Investigate: Cómo funciona NetWitness Investigate

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Investigate ofrece funcionalidades de análisis de datos en RSA NetWitness® Suite de modo que los analistas puedan analizar datos de paquetes, registros y terminales, e identificar posibles amenazas internas o externas a la seguridad y la infraestructura de IP.

Note: En la versión 11.1, las vistas Hosts y Archivos son parte de NetWitness Suite y permiten que los analistas investiguen datos de terminales.

Metadatos, claves de metadatos, valores de metadatos y entidades de metadatos

RSA NetWitness Suite audita y monitorea todo el tráfico de una red. Un tipo de servicio, un Decoder, recopila, analiza y almacena los paquetes, los registros y los datos de terminales que recorren la red.

Los analizadores y los feeds configurados en el Decoder crean metadatos que los analistas pueden usar para investigar los registros y los paquetes recopilados. Otro tipo de servicio, denominado un Concentrator, indexa y almacena los metadatos.

Los metadatos tienen el formato de una clave de metadatos y valores de metadatos para la clave. Por ejemplo, ip.src es una clave de metadatos y una dirección IP que es el origen del tráfico está etiquetada como ip.src. Al ver los datos en Investigate, verá la clave de metadatos ip.src y todas las direcciones IP (valores) que están etiquetadas con esa clave. Algunas claves de metadatos están incorporadas y otras pueden ser claves personalizadas que define el administrador.

Las entidades de metadatos están disponibles en la versión 11.1 y superior. Una entidad de metadatos es un alias que agrupa los resultados de otras claves de metadatos. Las entidades de metadatos organizan claves de metadatos similares en un único tipo de metadatos que es más fácil de usar. Algunas entidades de metadatos ya se incluyen de manera predeterminada, y el administrador puede crear entidades de metadatos personalizadas. En Investigate, los analistas pueden usar una entidad de metadatos en una consulta, un grupo de metadatos, un grupo de columnas y un perfil. Las visualizaciones de coordenadas paralelas no son compatibles con las entidades de metadatos. Los administradores pueden usar entidades de metadatos para definir un prefijo de consulta que se aplica a una función de usuario y un usuario. En la Guía de configuración de Decoder se proporciona información adicional sobre la creación de entidades de metadatos y cómo se pueden utilizar en reglas.

Por ejemplo, el idioma predeterminado de la base de datos de Core incluye claves de metadatos distintas para el origen y el destino de IP. Una de las entidades de metadatos incorporadas, denominada ip.all, representa el conjunto combinado de todos los orígenes y los destinos de IP.

Por lo general, los analistas consultan al Concentrator para descubrir las amenazas. El Concentrator maneja las consultas, las cuales solo se dirigen al Decoder cuando se requiere una reconstrucción completa de sesiones o registros crudos. ESA, Malware Analysis y Reporting Engine también consultan al Concentrator, donde pueden obtener rápidamente todos los metadatos pertinentes asociados a un evento y generar información sobre este sin tener que dirigirse a cada Decoder. En algunos casos especiales, los analistas pueden consultar a un Decoder.

 

Note: Aunque un dispositivo híbrido puede desempeñar la función del Concentrator, cualquier ambiente grande que necesite un mayor nivel de ancho de banda o de eventos por segundo (EPS) requiere un dispositivo Concentrator por separado. El dispositivo Concentrator cuenta con diseño de almacenamiento que usa unidades de estado sólido para el índice, lo cual aumenta el rendimiento de lectura.

Desencadenantes de una investigación

Estos son algunos ejemplos de desencadenantes de una investigación:

  • Usted recibe inteligencia de un tercero acerca de un nuevo hackeo de Active Directory. A partir de la vista Eventos, usa esa inteligencia para ejecutar una búsqueda en todos los datos del registro crudos de Active Directory en las últimas 24 horas.
  • El administrador del SOC le solicita que busque el malware Pokemon Go debido a su popularidad actual. A partir de la vista Navegar, usted crea una consulta para buscar una sesión de HTTP que usa un agente de usuario específico relacionado con el malware que él encontró en un blog de seguridad.
  • Un encargado de respuesta ante incidentes eleva un vale que muestra algunos indicadores extraños relacionados con un host. A partir de la vista Hosts, usted examina ese host para obtener detalles específicos.
  • Está buscando el siguiente ataque de día cero y comienza por analizar los metadatos de red en la vista Navegar para encontrar sesiones automatizadas anormales que salen de la empresa.
  • El administrador del SOC le solicita que busque información relacionada con el usuario jarvis, un empleado que se acaba de ir. A partir de la vista Hosts, usted consulta ese nombre de usuario en el transcurso de la semana pasada.

