El servicio Context Hub reúne información contextual de varios orígenes de datos en la vista Respond, lo cual permite a los analistas tomar mejores decisiones durante sus análisis y llevar a cabo las acciones correspondientes. La visualización de las entidades, los valores de metadatos y la información contextual en una única interfaz ayuda a los analistas a dar prioridad e identificar las áreas de interés. Por ejemplo, las alertas y los incidentes creados recientemente desde la vista Respond que implican una entidad o un valor de metadatos determinados se mostrarán cuando el analista realice consultas para obtener información adicional acerca de esa entidad o valor de metadatos. El panel Búsqueda de contexto muestra la información contextual de las entidades o los valores de metadatos seleccionados, como una dirección IP, un usuario, un host, un dominio, un nombre de archivo o un hash de archivo. Los datos disponibles dependen de los orígenes configurados en Context Hub.
El panel Búsqueda de contexto muestra la información contextual en función de los datos disponibles en los orígenes configurados en Context Hub.
¿Qué desea hacer?
Encargados de respuesta ante incidentes, analistas, buscadores de amenazas | Navegar al panel Búsqueda de contexto. | Desde la vista Detalles de incidente, consulte Ver información contextual . Desde la vista Detalles de la alerta, consulte Ver información contextual . |
Encargados de respuesta ante incidentes, analistas, buscadores de amenazas | Comprender la información del panel Búsqueda de contexto para una entidad seleccionada. | Consulte la información en este tema. |
Administrador | Configurar orígenes de datos para Context Hub. | Consulte “Configurar orígenes de datos para Context Hub” en la Guía de configuración de Context Hub. |
Administrador | Configurar los ajustes de Context Hub. | Consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub. |
Temas relacionados
Información contextual que se muestra en el panel Búsqueda de contexto
La información contextual o los resultados de consulta que se muestran en el panel Búsqueda de contexto dependen de la entidad seleccionada y de los orígenes de datos asociados. El panel Búsqueda de contexto tiene pestañas por separado para cada uno de los orígenes de datos. Las pestañas son: Origen de datos de Lista, Archer, Active Directory, Endpoint, Incidentes, Alertas y Live Connect. En la siguiente figura se muestra el panel Búsqueda de contexto para una entidad seleccionada en la vista Detalles de incidente con la pestaña Incidentes abierta.

En la siguiente tabla se describen los datos disponibles en cada pestaña y las entidades compatibles.
(Listas) | Muestra todos los datos de lista asociados con la entidad o el valor de metadatos seleccionados. El resultado se ordena por la lista que se actualizó por última vez. | Todas las entidades |
(Archer) | Muestra información sobre los recursos, junto con clasificaciones de criticidad que usan el origen de datos Archer. | IP, host y dirección Mac |
(Active Directory) | Muestra toda la información del usuario seleccionado. | Usuario |
(NetWitness Endpoint) | Muestra la información del origen de datos NetWitness Endpoint para la entidad o el valor de metadatos seleccionados, la cual incluye las máquinas, los módulos y los niveles de IIOC. Los módulos se muestran del puntaje de IOC más alto al puntaje de IIOC más bajo y los niveles de IIOC, de los más altos a los más bajos. | IP, dirección de MAC y host |
(Incidentes) | Muestra la lista de incidentes asociados con la entidad o el valor de metadatos seleccionados. El resultado se ordena de los incidentes más recientes a los más antiguos. | Todas las entidades |
(Alertas) | Muestra la lista de alertas asociadas con la entidad o el valor de metadatos seleccionados. El resultado se ordena de las alertas más recientes a las más antiguas. | Todas las entidades |
(Live Connect) | Muestra información relacionada con Live Connect. | IP, dominio y hash de archivo |
Pestaña Listas
El panel Búsqueda de contexto para Listas muestra una o más listas asociadas con la entidad o el valor de metadatos seleccionados. La siguiente figura es un ejemplo del panel de contexto para Listas y en la tabla se describen los campos.
