Respond: Panel Búsqueda de contexto

Document created by RSA Information Design and Development Employee on Apr 30, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 5Show Document
  • View in full screen mode
 

El servicio Context Hub reúne información contextual de varios orígenes de datos en la vista Respond, lo cual permite a los analistas tomar mejores decisiones durante sus análisis y llevar a cabo las acciones correspondientes. La visualización de las entidades, los valores de metadatos y la información contextual en una única interfaz ayuda a los analistas a dar prioridad e identificar las áreas de interés. Por ejemplo, las alertas y los incidentes creados recientemente desde la vista Respond que implican una entidad o un valor de metadatos determinados se mostrarán cuando el analista realice consultas para obtener información adicional acerca de esa entidad o valor de metadatos. El panel Búsqueda de contexto muestra la información contextual de las entidades o los valores de metadatos seleccionados, como una dirección IP, un usuario, un host, un dominio, un nombre de archivo o un hash de archivo. Los datos disponibles dependen de los orígenes configurados en Context Hub.

    

El panel Búsqueda de contexto muestra la información contextual en función de los datos disponibles en los orígenes configurados en Context Hub.

¿Qué desea hacer?

                                 
FunciónDeseo…Mostrarme cómo

Encargados de respuesta ante incidentes, analistas, buscadores de amenazas

Navegar al panel Búsqueda de contexto.

Desde la vista Detalles de incidente, consulte Ver información contextual .

Desde la vista Detalles de la alerta, consulte Ver información contextual .

Encargados de respuesta ante incidentes, analistas, buscadores de amenazasComprender la información del panel Búsqueda de contexto para una entidad seleccionada.Consulte la información en este tema.

Administrador

Configurar orígenes de datos para Context Hub.Consulte “Configurar orígenes de datos para Context Hub” en la Guía de configuración de Context Hub.
AdministradorConfigurar los ajustes de Context Hub.Consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub.

Temas relacionados

Información contextual que se muestra en el panel Búsqueda de contexto

    

La información contextual o los resultados de consulta que se muestran en el panel Búsqueda de contexto dependen de la entidad seleccionada y de los orígenes de datos asociados. El panel Búsqueda de contexto tiene pestañas por separado para cada uno de los orígenes de datos. Las pestañas son: Origen de datos de Lista, Archer, Active Directory, Endpoint, Incidentes, Alertas y Live Connect. En la siguiente figura se muestra el panel Búsqueda de contexto para una entidad seleccionada en la vista Detalles de incidente con la pestaña Incidentes abierta.
Context Lookup panel Incidents tab

En la siguiente tabla se describen los datos disponibles en cada pestaña y las entidades compatibles.

                                                
PestañaDescripciónEntidades compatibles

Lists icon
(Listas)

Muestra todos los datos de lista asociados con la entidad o el valor de metadatos seleccionados. El resultado se ordena por la lista que se actualizó por última vez.

Todas las entidades

Archer icon
(Archer)
Muestra información sobre los recursos, junto con clasificaciones de criticidad que usan el origen de datos Archer.IP, host y dirección Mac

Active Directory icon
(Active Directory)

Muestra toda la información del usuario seleccionado.

Usuario

NetWitness Endpoint icon
(NetWitness Endpoint)



Muestra la información del origen de datos NetWitness Endpoint para la entidad o el valor de metadatos seleccionados, la cual incluye las máquinas, los módulos y los niveles de IIOC. Los módulos se muestran del puntaje de IOC más alto al puntaje de IIOC más bajo y los niveles de IIOC, de los más altos a los más bajos.IP, dirección de MAC y host
Incidents icon
(Incidentes)
Muestra la lista de incidentes asociados con la entidad o el valor de metadatos seleccionados. El resultado se ordena de los incidentes más recientes a los más antiguos.

Todas las entidades

Alerts icon
(Alertas)
Muestra la lista de alertas asociadas con la entidad o el valor de metadatos seleccionados. El resultado se ordena de las alertas más recientes a las más antiguas.Todas las entidades
Live Connect icon
(Live Connect)
Muestra información relacionada con Live Connect.

IP, dominio y hash de archivo

Pestaña Listas

El panel Búsqueda de contexto para Listas muestra una o más listas asociadas con la entidad o el valor de metadatos seleccionados. La siguiente figura es un ejemplo del panel de contexto para Listas y en la tabla se describen los campos.

