Respond: Panel Búsqueda de contexto

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

El servicio Context Hub reúne información contextual de varios orígenes de datos en la vista Respond, lo cual permite a los analistas tomar mejores decisiones durante sus análisis y llevar a cabo las acciones correspondientes. La visualización de las entidades, los valores de metadatos y la información contextual en una única interfaz ayuda a los analistas a dar prioridad e identificar las áreas de interés. Por ejemplo, las alertas y los incidentes creados recientemente desde la vista Respond que implican una entidad o un valor de metadatos determinados se mostrarán cuando el analista realice consultas para obtener información adicional acerca de esa entidad o valor de metadatos. El panel Búsqueda de contexto muestra la información contextual de las entidades o los valores de metadatos seleccionados, como una dirección IP, un usuario, un host, un dominio, un nombre de archivo o un hash de archivo. Los datos disponibles dependen de los orígenes configurados en Context Hub.

    

El panel Búsqueda de contexto muestra la información contextual en función de los datos disponibles en los orígenes configurados en Context Hub.

¿Qué desea hacer?

                                 
FunciónDeseo…Mostrarme cómo

Encargados de respuesta ante incidentes, analistas, buscadores de amenazas

Navegar al panel Búsqueda de contexto.

Desde la vista Detalles de incidente, consulte Ver información contextual .

Desde la vista Detalles de la alerta, consulte Ver información contextual .

Encargados de respuesta ante incidentes, analistas, buscadores de amenazasComprender la información del panel Búsqueda de contexto para una entidad seleccionada.Consulte la información en este tema.

Administrador

Configurar orígenes de datos para Context Hub.Consulte “Configurar orígenes de datos para Context Hub” en la Guía de configuración de Context Hub.
AdministradorConfigurar los ajustes de Context Hub.Consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub.

Temas relacionados

Información contextual que se muestra en el panel Búsqueda de contexto

La información contextual o los resultados de consulta que se muestran en el panel Búsqueda de contexto dependen de la entidad seleccionada y de los orígenes de datos asociados.

El panel Búsqueda de contexto tiene pestañas por separado para cada uno de los orígenes de datos. La pestaña del origen de datos Lista es la primera en el panel de contexto, seguida de Archer, Endpoint, Incidentes, Alertas y Live Connect.

En la siguiente figura se muestra el panel Búsqueda de contexto para una entidad seleccionada en la vista Detalles de incidente. La vista muestra la pestaña Incidentes del panel Búsqueda de contexto.
Context Lookup panel Incidents tab

En la siguiente tabla se describen los datos disponibles en cada pestaña y las entidades compatibles.

                                                
PestañaDescripciónEntidades compatibles

Lists icon
(Listas)

Muestra todos los datos de lista asociados con la entidad o el valor de metadatos seleccionados. El resultado se ordena por la lista que se actualizó por última vez.

Todas las entidades

Archer icon
(Archer)
Muestra información sobre los recursos, junto con clasificaciones de criticidad que usan el origen de datos Archer.IP y host

Active Directory icon
(Active Directory)

Muestra toda la información del usuario seleccionado.

Usuario

NetWitness Endpoint icon
(NetWitness Endpoint)



Muestra la información del origen de datos NetWitness Endpoint para la entidad o el valor de metadatos seleccionados, la cual incluye las máquinas, los módulos y los niveles de IIOC. Los módulos se muestran del puntaje de IOC más alto al puntaje de IIOC más bajo y los niveles de IIOC, de los más altos a los más bajos.IP, dirección de MAC y host
Incidents icon
(Incidentes)
Muestra la lista de incidentes asociados con la entidad o el valor de metadatos seleccionados. El resultado se ordena de los incidentes más recientes a los más antiguos.

Todas las entidades

Alerts icon
(Alertas)
Muestra la lista de alertas asociadas con la entidad o el valor de metadatos seleccionados. El resultado se ordena de las alertas más recientes a las más antiguas.Todas las entidades
Live Connect icon
(Live Connect)
Muestra información relacionada con Live Connect.

IP, dominio y hash de archivo

Listas

El panel Búsqueda de contexto para Listas muestra una o más listas asociadas con la entidad o el valor de metadatos seleccionados. La siguiente figura es un ejemplo del panel de contexto para Listas.

Context Panel for Lists

La siguiente información se muestra para Listas.

