Investigate: Examinar archivos y eventos de escaneo en formato de lista

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Cuando observa el Resumen de eventos en un escaneo de Malware Analysis, puede hacer clic en un conteo de archivos o en un conteo de eventos para ver la Lista de archivos o la Lista de eventos del escaneo (consulte Comenzar una investigación de Malware Analysis). En la Lista de archivos y la Lista de eventos, puede buscar un archivo por nombre de archivo o hash de archivo MD5, clasificar la lista mediante dos criterios y orden ascendente o descendente, y descargar archivos. Cuando encuentra un evento o archivo que el interesa en la Lista de eventos o Lista de archivos, puede ver muchos detalles sobre el evento en la vista Detalles de eventos.

Para cada evento de la Lista de eventos, NetWitness Suite proporciona la siguiente información:

  • Marcado como un evento de alta confianza, que probablemente contenga indicadores de riesgo.
  • El puntaje numérico de cada módulo de puntaje: Estático, Red, Community y Sandbox.
  • Puntajes del proveedor de antivirus.
  • El indicador Influido por regla personalizada.
  • La fecha en que se archivó el evento.
  • La hora de sesión.
  • El filtro de hash de MD5.
  • Cantidad de archivos en el evento.
  • La dirección IP de origen del evento.
  • La identidad.
  • La dirección IP de destino.
  • El país de destino.
  • El nombre del host de alias.
  • El tipo de evento, por ejemplo, Network.
  • El servicio que utiliza el evento.
  • La organización de destino

Para cada archivo en la Lista de archivos, NetWitness Suite proporciona la siguiente información:

  • Marcado como un evento de alta confianza, que probablemente contenga indicadores de riesgo.
  • El puntaje numérico de cada módulo de puntaje: Estático, Red, Community y Sandbox.
  • Puntajes del proveedor de antivirus.
  • El nombre de archivo.
  • El tipo de archivo.
  • El filtro de hash de MD5.
  • La dirección IP de origen del evento que contenía el archivo.
  • La dirección IP de destino.
  • La fecha en que se archivó el evento que contenía el archivo.
  • El tamaño del archivo.

Clasificar la Lista de archivos o la Lista de eventos

Puede clasificar la Lista de archivos y la Lista de eventos por nombre de columna en orden ascendente y descendente. Puede elegir una o dos columnas.

Para clasificar la lista:

  1. En la primera lista desplegable Ordenar por, elija un nombre de columna y una dirección de clasificación: Sort Descending para el orden descendente o Sort Ascending para el orden ascendente.
  2. (Opcional) En la segunda lista desplegable Ordenar por, elija un nombre de columna y una dirección de clasificación, Sort Descending para el orden descendente o Sort Ascending para el orden ascendente.
    Los títulos de las columnas reflejan el orden de clasificación seleccionado.

Filtrar la lista por nombre de archivo o hash de archivo MD5

Puede filtrar la Lista de archivos y la Lista de eventos por nombre de archivo o hash de archivo. Con esta función, puede especificar un subconjunto limitado de los datos originales en función de los criterios de búsqueda.

Note: Cuando realiza una búsqueda, se busca el escaneo que está visualizando actualmente, no todos los escaneos.

  1. Haga clic en Filter button.
    Se muestra el cuadro de diálogo Filtrar.
  2. Ingrese un valor en Nombre de archivo o Hash de MD5 y haga clic en Filtrar. Los campos Nombre de archivo y Hash de archivo no distinguen mayúsculas de minúsculas. No se admiten comodines o expresiones regulares. El filtro se basa en coincidencias exactas. Puede arrastrar un nombre de archivo o hash que desee seleccionar desde la Lista de archivos o la Lista de eventos y, a continuación, copiarlo y pegarlo en el cuadro de diálogo.
  3. Haga clic en Filtrar.
    Malware Analysis filtra la lista para mostrar solo archivos o eventos con el hash seleccionado.
  4. Para volver a la lista no filtrada, haga clic en Filter button. Cuando aparezca el cuadro de diálogo Filtrar, haga clic en Restablecer.

Descargar archivos de la Lista de archivos

NetWitness Suite permite seleccionar y descargar archivos de la Lista de archivos o la Lista de eventos.

Caution: Sea precavido cuando descargue archivos desde Malware Analysis; algunos archivos pueden contener código dañino. La descarga de archivos es un permiso específico que se puede configurar. Consulte “Definir funciones y permisos para analistas de malware” en la Guía de configuración de Malware Analysis para obtener más detalles.

Para descargar archivos de la Lista de archivos o la Lista de eventos:

  1. En la Lista de archivos o la Lista de eventos, seleccione la casilla de verificación junto a una o más filas.
  2. En la barra de herramientas, seleccione Download Files button.
    Se muestra el cuadro de diálogo Descarga de archivo de malware.
  3. Realice una de las siguientes acciones:
    1. Si decide no descargar el archivo, haga clic en Cancelar.
    2. Si desea descargar el archivo, haga clic en el botón Descargar.
      El archivo o los archivos seleccionados se descargar en un archivo zip con el nombre Malware_Files.zip.

Eliminar eventos del escaneo

En la Lista de eventos, seleccione uno o más eventos y elimínelos del escaneo. Esto es útil para eliminar eventos que no le interesan.

Para eliminar un evento del escaneo que se visualiza:

  1. En la Lista de eventos, seleccione uno o más eventos.
  2. En la barra de herramientas, haga clic en Delete Events.
    NetWitness Suite solicita que confirme su intención de eliminar los eventos.
  3. En el cuadro de diálogo de confirmación, haga clic en .
    Se eliminan los eventos seleccionados.

Volver al resumen de eventos

Para salir de la Lista de archivos o la Lista de eventos y volver al Resumen de eventos, haga clic en Volver al resumen.

Abra el análisis detallado de un evento

Mientras examina eventos o archivos en la Lista de archivos o la Lista de eventos, puede hacer doble clic en cualquier evento o archivo para abrir un análisis detallado del evento en la Lista de eventos o el evento con el cual está asociado el archivo en la Lista de archivos (consulte Ver detalles de Malware Analysis de un evento).

You are here
Table of Contents > Realización de un análisis de malware > Examinar archivos y eventos de escaneo en formato de lista

Attachments

    Outcomes