Nombre | El nombre de la lista (definido durante la creación de la lista). |
Descripción | La descripción de la lista (definida durante la creación de la lista). |
Autor | El propietario que creó la lista. |
Creado | La fecha en que se creó la lista. |
Actualizado | La fecha en que la lista se actualizó o se modificó por última vez. |
Conteo | La cantidad de listas en las cuales está disponible la entidad o el valor de metadatos seleccionados. |
Ventana de tiempo | La ventana de tiempo en función del valor configurado para el campo “Consultar últimos” del cuadro de diálogo Configurar respuestas. De forma predeterminada, se obtienen todos los datos de Listas. |
Última actualización | La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché. |
Pestaña Archer
El panel Búsqueda de contexto para Archer muestra información sobre los recursos, junto con calificaciones de criticidad que usan el origen de datos Archer para las entidades de IP, host y dirección Mac. La siguiente figura es un ejemplo del panel Búsqueda de contexto para Archer y en la tabla se describe cada campo.
Clasificación de criticidad | La criticidad operacional del dispositivo en función de las aplicaciones que apoya. Las clasificaciones de criticidad se pueden configurar en No clasificado, Baja, Media-baja, Media, Media-alta o Alta. |
Clasificación de riesgo | La clasificación de riesgo calculada del dispositivo según la evaluación más reciente y la clasificación de riesgo promedio de las instalaciones que utilizan el dispositivo. La clasificación de riesgo se puede configurar en Grave, Alta, Mediana, Baja o Mínima. |
Nombre del dispositivo | El nombre único del dispositivo. |
Nombre del host | El nombre de host del dispositivo. |
Dirección IP | La dirección IP interna primaria del dispositivo. |
ID de dispositivo | El valor completado automáticamente que identifica de manera única el registro en todas las aplicaciones del sistema. |
Tipo | El tipo de dispositivo, por ejemplo, servidor, laptop, escritorio y otros. |
Instalaciones | Vínculos a los registros de la aplicación Instalaciones que se relacionan con este dispositivo. |
Unidad de negocios | Vínculos a los registros de la aplicación Unidad de negocios que se relacionan con este dispositivo. Si hay más de tres valores de unidad de negocios, puede colocar el cursor sobre el campo para verlos. |
Propietario de dispositivos | La persona responsable del dispositivo, quien recibe derechos de lectura y actualización del registro. |
Conteo | La cantidad de recursos disponibles. |
Ventana de tiempo | La ventana de tiempo en función del valor configurado para el campo “Consultar últimos” del cuadro de diálogo Configurar respuestas. De forma predeterminada, se obtienen todos los datos para Archer. |
Última actualización | La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché. |
Nota: En las versiones localizadas, solamente se muestran estos doce campos: Clasificación de criticidad, Clasificación de riesgo, Propietario de dispositivos, Unidad de negocios, Nombre del host, Dirección MAC, Instalaciones, Dirección IP, Tipo, ID de dispositivo, Nombre del dispositivo y Procesos de negocios.
Pestaña Active Directory
La siguiente figura es un ejemplo del panel Búsqueda de contexto para Active Directory.
El panel Búsqueda de contexto para Active Directory muestra toda la información, las alertas y los incidentes relacionados para un usuario. Puede realizar una búsqueda mediante los siguientes formatos:
- userPrincipalName
- Domain\UserName
- sAMAccountName
Si el usuario existe en dominios múltiples o bosques múltiples, se muestra toda la información contextual relacionada para el usuario específico.
La siguiente información se muestra para Active Directory.
