Investigate: Administrar grupos de metadatos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Un grupo de metadatos combina claves de metadatos seleccionadas en un grupo para mostrar solo los datos en los cuales se encontraron claves y entidades de metadatos.

Note: En la versión 11.1 y superior, también puede usar entidades de metadatos configuradas en grupos de metadatos.

En la vista Investigate > Navegar, puede usar grupos de metadatos para filtrar los datos que se muestran en una investigación. Una instalación nueva de NetWitness Suite incluye grupos de metadatos de uso inmediato (OOTB) para ayudarlo a encontrar conjuntos de datos interesantes en Investigate. Los grupos de metadatos de uso inmediato tienen el prefijo RSA que permite su identificación y se pueden duplicar, pero no editar ni eliminar. Puede crear sus propios grupos, así como duplicar y editar un grupo de uso inmediato para crear un grupo personalizado.

Con un grupo de metadatos en vigor durante una investigación, la información del panel Valores muestra solo las claves de metadatos del grupo seleccionado. Cuando abre una visualización de coordenadas paralelas, las claves y las entidades de metadatos en un grupo aparecen como ejes de izquierda a derecha. Puede ser útil crear dos versiones de cada grupo de metadatos personalizado; una para el análisis de valores de metadatos y otra para crear un gráfico de coordenadas paralelas que se centre en un subconjunto más pequeño del mismo caso de uso.

Los grupos de metadatos personalizados están visibles para todos los usuarios de un servicio y se pueden exportar para importarlos en cualquier servicio, con la limitación de las claves de metadatos disponibles para ese servicio.

Note: cuando un administrador agrega manualmente grupos de metadatos personalizados mediante la edición del archivo de índice personalizado para un servicio, los grupos nuevos quedan disponibles para Investigation después del reinicio del servicio.

En esta sección se describe cómo agregar, editar, importar, exportar y eliminar los grupos de metadatos personalizados que se utilizarán durante la navegación en un servicio específico.

Grupos de metadatos de uso inmediato

Los grupos de metadatos de uso inmediato están integrados en RSA NetWitness Suite. Los grupos de metadatos predeterminados son útiles para centrarse en una investigación sobre casos de uso comunes y para admitir la detección de amenazas mediante RSA Hunting Pack.

Estos son los grupos de metadatos de uso inmediato:

  • Análisis de correo electrónico de RSA incluye claves de metadatos que describen las interacciones de correo electrónico.
  • Análisis de Endpoint de RSA contiene claves de metadatos que proporcionan información valiosa sobre los procesos, los archivos, los usuarios y las conexiones desde hosts de NetWitness Endpoint (NWE).
  • RSA Malware Analysis incluye claves de metadatos que marcan indicadores de riesgo en archivos contenidos en eventos.
  • HTTP de salida de RSA incluye claves de metadatos que proporcionan información valiosa sobre el tráfico web de salida.
  • Protocolos SSL/TLS de salida de RSA incluye claves de metadatos que se centran en el tráfico web cifrado.
  • Hosts de consulta de RSA incluye claves de metadatos que abarcan todas las claves de metadatos para buscar hosts.
  • IP de consulta de RSA incluye claves de metadatos que abarcan todas las claves de metadatos para buscar direcciones IP.
  • Correo de consulta de RSA incluye claves de metadatos que abarcan todas las claves de metadatos para buscar correo electrónico.
  • Usuarios de consulta de RSA incluye claves de metadatos que abarcan todas las claves de metadatos para buscar usuarios.
  • Análisis de amenazas de RSA incluye claves de metadatos que marcan amenazas potenciales en el conjunto de datos.
  • Análisis web de RSA incluye claves de metadatos que marcan anomalías en el tráfico web.

Crear un grupo de metadatos y agregar claves de metadatos

  1. Mientras investiga un servicio en la vista Investigate > Navegar, seleccione Metadatos > Administrar grupos de metadatos en la barra de herramientas.
    Se muestra el cuadro de diálogo Administrar grupos de metadatos. Inicialmente, solo los grupos de uso inmediato están configurados para un servicio y se enumeran en Nombre del grupo. Si ya se configuraron otros grupos personalizados, estos también se enumeran en Nombre del grupo.
    Manage Meta Groups Dialog
  2. En la barra de herramientas de la cuadrícula, haga clic en Add Icon.
    Se inserta una nueva fila en la parte superior de la cuadrícula Grupos de metadatos.
  3. Escriba un nombre para el grupo de metadatos nuevo y presione Intro.
    El formulario de la derecha se abre para su edición.
    Manage Meta Groups dialog ready to create a New Meta Group
  4. (Opcional) Si desea cambiar el nombre del grupo de metadatos, escriba un nuevo valor en el campo Nombre .
  5. En la barra de herramientas Claves de metadatos, haga clic en Add Icon.
    Se muestra el cuadro de diálogo Claves de metadatos disponibles con las claves en orden alfabético.
    the Available Meta Keys dialog
  6. Para filtrar la lista de claves de metadatos, escriba una palabra o una frase en el campo Filtrar y seleccione Intro.
    La lista muestra claves de metadatos coincidentes de acuerdo con una búsqueda que no distingue mayúsculas de minúsculas. Elimine el texto del filtro y presione Intro para extraer el filtro.
  7. Para seleccionar claves de metadatos para incluir en el grupo de metadatos, haga clic en las casillas de verificación. Para seleccionar todas las claves de metadatos, haga clic en la casilla de verificación de la barra de título y, a continuación, en Agregar.
    Las claves de metadatos seleccionadas se agregan a la lista Claves de metadatos.
  8. (Opcional) Si desea cambiar el orden en que las claves de metadatos se cargan y enumeran en una investigación, haga clic y arrastre una o más claves de metadatos a una nueva posición.
  9. Para terminar de crear el grupo de metadatos, realice una de estas acciones:
    1. Para guardar el grupo de metadatos, haga clic en Guardar.
      Se crea el grupo y está disponible para utilizar.
    2. Para guardar y aplicar el grupo de metadatos a la vista Investigation actual, haga clic en Guardar y aplicar.
      El grupo se crea y se aplica de inmediato a la vista Investigation actual.
  10. Haga clic en Cerrar.

