Investigate: Ver el contexto adicional de un punto de datos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

 

En las vistas Eventos o Navegar, puede consultar detalles e inteligencia acerca de los elementos asociados a un evento en Context Hub. Los datos de los orígenes configurados, como RSA NetWitness Endpoint, pueden ayudarlo a comprender lo que está sucediendo.

Estos elementos, o entidades, son identificadores, por ejemplo, una dirección IP, un nombre de usuario, un nombre de host, un nombre de dominio, un nombre de archivo o un hash de archivo. Para buscar información externa acerca de una entidad determinada, NetWitness Suite utiliza Context Hub. Context Hub es un servicio centralizado que agrega datos acerca de las entidades de varios orígenes de datos configurables. Estos datos pueden ampliar su investigación con contexto adicional más allá de los resultados inmediatos de una consulta específica. Por ejemplo, Context Hub puede indicar si una entidad determinada se ha mencionado en incidentes, alertas, feeds o publicaciones de inteligencia de comunidades.

Cuando hace clic con el botón secundario en la entidad en Investigate, Context Hub consulta los orígenes de datos configurados para obtener información pertinente. El panel Búsqueda de contexto se abre desde el lado derecho de la ventana del navegador. Este panel se completa con la información de Context Hub a medida que queda disponible.

Para realizar otra búsqueda, haga clic con el botón secundario en otra entidad. El panel Búsqueda de contexto se actualiza con la información de esa entidad.

Para cerrar el panel Búsqueda de contexto, haga clic en X en el panel.

En el panel Búsqueda de contexto, puede ver y explorar orígenes de datos individuales para realizar una investigación más a fondo. Por ejemplo, cuando hace clic en el valor de un determinado incidente, los detalles específicos del incidente se muestran en la vista Responder.

Para obtener una descripción detallada de la información que se muestra para cada origen de datos en el panel Búsqueda de contexto, consulte Panel Búsqueda de contexto.

Antes de que un analista pueda ver información contextual, el administrador debe:

  • Asegurarse de que el analista tenga una función con el permiso Context Lookup, como se describe en “Permisos de función” y en “Administrar usuarios con funciones y permisos” en la Guía de administración de usuarios y de la seguridad del sistema.
  • Agregar el servicio Context Hub en RSA NetWitness Suite.
  • Configurar orígenes de datos para el servicio Context Hub como se describe en la Guía de configuración de Context Hub.

Note: Go to the Master Table of Contents for NetWitness Logs & Packets 11.x to find all NetWitness Suite 11.x documents.

Para ver información en el panel Resumen de contexto:

  1. En las vistas Navegar o Eventos, identifique un valor de metadatos para el que desee ver contexto adicional y coloque el cursor sobre este valor.
    El panel Puntos destacados de contexto se muestra con un resumen rápido del tipo de datos de contexto que está disponible para el origen de datos: NetWitness Endpoint, Incidentes, Alertas, Hosts, Archivos, Feeds y Live Connect.
  2. Haga clic con el botón secundario en un valor de metadatos y haga clic en Búsqueda de contexto en el menú desplegable para abrir el panel Búsqueda de contexto.
    This is the menu with Context Lookup
    El panel Resumen de contexto se abre desde el lado derecho de la ventana del navegador. Este panel se completa con la información de Context Hub a medida que queda disponible.
  3. Para realizar acciones desde el panel de contexto, haga clic en una entidad, como una dirección IP, y haga clic con el botón secundario.
    Las siguientes opciones se encuentran disponibles: Abrir el vínculo en una nueva pestaña, Consultar en Investigate, Copiar vínculo, Pegar, Búsqueda de Google, Búsqueda de VirusTotal y Consultar en Endpoint.

 
You are here
Table of Contents > Consulta y realización de acciones en datos en las vistas Navegar y Eventos > Ver el contexto adicional de un punto de datos

Attachments

    Outcomes