Respond: Vista Detalles de incidente

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

La vista Detalles de incidente (RESPOND > Incidentes > haga clic en un hipervínculo de ID o NOMBRE en la Lista de incidentes) permite ver y acceder a amplios detalles de los incidentes. La vista Detalles de incidente contiene varios paneles que proporcionan los siguientes beneficios:

  • Descripción general: Vea un resumen del incidente y actualícelo.
  • Indicadores: Vea los indicadores (alertas) involucrados en el incidente, los eventos dentro de esas alertas e información de enriquecimiento disponible.
  • Gráfico de nodos: Visualice el tamaño y las interacciones entre las entidades (dirección IP, dirección MAC, usuario, host, dominio, nombre de archivo o hash de archivo).
  • Hoja de datos Eventos: Estudie los eventos asociados con el incidente.
  • Registro: Agregue notas y colabore con otros analistas.
  • Tareas: Cree tareas de incidentes y rastréelas hasta su cierre.
  • Indicadores relacionados: Vea los indicadores (alertas) que se relacionan con el incidente y agréguelos al incidente sin no están asociadas con uno.

También puede filtrar los datos en la vista Detalles de incidente para estudiar indicadores y entidades de interés.

Flujo de trabajo

En este flujo de trabajo se muestra el proceso general que usan los encargados de respuesta ante incidentes para responder ante incidentes en NetWitness Suite.

Incident Details view workflow diagram

En la vista Detalles de incidente, puede usar la amplia información que se proporciona acerca de los incidentes para determinar los incidentes que requieren una acción. También dispone de herramientas e información para investigar el incidente y, a continuación, elevarlo o corregirlo.

¿Qué desea hacer?

                                                                                             
Función Deseo…Mostrarme cómo

Encargados de respuesta ante incidentes, analistas y administrador del SOC

Ver los incidentes a los cuales se les dio prioridad, filtrar y ordenar la lista de incidentes, buscar incidentes, ver mis incidentes y asignar incidentes a uno mismo.

Revisar la lista de incidentes ordenados por prioridad

Encargados de respuesta ante incidentes, analistasVer detalles de incidentes.*Ver detalles de incidentes
Encargados de respuesta ante incidentes, analistasVer alertas y enriquecimientos.*Ver los indicadores y los enriquecimientos
Encargados de respuesta ante incidentes, analistasVer eventos.*Ver y estudiar los eventos
Encargados de respuesta ante incidentes, analistasVer un gráfico de las entidades involucradas en los eventos.*Ver y estudiar las entidades involucradas en los eventos
Encargados de respuesta ante incidentes, analistasFiltrar los datos de los incidentes.*Filtrar los datos en la vista Detalles de incidente
Encargados de respuesta ante incidentes, analistasVer y agregar notas sobre los incidentes.*Ver notas sobre los incidentes y Documentar los pasos realizados fuera de NetWitness
Encargados de respuesta ante incidentes, analistasVer y crear tareas.*Ver las tareas asociadas a un incidente y Crear una tarea
Encargados de respuesta ante incidentes, analistasAgregar alertas relacionadas y agregarlas al incidente.*Buscar indicadores relacionados y Agregar indicadores relacionados al incidente
Encargados de respuesta ante incidentes, analistasVer información contextual acerca de un incidente desde Context Hub.*Ver información contextual
Encargados de respuesta ante incidentes, analistas

Reducir los falsos positivos mediante la adición de una entidad a la lista blanca.*

Agregar una entidad a una lista blanca

Encargados de respuesta ante incidentes, analistas

Cambiar a Investigation.*

Cambiar a Investigate

Encargados de respuesta ante incidentes, analistasCambiar a NetWitness Endpoint.*Cambiar a NetWitness Endpoint
Encargados de respuesta ante incidentes, analistasActualizar o cerrar un incidente.*

Actualizar un incidente y Cerrar un incidente

Encargados de respuesta ante incidentes, analistas y administrador del SOCVer todas las tareas.

Elevar o corregir el incidente

Encargados de respuesta ante incidentes, analistas y administrador del SOCActualizar incidentes y tareas de manera masiva.Elevar o corregir el incidente

*Puede realizar estas tareas aquí (es decir, en la vista Detalles de incidente).