Flujo de trabajo de una investigación

Los analistas pueden investigar datos que captura NetWitness Suite y realizar análisis en profundidad a partir de información en un tablero de NetWitness Suite, un incidente o una alerta de NetWitness Respond, un informe que crea NetWitness Suite Reporting Engine o una aplicación de otros fabricantes. Durante el transcurso de una investigación, los analistas pueden desplazarse sin inconvenientes entre las vistas de Investigation: la vista Navegar, la vista Eventos, la vista Análisis de eventos, la vista Hosts (versión 11.1 y superior), la vista Archivos (versión 11.1 y superior) y la vista Malware Analysis.

En esta figura se ilustran los submenús de NetWitness Investigate.

NetWitness Investigate Submenus

Note: Se requieren funciones y permisos de usuario específicos para que un usuario realice investigaciones y análisis de malware en NetWitness Suite. Si no puede realizar una tarea de análisis o abrir una vista, es posible que el administrador necesite ajustar las funciones y los permisos configurados para usted.

Puede acceder a cada vista desde el submenú de Investigate y desde otras vistas de Investigate. También puede ir directamente a una vista de Investigate desde NetWitness Respond y pasar directamente desde NetWitness Investigate a NetWitness Respond y a NetWitness Endpoint independiente. Su caso de uso determina el punto de partida de su investigación. En esta tabla se proporciona orientación general acerca de la vista inicial para distintos casos de uso.

                                   
Vaya a…Enfoque
Vista NavegarTodas las claves y los valores de metadatos para registros, terminales y paquetes, agrupados por clave de metadatos. Puede recorrer los datos para limitar los resultados, ir después a las vistas Eventos o Análisis de eventos, o buscar en Malware Analysis o Live. Esta es la vista predeterminada de NetWitness Investigate. (Consulte Investigación de metadatos en la vista Navegar).
Vista EventosLos eventos enumerados se ordenan por hora. Puede ver el evento crudo y los metadatos relacionados, ver una reconstrucción y descargar eventos y archivos. Puede ir a la vista Análisis de eventos. (Consulte Análisis de eventos crudos y metadatos en la vista Análisis de eventos).
Vista Análisis de eventosLos eventos enumerados se ordenan por hora. Puede ver todas las claves y los valores de metadatos para registros, terminales y paquetes. Puede ver el evento crudo y los metadatos relacionados y ver una reconstrucción que ofrece indicaciones útiles para identificar puntos de interés en una reconstrucción. Puede ir a la vista Hosts, cambiar a Endpoint independiente, buscar en Live y realizar búsquedas externas. Las búsquedas externas le permiten buscar en Internet valores de metadatos con los que interactuó, determinar información de DNS pasivo relacionada con una dirección IP, verificar si una dirección URL está en una lista negra y otras integraciones de contexto de terceros. (Consulte Análisis de eventos crudos y metadatos en la vista Análisis de eventos).
(Versión 11.1 y superior) Vista HostsSe enumeran los hosts en los cuales se ejecutan los agentes de NetWitness Endpoint Insights. Para cada host, puede ver los procesos, los controladores, los archivos DLL, los archivos (ejecutables), los servicios y las ejecuciones automáticas que se ejecutan, así como la información relacionada con los usuarios que iniciaron sesión. Desde la vista Hosts, puede ir a las vistas Navegar y Análisis de eventos. (Consulte Investigar los hosts).
(Versión 11.1 y superior) Vista ArchivosSe enumeran archivos, como PE, Macho y ELF, que son únicos en la implementación. Para cada archivo, puede ver detalles como el tamaño de archivo, la entropía, el formato, el nombre de la empresa, la firma y la suma de comprobación. Desde la vista Archivos, puede ir a las vistas Navegar y Análisis de eventos. (Consulte Investigar los archivos)
Vista Malware AnalysisSi está ejecutando un dispositivo Malware Analysis, puede escanear los archivos de manera manual o automática y ver los resultados de cuatro tipos de análisis: red, estático, comunidad y sandbox. Si un archivo es malware, puede ir a la vista Hosts para ver qué hosts descargaron el archivo. (Consulte Realización de un análisis de malware

Cada situación es única en términos de los tipos de información que el analista intenta encontrar. Muchas de las investigaciones comienzan en una vista y terminan en otra a medida que el analista aprende algo y, a continuación, debe seguir ese resultado hacia otra línea de indagación. En esta figura se muestra el flujo de trabajo general de una investigación.

