Investigar: Buscar contexto adicional en las vistas Navegar y Eventos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Apr 24, 2019
Version 4Show Document
  • View in full screen mode
 

 

En las vistas Eventos y Navegar, puede buscar detalles e inteligencia acerca de los elementos asociados a un evento en Context Hub. (En la versión 11.2 y superior, también puede buscar contexto adicional en la vista Análisis de eventos, como se describe en Buscar contexto adicional en la vista Análisis de eventos). Estos elementos, o entidades, son identificadores; por ejemplo, una dirección IP, un nombre de usuario, un nombre de host, un nombre de dominio, un nombre de archivo o un hash de archivo. Los datos de los orígenes configurados, como RSA NetWitness Endpoint, pueden ayudarlo a comprender lo que está sucediendo.

Nota: Para habilitar la visualización de información contextual, el administrador debe agregar el servicio Context Hub en RSA NetWitness Platform y configurar orígenes de datos para este servicio, como se describe en la Guía de configuración de Context Hub. Los analistas también necesitan una función que tenga el permiso Context Lookup, como se describe en “Permisos de funciones” y en “Administrar usuarios con funciones y permisos” en la Guía de administración de usuarios y de la seguridad del sistema. Vaya a la Tabla maestra de contenido para buscar todos los documentos de NetWitness Platform Logs & Network 11.x.

Context Hub es un servicio centralizado que agrega datos acerca de las entidades de varios orígenes de datos configurables. Estos datos pueden ampliar su investigación con contexto adicional más allá de los resultados inmediatos de una consulta específica. Por ejemplo, Context Hub puede indicar si una entidad determinada se ha mencionado en incidentes, alertas, feeds o publicaciones de inteligencia de comunidades.

En las vistas Navegar y Eventos, las entidades para las que están disponibles datos de contexto asociados se destacan con un fondo gris; si se coloca el cursor sobre una entidad, se activa un cuadro que proporciona un resumen de los datos disponibles. Cuando se hace clic con el botón secundario en la entidad, Context Hub consulta la información pertinente en los orígenes de datos configurados y el panel Búsqueda de contexto se abre desde el lado derecho de la ventana del navegador. Este panel se completa con la información de Context Hub a medida que queda disponible. Puede realizar otra búsqueda haciendo clic con el botón secundario en otra entidad. El panel Búsqueda de contexto se actualiza con la información de esa entidad.

example of the Navigate view with the Context Lookup panel open

En el panel Búsqueda de contexto, puede ver y explorar orígenes de datos individuales para realizar una investigación más a fondo. Para obtener una descripción detallada de la información que se muestra para cada origen de datos, consulte Panel Búsqueda de contexto.

Para ver información en el panel Búsqueda de contexto de las vistas Navegar o Eventos:

  1. Coloque el cursor sobre distintos valores de metadatos para ver los orígenes de datos en los que hay datos disponibles.
    Un cuadro activado con el puntero muestra una lista de los orígenes de datos que tienen datos de contexto disponibles para el valor de metadatos. Los siguientes son los posibles orígenes de datos: NetWitness Endpoint, Incidentes, Alertas, Hosts, Archivos, Feeds y Live Connect.
  2. Haga clic con el botón secundario en un valor de metadatos y haga clic en Búsqueda de contexto en el menú desplegable para abrir el panel Búsqueda de contexto.
    This is the menu with Context Lookup
    El panel Búsqueda de contexto se abre desde el lado derecho de la ventana del navegador. Este panel se completa con la información de Context Hub a medida que queda disponible.
  3. Para realizar acciones desde el panel Búsqueda de contexto, haga clic con el botón secundario en una entidad, como una dirección IP.
    Las siguientes opciones se encuentran disponibles: Abrir el vínculo en una nueva pestaña, Consultar en Investigate, Copiar vínculo, Pegar, Búsqueda de Google, Búsqueda de VirusTotal y Consultar en Endpoint.

  4. Para cerrar el panel Búsqueda de contexto, haga clic en X en el panel.
 
You are here
Table of Contents > Consulta y realización de acciones en datos en las vistas Navegar y Eventos > Buscar contexto adicional en las vistas Navegar y Eventos

Attachments

    Outcomes