La vista Lista de alertas (RESPOND > Alertas) permite ver todas las alertas y los indicadores de amenazas que recibió NetWitness Platform en una sola ubicación. Esto puede incluir alertas recibidas desde ESA Correlation Rules, ESA Analytics, NetWitness Endpoint, Malware Analysis, Reporting Engine y muchos otros. La vista Lista de alertas permite navegar por diversas alertas, filtrarlas y agruparlas para crear incidentes.
Flujo de trabajo
En este flujo de trabajo se muestra el proceso general que usan los analistas para revisar alertas y crear incidentes.
En la vista Lista de alertas, puede revisar una lista de alertas de todos los orígenes que recibió NetWitness Platform. Después de eso, puede investigar esas alertas más a fondo y crear incidentes a partir de ellas, o puede crear reglas de incidentes para crear incidentes.
Nota: Puede usar Detección de amenazas automatizadas de NetWitness Platform para crear incidentes sin crear reglas manualmente.
¿Qué desea hacer?
*Puede realizar estas tareas aquí (es decir, en la vista Lista de alertas).
Temas relacionados
Vista rápida
Para acceder a la vista Lista de alertas, vaya a RESPONDER > Alertas. La vista Lista de alertas muestra una lista de todas las alertas y los indicadores que recibió la base de datos de Respond Server en NetWitness Platform. En la siguiente figura se muestra el panel Filtros a la izquierda.
La vista Lista de alertas consta de un panel Filtros, una Lista de alertas y un panel Descripción general de alertas. Puede hacer clic en una alerta de la Lista de alertas para ver el panel Descripción general de alertas a la derecha.
Lista de alertas
En la Lista de alertas se muestran todas las alertas de NetWitness Platform. Puede filtrar esta lista para mostrar solo las alertas de interés.
| Permite seleccionar una o más alertas que se eliminarán. Los usuarios con los permisos adecuados, como los administradores y los encargados de la privacidad de datos, pueden eliminar las alertas. |
CREADO | Muestra la fecha y la hora en que se registró la alerta en el sistema de origen. |
GRAVEDAD | Muestra el nivel de gravedad de la alerta. Los valores varían entre 1 y 100. |
NAME | Muestra una descripción básica de la alerta. |
ORIGEN | Muestra el origen original de la alerta. El origen de las alertas puede ser NetWitness Endpoint, Malware Analysis, ESA Correlation Rules, ESA Analytics, Reporting Engine y muchos otros. |
CANTIDAD DE EVENTOS | Indica la cantidad de eventos que se incluyen dentro de una alerta. esto varía según el origen de la alerta. Por ejemplo, las alertas de NetWitness Endpoint y Malware Analysis siempre tienen un evento. Para ciertos tipos de alertas, una alta cantidad de eventos puede significar que la alerta es más riesgosa. |
RESUMEN DE HOST | Muestra detalles del host, como el nombre del host donde se activó la alerta. Los detalles pueden incluir información acerca de los hosts de origen y destino en una alerta. Algunas alertas pueden describir eventos en más de un host. |
ID del incidente | Muestra el ID del incidente de la alerta. Si no hay un ID del incidente, la alerta no pertenece a ningún incidente y se puede crear uno para incluirla o se puede agregar a un incidente existente. |
En la parte inferior de la lista, puede ver la cantidad de alertas que se muestran en la página actual, la cantidad total de alertas y la cantidad de alertas seleccionadas. Por ejemplo: Mostrando 377 de 377 elementos | 3 seleccionado(s)
Panel Filtros
En la siguiente figura se muestran los filtros disponibles en el panel Filtros.
El panel Filtros, a la izquierda de la vista Lista de alertas, tiene opciones que puede usar para filtrar la lista de alertas. Cuando sale del panel Filtros, la vista Lista de alertas conserva sus selecciones de filtros.
|
RANGO DE TIEMPO | Puede seleccionar un período específico en la lista desplegable Rango de tiempo. El rango de tiempo se basa en la fecha de recepción de las alertas. Por ejemplo, si selecciona Última hora, puede ver las alertas que se recibieron en los últimos 60 minutos. |
RANGO DE FECHAS PERSONALIZADO | Puede especificar un rango de fechas determinado en lugar de seleccionar una opción de Rango de tiempo. Para ello, haga clic en el círculo blanco frente a Rango de fechas personalizado para ver los campos Fecha de inicio y Fecha de finalización. Seleccione las fechas y las horas en el calendario.
