Investigate: Configurar la vista Resumen de eventos de Malware Analysis

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

En el Resumen de eventos se ofrece un resumen del escaneo que se investiga, y bajo el resumen se presentan dashlets configurables, como gráficos de visualización y listas. De forma predeterminada, se abre el Resumen de eventos para un escaneo, el cual muestra los dashlets predeterminados. Puede personalizar la vista mediante la adición, la modificación y la eliminación de dashlets predeterminados. La personalización de dashlets configurada persiste en distintas investigaciones de escaneos y los dashlets predeterminados se pueden restaurar en cualquier momento. Los dashlets predeterminados son:

  • Resumen de eventos (fijo)
  • Cronograma de evento
  • Lista del malware altamente sospechoso principal
  • Mapa de árbol de metadatos
  • Rueda de puntaje
  • Desgloses de metadatos

En la siguiente figura se muestra un ejemplo del Resumen de eventos predeterminado.

Summary of Events view

El resto de este tema proporciona instrucciones para administrar y configurar los dashlets.

Agregar un dashlet

Puede agregar múltiples copias de dashlets en el Resumen de eventos de Malware Analysis. Para agregar un dashlet:

  1. En la barra de herramientas, seleccione Agregar.
    Se muestra la lista desplegable de dashlets. Hay cuatro opciones de visualización: Rueda de puntaje, Mapa de árbol de metadatos, Desgloses de metadatos y Cronograma de evento. Los otros tres dashlets son los mismos dashlets disponibles en el tablero NetWitness Suite: Malware con IOC de alta confianza y altos puntajes, Lista del malware altamente sospechoso principal y Lista del posible malware de día cero principal. En la sección “Dashlets” de Contenido de RSA para RSA NetWitness Suite se proporcionan detalles acerca de estos dashlets comunes.
  2. Seleccione un dashlet.
    El nuevo dashlet se agrega como el último debajo de los dashlets existentes.
  3. Si el dashlet es un duplicado de otro existente, cambie el nombre del nuevo dashlet para que sea único.

Modificar o eliminar un dashlet mediante opciones de la barra de herramientas

Cada dashlet tiene una barra de herramientas que ofrece opciones para modificarlo. Los gráficos de visualización tienen los mismos ajustes de configuración, aunque algunos de los otros dashlets tienen distintos ajustes adicionales.

Event Timeline dashlet toolbar

Para usar las opciones de la barra de herramientas:

  • Para cerrar un dashlet de modo que solo se muestre la barra de título, haga clic en Close the dashlet.
  • Para abrir un dashlet que está cerrado, haga clic en Open the dashlet.
  • Para mostrar los ajustes configurables de un dashlet, haga clic en View the dashlet settings.
    Se muestra el cuadro de diálogo de configuración del dashlet.
  • Para eliminar un dashlet, haga clic en Delete the dashlet.

Aplicar un filtro de umbral a múltiples dashlets

Dentro de los dashlets, puede configurar un umbral para mostrar únicamente eventos iguales a, por sobre o por debajo de cierto puntaje en las cuatro categorías (Estático, Red, Community y Sandbox). Este procedimiento configura los umbrales por tipo de dashlet para estos dashlets: Cronograma de evento, Rueda de puntaje y Mapa de árbol de metadatos. También puede configurar el umbral para dashlets individuales.

  1. En la barra de herramientas, seleccione Action menu > Aplicar filtro de umbral.
    Se muestra el cuadro de diálogo Aplicar filtro de umbral.
    Apply Threshold Filter dialog
  2. Seleccione uno o más tipos de dashlets: Cronograma de evento, Rueda de puntaje y Mapa de árbol de metadatos.
  3. Arrastre el control deslizante correspondiente o ingrese un valor numérico y, a continuación, seleccione un operador en la lista desplegable: =, >= o <=.
  4. Haga clic en Aplicar.
    Los filtros de umbral se aplican a los tipos de dashlets seleccionados en el Resumen de eventos.

Establecer opciones de título y categoría para un dashlet

  1. Para mostrar los ajustes configurables de un dashlet, haga clic en Dashlet settings.
    Se muestra el cuadro de diálogo Opciones del dashlet.
    Event Timeline Options dialog
  2. Escriba un nuevo título para el dashlet en el campo Título.
  3. Si solo desea ver eventos con influencia de una etiqueta Alta confianza, lo cual significa que existe alta confianza de que el evento contiene código dañino, seleccione la opción Solo con influencia de alta confianza.
  4. Si solo desea ver eventos que obtuvieron un puntaje por sobre determinado valor en las cuatro categorías (Estático, Red, Comunidad y Sandbox), arrastre el control deslizante correspondiente o ingrese un valor numérico y, a continuación, seleccione un operador en la lista desplegable: =, >= o <=.
  5. Haga clic en Aplicar.
    El título y los filtros se aplican al dashlet.

Ordenar dashlets

Para cambiar el orden de los dashlets que aparecen debajo del Resumen de eventos:

  1. En la barra de herramientas, seleccione Actions drop-down menu > Ordenar dashlets.
    Se muestra el cuadro de diálogo Ordenar dashlets.
    Order Dashlets dialog
  2. Seleccione un dashlet que desee subir o bajar y haga clic en Move dashlet up o en Move dashlet down.
  3. Cuando esté conforme con el orden, haga clic en Aplicar.
    El cuadro de diálogo se cierra y el orden de los dashlets debajo del Resumen de eventos cambia de acuerdo con sus opciones.

Restaurar dashlets predeterminados

Cuando haya agregado, modificado y ordenado los dashlets, puede volver a la configuración predeterminada de presentación de los dashlets. Para restaurar los dashlets predeterminados:

  1. En la barra de herramientas, seleccione Actions drop-down menuRestaurar configuración predeterminada.
    En un cuadro de diálogo se solicita confirmar la intención de restaurar la configuración.
  2. Realice una de las siguientes acciones:
    1. Si decide mantener el orden de los dashlets que configuró, haga clic en No.
    2. Si realmente desea restaurar los valores predeterminados, haga clic en .
      La presentación de los dashlets vuelve al valor predeterminado.
You are here
Table of Contents > Configuración de vistas y preferencias de NetWitness Investigate > Configurar la vista Resumen de eventos de Malware Analysis

Attachments

    Outcomes