Context Panel for Lists

                                           
CampoDescripción
NombreEl nombre de la lista (definido durante la creación de la lista).
DescripciónLa descripción de la lista (definida durante la creación de la lista).
AutorEl propietario que creó la lista.
CreadoLa fecha en que se creó la lista.
ActualizadoLa fecha en que la lista se actualizó o se modificó por última vez.
ConteoLa cantidad de listas en las cuales está disponible la entidad o el valor de metadatos seleccionados.
Ventana de tiempoLa ventana de tiempo en función del valor configurado para el campo “Consultar últimos” del cuadro de diálogo Configurar respuestas. De forma predeterminada, se obtienen todos los datos de Listas.

Última actualización

La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché.

Pestaña Archer

El panel Búsqueda de contexto para Archer muestra información sobre los recursos, junto con calificaciones de criticidad que usan el origen de datos Archer para las entidades de IP, host y dirección Mac. La siguiente figura es un ejemplo del panel Búsqueda de contexto para Archer y en la tabla se describe cada campo.


                                                               
CampoDescripción
Clasificación de criticidadLa criticidad operacional del dispositivo en función de las aplicaciones que apoya. Las clasificaciones de criticidad se pueden configurar en No clasificado, Baja, Media-baja, Media, Media-alta o Alta.
Clasificación de riesgoLa clasificación de riesgo calculada del dispositivo según la evaluación más reciente y la clasificación de riesgo promedio de las instalaciones que utilizan el dispositivo. La clasificación de riesgo se puede configurar en Grave, Alta, Mediana, Baja o Mínima.
Nombre del dispositivoEl nombre único del dispositivo.
Nombre del hostEl nombre de host del dispositivo.
Dirección IPLa dirección IP interna primaria del dispositivo.
ID de dispositivoEl valor completado automáticamente que identifica de manera única el registro en todas las aplicaciones del sistema.
TipoEl tipo de dispositivo, por ejemplo, servidor, laptop, escritorio y otros.
InstalacionesVínculos a los registros de la aplicación Instalaciones que se relacionan con este dispositivo.
Unidad de negociosVínculos a los registros de la aplicación Unidad de negocios que se relacionan con este dispositivo. Si hay más de tres valores de unidad de negocios, puede colocar el cursor sobre el campo para verlos.
Propietario de dispositivosLa persona responsable del dispositivo, quien recibe derechos de lectura y actualización del registro.

Conteo

La cantidad de recursos disponibles.

Ventana de tiempo

La ventana de tiempo en función del valor configurado para el campo “Consultar últimos” del cuadro de diálogo Configurar respuestas. De forma predeterminada, se obtienen todos los datos para Archer.
Última actualización La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché.

Nota: En las versiones localizadas, solamente se muestran estos doce campos: Clasificación de criticidad, Clasificación de riesgo, Propietario de dispositivos, Unidad de negocios, Nombre del host, Dirección MAC, Instalaciones, Dirección IP, Tipo, ID de dispositivo, Nombre del dispositivo y Procesos de negocios.

  

Pestaña Active Directory

La siguiente figura es un ejemplo del panel Búsqueda de contexto para Active Directory.

Context panel for Active Directory

El panel Búsqueda de contexto para Active Directory muestra toda la información, las alertas y los incidentes relacionados para un usuario. Puede realizar una búsqueda mediante los siguientes formatos:

  • userPrincipalName
  • Domain\UserName
  • sAMAccountName

Si el usuario existe en dominios múltiples o bosques múltiples, se muestra toda la información contextual relacionada para el usuario específico.

La siguiente información se muestra para Active Directory.

                                                                               
CampoDescripción

Nombre para mostrar

El nombre del usuario.

ID de empleado

El ID de empleado del usuario.

Teléfono

El número de teléfono del usuario.

Correo electrónico

El ID de correo electrónico del usuario.

ID de usuario de AD

La identificación única del usuario dentro de una organización.

Cargo

La designación del usuario.

Administrador

El nombre del administrador del usuario.

Grupos

La lista de grupos de los cuales el usuario es miembro.

Empresa

El nombre de la empresa del usuario.

Departamento

El nombre del departamento dentro de la organización al cual pertenece el usuario.

Ubicación

La ubicación del usuario.

Último inicio de sesión

La hora en que el usuario inició sesión en el sistema, solamente si el Catálogo global está definido.

