Respond: Revisión de alertas

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

NetWitness Suite permite ver una lista consolidada de alertas de amenazas generadas a partir de varios orígenes en una ubicación. Puede encontrar estas alertas en la vista RESPOND > Alertas. El origen de las alertas puede ser ESA Correlation Rules, ESA Analytics, NetWitness Endpoint, Malware Analysis, Reporting Engine y muchos otros. Puede ver el origen original de las alertas, su gravedad y detalles adicionales acerca de estas.

Nota: Las alertas de reglas de correlación de ESA SOLO se pueden encontrar en la vista RESPOND > Alertas.

Para administrar mejor una gran cantidad de alertas, tiene la capacidad de filtrar la lista de alertas en función de criterios que usted especifica, como la gravedad, el rango de tiempo y el origen de las alertas. Por ejemplo, tal vez desee filtrar las alertas para mostrar solo aquellas cuya gravedad está entre 90 y 100, y que aún no forman parte de un incidente. A continuación, puede seleccionar un grupo de alertas para crear un incidente o para agregarlo a un incidente existente.

Puede realizar los siguientes procedimientos para revisar y administrar las alertas:

Ver alertas

En la vista Lista de alertas, puede navegar para explorar las diversas alertas de múltiples orígenes, filtrarlas y agruparlas para crear incidentes. En este procedimiento se muestra cómo acceder a la lista de alertas.

  1. Vaya a RESPONDER > Alertas.
    La vista Lista de alertas muestra una lista de todas las aletas de NetWitness Suite.
    Alerts List view
  2. Desplácese por la lista de alertas, la que muestra información básica acerca de cada alerta, como se describe en la siguiente tabla.
                                       
Columna

Descripción

CREADOMuestra la fecha y la hora en que se registró la alerta en el sistema de origen.
GRAVEDADMuestra el nivel de gravedad de la alerta. Los valores varían entre 1 y 100.
NAMEMuestra una descripción básica de la alerta.
ORIGEN Muestra el origen original de la alerta. El origen de las alertas puede ser NetWitness Endpoint, Malware Analysis, Event Stream Analysis (ESA Correlation Rules), ESA Analytics, Reporting Engine, Web Threat Detection y muchos otros.
CANTIDAD DE EVENTOSIndica la cantidad de eventos que se incluyen dentro de una alerta. esto varía según el origen de la alerta. Por ejemplo, las alertas de NetWitness Endpoint y Malware Analysis siempre tienen un evento. Para ciertos tipos de alertas, una alta cantidad de eventos puede significar que la alerta es más riesgosa.
RESUMEN DE HOSTMuestra detalles del host, como el nombre del host donde se activó la alerta. Los detalles pueden incluir información acerca de los hosts de origen y destino en una alerta. Algunas alertas pueden describir eventos en más de un host.
ID del incidenteMuestra el ID del incidente de la alerta. Si no hay un ID del incidente, la alerta no pertenece a ningún incidente y se puede crear uno para incluirla o se puede agregar a un incidente existente.

En la parte inferior de la lista, puede ver la cantidad de alertas que se muestran en la página actual y la cantidad total de alertas. Por ejemplo: Mostrando 377 de 377 elementos

Filtrar la Lista de alertas

La cantidad de alertas en la Lista de alertas puede ser muy alta, lo que dificulta la localización de determinadas alertas. El filtro permite ver las alertas que desea ver, por ejemplo, las alertas de un origen específico, las alertas con una gravedad específica, las alertas que no forman parte de un incidente, etc.