Duplicar y editar un grupo de metadatos de uso inmediato

Si desea personalizar un grupo de metadatos de uso inmediato, debe duplicarlo y, a continuación, editar el duplicado.

  1. Seleccione un grupo de metadatos de uso inmediato en la cuadrícula Administrar grupos de metadatos y haga clic en .
    El formulario de la derecha se abre para su edición con todas las claves de metadatos presentes en el grupo de uso inmediato.
    Manage Meta Groups dialog with form open to select meta keys
  2. Ingrese un nombre para el grupo nuevo y continúe con la edición como se describe en “Editar un grupo de metadatos”, a continuación.

Editar un grupo de metadatos

  1. Seleccione un grupo en la cuadrícula Grupos de metadatos.
    El formulario de la derecha se abre para su edición.
    Edit Meta Group
  2. (Opcional) Editar el nombre del grupo.
  3. (Opcional) Agregar nuevas claves de metadatos, como se describe más arriba en Crear un grupo de metadatos y agregar claves de metadatos.
  4. (Opcional) Para establecer el orden de las claves, arrastre y suelte una o más claves.
  5. (Opcional) Para cambiar la vista inicial de una clave de metadatos, haga clic en View Options y seleccione una de las vistas posibles.
    Cuando modifica el grupo de metadatos, no puede establecer la clave en ABIERTO. Si cambia a ABIERTO la vista predeterminada para un grupo de claves de metadatos y algunas de las claves de metadatos no están indexadas, estas claves vuelven a AUTOMÁTICO. En consecuencia, la clave de metadatos se carga automáticamente solo si está indexada, y las claves de metadatos no indexadas se CIERRAN hasta que se abren de forma manual.
    El valor de la vista inicial se muestra en la columna Vista.
  6. Para guardar los cambios, haga clic en Guardar.
  7. Para aplicar los cambios a la actual vista Navegación, haga clic en Guardar y aplicar.

Eliminar un grupo de metadatos

  1. En la cuadrícula Grupos de metadatos, seleccione el grupo de que desea eliminar.
  2. Haga clic en Delete.
    Un cuadro de diálogo de confirmación brinda la oportunidad de cancelar o completar la solicitud.
  3. Haga clic en Aceptar.
    Se elimina el grupo de metadatos. Cuando cierra la ventana, si el grupo eliminado era el grupo de metadatos que se aplicaba actualmente, se elimina y las claves de metadatos predeterminadas se utilizan para crear la vista.

Exportar un grupo de metadatos

Los grupos de metadatos definidos por el usuario se crean en servicios individuales. Para que los grupos de metadatos estén disponibles para otro servicio, debe exportarlos a su sistema de archivos local. Para exportar uno o más grupos de metadatos:

  1. En la cuadrícula Grupos de metadatos, seleccione uno o más grupos para exportar.
  2. Haga clic en Export.
    Los grupos seleccionados se descargan en el sistema de archivos local como un archivo MetaGroups.jsn. Todas las descargas de grupos de metadatos tienen el mismo nombre con un número anexado para evitar sobrescribir las descargas anteriores.

Importar un grupo de metadatos

Para hacer que los grupos de metadatos definidos por el usuario desde otro servicio estén disponibles para el servicio que se investiga actualmente, debe importar el archivo MetaGroups.jsn desde el sistema de archivos local. Cuando se importan grupos de metadatos, se muestra un mensaje de error si alguno de los grupos ya está presente. Para importar un grupo que es un duplicado, primero debe eliminar el grupo existente. Si desea eliminar un grupo de metadatos, un perfil no puede estar usándolo.

Para importar grupos de metadatos:

  1. En la cuadrícula Grupos de metadatos, seleccione un archivo para importar y haga clic en Import.
    Se muestra el cuadro de diálogo de selección.
    Meta Group Import
  2. Haga clic en Navegar y navegue al directorio del sistema de archivos local donde se almacenan los archivos MetaGroups.jsn descargados. Seleccione un archivo y haga clic en Abrir.
    El nombre de archivo se muestra en el campo Cargar archivo.
  3. Haga clic en Cargar.
    El proceso de carga comienza y un mensaje indica que la carga se ha realizado correctamente. Los grupos de metadatos se agregan a la cuadrícula Grupo de metadatos. Si el archivo es un duplicado de un grupo de metadatos existente, un cuadro de diálogo le indica que ya existe el grupo de metadatos.
You are here
Table of Contents > Investigación de metadatos en la vista Navegar > Administrar grupos de metadatos

Attachments

    Outcomes