Respond: Vista Lista de alertas

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

La vista Lista de alertas (RESPOND > Alertas) permite ver todas las alertas y los indicadores de amenazas que recibió NetWitness Suite en una sola ubicación. Esto puede incluir alertas recibidas desde ESA Correlation Rules, ESA Analytics, NetWitness Endpoint, Malware Analysis, Reporting Engine y muchos otros. La vista Lista de alertas permite navegar por diversas alertas, filtrarlas y agruparlas para crear incidentes.

Flujo de trabajo

En este flujo de trabajo se muestra el proceso general que usan los analistas para revisar alertas y crear incidentes.

Incident List view workflow diagram

En la vista Lista de alertas, puede revisar una lista de alertas de todos los orígenes que recibió NetWitness Suite. Después de eso, puede investigar esas alertas más a fondo y crear incidentes a partir de ellas, o puede crear reglas de incidentes para crear incidentes.

Nota: Puede usar Detección de amenazas automatizadas de NetWitness Suite para crear incidentes sin crear reglas manualmente.

¿Qué desea hacer?

                                                          
FunciónDeseo…Mostrarme cómo
Encargados de respuesta ante incidentes,
analistas
Ver todas las alertas en NetWitness Suite.*Ver alertas
Encargados de respuesta ante incidentes,
analistas
Filtrar alertas.*Filtrar la Lista de alertas

Encargados de respuesta ante incidentes,
analistas

Ver información de descripción general de alertas y metadatos de alertas crudas.*

Ver información de resumen de las alertas

Encargados de respuesta ante incidentes,
analistas
Crear incidentes a partir de alertas.*Crear un incidente manualmente

Encargados de respuesta ante incidentes,
analistas

(Disponible en la versión 11.1 y superior) Agregar alertas a un incidente existente.*

Agregar alertas a un incidente

Administradores,
encargados de la privacidad de datos

Eliminar alertas.*

Eliminar alertas

Administradores del SOC,
administradores
Crear reglas de incidentes.

Consulte “Crear una regla de incidentes para alertas” en la Guía de configuración de NetWitness Respond.

Encargados de respuesta ante incidentes, analistas Investigar los eventos en una alerta.

Ver detalles de los eventos de una alerta e Investigar eventos

Encargados de respuesta ante incidentes,
analistas

Agregar alertas relacionadas a un incidente existente.

Agregar indicadores relacionados al incidente

*Puede realizar estas tareas aquí (es decir, en la vista Lista de alertas).

Temas relacionados

Vista Lista de alertas

Para acceder a la vista Lista de alertas, vaya a RESPONDER > Alertas. La vista Lista de alertas muestra una lista de todas las alertas y los indicadores que recibió la base de datos de Servidor de Respond en NetWitness Suite. En la siguiente figura se muestra el panel Filtros a la izquierda.

Alerts List view

La vista Lista de alertas consta de un panel Filtros, una Lista de alertas y un panel Descripción general de alertas. Puede hacer clic en una alerta de la Lista de alertas para ver el panel Descripción general de alertas a la derecha.

Alerts List view showing the Alert Overview panel

Lista de alertas

En la Lista de alertas se muestran todas las alertas de NetWitness Suite. Puede filtrar esta lista para mostrar solo las alertas de interés.

Alerts List

                                           
Columna

Descripción

Checkbox icon Permite seleccionar una o más alertas que se eliminarán. Los usuarios con los permisos adecuados, como los administradores y los encargados de la privacidad de datos, pueden eliminar las alertas.
CREADOMuestra la fecha y la hora en que se registró la alerta en el sistema de origen.
GRAVEDAD Muestra el nivel de gravedad de la alerta. Los valores varían entre 1 y 100. 
NAMEMuestra una descripción básica de la alerta.
ORIGEN Muestra el origen original de la alerta. El origen de las alertas puede ser NetWitness Endpoint, Malware Analysis, ESA Correlation Rules, ESA Analytics, Reporting Engine y muchos otros.
CANTIDAD DE EVENTOSIndica la cantidad de eventos que se incluyen dentro de una alerta. esto varía según el origen de la alerta. Por ejemplo, las alertas de NetWitness Endpoint y Malware Analysis siempre tienen un evento. Para ciertos tipos de alertas, una alta cantidad de eventos puede significar que la alerta es más riesgosa.
RESUMEN DE HOSTMuestra detalles del host, como el nombre del host donde se activó la alerta. Los detalles pueden incluir información acerca de los hosts de origen y destino en una alerta. Algunas alertas pueden describir eventos en más de un host.
ID del incidenteMuestra el ID del incidente de la alerta. Si no hay un ID del incidente, la alerta no pertenece a ningún incidente y se puede crear uno para incluirla o se puede agregar a un incidente existente.

En la parte inferior de la lista, puede ver la cantidad de alertas que se muestran en la página actual, la cantidad total de alertas y la cantidad de alertas seleccionadas. Por ejemplo: Mostrando 377 de 377 elementos | 3 seleccionado(s)

Panel Filtros

En la siguiente figura se muestran los filtros disponibles en el panel Filtros.