Temas relacionados

Vista rápida

En el siguiente ejemplo se muestran las ubicaciones de los paneles de la vista Detalles de incidente.

Incident Details view Quick Look Diagram

                                 
1 Panel Descripción general (haga clic en la pestaña DESCRIPCIÓN GENERAL para verlo).
2 Panel Indicadores
3 Gráfico de nodos
4 Hoja de datos Eventos (haga clic en un evento de la Lista de eventos para ver Detalles de eventos).
5 Panel Registro
6Panel Tareas (haga clic en la pestaña TAREAS para verla).
7 Panel Indicadores relacionados (haga clic en la pestaña RELACIONADO para verla).

Panel Descripción general

El panel Descripción general muestra información de resumen básica acerca de un incidente seleccionado. También permite cambiar el nombre del incidente y actualizar la prioridad, el estado y el usuario asignado del incidente. El panel Descripción general de la vista Lista de incidentes contiene la misma información. En el tema Panel Descripción general de la vista Lista de incidentes se proporcionan detalles.

Incident Details view Overview Panel

Panel Indicadores

El panel Indicadores contiene una lista cronológica de indicadores. Los indicadores son alertas, como una alerta de ESA o una alerta de NetWitness Endpoint. (Esto difiere de un cronograma, el cual proporciona una representación visual de los tiempos de los eventos en el incidente). Esta lista permite conectar indicadores con datos relevantes. Por ejemplo, una dirección IP conectada a una alerta de ESA de comando y comunicación también podría haber activado una alerta de NetWitness Endpoint u otras actividades sospechosas.

Para ver el panel Indicadores, en el panel izquierdo de la vista Detalles de incidente, seleccione INDICADORES.

Incident Details view Indicators panel

La información del origen de datos se muestra debajo de los nombres de los indicadores. También puede ver la fecha y la hora de creación del indicador y la cantidad de eventos que incluye.

Gráfico de nodos

El gráfico de nodos es un gráfico interactivo que muestra las entidades involucradas en el incidente. Una entidad es un elemento de metadatos especificado, como una dirección IP, una dirección MAC, un usuario, un host, un dominio, un nombre de archivo o un hash de archivo.

Nodal Graph example

Nodos

En el gráfico de nodos, los círculos representan nodos. En la siguiente tabla se describen los tipos de nodo del gráfico de nodos.

                                        
NodoDescripción

Dirección IP

Si el evento es una anomalía detectada, puede ver una dirección IP del detector. Si el evento es una transacción, puede ver una dirección IP de destino y una dirección IP de origen.

Dirección MAC

Puede ver una dirección MAC para cada tipo de dirección IP.

Usuario

Si la máquina está asociada a un usuario, puede ver un nodo de usuario.
HostUn host puede ser un equipo físico o una máquina virtual, designados con un nombre de dominio calificado o una dirección IP, en los cuales están instalados los servicios.

Dominio

 

Nombre del archivoSi el evento implica archivos, puede ver un nombre de archivo.

Hash de archivo

Si el evento implica archivos, puede ver un hash de archivo.

La leyenda en la parte inferior del gráfico de nodos muestra la cantidad de nodos de cada tipo y la codificación en colores de los nodos. También ayuda a localizar las entidades cuando se aplica hash a los valores, como las direcciones IP.

Puede hacer clic en cualquier nodo y arrastrarlo para cambiar su ubicación.

Flechas

Las flechas entre los nodos ofrecen información adicional acerca de las relaciones entre las entidades. En la siguiente tabla se describen los tipos de flecha del gráfico de nodos.