  1. Vaya a RESPONDER > Alertas.
    El panel Filtros aparece a la izquierda de la Lista de alertas. Si no ve el panel Filtros, en la barra de herramientas de la vista Lista de alertas, haga clic en Filter icon para abrirlo.
    Alerts List Filter panel
  2. En el panel Filtros, seleccione una o más opciones para filtrar la lista de alertas:
    • RANGO DE TIEMPO: Puede seleccionar un período específico en la lista desplegable Rango de tiempo. El rango de tiempo se basa en la fecha en que se recibieron las alertas. Por ejemplo, si selecciona Última hora, verá las alertas que se recibieron en los últimos 60 minutos.
    • RANGO DE FECHAS PERSONALIZADO: Puede especificar un rango de fechas determinado en lugar de seleccionar una opción de Rango de tiempo. Para ello, haga clic en el círculo blanco frente a RANGO DE FECHAS PERSONALIZADO para ver los campos Fecha de inicio y Fecha de finalización. Seleccione las fechas y las horas en el calendario.
      Custom Date Range option in the filter
    • TIPO: Seleccione el tipo de eventos en la alerta que desea ver, por ejemplo, registros, sesiones de red, etc.
    • ORIGEN: Seleccione uno o más orígenes para ver las alertas que activaron los orígenes seleccionados. Por ejemplo, para ver solo las alertas de NetWitness Endpoint, seleccione Endpoint como el origen.
    • GRAVEDAD: Seleccione el nivel de gravedad de las alertas que desea ver. Los valores son del 1 al 100. Por ejemplo, para concentrarse en las alertas con gravedad más alta en primer lugar, tal vez desee ver solo las alertas con una gravedad entre 90 y 100.
    • PARTE DE INCIDENTE: Para ver solo las alertas que no forman parte de un incidente, seleccione No. Para ver solo las alertas que forman parte de un incidente, seleccione . Por ejemplo, cuando esté listo para crear un incidente a partir de un grupo de alertas, puede seleccionar No con el fin de ver solo las alertas que no forman parte de ningún incidente en ese momento.
    • NOMBRES DE ALERTA: Seleccione el nombre de la alerta que desea ver. Puede utilizar este filtro para buscar todas las alertas que genera una regla o un origen específicos, por ejemplo, IP maliciosa: Reporting Engine.

    La Lista de alertas muestra las alertas que cumplen con los criterios de selección. Puede ver la cantidad de elementos de la lista filtrada en la parte inferior de la lista de alertas.
    Por ejemplo: Mostrando 30 de 30 elementos

  3. Si desea cerrar el panel Filtros, haga clic en X. Los filtros permanecen en su lugar hasta que los quita.

Quitar los filtros de la Lista de alertas

NetWitness Suite recuerda las selecciones de filtros en la vista Lista de alertas. Puede quitar las selecciones de filtros cuando ya no las necesite. Por ejemplo, si no ve la cantidad de alertas que espera o que desea ver, o desea ver todas las alertas en la lista de alertas, puede restablecer los filtros.

  1. Vaya a RESPONDER > Alertas.
    El panel Filtros aparece a la izquierda de la lista de alertas. Si no ve el panel Filtros, en la barra de herramientas de la vista Lista de alertas, haga clic en Filter icon para abrirlo.
  2. En la parte inferior del panel Filtros, haga clic en Restablecer filtros.

Ver información de resumen de las alertas

Además de ver la información básica acerca de una alerta, también puede ver los metadatos de la alerta cruda en el panel Descripción general.

  1. En la Lista de alertas, haga clic en la alerta que desea ver.
    El panel Descripción general de la alerta aparece a la derecha de la Lista de alertas.
    Alerrts View showing Overview panel
  2. En la sección Alerta cruda, puede desplazarse para ver los metadatos de la alerta cruda.
    Alert Overview panel

Ver detalles de los eventos de una alerta

Una vez que revisa la información general acerca de la alerta en la vista Lista de alertas, puede ir a la vista Detalles de la alerta para obtener información más detallada con el fin de determinar la acción requerida. Una alerta contiene uno o más eventos. En la vista Detalles de la alerta, puede desglosar a una alerta para obtener detalles adicionales sobre el evento e investigar la alerta más a fondo. En la siguiente figura se muestra un ejemplo de la vista Detalles de la alerta.

Alert Details view showing the Events panel

 

El panel Descripción general de la izquierda tiene la misma información para una alerta que el panel Descripción general de la vista Lista de alertas.

El panel Eventos de la derecha muestra información acerca de los eventos, como la hora del evento, la dirección IP de origen, la dirección IP de destino, la dirección IP del detector, el usuario de origen, el usuario de destino e información de los archivos acerca de los eventos. La cantidad de información que se muestra depende del tipo de evento.

