestra la fecha y la hora en que se archivó el archivo.
TamañoIndica el tamaño del archivo.
Previous Topic:Malware Analysis View
You are here
Table of Contents > Materiales de referencia de Investigate > Malware Analysis Events List and Files List

Attachments

    Outcomes