High-Level Investigate Workflow

Enfoque en los metadatos, la consulta y el tiempo

Los analistas usan NetWitness Investigate para buscar eventos que impulsen el flujo de trabajo de respuesta ante incidentes y para realizar análisis estratégico después de que otra herramienta ha generado un evento. Comienzo en las vistas Navegar, Eventos o Análisis de eventos:

  • Lo primero es ejecutar una consulta en un servicio para un rango de tiempo específico y, a continuación, filtrar mediante metadatos a un subconjunto de eventos, reconstruir o analizar un evento y repetir el proceso para reconstruir o analizar otro evento.
  • Cuando encuentra un evento que presenta un examen más detallado, usted observa el contexto en torno al evento y decide si desea crear un incidente o agregar el evento a un incidente. Si decide no agregar el evento a un incidente, debe ejecutar otra consulta para obtener más información valiosa, con lo cual se vuelve a comenzar al principio del flujo de trabajo.
  • Si observa actividad o archivos sospechosos en un host específico en la red, puede recopilar información adicional sobre el host y los archivos que se encuentran en el host en las vistas Hosts y Archivos o en un servidor de NetWitness Endpoint independiente.
  • Si encuentra un archivo o un evento que posiblemente contiene malware, puede realizar un escaneo de Malware Analysis del archivo o puede abrir Malware Analysis e iniciar un escaneo del servicio en el cual se observó el evento.

Por ejemplo, si hay alguna preocupación respecto de tráfico sospechoso con otros países, la clave de metadatos País de destino revela todos los destinos y la frecuencia del contacto. El desglose a estos valores genera los datos específicos del tráfico, como la dirección IP del originador y el destinatario. La comprobación de otros metadatos puede exponer la naturaleza los archivos adjuntos intercambiados entre las dos direcciones IP.

Enfoque en el análisis de terminales

Los analistas usan las vistas Hosts y Archivos para investigar o realizar un análisis de los hosts o los archivos mediante varios atributos, como dirección IP, nombre de host, dirección Mac, etc.

  • Durante un triage de incidentes en la vista Respond, revise la información clave (como el nombre de host o el nombre de archivo) y vea los puntos destacados de contexto.
  • Cambie a Investigate para abrir la vista Navegar. Seleccione el grupo de metadatos Análisis de Endpoint y revise los metadatos creados.
  • Vea los metadatos en la vista Análisis de eventos para analizar los eventos. Seleccione la búsqueda de hosts mediante el panel Metadatos de eventos.
  • En la vista Hosts, haga clic en el nombre de host para ver el resumen de los datos de terminales, las instantáneas, las configuraciones de seguridad, etc.
  • Realice un escaneo según demanda para obtener la información más reciente (si es necesario).
  • Busque en todas las instantáneas un nombre de archivo, una ruta o un hash específicos para limitar la búsqueda.
  • Revise los procesos, las ejecuciones automáticas, los archivos, las bibliotecas, los controladores y la información del sistema para realizar una investigación más detallada.
  • En la vista Archivos, filtre los archivos mediante algunos indicadores (por ejemplo, nombre de archivo, tamaño de archivo, entropía, formato, nombre de la empresa, firma y suma de comprobación) y cambie a la vista Navegar para ver si existen en otros hosts de la red.

Enfoque en incidentes y alertas de NetWitness Respond

Un analista que trabaja en un incidente o una alerta en NetWitness Respond puede abrirlos en NetWitness Investigate (vista Navegar) para realizar un análisis más detallado del evento o la alerta.

  • El flujo de trabajo para responder a un incidente suele comenzar en la vista Respond, donde el analista que investiga un incidente debe reunir inteligencia sobre el incidente en NetWitness Investigate. Después de iniciar una investigación desde NetWitness Respond, las claves de metadatos definidas se consultan y el contenido de eventos de paquetes, registros y terminales capturados se muestra en la vista Navegar.
  • Si encuentra eventos que son pertinentes al incidente, puede agregarlos a este en Respond. También puede crear un nuevo incidente en Respond en función de uno o más eventos encontrados en Investigate.

Vistas de NetWitness Investigate

En esta sección se proporciona una breve descripción y un ejemplo de cada vista principal (Navegar, Eventos, Análisis de eventos, Hosts, Archivos y Malware Analysis) y se presentan vistas que ofrecen dos funcionalidades de análisis en profundidad: contexto adicional para los datos encontrados y reconstrucción de eventos.

Vista Navegar

La vista Navegar permite desglosar a eventos de paquetes, registros y terminales capturados, y consultar su contenido en un Broker, un Concentrator o un Decoder (aunque la investigación de un Decoder no es común).