                                           
CampoDescripción
NombreEl nombre de la lista (definido durante la creación de la lista).
DescripciónLa descripción de la lista (definida durante la creación de la lista).
AutorEl propietario que creó la lista.
CreadoLa fecha en que se creó la lista.
ActualizadoLa fecha en que la lista se actualizó o se modificó por última vez.
ConteoLa cantidad de listas en las cuales está disponible la entidad o el valor de metadatos seleccionados.
Ventana de tiempoSe basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar respuestas. De forma predeterminada, se obtienen todos los datos de Listas.

Última actualización

La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché.

Archer

El panel Búsqueda de contexto para Archer muestra información sobre los recursos, junto con calificaciones de criticidad que usan el origen de datos Archer para las entidades y los valores de metadatos de IP y host. La siguiente figura es un ejemplo del panel de contexto para Archer.
Context panel for Archer

La siguiente información se muestra para Archer.

                                                               
CampoDescripción
Clasificación de criticidadMuestra la criticidad operacional del dispositivo en función de las aplicaciones que apoya. Las clasificaciones de criticidad se pueden configurar en No clasificado, Baja, Media-baja, Media, Media-alta o Alta.
ID de dispositivoMuestra el valor completado de forma automática que identifica de manera exclusiva el registro en todas las aplicaciones del sistema.
Nombre del dispositivoMuestra el nombre único del dispositivo.
Propietario de dispositivosMuestra los propietarios del dispositivo que son responsables de este y reciben derechos de lectura y actualización para el registro.
Nombre del hostMuestra el nombre de host del dispositivo.
InstalacionesProporciona vínculos a los registros de la aplicación Instalaciones que se relacionan con este dispositivo.
Unidad de negociosProporciona vínculos a los registros de la aplicación Unidad de negocios que se relacionan con este dispositivo.
Clasificación de riesgoCalcula la clasificación de riesgo del dispositivo según la evaluación más reciente y la clasificación de riesgo promedio de las instalaciones que utilizan el dispositivo. La clasificación de riesgo se puede configurar en Grave, Alta, Mediana, Baja o Mínima.
TipoMuestra el tipo de dispositivo, como servidor, laptop, escritorio, etc.
Dirección IPMuestra la dirección IP interna primaria del dispositivo.

Conteo

Muestra la cantidad de recursos disponibles.

Ventana de tiempo

Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar respuestas. De forma predeterminada, se obtienen todos los datos para Archer.

Última actualización La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché.
  

Active Directory

La siguiente figura es un ejemplo del panel de contexto para Active Directory.

Context panel for Active Directory

El panel Búsqueda de contexto para Active Directory muestra toda la información, las alertas y los incidentes relacionados para un usuario. Puede realizar una búsqueda mediante los siguientes formatos:

  • userPrincipalName
  • Domain\UserName
  • sAMAccountName

Si el usuario existe en dominios múltiples o bosques múltiples, se muestra toda la información contextual relacionada para el usuario específico.

La siguiente información se muestra para Active Directory.

                                                                               
CampoDescripción

Nombre para mostrar

Muestra el nombre del usuario específico.

ID de empleado

Muestra el ID de empleado del usuario específico.

Teléfono

Muestra el número de teléfono del usuario específico.

Correo electrónico

Muestra el ID de correo electrónico del usuario específico.

ID de usuario de AD

Muestra la identificación única del usuario específico dentro de una organización.

Cargo

Muestra la designación del usuario específico.

Administrador

Muestra el nombre del administrador de

Grupos

Muestra la lista de grupos de los cuales el usuario específico es miembro.

Empresa

Muestra el nombre de la empresa a la cual pertenece el usuario específico.

Departamento

Muestra el nombre del departamento dentro de la organización a la cual pertenece el usuario específico.

Ubicación

Muestra la ubicación del usuario específico.

Último inicio de sesión

Muestra la hora en que el usuario específico inició sesión en el sistema solo si el Catálogo global está definido.

Último registro de fecha y hora de inicio de sesiónMuestra la hora en que el usuario específico inició sesión en el sistema.
Nombre distinguidoMuestra el nombre único asignado al usuario.
Conteo

Muestra la cantidad de usuarios.

Ventana de tiempo

Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se obtienen todos los datos de Active Directory.

Última actualización

La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché.

  

NetWitness Endpoint

En el panel Búsqueda de contexto para NetWitness Endpoint se muestra la siguiente información.

