Investigar: Cuadro de diálogo Agregar/eliminar de la lista

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Apr 24, 2019
Version 4Show Document
  • View in full screen mode
 

El cuadro de diálogo Agregar/eliminar de la lista permite agregar una entidad o un valor de metadatos a una lista de Context Hub existente, quitar una entidad o un valor de metadatos o crear una lista de Context Hub nueva que los contiene. Cuando observa una dirección IP u otra entidad y las encuentra sospechosas o interesantes, puede agregarlas a una lista que se ha agregado como un origen de datos. Un ejemplo de una lista de uso común es una lista blanca o una lista negra. Esto mejora la visibilidad de las direcciones IP sospechosas y reduce los falsos positivos que no necesitan una investigación más profunda.

Puede agregar entidades o valores de metadatos a más de una lista. Por ejemplo, puede agregarlos a una lista de dominios sospechosos relacionados con conexiones de comando y control y a otra lista de direcciones IP de conexiones de troyanos relacionadas con el acceso remoto. Si no hay una lista disponible, puede crearla.

El cuadro de diálogo está disponible en NetWitness Investigate y en NetWitness Respond. Cuando trabaja en las vistas Navegar, Eventos o Análisis de eventos de Investigate (versión 11.2), puede agregar valores de metadatos para las claves de metadatos Source IP, Destination IP o Username a una lista de Context Hub existente o crear una nueva lista que contenga los valores de metadatos. Cuando agrega valores de metadatos a una lista, puede buscar contexto adicional en esos valores de metadatos.

  • Para mostrar el cuadro de diálogo en las vistas Navegar o Eventos, haga clic con el botón secundario en un valor de metadatos en Source IP, Destination IP o Username y seleccione Agregar/eliminar de la lista en el menú contextual.
  • Para mostrar el cuadro de diálogo en la vista Análisis de eventos, coloque el cursor sobre un valor y seleccione Agregar/eliminar de la lista en la sección Acciones del mensaje de globo de contexto.

Flujo de trabajo

En el siguiente diagrama de flujo de trabajo se muestra el flujo de trabajo general para Investigate con la ubicación de la tarea Agregar a lista resaltada.

high-level Investigate workflow with the location of the Add to List tas highlighted

¿Qué desea hacer?

                                                     
Función de usuarioDeseo…Mostrarme cómo
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazascrear o agregar valores de metadatos a una lista de Context Hub*

Administrar listas y valores de lista de Context Hub en las vistas Navegar y Eventos o Buscar contexto adicional en la vista Análisis de eventos

Temas relacionados

Vista rápida en las vistas Navegar y Eventos

La siguiente figura es un ejemplo del cuadro de diálogo Agregar/eliminar de la lista cuando se abre inicialmente.
This is the Add/Remove from List dialog.

En la siguiente figura se muestra el cuadro de diálogo Crear lista nueva.

This is how the dialog appears after clicking "Create new list"

En la siguiente tabla se describen las características de los cuadros de diálogo Agregar/eliminar de la lista y Crear lista nueva.

                                                
FunciónDescripción
Valor de metadatosEl valor de metadatos seleccionado que se agregará a la lista nueva o existente.
ListaLa lista a la cual se debe agregar el valor de metadatos seleccionado. Un menú desplegable proporciona una lista de las listas disponibles a las cuales puede agregar el valor de metadatos.
Crear lista nuevaSe abre un cuadro de diálogo nuevo en el que puede crear una nueva lista para el valor de metadatos seleccionado.
Nombre de listaEl nombre de la lista.
DescripciónLa descripción de la nueva lista.
CrearCrear una nueva lista después de ingresar los campos obligatorios.
AtrásEn el nuevo modo de lista, cancela la nueva creación de listas y regresa al cuadro de diálogo original.
CancelarCancela la adición del valor de metadatos a una lista y cierra el cuadro de diálogo.
GuardarGuarda los cambios realizados en las listas y cierra el cuadro de diálogo.

Vista rápida en la vista Análisis de eventos (versión 11.2 y superior)

El siguiente es un ejemplo del cuadro de diálogo Agregar/eliminar de la lista en la vista Análisis de eventos.

Quick Look - Add/Remove From List Dialog

                             

 

1Entidades o valores de metadatos que se agregarán o se quitarán.
2Cree una lista nueva mediante los metadatos seleccionados.
3Seleccione cualquiera de las pestañas: Todo, Seleccionado o No seleccionado.
4Busque mediante el nombre de la lista o la descripción.
5Cancele la acción.
6Guarde para actualizar las listas o crear una lista nueva.

En la siguiente tabla se muestran las opciones del cuadro de diálogo Agregar/eliminar de la lista.

                                                   
OpciónDescripción
VALOR DE METADATOSMuestra la entidad o el valor de metadatos seleccionados que se deben agregar a una o más listas o eliminar de estas. También puede crear una lista nueva mediante el valor seleccionado.
Crear lista nuevaMuestra un cuadro de diálogo que permite crear una lista nueva mediante el valor de metadatos seleccionado.
TODOMuestra todas las listas de Context Hub disponibles. Se seleccionan las listas que contienen la entidad o el valor de metadatos seleccionados. Seleccione una casilla de verificación para agregar una entidad o un valor de metadatos a una lista. Deseleccione una casilla de verificación para quitarlos de la lista.
SELECCIONADOMuestra solo las listas que contienen la entidad o el valor de metadatos seleccionados. (Se seleccionan todas las listas).

NO SELECCIONADO

Muestra solo las listas que no contienen la entidad o el valor de metadatos seleccionados. (Se deseleccionan todas las listas).
Filtrar resultadosIngrese el nombre o la descripción de una lista específica para buscar en varias listas.

LISTA

Muestra el nombre de todas las listas.

DESCRIPCIÓNMuestra información acerca de la lista seleccionada. En este cuadro de diálogo aparece la descripción que proporciona cuando crea una lista. Por ejemplo: Esta lista contiene todas las direcciones IP incluidas en la lista negra.

Cancelar

Cancela la operación.

GuardarGuarda los cambios.
You are here
Table of Contents > Materiales de referencia de Investigate > Cuadro de diálogo Agregar/eliminar de la lista

Attachments

    Outcomes