                                    
FlechaDescripción
Se comunica conUna flecha entre un nodo de máquina de origen (dirección IP o dirección MAC) y un nodo de máquina de destino etiquetada con “Se comunica con” muestra la dirección de la comunicación.
ComoUna flecha entre los nodos etiquetada con “Como” proporciona información adicional sobre la dirección IP que señala la flecha. Por ejemplo, si hay una flecha desde el círculo del nodo de host que señala a un nodo de dirección IP, la cual está etiquetada con “Como”, esta indica que el nombre en el círculo del nodo de host es el nombre de host de esa dirección IP y no una entidad distinta.
Tiene archivoUna flecha entre un nodo de máquina (dirección IP, dirección MAC o host) y un nodo de hash de archivo etiquetada con “Tiene” indica que la dirección IP tiene ese archivo.
UsaUna flecha entre un nodo de usuario y un nodo de máquina (dirección IP, dirección MAC o host) etiquetada con “Usos” muestra la máquina que utilizó el usuario durante el evento.
Se denominaUna flecha desde un nodo de hash de archivo a un nodo de nombre de archivo etiquetada con “Se denomina” indica que el hash de archivo corresponde a un archivo con ese nombre.
Pertenece aUna flecha entre dos nodos etiquetada con “Pertenece a” indica que se relaciona con el mismo nodo. Por ejemplo, una flecha entre una dirección MAC y un host etiquetada “Pertenece a” indica que es la dirección MAC del host.

Las flechas con mayores tamaños de línea indican que hay más comunicación entre los nodos. Los nodos (círculos) más grandes indican mayor actividad en comparación con los nodos más pequeños. Los nodos de mayor tamaño son las entidades más comunes que se mencionan en los eventos.

Hoja de datos Eventos

La hoja de datos Eventos muestra los eventos asociados con el incidente. Muestra información acerca de los eventos, como la hora del evento, la dirección IP de origen, la dirección IP de destino, la dirección IP del detector, el usuario de origen, el usuario de destino e información de los archivos acerca de los eventos. La cantidad de información que se muestra depende del tipo de evento.

La hoja de datos Eventos muestra una Lista de eventos para varios eventos o Detalles de eventos para un único evento.

Lista de eventos

En la siguiente figura se muestra la Lista de eventos.

Incident Details view Events List

En la siguiente tabla se describen las columnas de la Lista de eventos.

                                                                           

Columna

Descripción

TIEMPOMuestra la hora en que se produjo el evento.
TIPOMuestra el tipo de alerta, como Registro y Red.
DIRECCIÓN IP DE ORIGENMuestra la dirección IP de origen si hubo una transacción entre dos máquinas.
PUERTO DE ORIGENMuestra el puerto de origen de la transacción. Los puertos de origen y destino pueden estar en la misma dirección IP.
HOST DE ORIGENMuestra el host de destino donde se produjo el evento.
MAC DE ORIGENMuestra la dirección MAC de la máquina de origen.
USUARIO DE ORIGENMuestra el usuario de la máquina de origen.
DIRECCIÓN IP DE DESTINOMuestra la dirección IP de destino si hubo una transacción entre dos máquinas.
PUERTO DE DESTINOMuestra el puerto de destino de la transacción. Los puertos de origen y destino pueden estar en la misma dirección IP.
HOST DE DESTINOMuestra el nombre del HOST de la máquina de destino.
MAC DE DESTINOMuestra la dirección MAC de la máquina de destino.
USUARIO DE DESTINOMuestra el usuario de la máquina de destino.
IP DE DETECTORMuestra la dirección IP de la máquina en la que se detectó una anomalía.
NOMBRE DE ARCHIVOMuestra el nombre del archivo, si hubo uno implicado en el evento.
HASH DE ARCHIVOMuestra un hash del contenido del archivo.

Detalles de eventos

Para ver los detalles del evento, haga clic en un evento en la lista de eventos. Si solo hay un evento en la lista, verá los detalles de ese evento en lugar de una lista.

Incident Details view Event Details

Panel Registro

El registro del incidente muestra el historial de actividad en un incidente.

Incident Details view Journal panel

En la siguiente tabla se describen las opciones de Nueva entrada de diario.

                        
CampoDescripción

Nueva entrada de diario

Escriba una nota en el campo.

Punto de control

(Opcional) Seleccione un punto de control, si corresponde. Este campo se utiliza para rastrear los eventos significativos para el incidente.

Botón Enviar

Haga clic en Enviar para agregar una entrada al registro. Cualquier persona que vea el incidente podrá ver la entrada del registro.