Hay dos tipos de eventos:

  • Una transacción entre dos máquinas (un origen y un destino)
  • Una anomalía detectada en una máquina (un detector)

Algunos eventos solo tendrán un detector. Por ejemplo, NetWitness Endpoint busca malware en una máquina. Otros eventos tendrán un origen y un destino. Por ejemplo, los datos de paquetes muestran la comunicación entre una máquina y un dominio de comando y control (C2).

Puede desglosar aún más a un evento para obtener datos detallados acerca de este.

Para ver detalles de los eventos de una alerta:

  1. Para ver los detalles de los eventos de una alerta, en la vista Lista de alertas, elija una alerta que desee ver y, a continuación, haga clic en el vínculo de la columna NOMBRE correspondiente a esa alerta.
    Alerts List showing Name link
    La vista Detalles de la alerta muestra el panel Descripción general en el lado izquierdo y el panel Eventos en el lado derecho.
    Alert Details view showing the Events panel
    El panel Eventos muestra una lista de eventos con información acerca de cada uno de ellos. En la siguiente tabla se muestran algunas de las columnas que pueden aparecer en la Lista de eventos (tabla Eventos).
  2.                                                

    Columna

    Descripción

    TIEMPOMuestra la hora en que se produjo el evento.
    TIPOMuestra el tipo de alerta, como Registro y Red.
    DIRECCIÓN IP DE ORIGENMuestra la dirección IP de origen si hubo una transacción entre dos máquinas.
    DIRECCIÓN IP DE DESTINOMuestra la dirección IP de destino si hubo una transacción entre dos máquinas.
    IP DE DETECTORMuestra la dirección IP de la máquina en la que se detectó una anomalía.
    USUARIO DE ORIGENMuestra el usuario de la máquina de origen.
    USUARIO DE DESTINOMuestra el usuario de la máquina de destino.
    NOMBRE DE ARCHIVOMuestra el nombre del archivo, si hubo uno implicado en el evento.
    HASH DE ARCHIVOMuestra un hash del contenido del archivo.

    Si solo hay un evento en la lista, verá los detalles de ese evento en lugar de una lista.

  3. Haga clic en un evento de la Lista de eventos para ver sus detalles.
    En este ejemplo se muestran los detalles del primer evento de la lista.
    Event Details showing first event
  4. Utilice la navegación de la página a la derecha del botón Volver a tabla para ver otros eventos. En este ejemplo se muestran los detalles del último evento de la lista.
    Event Details showing the navigation options in the last event in the alert

Consulte Vista Detalles de la alerta para obtener información detallada acerca de los datos de eventos que se enumeran en el panel Detalles de la alerta.

Investigar eventos

Para investigar más a fondo los eventos, puede encontrar vínculos que lo llevan a información contextual adicional. Desde allí, hay opciones disponibles según su selección.

Ver información contextual

En la vista Detalles de la alerta, puede ver entidades subrayadas en el panel Eventos. Una entidad subrayada se considera una entidad en Context Hub y tiene información contextual adicional disponible. En la siguiente figura se muestran entidades subrayadas en la Lista de eventos.

Events panel - Event list showing underlined entities

En la siguiente figura se muestran entidades subrayadas en Detalles de eventos.

Events panel - Event details showing underlined entities

Context Hub está preconfigurado con campos de metadatos mapeados a las entidades. NetWitness Respond e Investigation usan estos mapeos predeterminados para la búsqueda de contexto. Para obtener información acerca de cómo agregar claves de metadatos, consulte “Configurar ajustes para un origen de datos” en la Guía de configuración de Context Hub.

Precaución: Para que la búsqueda de contexto funcione de manera correcta en las vistas Respond e Investigate, al mapear claves de metadatos en la pestaña ADMINISTRAR > SISTEMA > Investigaciones > Búsqueda de contexto, RSA recomienda agregar únicamente claves de metadatos a los mapeos de claves de metadatos, no campos de MongoDB. Por ejemplo, ip.address es una clave de metadatos e ip_address no lo es (es un campo de MongoDB).

