Investigar: Iniciar una búsqueda externa de una clave de metadatos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Apr 24, 2019
Version 4Show Document
  • View in full screen mode
 

En este tema se proporcionan instrucciones para usar plug-ins de Investigate de manera inmediata con el fin de iniciar una búsqueda externa de claves de metadatos específicas mediante herramientas externas a NetWitness Platform durante la investigación de datos en las vistas Navegar o Eventos.

Los analistas pueden usar búsquedas externas a NetWitness Platform Investigate de manera inmediata para ahorrar tiempo durante las investigaciones. Las búsquedas de uso inmediato están disponibles cuando se hace clic con el botón secundario en una de estas claves de metadatos:  Dirección IP (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)host (alias-host, domain.dst)client, y file-hash.

En el caso de todas las claves de metadatos IP y host, las siguientes búsquedas están incorporadas en NetWitness Platform:

  • Google Malware: abre una búsqueda en Google Malware en una nueva pestaña.
  • Historial de IP SANS: Abre una búsqueda en el historial de IP SANS en una nueva pestaña.
  • McAfee SiteAdvisor: abre una búsqueda en McAfee SiteAdvisor en una nueva pestaña.
  • Búsqueda del cliente grueso de Endpoint: Abre una búsqueda en el cliente grueso de NetWitness Endpoint en una nueva pestaña.
  • Recopilación de DNS pasivo de BFK:  Abre una búsqueda en una recopilación de DNS pasivo de BFK en una nueva pestaña.
  • CentralOps Whois para direcciones IP y nombres de host: Abre una búsqueda en CentralOps Whois de direcciones IP y nombres de host en una nueva pestaña.
  • Búsqueda en Malwaredomainlist.com: abre una búsqueda en Malwaredomainlist.com en una nueva pestaña
  • Búsqueda de dirección IP en Robtex: Abre una búsqueda de dirección IP en Robtex en una nueva pestaña.
  • Búsqueda en ThreatExpert: abre una búsqueda en ThreatExpert en una nueva pestaña
  • Búsqueda en IPVoid: abre una búsqueda en UrlVoid en una nueva pestaña

Para las claves de metadatos file-hashalias-host, la búsqueda en Google abre una búsqueda en Google en una nueva pestaña.

Para la clave de metadatos client, la opción Búsqueda en NetWitness Endpoint abre un cliente de grueso de Endpoint en una nueva pestaña si el cliente está instalado en el mismo sistema en el cual se usa el navegador.

Los administradores pueden agregar búsquedas externas adicionales y otras acciones personalizadas, como se describe en “Agregar acciones de menú contextual personalizadas” en la Guía de configuración del sistema.

Iniciar una búsqueda en el cliente grueso de Endpoint

Para iniciar una búsqueda de datos en el cliente grueso de Endpoint desde la vista Navegar:

  1. Haga clic con el botón secundario en un valor de metadatos para una de las siguientes claves de metadatos: ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Seleccione Búsqueda externa en el menú contextual.
    Se muestra un submenú de opciones de la búsqueda externa.
    External Lookup Menu
  3. Seleccione Búsqueda del cliente grueso de Endpoint.
    Se muestra el cuadro de diálogo Conectar a servidor.
    RSA ECAT Configuration dialog
  4. Ingrese el nombre de usuario y la contraseña que se requieren para iniciar sesión en el cliente grueso de Endpoint y haga clic en Conectar.
    El punto de desglose se abre en NetWitness Endpoint.
    a drill point from Investigate opened in RSA ECAT

Iniciar otras búsquedas externas

Para iniciar una búsqueda externa de datos (distinta de la búsqueda del cliente de grueso de NetWitness Endpoint) desde la vista Navegar: 

  1. Haga clic con el botón secundario en un valor de metadatos para una de las siguientes claves de metadatos: ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Seleccione Búsqueda externa en el menú contextual.
    Se muestra un submenú de opciones de la búsqueda externa.
    the External Lookup Menu
  3. Seleccione una de las opciones de búsqueda.
    El valor de metadatos seleccionado se abre en la búsqueda seleccionada. Por ejemplo, si seleccionó Historial de IP SANS, la información del punto de desglose se muestra en SANS Internet Storm Center.
    SANS IP Lookup
You are here
Table of Contents > Investigación de metadatos en la vista Navegar > Iniciar una búsqueda externa de una clave de metadatos

Attachments

    Outcomes