Nombre para mostrar | El nombre del usuario. |
ID de empleado
| El ID de empleado del usuario. |
Teléfono | El número de teléfono del usuario. |
Correo electrónico | El ID de correo electrónico del usuario. |
ID de usuario de AD | La identificación única del usuario dentro de una organización. |
Cargo
| La designación del usuario. |
Administrador
| El nombre del administrador del usuario. |
Grupos
| La lista de grupos de los cuales el usuario es miembro. |
Empresa
| El nombre de la empresa del usuario. |
Departamento
| El nombre del departamento dentro de la organización al cual pertenece el usuario. |
Ubicación | La ubicación del usuario. |
Último inicio de sesión
| La hora en que el usuario inició sesión en el sistema, solamente si el Catálogo global está definido. |
Último registro de fecha y hora de inicio de sesión | La hora en que el usuario inició sesión en el sistema. |
Nombre distinguido | El nombre único asignado al usuario. |
Conteo | La cantidad de usuarios. |
Ventana de tiempo | La ventana de tiempo se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se obtienen todos los datos de Active Directory. |
Última actualización | La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché. |
Pestaña NetWitness Endpoint
La siguiente figura es un ejemplo del panel Búsqueda de contexto para NetWitness Endpoint.
La siguiente información se muestra para IIOC.
Cantidad de módulos | La cantidad de módulos que se buscan. |
Estado administrativo | El estado administrativo (si corresponde). |
Última actualización | La hora en que los datos se actualizaron por última vez. |
Último inicio de sesión | La hora en que el usuario inició sesión por última vez. |
Dirección MAC | La Dirección MAC de la máquina. |
Sistema operativo | La versión del sistema operativo que usa la máquina de NetWitness Endpoint. |
Estado de la máquina | El estado del módulo que se está viendo: En línea, Offline, Activo o Inactivo. |
Dirección IP | La dirección IP del módulo específico. |
La siguiente información se muestra para los módulos.
Puntaje de IIOC | Un puntaje de IIOC de la máquina es un puntaje agregado que se basa en los puntajes del módulo. Esto se basa en el valor configurado para el campo Puntaje de IIOC mínimo en el cuadro de diálogo Ajustes de orígenes de datos de Context Hub. El valor predeterminado para Puntaje de IIOC mínimo es 500. Consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub. |
Nombre de módulo | El nombre del módulo que se busca. |
Puntaje de análisis | La cantidad de archivos activos para la máquina seleccionada. |
Conteo de máquinas | La cantidad de máquinas en las que se activó ese IOC específico. |
Firma | Indicador que señala si el archivo está o no firmado y si es o no válido, y que proporciona información acerca del signatario. Por ejemplo, Google, Apple, etc. |
La siguiente información se muestra para las máquinas.
Niveles de IIOC | Los niveles de IOC. |
Descripción | La descripción del nivel de IOC, si está disponible. |
Última ejecución | La hora en que se ejecutó la acción. |
Conteo | La cantidad de hosts que se buscan. |
Ventana de tiempo | La ventana de tiempo se basa en el valor que se configura para el campo Consultar últimos del cuadro de diálogo Configurar ajustes de orígenes de datos. De manera predeterminada, se obtienen todos los datos de NetWitness Endpoint. |
Última actualización | La hora en que se actualizaron por última vez los resultados del escaneo en la base de datos de NetWitness Endpoint. |
Pestaña Alertas
La siguiente figura es un ejemplo del panel de contexto para Alerts que se muestra, en primer lugar, en función del tiempo (más recientes a más antiguas) y, a continuación, la gravedad.
En el panel Búsqueda de contexto para Alertas se muestra la siguiente información.