Último registro de fecha y hora de inicio de sesiónLa hora en que el usuario inició sesión en el sistema.
Nombre distinguidoEl nombre único asignado al usuario.
Conteo

La cantidad de usuarios.

Ventana de tiempo

La ventana de tiempo se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se obtienen todos los datos de Active Directory.

Última actualización

La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché.

  

Pestaña NetWitness Endpoint

La siguiente figura es un ejemplo del panel Búsqueda de contexto para NetWitness Endpoint.

Context panel for NetWitness Endpoint

La siguiente información se muestra para IIOC.

                                           
CampoDescripción
Cantidad de módulosLa cantidad de módulos que se buscan.
Estado administrativoEl estado administrativo (si corresponde).
Última actualizaciónLa hora en que los datos se actualizaron por última vez.
Último inicio de sesiónLa hora en que el usuario inició sesión por última vez.
Dirección MACLa Dirección MAC de la máquina.
Sistema operativoLa versión del sistema operativo que usa la máquina de NetWitness Endpoint.
Estado de la máquinaEl estado del módulo que se está viendo: En línea, Offline, Activo o Inactivo.
Dirección IPLa dirección IP del módulo específico.

La siguiente información se muestra para los módulos.

                               
CampoDescripción
Puntaje de IIOCUn puntaje de IIOC de la máquina es un puntaje agregado que se basa en los puntajes del módulo. Esto se basa en el valor configurado para el campo Puntaje de IIOC mínimo en el cuadro de diálogo Ajustes de orígenes de datos de Context Hub. El valor predeterminado para Puntaje de IIOC mínimo es 500. Consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub.
Nombre de móduloEl nombre del módulo que se busca.
Puntaje de análisisLa cantidad de archivos activos para la máquina seleccionada.
Conteo de máquinas La cantidad de máquinas en las que se activó ese IOC específico.
FirmaIndicador que señala si el archivo está o no firmado y si es o no válido, y que proporciona información acerca del signatario. Por ejemplo, Google, Apple, etc.

La siguiente información se muestra para las máquinas.

                                   
CampoDescripción

Niveles de IIOC

Los niveles de IOC.

DescripciónLa descripción del nivel de IOC, si está disponible.
Última ejecución La hora en que se ejecutó la acción.

Conteo

La cantidad de hosts que se buscan.

Ventana de tiempoLa ventana de tiempo se basa en el valor que se configura para el campo Consultar últimos del cuadro de diálogo Configurar ajustes de orígenes de datos. De manera predeterminada, se obtienen todos los datos de NetWitness Endpoint.
Última actualizaciónLa hora en que se actualizaron por última vez los resultados del escaneo en la base de datos de NetWitness Endpoint.

Pestaña Alertas

La siguiente figura es un ejemplo del panel de contexto para Alerts que se muestra, en primer lugar, en función del tiempo (más recientes a más antiguas) y, a continuación, la gravedad.

Context panel for Alerts

En el panel Búsqueda de contexto para Alertas se muestra la siguiente información.

                                               
CampoDescripción
CreadoLa fecha y la hora en que se creó la alerta.
GravedadEl valor de gravedad de las alertas.
Nombre El nombre de la alerta Puede hacer clic en el nombre para ver los detalles de una alerta específica.
OrigenEl nombre del origen de alerta desde el cual se activó la alerta.
Cantidad de eventosLa cantidad de eventos asociados con la alerta.
ID del incidenteEl ID del incidente (si corresponde) con el cual está asociada la alerta. Puede hacer clic en el ID para ver los detalles de una alerta específica.

Conteo

La cantidad de alertas. De forma predeterminada, solo se muestran las primeras 100 alertas. Para obtener más información acerca de cómo configurar los ajustes, consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub.

Ventana de tiempo

La ventana de tiempo se basa en el valor que se configura para el campo Consultar últimos del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se recupera los datos de alertas de los últimos 7 días.

Última actualizaciónLa hora en que se recuperaron por última vez datos contextuales desde el origen de datos.

Pestaña Incidentes

La siguiente figura es un ejemplo del panel de contexto para Incidentes que se basa, en primer lugar, en el tiempo (más recientes a más antiguos) y, a continuación, en el estado de prioridad.

Context panel for Incidents

En el panel Búsqueda de contexto para Incidentes se muestra la siguiente información.