  • Cuando selecciona un servicio, se consultan las claves de metadatos definidas para ese servicio y se devuelven los valores junto con la cantidad de eventos. Si se hace clic en un valor en cualquier nivel determinado, se revelan los resultados en detalle.
  • Para ciertas claves de metadatos configuradas, como la dirección IP o el nombre de host, puede buscar información de contexto adicional en torno a un valor mediante Context Hub. El contexto adicional puede incluir incidentes, alertas y otros orígenes en los cuales se mencionó el valor.
  • La vista Navegar también proporciona una visualización secuencial de los datos en un cronograma. Aquí puede acercar un período seleccionado.

En esta figura se ilustra la vista Navigate.

the Navigate view with Context Lookup panel open

Vista Eventos

La vista Eventos proporciona una vista de eventos de paquetes, registros y terminal en formato de lista que permite ver los eventos de manera secuencial y reconstruirlos con seguridad.

  • Puede abrir la vista Eventos para un valor de metadatos que ve en la vista Navegar.
  • Para aquellos analistas que no tienen los privilegios suficientes para navegar a un servicio, la vista Eventos es una vista de investigación independiente en la cual pueden acceder a una lista de eventos de red, registro y terminal desde un servicio NetWitness Suite Core sin necesidad de desglosar primero a través de los metadatos.
  • La vista Eventos presenta información de eventos en tres formatos estándar: una lista de eventos en cuadrícula simple, una lista de eventos detallada y una vista de registros.
  • Puede exportar eventos y archivos asociados, y crear un incidente a partir de un evento.

En esta figura se ilustra la vista Eventos.

the Events view

Vista Análisis de eventos

La vista Análisis de eventos es una herramienta interactiva que permite que los analistas vean los paquetes, el texto o los archivos de un evento con indicaciones visuales para ciertos tipos de información. Distinta información es pertinente según el tipo de reconstrucción, por ejemplo, paquetes, texto o archivos.

  • Cuando se observan archivos, puede exportarlos en un archivo zip al sistema de archivos local.
  • Puede descargar registros desde la vista de texto y exportar paquetes desde la vista de paquetes.

Esta figura es un ejemplo de la vista Análisis de eventos.

example of the Event Analysis view

Vista Hosts

La vista Investigar > Hosts enumera todos los hosts que tienen un agente. De forma predeterminada, los hosts se enumeran en función de la hora del último escaneo, y los hosts escaneados más recientemente ocupan la parte superior de la lista. Esta vista proporciona la funcionalidad de desglosar a los detalles del host para realizar una investigación.

Esta figura es un ejemplo de la vista Hosts.

Hosts View

En esta vista, puede:

  • Filtrar y ordenar los hosts para limitar la investigación de estos
  • Exportar los atributos de los hosts a un archivo CSV
  • Iniciar o detener un escaneo de los hosts seleccionados
  • Desglosar para obtener detalles de los hosts
  • Cambiar a las vistas Navegar o Análisis de eventos para investigar acerca de los hosts
  • Eliminar hosts

Note: Si su implementación cuenta con NetWitness Endpoint 4.4.0.2 o superior, se enumeran los hosts en los cuales está instalado el agente 4.4.0.2, los que se pueden identificar mediante la versión del agente. Para obtener más información sobre cómo puede investigar estos hosts, consulte Investigar los hosts de NetWitness Endpoint 4.4.0.2 o superior.

Para ver los detalles de un host, haga clic en el nombre de host. Se muestra la siguiente pantalla:

Host Details View

Puede realizar lo siguiente:

  • Buscar en todas las instantáneas (nombre de archivo, ruta de archivo y suma de comprobación SHA-256 de archivo son los campos de búsqueda compatibles).
  • Ver múltiples instantáneas. De forma predeterminada, se muestran los datos de la instantánea más reciente.
  • Ver información adicional acerca de los hosts en las siguientes pestañas: Descripción general, Procesos, Ejecuciones automáticas, Archivos, Controlador, Bibliotecas e Información del sistema.
  • Exportar todas las categorías de datos de terminales del host seleccionado para una instantánea específica en el formato JSON.

Vista Archivos

La vista Archivos proporciona una lista de archivos únicos que se encuentran en la implementación y sus propiedades asociadas. De forma predeterminada, los archivos se enumeran en función de la hora en que se vieron por primera vez. Durante el escaneo se recopilan los siguientes tipos de archivos cargados en la memoria.

  • Archivo portable ejecutable (PE) (Windows): Estos son archivos exe, dll y sys. Puede ver las siguientes propiedades para cada archivo: suma de comprobación, detalles de compilación, diferentes secciones presentes en el archivo, bibliotecas importadas y detalles del certificado (firmante, huella digital y nombre de la empresa).