Panel Tareas

En el panel Tareas, puede administrar y rastrear las tareas del incidente hasta su cierre.

Incident Details view Tasks panel

En la siguiente tabla se describen los campos de Tarea.

                                                
CampoDescripción

<ID de tarea>/<ID de incidente>

El ID de tarea/ID de incidente generado automáticamente que está asociado con la tarea.

CREADO

La fecha de creación de la tarea.

ÚLTIMA ACTUALIZACIÓN

La fecha en que la tarea se modificó por última vez.

ABIERTAEl tiempo que ha transcurrido desde que se abrió la tarea. Por ejemplo, hace 3 minutos o hace 2 días.

NAME

El nombre de la tarea. Por ejemplo: Re-image the machine. Puede hacer clic en este campo para editarlo.

USUARIO ASIGNADOEl nombre del usuario a quien se asignó la tarea. Puede hacer clic en este campo para editarlo.

PRIORIDAD

La prioridad de la tarea: Baja, Media, Alta o Crítica. Puede hacer clic en el botón Prioridad y seleccionar una prioridad nueva para la tarea en la lista desplegable.

ESTADOEl estado de la tarea: Nuevo, Asignado, En Curso, Corregido, Riesgo aceptado y No aplicable. Puede hacer clic en el botón Estado y seleccionar un estado nuevo para la tarea en la lista desplegable.

DESCRIPCIÓN

Escriba información que describa la tarea. Tal vez desee incluir números de referencia correspondientes. Puede hacer clic en este campo para editarlo.

Panel Indicadores relacionados

El panel Indicadores relacionados permite buscar alertas que están relacionadas con este incidente en la base de datos de alertas de NetWitness Suite. Puede agregar las alertas que encuentra al incidente si aún no están asociadas a un incidente.

Incident Details view Related Indicators panel

En la siguiente tabla se describen los campos de la sección de búsqueda de la parte superior del panel.

                            
CampoDescripción

Buscar

Seleccione la entidad que desea buscar en las alertas. Por ejemplo, IP.

Valor

Escriba el valor de la entidad. Por ejemplo, escriba la dirección IP real de la entidad.

Cuándo

Seleccione un rango de tiempo para buscar las alertas. Por ejemplo, Últimas 24 horas.

Botón Buscar

Inicia la búsqueda. Aparece una lista de indicadores relacionados debajo del botón Buscar en la sección Indicadores para.

En la siguiente tabla se describen las opciones de la sección Indicadores para (resultados) en la parte inferior del panel.

                            
OpciónDescripción
Indicadores para: Muestra los resultados de la búsqueda.
Vínculo Abrir en una nueva ventanaMuestra detalles de la alerta para el indicador.

Botón Agregar a incidente

Agregar el indicador relacionado al incidente. El indicador relacionado se agrega al panel Indicadores.

Botón Parte de este incidente

Muestra que el indicador ya forma parte del incidente.

Acciones de la barra de herramientas

                                                 
OpciónDescripción
Back to Alerts icon (arrow pointing left)

(Volver a los incidentes) Permite volver a la vista Lista de incidentes.

Close (X) icon Cierra el panel.

Trash can (delete) icon

Elimina la entrada, como una tarea o una entrada del registro.

Botón Prioridad(En el panel Descripción general) Permite cambiar la prioridad de uno o más incidentes seleccionados en la Lista de incidentes.
Botón Estado(En el panel Descripción general) Permite cambiar el estado de uno o más incidentes seleccionados.
Botón Usuario asignado(En el panel Descripción general) Permite cambiar el usuario asignado de uno o más incidentes seleccionados.
View Graph icon
(Ver: Gráfico)
Permite ver el gráfico de nodos.
View Datasheet icon
(Ver: Hoja de datos)
Permite ver la hoja de datos Eventos, la que puede aparecer como una Lista de eventos para varios eventos o como Detalles de eventos para un único evento.
Journal, Tasks, and Related icon
(Registro, tareas y relacionados)
Permite ver los paneles Registro, Tareas e Indicadores relacionados.
You are here
Table of Contents > Información de referencia de NetWitness Respond > Vista Detalles de incidente

Attachments

    Outcomes