Live: Comentarios y uso compartido de datos de Security Analytics

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se presentan las funciones comentarios y uso compartido de datos de NetWitness Suite.

La configuración de estas funciones está disponible en ADMIN > SISTEMA > vista Servicios de Live en la sección Servicios adicionales de Live.

Servicios adicionales de Live

La participación en los servicios adicionales de Live se configura en ADMIN > SISTEMA > vista Servicios de Live.


Live Feedback

Live Feedback está diseñado para ayudar a mejorar RSA NetWitness Suite.

Una vez que se configura una cuenta de Live, los datos de uso se comparten con RSA. Los datos se encuentran protegidos conforme al acuerdo de licencia correspondiente. Los datos de uso del cliente, como métricas de uso y la versión actual de los hosts de NetWitness Suite, se comparten automáticamente con RSA cuando el sistema se conecta a Internet.

Antes de que los datos se envíen a RSA, se elimina toda la información de identificación personal. Por lo tanto, solo los datos de uso anónimo se transfieren a RSA.

Para obtener más información, consulte el tema Descripción general de Live Feedback de la Guía de configuración del sistema.

RSA Live Connect

RSA Live Connect es un servicio de inteligencia de amenazas basado en la nube. Este servicio recopila, analiza y evalúa datos de inteligencia de amenazas, como direcciones IP, dominios y archivos recopilados desde diversos orígenes, incluida la comunidad de clientes de RSA NetWitness Suite y RSA ECAT. RSA Live Connect consta de las siguientes funciones:

  • Información valiosa de amenazas
  • Comportamientos de analistas

Información valiosa de amenazas

Proporciona a los analistas la oportunidad de extraer datos de inteligencia de amenazas, como información relacionada con direcciones IP, desde el servicio Live Connect para que los analistas los aprovechen durante una investigación.

De manera predeterminada, Información valiosa de amenazas está habilitada en la sección Servicios adicionales de Live. Si se configura el servicio Context Hub, Live Connect se agrega automáticamente como un origen de datos para Context Hub. Para obtener más información, consulte el tema Configurar un origen de datos de Live Connect para Context Hub en la Guía de configuración de Context Hub.

Con Live Connect como un origen de datos de Context Hub, puede usar la opción Búsqueda de contexto en Investigation > vista Navegar o en Investigation > vista Eventos para obtener información contextual. Para obtener instrucciones, consulte Ver el contexto adicional de un punto de datos.

Comportamientos de analistas

Comportamientos de analistas es una función en la cual los analistas participan en el uso compartido de datos con la comunidad de RSA. Este es un servicio de recopilación de datos automatizada. Su objetivo es compartir datos de inteligencia de amenazas potenciales en el servicio de nube de RSA Live Connect con fines de análisis. El tipo de datos que se podría compartir desde la red con RSA Live Connect incluye diversos tipos de metadatos que captura NetWitness Suite, como ip.src, ip.dst, ip.addr, device.ip, alias.ip, alias.host, paddr, sessionid, domain.dst y domain.src.

Nota: Todos los datos recopilados localmente quedan inidentificables y protegidos, y se envían de manera segura y anónima al servicio de nube de RSA Live Connect, donde se almacenan en un ambiente seguro.

Descripción

Live Connect Threat Data Sharing se desarrolló como una plataforma de uso compartido de inteligencia de amenazas basada en la comunidad.

Tiene las siguientes características y objetivos:

  • Colaboración abierta: la comunidad de RSA contribuye a la recopilación de inteligencia completa
  • Recopilar y analizar de forma centralizada los datos de la comunidad de RSA
  • Reducir el tiempo del ciclo de inteligencia de días a minutos

Algunos detalles que se deben considerar son los siguientes:

  • Se aprovecha la actividad de investigación de los analistas
  • Se recopilan metadatos, como direcciones IP y nombres de dominio
  • Se realiza un análisis exhaustivo de los datos: Tendencias, correlación y detección de anomalías
  • Se debe recordar que esta función se encuentra en versión beta

Participación

La participación del cliente es opcional. Tras la instalación inicial o una actualización a NetWitness Suite 11.0, se muestra una pantalla de confirmación. De forma predeterminada, se le incorpora al programa, pero puede salir de él en cualquier momento.