Alerts List Filter panel

El panel Filtros, a la izquierda de la vista Lista de alertas, tiene opciones que puede usar para filtrar la lista de alertas. Cuando sale del panel Filtros, la vista Lista de alertas conserva sus selecciones de filtros.

                                            
OpciónDescripción
RANGO DE TIEMPO Puede seleccionar un período específico en la lista desplegable Rango de tiempo. El rango de tiempo se basa en la fecha de recepción de las alertas. Por ejemplo, si selecciona Última hora, verá las alertas que se recibieron en los últimos 60 minutos.
RANGO DE FECHAS PERSONALIZADO Puede especificar un rango de fechas determinado en lugar de seleccionar una opción de Rango de tiempo. Para ello, haga clic en el círculo blanco frente a Rango de fechas personalizado para ver los campos Fecha de inicio y Fecha de finalización. Seleccione las fechas y las horas en el calendario.
Custom Date Range
TIPOIndica el tipo de eventos en la alerta; por ejemplo, registros, sesiones de red, etc.

ORIGEN

Muestra el origen original de la alerta. El origen de las alertas puede ser NetWitness Endpoint, Malware Analysis, Event Stream Analysis (ESA Correlation Rules), ESA Analytics, Reporting Engine, Web Threat Detection y muchos otros.

GRAVEDADMuestra el nivel de gravedad de la alerta. Los valores varían entre 1 y 100. 

PARTE DE INCIDENTE

Categoriza las alertas en función de si están o no asociadas con un incidente. Seleccione para ver las alertas que son parte de un incidente. Seleccione No para ver las alertas que no son parte de ningún incidente. Por ejemplo, antes de crear incidentes a partir de alertas, tal vez desee seleccionar No con el fin de ver solo las alertas que no forman parte de un incidente.

NOMBRES DE ALERTA

Muestra el nombre de la alerta. Puede utilizar este filtro para buscar todas las alertas que genera una regla o un origen específicos, por ejemplo, IP maliciosa: Reporting Engine.

Restablecer filtrosQuita las selecciones de filtros.

La Lista de alertas muestra las alertas que cumplen con los criterios de selección. Puede ver la cantidad de elementos de la lista filtrada en la parte inferior de la lista de alertas. Por ejemplo: Mostrando 30 de 30 elementos

Panel Descripción general

El panel Descripción general muestra información de resumen básica acerca de una alerta seleccionada y de metadatos de alertas crudas. El panel Descripción general de la vista Detalles de la alerta contiene la misma información, pero en la vista Detalles de la alerta, puede expandir el panel para ver más información.

Alert Overview panel

En la siguiente tabla se indican los campos que se muestran en el panel Descripción general de alertas.

                                           

Campo

Descripción

<Nombre de la alerta> Muestra el nombre de la alerta.
ID del incidenteMuestra el ID del incidente asociado con la alerta. Puede hacer clic en el vínculo de ID de incidente para ir a la vista Detalles de incidente del incidente asociado. Si no hay ningún ID de incidente, la alerta no pertenece a un incidente. Puede crear un incidente para esta alerta o puede agregarla a un incidente.
CreadoMuestra la fecha y la hora en que se creó la alerta.
GravedadMuestra el nivel de gravedad de la alerta. Los valores varían entre 1 y 100. 
OrigenMuestra el origen original de la alerta. El origen de las alertas puede ser NetWitness Endpoint, Malware Analysis, ESA Correlation Rules, ESA Analytics, Reporting Engine y muchos otros.
TipoIndica el tipo de eventos en la alerta; por ejemplo, registros, sesiones de red, etc.
Cantidad de eventosIndica la cantidad de eventos que se incluyen dentro de una alerta. esto varía según el origen de la alerta. Por ejemplo, las alertas de NetWitness Endpoint y Malware Analysis siempre tienen un evento. Para ciertos tipos de alertas, una alta cantidad de eventos puede significar que la alerta es más riesgosa.
Alerta crudaMuestra los metadatos de alertas crudas.

Acciones de la barra de herramientas

En esta tabla se enumeran las acciones de la barra de herramientas disponibles en la vista Lista de alertas.

                                 
OpciónDescripción
Filter icon

Permite abrir el panel Filtros, de modo que pueda especificar las alertas que desearía ver en la Lista de alertas.

Close (X) icon

Cierra el panel.

Botón Crear incidente

Permite crear incidentes a partir de alertas. Las alertas no pueden formar parte de un incidente. Para obtener una lista de alertas sin incidentes, puede filtrar la Lista de alertas. En la sección PARTE DE INCIDENTE, seleccione No.

Botón Agregar a incidente

(Esta opción está disponible en la versión 11.1 y superior).
Permite agregar las alertas seleccionadas a un incidente. Las alertas no pueden formar parte de un incidente. Para obtener una lista de alertas sin incidentes, puede filtrar la Lista de alertas. En la sección PARTE DE INCIDENTE, seleccione No.
Botón EliminarPermite eliminar alertas.
You are here
Table of Contents > Información de referencia de NetWitness Respond > Vista Lista de alertas

Attachments

    Outcomes