Vista Configuración de servicios: Pestaña Auditoría

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

En la Vista Eventos y en la Vista Eventos nuevos, panel Reconstrucción (Investigate > panel Eventos > haga clic en un evento), puede ver de manera segura la reconstrucción de un evento de interés que encuentra en la vista Navegar o en el panel Eventos.

Flujo de trabajo

¿Qué desea hacer?

                                      
Función de usuarioDeseo…Documentación

Buscador de amenazas

enviar consultaRealización de una investigación
Buscador de amenazasver los resultados de una consultaAnalizar eventos en la vista Análisis de eventos

Buscador de amenazas

reconstruir un evento*

Reconstruir un evento

Buscador de amenazasexportar archivos desde un eventoReconstruir un evento
Buscador de amenazasBuscar el contexto adicional de un eventoBúsqueda de información contextual

Temas relacionados

  • Cómo funciona NetWitness Investigate
  • Realización de una investigación
  • Analizar eventos en la vista Análisis de eventos
  • Vista Navegar
  • Vista Análisis de eventos: Panel Análisis de texto

Vista rápida

En el panel Reconstrucción de Investigate se muestra la reconstrucción de un único evento en la vista de paquetes, la vista de archivos y la vista de texto. Cuando hace clic en un evento en el panel Eventos, en el panel Reconstrucción adyacente se muestra la reconstrucción de paquetes del evento. Puede usar las opciones de la barra de herramientas Reconstrucción de evento para cambiar el tipo y la dirección de la reconstrucción (solicitud o respuesta), ocultar o mostrar el panel de encabezado y ampliar, contraer y cerrar el panel Reconstrucción de evento. Según el tipo de reconstrucción seleccionado y el contenido de la carga útil, están disponibles opciones adicionales. Por ejemplo, puede mostrar la carga útil solo en la vista de texto, descargar archivos en la vista de archivos y descargar archivos PCAP en la vista de paquetes.

El siguiente es un ejemplo de una reconstrucción de paquetes.

Event Reconstruction with labels

                                     
1Pestañas o menú desplegable para seleccionar el tipo de reconstrucción: vista de paquetes, vista de archivos y vista de texto. El tipo seleccionado se muestra en la etiqueta.
2Haga clic para ocultar o mostrar el panel del encabezado.
3Haga clic en estos íconos para mostrar la solicitud, la respuesta o ambas.
4Haga clic en este ícono para mostrar u ocultar el panel Metadatos de eventos, en el cual se proporciona una lista detallada de los metadatos asociados con el evento.
5Una opción para expandir o contraer horizontalmente el panel Reconstrucción en la vista Navegar.
6Una opción para cerrar el panel Reconstrucción.
7El encabezado muestra información de resumen del evento que se está reconstruyendo.
8Enumera cada paquete en el evento. Para cada paquete, puede ver el número del paquete, la dirección (solicitud o respuesta) y el contenido del paquete en formato binario a la izquierda, en formato hexadecimal en el centro y en formato de texto a la derecha.

Detalles de la reconstrucción de paquetes

En la reconstrucción de paquetes, Investigate proporciona el número del paquete, la dirección del paquete (solicitud o respuesta), la hora de inicio del paquete y, a continuación, el contenido del paquete.

Todos los paquetes comienzan con un encabezado y algunos de ellos tienen un pie de página. En la vista de paquetes, el encabezado y el pie de página tienen un fondo más oscuro, lo que le permite distinguirlos de la carga útil del paquete. El fondo más oscuro del encabezado y el pie de página aparece en formato hexadecimal y de texto.

a header and footer in the Packet View

El contenido del paquete se proporciona en formato hexadecimal y de texto. Los metadatos se resaltan en azul; cuando coloca el cursor sobre los metadatos, la información de clave/valor de metadatos se muestra como información en pantalla.

Opciones adicionales en la vista de paquetes incluyen la capacidad de descargar la PCAP del evento y mostrar solo las cargas útiles. Cuando solo se muestra la carga útil, puede usar la opción Sombrear bytes como ayuda para distinguir patrones en los datos.

Detalles de la reconstrucción de texto

En la reconstrucción de texto, los eventos de red y de registro se presentan de manera diferente. En el caso de los eventos de red, Investigate proporciona la dirección del paquete (Solicitud o Respuesta) y el contenido de cada paquete en formato de texto.

