Investigate: Vista Eventos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

En la Events view está disponible una lista de eventos asociados a una sesión; esta vista está optimizada para ver eventos crudos en secuencia por hora. Puede mostrar la lista de eventos en varios formatos, filtrar eventos, buscar eventos y abrir una reconstrucción de un evento.

 

Existen dos maneras de mostrar la vista Eventos:

  • Vaya a INVESTIGAR > Eventos. NetWitness Suite ejecuta una consulta predeterminada acerca de las últimas tres horas para el servicio predeterminado (si hay uno configurado) o muestra un cuadro de diálogo en el cual puede seleccionar un servicio y, a continuación, ejecuta la consulta predeterminada. La consulta predeterminada selecciona todos los eventos y la vista Eventos muestra los pertinentes al servicio seleccionado, con los más antiguos en primer lugar.
  • En la vista Navegar, haga doble clic en un evento. La vista Eventos muestra los eventos en el servicio seleccionado según el punto de desglose en la vista Navegar.

Flujo de trabajo

high-level Investigate workflow with Browse Raw Events and associated actions highlighted

¿Qué desea hacer?

                                                                                   
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos*

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazasconfigurar las preferencias de usuario para la vista Eventos*Configurar la vista Navegar y la vista Eventos
Buscador de amenazasreconstruir un evento*Reconstruir un evento
Buscador de amenazasexportar eventos y archivos*Exportar eventos en la vista Eventos
Buscador de amenazas

realizar búsquedas internas

Ver el contexto adicional de un punto de datos

Buscador de amenazasrealizar búsquedas externasIniciar una búsqueda externa de una clave de metadatos
Buscador de amenazas o encargado de respuesta ante incidentesagregar uno o más eventos a un incidente existente o a un incidente nuevo*Agregar eventos a un incidente para Response
   

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

Esta vista proporciona tres presentaciones incorporadas de datos de eventos: la Vista detallada, la Vista de lista y la Vista de registro. La vista Lista y la Vista detallada están destinadas a la visualización de eventos de paquetes de datos y proporcionan más información para cada evento, que incluye registro de fecha y hora, tipo de evento, tema del evento y tamaño.

  • La vista Lista muestra la información de las direcciones y los puertos de origen y destino correspondientes de los eventos en forma de resumen en un grid.
  • La Vista detallada muestra todos los metadatos recopilados del evento en una vista paginada.
  • La Vista de registro está optimizada para mostrar información de registro y proporciona más información para cada registro, incluido el registro de fecha y hora, el tipo de evento, el tipo de servicio, la clase de servicio y los registros.

Puede utilizar consultas, la configuración del rango de tiempo y perfiles para filtrar los eventos mostrados en la vista Eventos. Desde cualquier tipo de vista de la vista Eventos, puede extraer archivos, exportar eventos, registros y valores de metadatos, abrir el panel Reconstrucción de evento y abrir el Análisis de eventos.

En la siguiente figura se muestra un ejemplo de eventos en la vista detallada. El panel Búsqueda de contexto es visible solo si está configurado el servicio Context Hub.

example of the Detail View with the Context Lookup panel open

La siguiente figura es un ejemplo de eventos en la Vista de lista.

example of the List View

La siguiente figura es un ejemplo de la vista de registro.

example of the Log View

Descripción detallada

La vista Eventos tiene una barra de herramientas en la parte superior con las siguientes opciones.

                                               
FunciónDescripción
Seleccionar servicioMuestra el nombre del servicio seleccionado junto al ícono. Abre el cuadro de diálogo Seleccionar un servicio, donde puede seleccionar un servicio para el cual se muestra la lista de eventos.
Rango de tiempoMuestra un menú desplegable para seleccionar el rango de tiempo para aplicar a la lista de eventos. Puede elegir una de las opciones estándar o especificar un rango de tiempo personalizado.
ConsultaSe muestra el cuadro de diálogo Crear filtro, en el cual puede ingresar directamente una consulta personalizada en lugar de desglosar a los datos (consulte Crear una consulta personalizada)
PerfilMuestra el menú Usar perfil; el perfil seleccionado se muestra en la barra de herramientas. Un perfil permite administrar y usar perfiles que pueden incluir grupos de metadatos personalizados, un grupo de columnas predeterminado y una consulta inicial. Los perfiles se aplican a la vista Navegar (consultas y grupos de metadatos) y a la vista Eventos (consultas y grupos de columnas).
Ver el menú despegable de tipoMuestra un menú desplegable para seleccionar el tipo de vista de evento.
  • La Vista detallada muestra los eventos en un formato paginado con información detallada de cada evento.
  • La vista Lista muestra los eventos en formato de cuadrícula con un resumen de cada evento en una fila por separado.
  • La Vista de registro muestra una cuadrícula de eventos orientados a registros con un resumen de cada registro en una fila por separado.
  • Grupos de columnas personalizados muestra la lista de eventos mediante el uso de un grupo de columnas seleccionado en una lista desplegable de grupos de columnas personalizados.
  • Administrar grupos de columnas muestra el cuadro de diálogo para crear y editar grupos de columnas personalizados.
AccionesMuestra un menú desplegable con acciones en la vista Eventos:
  • Extraer archivos, exportar eventos como un archivo PCAP, exportar registros o exportar valores de metadatos.
  • Ver una reconstrucción de evento en una ventana emergente o en una pestaña nueva.
  • Ver el Análisis de eventos
  • Restablecer todos los filtros en la ventana Eventos.

Incidentes

Cree un incidente nuevo en Respond y agregue los eventos seleccionados, o agréguelos a un incidente existente en Respond.

BuscarMuestra las opciones de Buscar eventos, las cuales permiten especificar el formato de exportación de registros y valores de metadatos con opciones adicionales que se explican en Buscar patrones de texto.
Ajustes de configuraciónMuestra los ajustes de Investigation para la vista Eventos (los cuales también se pueden editar en la vista Perfil), de modo que puede cambiarlos sin salir de la vista Eventos. Cuando cambia un ajuste en la vista Eventos, este también se cambia en la vista Perfil (consulte Configurar la vista Navegar y la vista Eventos).
Next Topic:Files View
You are here
Table of Contents > Materiales de referencia de Investigate > Events View

Attachments

    Outcomes