Para ver información contextual:

  1. En Detalles de eventos o en la Lista de eventos de la vista Detalles de la alerta, coloque el cursor sobre una entidad subrayada.
    Aparece un mensaje de globo de contexto con un resumen rápido del tipo de datos de contexto que está disponible para la entidad seleccionada.
    Events panel - Event details showing context tooltip
    El mensaje de globo de contexto tiene dos secciones: Puntos destacados de contexto y Acciones.
    Context tooltip
    La información de la sección Puntos destacados de contexto lo ayuda a determinar las acciones que desea realizar. Muestra la cantidad de alertas e incidentes relacionados. Según los datos, tal vez pueda hacer clic en estos elementos numerados para obtener más información. En el ejemplo anterior se muestran 238 incidentes relacionados, 8,755 alertas relacionadas y una lista relacionada de Context Hub.

    En la sección Acciones se enumeran las acciones disponibles. En el ejemplo anterior, están disponibles las opciones Cambiar a Investigate, Cambiar a Endpoint y Agregar/eliminar de la lista.
  2. Para ver más detalles acerca de la entidad seleccionada, haga clic en el botón Ver contexto.
    Se abre el panel de contexto, el cual muestra toda la información relacionada con la entidad.
    El Panel Búsqueda de contexto: Vista Respond proporciona información adicional.

Agregar una entidad a una lista blanca

Puede agregar cualquier entidad subrayada a una lista, como una lista blanca o una lista negra, desde un mensaje de globo de contexto. Por ejemplo, para reducir los falsos positivos, tal vez desee incluir en la lista blanca un dominio subrayado con el fin de excluirlo de las entidades relacionadas.

  1. En Detalles de eventos o en la Lista de eventos de la vista Detalles de la alerta, coloque el cursor sobre la entidad subrayada que desea agregar a una lista de Context Hub.
    Aparece un mensaje de globo de contexto que muestra las acciones disponibles.
    Events panel showing Add/Remove From List option
  2. En la sección Acciones del mensaje de globo, haga clic en Agregar/eliminar de la lista.
    El cuadro de diálogo Agregar/eliminar de la lista muestra las listas disponibles.
    Add/Remove From List dialog
  3. Seleccione una o más listas y haga clic en Guardar.
    La entidad aparece en las listas seleccionadas.
    El Cuadro de diálogo Agregar/eliminar de la lista proporciona información adicional.

Crear una lista blanca

Puede crear una lista blanca en Context Hub de la misma manera en que lo haría en la vista Detalles de incidente. Consulte Crear una lista.

Cambiar a NetWitness Endpoint

Si la aplicación del cliente grueso de NetWitness Endpoint está instalada, puede iniciarla mediante el mensaje de globo de contexto. Desde allí, puede investigar más a fondo una dirección IP, una dirección MAC o un host sospechosos.

  1. En Detalles de eventos o en la Lista de eventos de la vista Detalles de la alerta, coloque el cursor sobre cualquier entidad subrayada para acceder al mensaje de globo de contexto.
  2. En la sección ACCIONES del mensaje de globo, seleccione Cambiar a Endpoint.
    La aplicación del cliente grueso de NetWitness Endpoint se abre fuera del navegador web.

Para obtener más información sobre el cliente grueso, consulte la Guía del usuario de NetWitness Endpoint.

Cambiar a Investigation

Si desea realizar una investigación más completa del incidente, puede acceder a la vista Investigate.

  1. En Detalles de eventos o en la Lista de eventos de la vista Detalles de la alerta, coloque el cursor sobre cualquier entidad subrayada para acceder al mensaje de globo de contexto.
  2. En la sección ACCIONES del mensaje de globo, seleccione Cambiar a Investigate.
    Se abre la vista Navegar de Investigate, la que permite realizar una investigación más detallada.

Para obtener más información, consulte la Guía del usuario de NetWitness Investigate.

Crear un incidente manualmente

Puede crear incidentes manualmente a partir de alertas en la vista Lista de alertas. Las alertas que selecciona no pueden formar parte de otro incidente. Los incidentes que se crean manualmente a partir de alertas se configuran de manera predeterminada con prioridad Baja, pero puede cambiar la prioridad después de crearlos. No puede agregar categorías a los incidentes creados manualmente.