Context panel for NetWitness Endpoint

La siguiente información se muestra para IIOC.

                                           
CampoDescripción
Cantidad de módulosMuestra la cantidad de módulos que se buscan.
Estado administrativoMuestra el estado administrativo (si corresponde).
Última actualizaciónMuestra la hora en que los datos se actualizaron por última vez.
Último inicio de sesiónMuestra la hora en que el usuario inició sesión por última vez.
Dirección MACDirección MAC de la máquina.
Sistema operativoVersión del sistema operativo que usa la máquina de NetWitness Endpoint.
Estado de la máquinaMuestra si el módulo que se busca está En línea, Offline, Activo o Inactivo.
Dirección IPMuestra la dirección IP del módulo específico.

La siguiente información se muestra para Módulos.

                               
CampoDescripción
Puntaje de IIOCUn puntaje de IIOC de la máquina es un puntaje agregado que se basa en los puntajes del módulo. Esto se basa en el valor configurado para el campo “Puntaje de IIOC mínimo” en los ajustes de orígenes de datos de Context Hub. El valor predeterminado para “Puntaje de IIOC mínimo” es 500. Consulte el tema “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub.
Nombre de móduloNombre del módulo que se busca.
Puntaje de análisisCantidad de archivos activos para la máquina seleccionada.
Conteo de máquinas Indica cuándo se actualizaron por última vez los resultados del escaneo en la base de datos de NetWitness Endpoint.
FirmaIndica si el archivo está o no firmado y si es o no válido, y proporciona información acerca del signatario. Por ejemplo, Google, Apple, etc.

La siguiente información se muestra para Máquinas.

                                   
CampoDescripción

Niveles de IIOC

Muestra los niveles de IOC.

DescripciónMuestra la descripción para el nivel de IOC, si está disponible.
Última ejecución Muestra la hora en que se ejecutó la acción.

Conteo

Muestra la cantidad de hosts que se buscan.

Ventana de tiempoSe basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se obtienen todos los datos de NetWitness Endpoint.
Última actualizaciónIndica cuándo se actualizaron por última vez los resultados del escaneo en la base de datos de NetWitness Endpoint.

Alertas

La siguiente figura es un ejemplo del panel de contexto para Alerts que se muestra, en primer lugar, en función del tiempo (más recientes a más antiguas) y, a continuación, la gravedad.

Context panel for Alerts

En el panel Búsqueda de contexto para Alertas se muestra la siguiente información.

                                               
CampoDescripción
CreadoFecha y hora en que se creó la alerta.
GravedadValor de gravedad de las alertas
NombreNombre de la alerta. Haga clic en el nombre para ver los detalles de una alerta específica.
OrigenNombre del origen de alerta desde donde se activó la alerta.
Cantidad de eventosNúmero de eventos asociados con la alerta.
ID del incidenteEste es el ID del incidente con el cual está asociada la alerta (si corresponde). Haga clic en el ID para ver los detalles de una alerta específica.

Conteo

Muestra la cantidad de alertas. De forma predeterminada, solo se muestran las primeras 100 alertas. Para obtener más información acerca de cómo configurar los ajustes, consulte el tema “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub.

Ventana de tiempo

Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se recupera los datos de alertas de los últimos 7 días.

Última actualizaciónIndica la última vez en que se recuperaron datos contextuales desde el origen de datos.

Incidentes

La siguiente figura es un ejemplo del panel de contexto para Incidentes que se basa, en primer lugar, en el tiempo (más recientes a más antiguos) y, a continuación, en el estado de prioridad.

Context panel for Incidents

En el panel Búsqueda de contexto para Incidentes se muestra la siguiente información.

                                                       
CampoDescripción
CreadoLa fecha de creación del incidente.
PrioridadEstado de prioridad de los incidentes.
Puntaje de riesgoPuntaje de riesgo de los incidentes.
IDID del incidente. Cuando se hace clic, se muestran más detalles acerca del incidente.
NombreNombre del incidente.
EstadoEstado del incidente.
Usuario asignadoPropietario actual del incidente.
AlertasCantidad de alertas asociadas con el incidente.

Conteo

Muestra la cantidad de incidentes. De forma predeterminada, solo se muestran las primeras 100 alertas. Para obtener más información acerca de cómo configurar los ajustes, consulte el tema “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub.

Ventana de tiempo

Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se recupera los datos de alertas de los últimos 7 días.