 |
TIPO | Indica el tipo de eventos en la alerta; por ejemplo, registros, sesiones de red, etc. |
ORIGEN | Muestra el origen original de la alerta. El origen de las alertas puede ser NetWitness Endpoint, Malware Analysis, Event Stream Analysis (ESA Correlation Rules), ESA Analytics, Reporting Engine, Web Threat Detection y muchos otros. |
GRAVEDAD | Muestra el nivel de gravedad de la alerta. Los valores varían entre 1 y 100. |
PARTE DE INCIDENTE | Categoriza las alertas en función de si están o no asociadas con un incidente. Seleccione Sí para ver las alertas que son parte de un incidente. Seleccione No para ver las alertas que no son parte de ningún incidente. Por ejemplo, antes de crear incidentes a partir de alertas, tal vez desee seleccionar No con el fin de ver solo las alertas que no forman parte de un incidente. |
NOMBRES DE ALERTA | Muestra el nombre de la alerta. Puede utilizar este filtro para buscar todas las alertas que genera una regla o un origen específicos, por ejemplo, IP maliciosa: Reporting Engine. |
Restablecer filtros | Quita las selecciones de filtros. |
La Lista de alertas muestra las alertas que cumplen con los criterios de selección. Puede ver la cantidad de elementos de la lista filtrada en la parte inferior de la lista de alertas. Por ejemplo: Mostrando 30 de 30 elementos
Panel Descripción general
El panel Descripción general muestra información de resumen básica acerca de una alerta seleccionada y de metadatos de alertas crudas. El panel Descripción general de la vista Detalles de la alerta contiene la misma información, pero en la vista Detalles de la alerta, puede expandir el panel para ver más información.
En la siguiente tabla se indican los campos que se muestran en el panel Descripción general de alertas.
<Nombre de alerta> | Muestra el nombre de la alerta. |
ID del incidente | Muestra el ID del incidente asociado con la alerta. Puede hacer clic en el vínculo de ID del incidente para ir a la vista Detalles de incidente del incidente asociado. Si no hay ningún ID de incidente, la alerta no pertenece a un incidente. Puede crear un incidente para esta alerta o puede agregarla a un incidente. |
Creado | Muestra la fecha y la hora en que se creó la alerta. |
Gravedad | Muestra el nivel de gravedad de la alerta. Los valores varían entre 1 y 100. |
Origen | Muestra el origen original de la alerta. El origen de las alertas puede ser NetWitness Endpoint, Malware Analysis, ESA Correlation Rules, ESA Analytics, Reporting Engine y muchos otros. |
Tipo | Indica el tipo de eventos en la alerta; por ejemplo, registros, sesiones de red, etc. |
Cantidad de eventos | Indica la cantidad de eventos que se incluyen dentro de una alerta. esto varía según el origen de la alerta. Por ejemplo, las alertas de NetWitness Endpoint y Malware Analysis siempre tienen un evento. Para ciertos tipos de alertas, una alta cantidad de eventos puede significar que la alerta es más riesgosa. |
Alerta cruda | Muestra los metadatos de alertas crudas. |
Acciones de la barra de herramientas
En esta tabla se enumeran las acciones de la barra de herramientas disponibles en la vista Lista de alertas.
|
 | Permite abrir el panel Filtros, de modo que pueda especificar las alertas que desearía ver en la Lista de alertas. |
 | Cierra el panel. |
Botón Crear incidente | Permite crear incidentes a partir de alertas. Las alertas no pueden formar parte de un incidente. Para obtener una lista de alertas sin incidentes, puede filtrar la Lista de alertas. En la sección PARTE DE INCIDENTE, seleccione No. |
Botón Agregar a incidente | (Esta opción está disponible en la versión 11.1 y superior). Permite agregar las alertas seleccionadas a un incidente. Las alertas no pueden formar parte de un incidente. Para obtener una lista de alertas sin incidentes, puede filtrar la Lista de alertas. En la sección PARTE DE INCIDENTE, seleccione No. |
Botón Eliminar | Permite eliminar alertas. |