Nota: Los incidentes se pueden crear manual o automáticamente. Una alerta solo se puede asociar a un incidente. Puede crear reglas de incidentes para analizar las alertas recopiladas y agruparlas en incidentes en función de las reglas con las cuales coinciden. Para obtener detalles, consulte el tema “Crear una regla de incidentes para alertas” en la Guía de configuración de NetWitness Respond.

Para crear un incidente manualmente:

  1. Vaya a RESPONDER > Alertas.
  2. Seleccione una o más alertas en la Lista de alertas.

    Nota: La selección de alertas que no tienen ID de incidente habilita el botón Crear incidente. Si la alerta ya forma parte de un incidente, el botón está deshabilitado. Puede filtrar alertas que no forman parte de un incidente mediante la opción PARTE DE INCIDENTE configurada en No en el panel Filtros.

    Alerts List showing three alerts selected

  3. Haga clic en Crear incidente.

    Se muestra el cuadro de diálogo Crear incidente.

    Create Incident dialog with Example name

  4. En el campo NOMBRE DEL INCIDENTE, escriba un nombre para identificar el incidente. Por ejemplo, Investigate - IP.
  5. Haga clic en Aceptar.
    Alerts List showing successful incident creation
    .

    Verá un mensaje de confirmación que indica que se creó un incidente a partir de las alertas seleccionadas. El nuevo ID de incidente aparece como un vínculo en la columna ID de incidente de las alertas seleccionadas. Si hace clic en el vínculo, se dirigirá a la vista Detalles de incidente correspondiente a este incidente, donde puede actualizar la información, como cambiar la prioridad de baja a alta.

Agregar alertas a un incidente

Nota: Esta opción está disponible en la versión 11.1 y superior.

Si tiene alertas que se ajustan a un incidente existente específico, no necesita crear un incidente nuevo. En su lugar, puede agregar alertas a ese incidente desde la vista Lista de alertas. Las alertas que selecciona no pueden formar parte de otro incidente.

  1. Vaya a RESPONDER > Alertas.
  2. En la Lista de alertas, seleccione una o más alertas que desee agregar a un incidente y haga clic en Agregar a incidente.

    Nota: La selección de alertas que no tienen ID de incidente habilita el botón Agregar a incidente. Si la alerta ya forma parte de un incidente, el botón está deshabilitado. Puede filtrar alertas que no forman parte de un incidente mediante la opción PARTE DE INCIDENTE configurada en No en el panel Filtros.

    Alerts List showing two alerts selected

  3. En el cuadro de diálogo Agregar a incidente, escriba al menos tres caracteres en el campo Buscar para buscar el incidente por Nombre o ID de incidente.
    Add to Incident dialog showing search option
  4. En la lista de resultados, seleccione el incidente que recibirá las alertas seleccionadas y haga clic en Aceptar.
    Add to Incident dialog showing an incident selected in the search results
    Una o más alertas seleccionadas son ahora parte del incidente elegido y tendrán un ID de incidente.

Eliminar alertas

Los usuarios con los permisos adecuados, como los administradores y los encargados de la privacidad de datos, pueden eliminar las alertas. Este procedimiento es útil cuando desea quitar alertas innecesarias o irrelevantes. La eliminación de estas alertas libera espacio en disco.

  1. Vaya a RESPONDER > Alertas.
    La vista Lista de alertas muestra una lista de todas las aletas de NetWitness Suite.
  2. En la Lista de alertas, seleccione las alertas que desea eliminar y haga clic en Eliminar.
    Remedation Tasks list with tasks selected for delete
    Si no tiene permiso para eliminar las alertas, no verá el botón Eliminar.
  3. Confirme su intención de eliminar las alertas y haga clic en Aceptar.
    Confirm Delete dialog
    Las alertas se eliminan de NetWitness Suite. Si una alerta eliminada es la única alerta en un incidente, el incidente también se elimina. Si la alerta eliminada no es la única alerta en un incidente, el incidente se actualiza para reflejar la eliminación.
 
You are here
Table of Contents > Revisión de alertas

Attachments

    Outcomes