Creado | La fecha y la hora en que se creó la alerta. |
Gravedad | El valor de gravedad de las alertas. |
Nombre | El nombre de la alerta Puede hacer clic en el nombre para ver los detalles de una alerta específica. |
Origen | El nombre del origen de alerta desde el cual se activó la alerta. |
Cantidad de eventos | La cantidad de eventos asociados con la alerta. |
ID del incidente | El ID del incidente (si corresponde) con el cual está asociada la alerta. Puede hacer clic en el ID para ver los detalles de una alerta específica. |
Conteo | La cantidad de alertas. De forma predeterminada, solo se muestran las primeras 100 alertas. Para obtener más información acerca de cómo configurar los ajustes, consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub. |
Ventana de tiempo | La ventana de tiempo se basa en el valor que se configura para el campo Consultar últimos del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se recupera los datos de alertas de los últimos 7 días. |
Última actualización | La hora en que se recuperaron por última vez datos contextuales desde el origen de datos. |
Pestaña Incidentes
La siguiente figura es un ejemplo del panel de contexto para Incidentes que se basa, en primer lugar, en el tiempo (más recientes a más antiguos) y, a continuación, en el estado de prioridad.
En el panel Búsqueda de contexto para Incidentes se muestra la siguiente información.
Creado | La fecha en que se creó el incidente. |
Prioridad | El estado de prioridad de los incidentes. |
Puntaje de riesgo | El puntaje de riesgo de los incidentes. |
ID | El ID del incidente. Puede hacer clic en el ID para mostrar detalles adicionales acerca del incidente. |
Nombre | El nombre del incidente. |
Estado | El estado del incidente. |
Usuario asignado | El propietario actual del incidente. |
Alertas | La cantidad de alertas asociadas con el incidente. |
Conteo | La cantidad de incidentes. De manera predeterminada, se muestran solamente los primeros 100 incidentes. Para obtener más información acerca de cómo configurar los ajustes, consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub. |
Ventana de tiempo | La ventana de tiempo se basa en el valor que se configura para el campo Consultar últimos del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se recupera los datos de alertas de los últimos 7 días. |
Última actualización | La hora en que se recuperaron por última vez datos contextuales desde el origen de datos. |
Pestaña Live Connect
La siguiente figura es un ejemplo de un panel de contexto para Live Connect y en la tabla se describe la información que se muestra.
Estado de revisión | El estado de revisión de la entidad de Live Connect seleccionada (IP, archivo o dominio) en función de la actividad de los analistas. Esto proporciona visibilidad de la actividad de los analistas dentro de una organización. Estado Los siguientes son los tipos de estado: - Nuevo: Los resultados de búsqueda de una dirección IP se ven por primera vez dentro de la organización.
- Vistos: Un analista dentro de la organización ya vio los resultados de búsqueda de una dirección IP.
- Marcada como segura: Un analista dentro de la organización ya vio los resultados de búsqueda y marcó la dirección IP como segura.
- Marcada como riesgosa: Un analista dentro de la organización ya vio los resultados de búsqueda y marcó la dirección IP como riesgosa.
|
Evaluación del riesgo | La evaluación del riesgo para la entidad de Live Connect seleccionada (IP, archivo o dominio) de acuerdo con el análisis y los comentarios de los analistas de Live Connect. Las categorías de evaluación del riesgo son: - Segura: La entidad de Live Connect se considera segura.
- Desconocido: Live Connect no tiene suficiente información acerca de esta entidad para calcular el riesgo.
- Alto riesgo: Se marca como de alto riesgo en función del análisis y los motivos de riesgo que proporciona la comunidad. Las entidades marcadas como de alto riesgo requieren atención inmediata.
- Sospechoso: Se marca como sospechoso en función del análisis y los motivos de riesgo que proporciona la comunidad. El análisis indica actividad potencialmente amenazante que requiere una acción.
- Inseguro: Se marca como inseguro en función del análisis y los motivos de riesgo que proporciona la comunidad.
La entidad se clasifica como Alto riesgo, Sospechoso o Inseguro y muestra los motivos de riesgo asociados según corresponde. |
Comentarios sobre la evaluación del riesgo | Comentarios sobre la evaluación del riesgo permite que el analista envíe comentarios de inteligencia de amenazas acerca de una entidad al servidor de Live Connect. - Confirmación de riesgo: La confirmación de riesgo de la entidad de Live Connect seleccionada (IP, archivo o dominio). Las categorías de confirmación de riesgo son:
- Nivel de confianza: El nivel de confianza de un analista en la entrega de comentarios para la entidad de Live Connect. Las categorías de nivel de confianza son las siguientes: Alta, Media y Baja.