Última actualizaciónIndica la última vez en que se recuperaron datos contextuales desde el origen de datos.

Live Connect

La siguiente figura es un ejemplo del panel de contexto para Live Connect.

Context panel for Live Connect

El panel Live Connect muestra la siguiente información:

  • Estado de revisión
  • Evaluación del riesgo de Live Connect
  • Indicadores de riesgo
  • Actividad de la comunidad
  • WHOIS

  • Archivos relacionados, dominios y direcciones IP

  • Identidad

  • Información del certificado

En el panel Búsqueda de contexto para Live Connect se muestra la siguiente información.

                                                       
CampoDescripción
Estado de revisión

Muestra el estado de revisión de la entidad de Live Connect seleccionada (IP, archivo o dominio) en función de la actividad de los analistas. Esto proporciona visibilidad de la actividad de los analistas dentro de una organización.

Estado
Los siguientes son los tipos de estado:

  • Nuevo: Si los resultados de búsqueda de una dirección IP se ven por primera vez dentro de la organización.
  • Vistos: Si un analista dentro de la organización ya vio los resultados de búsqueda de una dirección IP.
  • Marcada como segura: Si un analista dentro de la organización ya vio los resultados de búsqueda y marcó la dirección IP como segura.
  • Marcada como riesgosa: Si un analista dentro de la organización ya vio los resultados de búsqueda y marcó la dirección IP como riesgosa.
Evaluación del riesgo

Muestra la evaluación del riesgo para la entidad de Live Connect seleccionada (IP, archivo o dominio) de acuerdo con el análisis y los comentarios de los analistas de Live Connect. Las categorías de evaluación del riesgo son:

  • Segura: La entidad de Live Connect se considera segura.
  • Desconocido: Live Connect no tiene suficiente información acerca de esta entidad para calcular el riesgo.
  • Alto riesgo: Se marca como de “Alto riesgo” en función del análisis y los motivos de riesgo que proporciona la comunidad. Las entidades marcadas como de “Alto riesgo” requieren atención inmediata.
  • Sospechoso: Se marca como “Sospechoso” en función del análisis y los motivos de riesgo que proporciona la comunidad. El análisis indica actividad potencialmente amenazante que requiere una acción.
  • Inseguro: Se marca como “Sospechoso” en función del análisis y los motivos de riesgo que proporciona la comunidad.
La entidad se clasifica como Alto riesgo, Sospechoso o Inseguro y muestra los motivos de riesgo asociados según corresponde.
Comentarios sobre la evaluación del riesgo

Comentarios sobre la evaluación del riesgo permite que el analista envíe comentarios de inteligencia de amenazas acerca de una entidad al servidor de Live Connect.

  • Nivel de habilidad del analista
    Las siguientes son las opciones para el nivel de habilidad del analista:
    • Nivel 1: Los analistas de este nivel suelen definir procedimientos para las correcciones y decidir si un incidente se debe elevar a otras áreas de un SOC (centro de operaciones de seguridad). Este es el valor predeterminado.
    • Nivel 2: Los analistas investigan incidentes y capturan inteligencia en una investigación para enviarla a los diversos flujos de trabajo en un SOC.
    • Nivel 3: Los analistas comparten los resultados de la investigación con la organización del SOC. Por lo general, administran incidentes y disponen de amplitud y profundidad en las habilidades y las herramientas necesarias para la respuesta ante incidentes.

    Nota: Mientras se crea un nuevo usuario para NetWitness Suite (analista), un administrador debe poder identificar al usuario como un analista de nivel 1, nivel 2 o nivel 3.

  • Confirmación de riesgo: La confirmación de riesgo de la entidad de Live Connect seleccionada (IP, archivo o dominio). Las categorías de confirmación de riesgo son:
    • Segura: La entidad de Live Connect se considera segura.

    • Desconocido: El analista no tiene información suficiente para proporcionar una confirmación de riesgo.

    • Alto riesgo: Se marca como de “Alto riesgo” en función del análisis y los motivos de riesgo que proporciona la comunidad. Las entidades marcadas como de “Alto riesgo” requieren atención inmediata.
    • Sospechoso: Se marca como “Sospechoso” en función del análisis y los motivos de riesgo que proporciona la comunidad. El análisis indica actividad potencialmente amenazante que requiere una acción.
    • Inseguro: Se marca como “Inseguro” en función del análisis y los motivos de riesgo que proporciona la comunidad.
  • Nivel de confianza: El nivel de confianza de un analista en la entrega de comentarios para la entidad de Live Connect. Las categorías de nivel de confianza son las siguientes:
    • Alta
    • Media
    • Baja
  • Etiquetas de indicador de riesgo: Permite seleccionar una categoría de etiqueta en función del análisis.