  • Macho (Mac): Estos son paquetes de aplicaciones, dylibs y extensiones de kernel. Puede ver las siguientes propiedades para cada archivo: suma de comprobación, diferentes secciones presentes en el archivo, bibliotecas importadas y detalles del certificado (firmante, huella digital y nombre de la empresa).
  • Formato ejecutable y vinculable (ELF) (Linux): Cada archivo contiene información acerca de la suma de comprobación, diferentes secciones presentes en el archivo y bibliotecas importadas. Puede ver las siguientes propiedades para cada archivo: suma de comprobación, diferentes secciones presentes en el archivo y bibliotecas importadas.

Esta figura es un ejemplo de la vista Archivos.

Files View

En la vista Archivos, puede realizar lo siguiente:

  • Filtrar y ordenar los archivos para limitar la investigación
  • Cambiar a las vistas Navegar o Análisis de eventos para investigar acerca de los archivos
  • Exportar los archivos a un archivo CSV

Vista Malware Analysis

La vista Malware Analysis proporciona una forma de analizar determinados tipos de objetos de archivos (como archivo ejecutable portátil de Windows (PE), PDF y MS Office) para evaluar la probabilidad de que un archivo sea malicioso.

  • Puede abrir la vista Malware Analysis directamente o puede usar una acción del menú contextual para Escanear para encontrar malware a partir de un valor de metadatos en un punto de desglose actual desde la vista Navegar.
  • El analista de malware puede aprovechar los módulos de puntaje de múltiples niveles para establecer prioridades entre la enorme cantidad de archivos capturados, con el fin de concentrar los esfuerzos de análisis en los archivos que tienen más probabilidad de ser maliciosos.

En esta figura se ilustra la vista Malware Analysis.

example of the Malware Analysis Summary of Events

Información contextual para un evento

En las vistas Navegar y Eventos, el panel Búsqueda de contexto muestra detalles acerca de los elementos asociados con un evento (dirección IP, usuario, host, dominio, dirección MAC, nombre de archivo y hash de archivo) en Context Hub.

  • Puede interactuar con los elementos de un evento para obtener más información valiosa, la cual incluye incidentes relacionados, alertas, listas personalizadas, recursos de Archer, detalles de Active Directory e IIOC de NetWitness Endpoint.
  • Puede hacer clic en un punto de datos para volver a la vista Navegar.

En la siguiente figura se muestra el panel Búsqueda de contexto en la Navigate view.

the Context Lookup panel in the Navigate view

Note: Para NetWitness Endpoint, la búsqueda de contexto solo está disponible para los hosts de NetWitness Endpoint 4.4.0.2 o superior, pero no para los hosts de NetWitness Endpoint 11.1.

Reconstrucción de evento

Tres vistas de NetWitness Investigate ofrecen la capacidad de reconstruir un evento: las vistas Navegar, Eventos y Análisis de eventos. Cuando descubre un evento que amerita una investigación adicional, puede reconstruirlo de forma segura en un formato similar a su forma nativa. La representación de eventos restringe el uso de código dinámico o activo que podría incluir el evento para limitar cualquier resultado adverso en el sistema o el navegador. La caché se utiliza para mejorar el rendimiento cuando se observan eventos vistos anteriormente. Cada analista tiene una caché de datos de reconstrucción por separado y solo se puede acceder a eventos reconstruidos en la caché propia.

La Reconstrucción de evento en las vistas Eventos o Navegar presenta los datos crudos y las claves y los valores de metadatos para un evento en un formato de lista.

  • Puede navegar por las páginas de la reconstrucción para ver el evento siguiente en este formato.
  • Los eventos se pueden reconstruir con diferentes métodos según el tipo de datos: metadatos, texto, hexadecimal, paquetes, web, correo, archivos o la mejor reconstrucción seleccionada automáticamente.
  • Puede exportar archivos de captura de paquetes, extraer archivos y exportar los valores de metadatos para el evento. Esta figura es un ejemplo de la Reconstrucción de evento.

the Event Reconstruction view

En la vista Análisis de eventos se presenta una reconstrucción interactiva del evento, la que incluye datos crudos, claves de metadatos y valores. Opciones interactivas:

  • Resalte y decodifique la información de los encabezados y las cargas útiles.
  • Identifique las firmas de los archivos comunes.
  • Puede buscar ubicaciones de ciertas claves de metadatos o valores en la reconstrucción.
  • Puede exportar eventos y archivos.

Esta figura es un ejemplo de una reconstrucción en la vista Análisis de eventos.

example of a reconstruction in the Event Analysis view

You are here
Table of Contents > Cómo funciona NetWitness Investigate

Attachments

    Outcomes