Para los eventos de registro (filtro por Media = Registro), no hay ninguna solicitud o respuesta; en la reconstrucción de texto solo se muestra el registro crudo.


En la vista de texto está disponible un subconjunto de opciones de reconstrucción. Puede:

  • Ocultar y mostrar el encabezado.
  • Para los eventos de red, seleccionar la visualización solo de solicitudes, solo de respuestas o ambas.
  • Para los eventos de red, exportar la sesión como un archivo PCAP.
  • Para los eventos de registro, exportar el registro crudo.
  • Cambiar entre una vista comprimida y descomprimida de las cargas útiles. Cuando la sesión está descomprimida, las partes comprimidas del texto se vuelven legibles.
  • Seleccionar el texto que se decodificará o codificará.

Nota: Esta función no está disponible para la vista de archivos, las sesiones de red no HTTP y los datos del registro.

Detalles de la reconstrucción de archivos

En la reconstrucción de archivos, Investigate presenta una lista de archivos asociados con el evento de red seleccionado.

Puede seleccionar un archivo, varios archivos o todos ellos para exportarlos al sistema de archivos local. Cuando se seleccionan archivos, el botón Exportar archivos se activa y refleja la cantidad de archivos seleccionados. Cuando se hace clic en el botón, los archivos seleccionados se exportan como un archivo zip, lo cual garantiza que la aplicación predeterminada no abra ni ejecute archivos potencialmente maliciosos. El nombre del archivo exportado usa la siguiente convención:

<service-ID or host name>_SID<nnnnnnnn>_FC<n>.zip

donde:

  • <service-ID or host name> es el nombre del servicio (por ejemplo, un Concentrator o un Broker) donde se guardó la sesión
  • SID<nnnnnnnn> es el número de ID de sesión
  • FC<nnnnnnnn> es el conteo de archivos o la cantidad de archivos que contiene el archivo.

Para impedir que un archivo se descomprima automáticamente cuando se descarga, NetWitness Suite lo exporta con protección con contraseña. Para abrir un archivo, escriba la siguiente contraseña: netwitness.

Precaución: Se recomienda tener precaución al descomprimir y abrir archivos asociados con una aplicación predeterminada; por ejemplo, una hoja de cálculo de Excel se puede abrir automáticamente en Excel antes de que usted tenga la oportunidad de verificar su seguridad.

Descripción detallada

                                           
FunciónDescripción
Menú Tipo de reconstrucciónEn este menú, puede seleccionar el tipo de reconstrucción: Paquete o Archivo. Cuando abre una reconstrucción por primera vez, NetWitness Suite elige de manera predeterminada la mejor reconstrucción.
Opciones de descargaOpciones para exportar un registro, una PCAP o archivos con el fin de realizar un análisis más detallado y compartir con otros.
Controla la visualización de un encabezado sobre la lista de paquetes; puede hacer clic en este ícono para ocultar el encabezado o mostrarlo. Cuando el encabezado se oculta, queda más espacio para la lista de paquetes y se reduce la cantidad de desplazamiento necesario para ver más paquetes.
El encabezado proporciona información sobre el evento reconstruido: el nombre del servicio que recopiló el paquete, el número de sesión o de evento, el tipo de evento (red), la IP y el puerto de origen, la IP y el puerto de destino, el tipo de servicio, la hora del primer paquete en el evento, la hora del último paquete en el evento, el tamaño del evento, el tamaño de la carga útil en bytes, el conteo de paquetes y las marcas aplicadas al evento (conservar, ensamblado, metadatos de aplicación y metadatos red).

Dos controles activan y desactivan la visualización de solicitud y respuesta (consulte Reconstrucción de un evento).

Muestra los detalles de metadatos para el evento en otro panel.

(Futuro) Menú Ajustes de configuración.
Controles de dimensionamiento para el panel Reconstrucción (consulte Reconstrucción de un evento).

Cierra el panel Reconstrucción. Ahora, la vista muestra únicamente el panel Eventos.

You are here
Table of Contents > Referencias de Malware Analysis > Vista Configuración de servicios: Pestaña Auditoría

Attachments

    Outcomes