Investigate: Panel Búsqueda de contexto

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Después de que un administrador configura el servicio Context Hub, puede ver la información contextual para los valores de metadatos en las vistas Navegar y Eventos de Investigate. El servicio Context Hub está preconfigurado con un mapeo predeterminado de tipos de metadatos y claves de metadatos. Para obtener información sobre el mapeo del valor de metadatos de Context Hub con la clave de metadatos de Investigation, consulte “Administrar el mapeo de tipos de metadatos y claves de metadatos” en la Guía de configuración de Context Hub.

El panel Búsqueda de contexto se muestra al lado derecho de las vistas Navegar y Eventos. Los valores de metadatos que se agregaron a una lista de Context Hub se resaltan en gris en los resultados de las vistas Navegar o Eventos. Cuando haga clic con el botón secundario en un valor resaltado y seleccione Búsqueda de contexto en el menú contextual resultante, los resultados de la búsqueda se mostrarán en el panel Búsqueda de contexto para los orígenes configurados para el valor de metadatos seleccionado. Puede seleccionar un origen en la barra de íconos del panel Búsqueda de contexto para ver la información contextual.

Flujo de trabajo

the high-level Investigate workflow with Perform Internal Lookups highlighted

¿Qué desea hacer?

 

                                                     
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazasbuscar contexto adicional para un valor de metadatosVer el contexto adicional de un punto de datos

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

La siguiente figura es un ejemplo del panel Búsqueda de contexto y los controles y las funciones se describen en la tabla.

Navigate view with the Context Lookup panel open

                               
FunciónDescripción
Barra de opciones de origen Muestra los íconos de los orígenes disponibles: Endpoint, incidentes, alertas y listas.
Nombre de fuente Muestra el nombre de origen según el ícono seleccionado:
  • Terminal
  • INCIDENTES
  • ALERTAS
  • LISTAS
ClasificarProporciona una lista desplegable de opciones de clasificación para la información de contexto detallada. Las opciones de clasificación posibles son Severidad: alta a baja, Severidad: baja a alta, Fecha: Más antiguo a más reciente y Fecha: Más reciente a más antiguo. Las opciones de clasificación varían según el tipo de origen.
Refresh icon Actualiza los resultados de búsqueda.
n elementos (primeros n resultados)El pie de página proporciona un conteo de la cantidad total de resultados y el conteo de resultados que se muestra actualmente. Por ejemplo, 50 alertas (primeras 50 alertas).

Resultados de búsqueda

En el panel Búsqueda de contexto se muestra la siguiente información cuando se recuperan los datos de contexto de los orígenes configurados.

Incidentes

Se muestran los incidentes, en primer lugar según la hora (más recientes a más antiguos) y, a continuación, según el estado de prioridad. Se muestra la siguiente información para las búsquedas de incidentes:

  • ID y nombre del incidente
  • Estado de prioridad de los incidentes.
  • Valor de puntaje de riesgo de los incidentes
  • La fecha de creación del incidente.
  • Estado del incidente.
  • Usuario asignado al incidente
  • Última actualización: Indica la última vez en que se recuperaron datos contextuales del origen de datos y se actualizaron en la caché.
  • Ventana de tiempo: Se basa en el valor que se configura para el campo “Consultar últimos (días)” en la ventana Configurar Respond. Para obtener detalles, consulte el tema “Configurar Respond como un origen de datos” en la Guía de configuración de Context Hub.
  • Clasificar: Este campo desplegable proporciona opciones para cambiar el orden de los resultados según la hora o la prioridad.

Alertas

Las alertas se muestran en función de la gravedad. Se muestra la siguiente información para búsquedas de alertas:

  • Nombre de la alerta
  • Valor de gravedad de las alertas
  • Fecha en que se creó la alerta
  • ID del incidente: Este es el ID del incidente con el cual está asociada la alerta (si corresponde).
  • Orígenes: Nombre del origen de eventos.
  • Número de eventos asociados con la alerta.
  • Última actualización: Indica la última vez en que se recuperaron datos contextuales del origen de datos y se actualizaron en la caché.
  • Ventana de tiempo: Se basa en el valor que se configura para el campo “Consultar últimos (días)” en la ventana Configurar Respond. Para obtener detalles, consulte el tema “Configurar Respond como un origen de datos” en la Guía de configuración de Context Hub.
  • Clasificar: Este campo desplegable proporciona la opción para cambiar el orden de los resultados según la hora o la prioridad.

Listas

Se muestra la siguiente información para búsquedas de listas.

  • Nombre de lista
  • Propietario que creó la lista
  • Fecha de creación
  • Fecha de la última actualización
  • Descripción de la lista

Terminal

Se muestra la siguiente información para búsquedas de Endpoint.

  • Nombre y dirección IP de la máquina.
    Si hace clic en la dirección IP o en el nombre de la máquina de Endpoint, se desplazará hasta la interfaz del usuario de Endpoint para realizar una investigación más a fondo.
  • Última actualización: Indica la última vez en que se recuperaron datos contextuales del origen de datos y se actualizaron en la caché.
  • Puntaje de la máquina: Un puntaje de IIOC de la máquina se agrega en función de los puntajes del módulo.
  • Cantidad de módulos: Cantidad de archivos activos para la máquina seleccionada.
  • Última actualización: Indica cuándo se actualizaron por última vez los resultados del escaneo en la base de datos de Endpoint.
  • Último usuario de inicio de sesión
  • Dirección MAC de la máquina
  • Versión del sistema operativo
  • Notas administrativas (si corresponde)
  • Estado administrativo (si corresponde)
  • Principales módulos sospechosos (módulos que tienen un puntaje de IIOC > 500). Esto se basa en el valor configurado para el campo “Puntaje de IIOC mínimo” en la ventana Configurar Endpoint. El valor predeterminado para “Puntaje de IIOC mínimo” es 500.
  • Niveles de IIOC de la máquina
You are here
Table of Contents > Materiales de referencia de Investigate > Panel Búsqueda de contexto

Attachments

    Outcomes