                                                       
CampoDescripción
CreadoLa fecha en que se creó el incidente.
PrioridadEl estado de prioridad de los incidentes.
Puntaje de riesgoEl puntaje de riesgo de los incidentes.
IDEl ID del incidente. Puede hacer clic en el ID para mostrar detalles adicionales acerca del incidente.
NombreEl nombre del incidente.
EstadoEl estado del incidente.
Usuario asignadoEl propietario actual del incidente.
AlertasLa cantidad de alertas asociadas con el incidente.

Conteo

La cantidad de incidentes. De manera predeterminada, se muestran solamente los primeros 100 incidentes. Para obtener más información acerca de cómo configurar los ajustes, consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub.

Ventana de tiempo

La ventana de tiempo se basa en el valor que se configura para el campo Consultar últimos del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se recupera los datos de alertas de los últimos 7 días.

Última actualizaciónLa hora en que se recuperaron por última vez datos contextuales desde el origen de datos.

Pestaña Live Connect

La siguiente figura es un ejemplo de un panel de contexto para Live Connect y en la tabla se describe la información que se muestra.

Context panel for Live Connect

                                                       
CampoDescripción
Estado de revisión

El estado de revisión de la entidad de Live Connect seleccionada (IP, archivo o dominio) en función de la actividad de los analistas. Esto proporciona visibilidad de la actividad de los analistas dentro de una organización.

Estado
Los siguientes son los tipos de estado:

  • Nuevo: Los resultados de búsqueda de una dirección IP se ven por primera vez dentro de la organización.
  • Vistos: Un analista dentro de la organización ya vio los resultados de búsqueda de una dirección IP.
  • Marcada como segura: Un analista dentro de la organización ya vio los resultados de búsqueda y marcó la dirección IP como segura.
  • Marcada como riesgosa: Un analista dentro de la organización ya vio los resultados de búsqueda y marcó la dirección IP como riesgosa.
Evaluación del riesgo

La evaluación del riesgo para la entidad de Live Connect seleccionada (IP, archivo o dominio) de acuerdo con el análisis y los comentarios de los analistas de Live Connect. Las categorías de evaluación del riesgo son:

  • Segura: La entidad de Live Connect se considera segura.
  • Desconocido: Live Connect no tiene suficiente información acerca de esta entidad para calcular el riesgo.
  • Alto riesgo: Se marca como de alto riesgo en función del análisis y los motivos de riesgo que proporciona la comunidad. Las entidades marcadas como de alto riesgo requieren atención inmediata.
  • Sospechoso: Se marca como sospechoso en función del análisis y los motivos de riesgo que proporciona la comunidad. El análisis indica actividad potencialmente amenazante que requiere una acción.
  • Inseguro: Se marca como inseguro en función del análisis y los motivos de riesgo que proporciona la comunidad.
La entidad se clasifica como Alto riesgo, Sospechoso o Inseguro y muestra los motivos de riesgo asociados según corresponde.
Comentarios sobre la evaluación del riesgo

Risk Feedback panel

Comentarios sobre la evaluación del riesgo permite que el analista envíe comentarios de inteligencia de amenazas acerca de una entidad al servidor de Live Connect.

  • Nivel de habilidad del analista
    Las siguientes son las opciones para el nivel de habilidad del analista:
    • Nivel 1: Los analistas de este nivel definen procedimientos para las correcciones y deciden si un incidente se debe elevar a otras áreas de un centro de operaciones de seguridad (SOC). Este es el valor predeterminado.
    • Nivel 2: Los analistas que investigan incidentes y capturan inteligencia de una investigación para enviarla a los diversos flujos de trabajo en un SOC.
    • Nivel 3: Los analistas que comparten los resultados de la investigación con la organización del SOC. Por lo general, administran incidentes y disponen de amplitud y profundidad en las habilidades y las herramientas necesarias para la respuesta ante incidentes.

    Nota: Mientras se crea un nuevo usuario para NetWitness Platform (analista), un administrador debe poder identificar al usuario como un analista de nivel 1, nivel 2 o nivel 3.

  • Confirmación de riesgo: La confirmación de riesgo de la entidad de Live Connect seleccionada (IP, archivo o dominio). Las categorías de confirmación de riesgo son:
    • Segura: La entidad de Live Connect se considera segura.

    • Desconocido: El analista no tiene información suficiente para proporcionar una confirmación de riesgo.