Risk Feedback panel

Actividad de la comunidad

Actividades de la comunidad, como las siguientes:

  • Fecha en que se vio por primera vez en la comunidad.
  • Tiempo desde que la dirección IP, el archivo o el dominio se vieron por primera vez (Hora actual: hora en que se vio por primera vez).

Actividad de la comunidad de tendencias:

Si la dirección IP se conoce dentro de la comunidad de RSA, se muestra una representación gráfica de la tendencia de actividad de la comunidad para lo siguiente:

  • Usuarios (en %) que vieron la dirección IP en la comunidad de Live Connect con el tiempo.
  • Usuarios (en %) que enviaron comentarios para la dirección IP.
  • Usuarios (en %) que marcaron la dirección IP como insegura con el tiempo.

Indicadores de riesgo

Los indicadores de riesgo se resaltan en función de las etiquetas que asigna la comunidad a las entidades (direcciones IP, archivos o dominios).
Risk Indicators

Las etiquetas se categorizan como se indica a continuación:

  • Reconocimiento
  • Distribución
  • Comando y control
  • Movimiento lateral
  • Escalación de privilegio
  • Creación de paquetes y exfiltración

Estas etiquetas son ejemplos y varían en función de las entradas recibidas de la comunidad en el servidor de Live Connect.

El analista puede elegir las etiquetas de indicadores de riesgo apropiadas y proporcionar los comentarios de revisión.

Una etiqueta resaltada indica que la entidad seleccionada está asociada a esa categoría y etiqueta específicas. Cuando se hace clic en una etiqueta resaltada, se muestra su descripción.

Identidad

Proporciona la siguiente información de identidad para la entidad o el valor de metadatos seleccionados:

Para la dirección IP:

  • Número de sistema autónomo (ASN)
  • Prefijo
  • Código del país y Nombre de país
  • Inscrito (organización)
  • Fecha

Para hash de archivo:

  • Nombre de archivo
  • Tamaño del archivo
  • MD5
  • SH1
  • SH256
  • Hora de compilación
  • Tipo MIME

Para un dominio:

  • Nombre del dominio
  • Dirección IP asociada
Información del certificado

Proporciona la siguiente información del certificado para el hash de archivo seleccionado:

  • Emisor del certificado
  • Validez del certificado
  • Algoritmo de firma
  • Número de serie del certificado
Información WHO IS

La información WHO IS proporciona los detalles de propiedad de un dominio determinado.

WHOIS Information

Se muestra la siguiente información del propietario del dominio:

  • Fecha de creación
  • Fecha de actualización
  • Fecha de vencimiento
  • Tipo (tipo de registro)
  • Nombre
  • Organización
  • Dirección con código postal
  • País
  • Teléfono
  • Fax
  • Correo electrónico
Archivos relacionados

Se muestran los archivos relacionados para la dirección IP y el dominio de los tipos de entidad. Se muestra una lista de archivos asociados conocidos, junto con la siguiente información:

  • Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido)
  • Nombre de archivo
  • MD5
  • Fecha y hora de compilación
  • Hash de importación de función de API
  • Tipo MIME

Dominios relacionados

Se muestran los dominios relacionados para la dirección IP y los archivos de los tipos de entidad. Se muestra una lista de dominios asociados conocidos, junto con la siguiente información:

  • Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido)
  • Nombre del dominio
  • Nombre de país
  • Fecha de registro
  • Fecha de vencimiento
  • Dirección de correo electrónico del inscrito
IP relacionadas

Se muestran las direcciones IP relacionadas para el dominio y los archivos de los tipos de entidad. Se muestra una lista de direcciones IP asociadas conocidas, junto con la siguiente información:

  • Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido)
  • Dirección IP
  • Nombre del dominio
  • Código del país y Nombre de país
  • Nombre de país
  • Fecha de registro
  • Fecha de vencimiento
  • Dirección de correo electrónico del inscrito
  
You are here
Table of Contents > Información de referencia de NetWitness Respond > Panel Búsqueda de contexto

Attachments

    Outcomes