- Etiquetas de indicador de riesgo: Permite seleccionar una categoría de etiqueta en función del análisis.
|
Actividad de la comunidad | Actividades de la comunidad, como las siguientes: - Fecha en que se vio por primera vez en la comunidad.
- Tiempo desde que la dirección IP, el archivo o el dominio se vieron por primera vez (Hora actual: hora en que se vio por primera vez).
Actividad de la comunidad de tendencias: Si la dirección IP se conoce dentro de la comunidad de RSA, se muestra una representación gráfica de la tendencia de actividad de la comunidad para lo siguiente: - Usuarios (en %) que vieron la dirección IP en la comunidad de Live Connect con el tiempo.
- Usuarios (en %) que enviaron comentarios para la dirección IP.
- Usuarios (en %) que marcaron la dirección IP como insegura con el tiempo.
|
Indicadores de riesgo | Los indicadores de riesgo se destacan en función de las etiquetas que asigna la comunidad a las entidades (direcciones IP, archivos o dominios).
Las etiquetas se clasifican de la siguiente manera: Reconocimiento, Distribución, Comando y control, Movimiento lateral, Escalación de privilegios y Empaquetado y extracción. Estas etiquetas son ejemplos y varían en función de las entradas recibidas de la comunidad en el servidor de Live Connect. El analista puede elegir las etiquetas de indicadores de riesgo apropiadas y proporcionar los comentarios de revisión. Una etiqueta resaltada indica que la entidad seleccionada está asociada a esa categoría y etiqueta específicas. Cuando se hace clic en una etiqueta resaltada, se muestra su descripción. |
Identidad | Proporciona la siguiente información de identidad para la entidad o el valor de metadatos seleccionados: Para la dirección IP: Número de sistema autónomo (ASN), Prefijo, Código de país y Nombre de país, Inscrito (organización) y Fecha. Para hash de archivo: Nombre de archivo, Tamaño de archivo, MD5, SH1, SH256, Hora de compilación y Tipo MIME. Para un dominio: Nombre de dominio y Dirección IP asociada. |
Información del certificado | Proporciona la siguiente información del certificado para el hash de archivo seleccionado: Emisor del certificado, Validez del certificado, Algoritmo de firma y Número de serie del certificado. |
Información WHO IS | La información WHO IS proporciona los detalles de propiedad de un dominio determinado. Se muestra la siguiente información acerca del propietario del dominio: Fecha de creación, Fecha de actualización, Fecha de vencimiento, Tipo (tipo de registro), Nombre, Organización, Dirección con código postal, País, Teléfono, Fax y Correo electrónico. |
Archivos relacionados | Se muestran los archivos relacionados para la dirección IP y el dominio de los tipos de entidad. Se muestra una lista de archivos asociados conocidos, junto con la siguiente información: Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido), Nombre de archivo, MD5, Fecha y hora de compilación, Función de API, Hash de importación y Tipo MIME. |
Dominios relacionados | Se muestran los dominios relacionados para la dirección IP y los archivos de los tipos de entidad. Se muestra una lista de dominios asociados conocidos, junto con la siguiente información: Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido), Nombre de dominio, Nombre de país, Fecha de registro, Fecha de vencimiento y Dirección de correo electrónico del inscrito. |
IP relacionadas | Se muestran las direcciones IP relacionadas para el dominio y los archivos de los tipos de entidad. Se muestra una lista de direcciones IP asociadas conocidas, junto con la siguiente información: Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido), Dirección IP, Nombre de dominio, Código de país y Nombre de país, Fecha de registro, Fecha de vencimiento y Dirección de correo electrónico del inscrito.
|