    • Alto riesgo: Se marca como de alto riesgo en función del análisis y los motivos de riesgo que proporciona la comunidad. Las entidades marcadas como de alto riesgo requieren atención inmediata.
    • Sospechoso: Se marca como sospechoso en función del análisis y los motivos de riesgo que proporciona la comunidad. El análisis indica actividad potencialmente amenazante que requiere una acción.
    • Inseguro: Se marca como inseguro en función del análisis y los motivos de riesgo que proporciona la comunidad.
  • Nivel de confianza: El nivel de confianza de un analista en la entrega de comentarios para la entidad de Live Connect. Las categorías de nivel de confianza son las siguientes: Alta, Media y Baja.
  • Etiquetas de indicador de riesgo: Permite seleccionar una categoría de etiqueta en función del análisis.
Actividad de la comunidad

Actividades de la comunidad, como las siguientes:

  • Fecha en que se vio por primera vez en la comunidad.
  • Tiempo desde que la dirección IP, el archivo o el dominio se vieron por primera vez (Hora actual: hora en que se vio por primera vez).

Actividad de la comunidad de tendencias:

Si la dirección IP se conoce dentro de la comunidad de RSA, se muestra una representación gráfica de la tendencia de actividad de la comunidad para lo siguiente:

  • Usuarios (en %) que vieron la dirección IP en la comunidad de Live Connect con el tiempo.
  • Usuarios (en %) que enviaron comentarios para la dirección IP.
  • Usuarios (en %) que marcaron la dirección IP como insegura con el tiempo.

Indicadores de riesgo

Risk Indicators

Los indicadores de riesgo se destacan en función de las etiquetas que asigna la comunidad a las entidades (direcciones IP, archivos o dominios).

Las etiquetas se clasifican de la siguiente manera: Reconocimiento, Distribución, Comando y control, Movimiento lateral, Escalación de privilegios y Empaquetado y extracción.

Estas etiquetas son ejemplos y varían en función de las entradas recibidas de la comunidad en el servidor de Live Connect. El analista puede elegir las etiquetas de indicadores de riesgo apropiadas y proporcionar los comentarios de revisión. Una etiqueta resaltada indica que la entidad seleccionada está asociada a esa categoría y etiqueta específicas. Cuando se hace clic en una etiqueta resaltada, se muestra su descripción.

Identidad

Proporciona la siguiente información de identidad para la entidad o el valor de metadatos seleccionados:

Para la dirección IP: Número de sistema autónomo (ASN), Prefijo, Código de país y Nombre de país, Inscrito (organización) y Fecha.

Para hash de archivo: Nombre de archivo, Tamaño de archivo, MD5, SH1, SH256, Hora de compilación y Tipo MIME.

Para un dominio: Nombre de dominio y Dirección IP asociada.

Información del certificado

Proporciona la siguiente información del certificado para el hash de archivo seleccionado: Emisor del certificado, Validez del certificado, Algoritmo de firma y Número de serie del certificado.

Información WHO IS

WHOIS Information

La información WHO IS proporciona los detalles de propiedad de un dominio determinado.

Se muestra la siguiente información acerca del propietario del dominio: Fecha de creación, Fecha de actualización, Fecha de vencimiento, Tipo (tipo de registro), Nombre, Organización, Dirección con código postal, País, Teléfono, Fax y Correo electrónico.

Archivos relacionados

Se muestran los archivos relacionados para la dirección IP y el dominio de los tipos de entidad. Se muestra una lista de archivos asociados conocidos, junto con la siguiente información: Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido), Nombre de archivo, MD5, Fecha y hora de compilación, Función de API, Hash de importación y Tipo MIME.

Dominios relacionados

Se muestran los dominios relacionados para la dirección IP y los archivos de los tipos de entidad. Se muestra una lista de dominios asociados conocidos, junto con la siguiente información: Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido), Nombre de dominio, Nombre de país, Fecha de registro, Fecha de vencimiento y Dirección de correo electrónico del inscrito.

IP relacionadas

Se muestran las direcciones IP relacionadas para el dominio y los archivos de los tipos de entidad. Se muestra una lista de direcciones IP asociadas conocidas, junto con la siguiente información: Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido), Dirección IP, Nombre de dominio, Código de país y Nombre de país, Fecha de registro, Fecha de vencimiento y Dirección de correo electrónico del inscrito.

      
You are here
Table of Contents > Información de referencia de NetWitness Respond > Panel Búsqueda de contexto

Attachments

    Outcomes