Autenticación en la nube

La autenticación para el programa se realiza en la interfaz del usuario de NetWitness Suite. Aquí debe configurar la cuenta de Live en la sección Servicios de Live.

Configuración

Para ver o cambiar la configuración de Live Connect Threat Data Sharing, en el menú de menú principal, seleccione ADMIN > SISTEMA > Servicios de Live. Seleccione o deseleccione la casilla Habilitar para participar o dejar de participar en el programa.

Recopilación de datos

Los datos se recopilan de la siguiente manera:

  • Atribución de los datos: Anónimo
  • Origen de datos: Subconjunto de claves y valores de metadatos de vistas de las páginas de un analista de NetWitness Suite desde registros de consulta de NetWitness Suite Core.
  • Proceso de recopilación de registros de consulta:

    • Periodicidad: Modo de lotes cada 24 horas (04:00 a 06:00 h UTC).
    • Log Collection: El servidor de NetWitness Suite recopila entradas de registro del dispositivo de NetWitness Suite Core de las últimas 24 horas
    • Entradas de registro: Solo se recopilan llamadas de API de valor de SDK y consulta de SDK que contienen una cláusula where.
    • Análisis de atributos de registro: En cada entrada debe estar presente uno de los siguientes indicadores de claves de metadatos: ip.src, ip.dst, ip.addr, device.ip, alias.ip, alias.host, paddr, sessionid, domain.dst o domain.src. Si es así, se recopilarán las claves y los valores de metadatos de la entrada.

    Nota: Una vez que se cumplen los criterios anteriores, NetWitness Suite envía todas las claves y los valores de metadatos de la consulta a la nube, no solo a los indicadores de claves de metadatos.

El informe de registro se envía en formato JSON a través de SSL. Incluye:

  • Registros de fecha y hora
  • Nombre de usuario de Live CMS (sha256)
  • NetWitness SuiteIdentificador de servidor de licencia (sha256)
  • Lista de ID de terminal de SA (sha256)
  • Valores de metadatos recopilados (MD5 y SHA256 con hash)

Ejemplo

En esta sección se muestran las entradas de un registro y, a continuación, la sección correspondiente de datos extrapolados.

Sección de un archivo de registro:

User admin (session 204298, 10.4.50.60:57454) has issued values (channel 205237) (thread 2332): fieldName=filter id1=1 id2=23138902 threshold=100000 size=20 flags=sessions,sort-total,order-descending,ignore-cache where="(alias.host = 'mail.google.com') && (ip.src = 161.253.31.130) && time=\"2015-12-07 18:08:00\"-\"2015-12-07 21:07:59\"“

Extrapolación de datos con aplicación de hash:

Solución de problemas

En esta sección se realiza un análisis breve de la solución de problemas de Live Connect Threat Data Sharing.

Ejemplo de recuperación de registros de consulta

Para recuperar una muestra de datos de inteligencia de amenazas enviados a Live Connect, debe formar una dirección URL mediante la configuración de los siguientes parámetros:

  • sendReport: El valor es true o false: true para enviar este informe al servidor de Live Connect. Con false, el informe solo se crea para su visualización. El valor se configura de manera predeterminada en false.
  • hashValues: El valor es true o false: true para aplicar hash a los valores, como md5/sha256. Con false, los valores se muestran en texto no cifrado; solo se debe usar para su visualización manual. Se configura de manera predeterminada en false.
  • startDate/endDate: Fechas que corresponden a los límites de tiempo de las entradas del registro. Formato: AAAA-MM-DD HH:mm:ss

El siguiente es un ejemplo de la dirección URL que se usará para recuperar registros de consulta:

https://<server>/admin/liveconnect/force_aggregation?startDate=2016-01-18%2000:00:00&endDate=2016-01-19%2010:10:00&sendReport=false&hashValues=true

Registro de sistema: Depurar

Puede acceder a cierta información de depuración de la siguiente manera.

  1. Seleccione ADMIN > SISTEMA > Registro de sistema.
  2. Seleccione la pestaña Configuración.
  3. En la sección Configuración de paquetes, seleccione com > netwitness > platform > server > liveconnect > service (DEBUG).

You are here
Table of Contents > Referencias > Comentarios y uso compartido de datos de NetWitness

Attachments

    Outcomes