El servicio Context Hub reúne información contextual de varios orígenes de datos en la vista Respond, lo cual permite a los analistas tomar mejores decisiones durante sus análisis y llevar a cabo las acciones correspondientes. La visualización de las entidades, los valores de metadatos y la información contextual en una única interfaz ayuda a los analistas a dar prioridad e identificar las áreas de interés. Por ejemplo, las alertas y los incidentes creados recientemente desde la vista Respond que implican una entidad o un valor de metadatos determinados se mostrarán cuando el analista realice consultas para obtener información adicional acerca de esa entidad o valor de metadatos. El panel Búsqueda de contexto muestra la información contextual de las entidades o los valores de metadatos seleccionados, como una dirección IP, un usuario, un host, un dominio, un nombre de archivo o un hash de archivo. Los datos disponibles dependen de los orígenes configurados en Context Hub.
El panel Búsqueda de contexto muestra la información contextual en función de los datos disponibles en los orígenes configurados en Context Hub.
¿Qué desea hacer?
| Encargados de respuesta ante incidentes, analistas, buscadores de amenazas | Navegar al panel Búsqueda de contexto. | Desde la vista Detalles de incidente, consulte Ver información contextual . Desde la vista Detalles de la alerta, consulte Ver información contextual . |
| Encargados de respuesta ante incidentes, analistas, buscadores de amenazas | Comprender la información del panel Búsqueda de contexto para una entidad seleccionada. | Consulte la información en este tema. |
| Administrador | Configurar orígenes de datos para Context Hub. | Consulte “Configurar orígenes de datos para Context Hub” en la Guía de configuración de Context Hub. |
| Administrador | Configurar los ajustes de Context Hub. | Consulte “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub. |
Temas relacionados
Información contextual que se muestra en el panel Búsqueda de contexto
La información contextual o los resultados de consulta que se muestran en el panel Búsqueda de contexto dependen de la entidad seleccionada y de los orígenes de datos asociados.
El panel Búsqueda de contexto tiene pestañas por separado para cada uno de los orígenes de datos. La pestaña del origen de datos Lista es la primera en el panel de contexto, seguida de Archer, Endpoint, Incidentes, Alertas y Live Connect.
En la siguiente figura se muestra el panel Búsqueda de contexto para una entidad seleccionada en la vista Detalles de incidente. La vista muestra la pestaña Incidentes del panel Búsqueda de contexto.
En la siguiente tabla se describen los datos disponibles en cada pestaña y las entidades compatibles.
| 
(Listas) | Muestra todos los datos de lista asociados con la entidad o el valor de metadatos seleccionados. El resultado se ordena por la lista que se actualizó por última vez. | Todas las entidades |
(Archer) | Muestra información sobre los recursos, junto con clasificaciones de criticidad que usan el origen de datos Archer. | IP y host |
| 
(Active Directory) | Muestra toda la información del usuario seleccionado. | Usuario |
| 
(NetWitness Endpoint)
| Muestra la información del origen de datos NetWitness Endpoint para la entidad o el valor de metadatos seleccionados, la cual incluye las máquinas, los módulos y los niveles de IIOC. Los módulos se muestran del puntaje de IOC más alto al puntaje de IIOC más bajo y los niveles de IIOC, de los más altos a los más bajos. | IP, dirección de MAC y host |
(Incidentes) | Muestra la lista de incidentes asociados con la entidad o el valor de metadatos seleccionados. El resultado se ordena de los incidentes más recientes a los más antiguos. | Todas las entidades |
(Alertas) | Muestra la lista de alertas asociadas con la entidad o el valor de metadatos seleccionados. El resultado se ordena de las alertas más recientes a las más antiguas. | Todas las entidades |
(Live Connect) | Muestra información relacionada con Live Connect. | IP, dominio y hash de archivo |
Listas
El panel Búsqueda de contexto para Listas muestra una o más listas asociadas con la entidad o el valor de metadatos seleccionados. La siguiente figura es un ejemplo del panel de contexto para Listas.
La siguiente información se muestra para Listas.
| Nombre | El nombre de la lista (definido durante la creación de la lista). |
| Descripción | La descripción de la lista (definida durante la creación de la lista). |
| Autor | El propietario que creó la lista. |
| Creado | La fecha en que se creó la lista. |
| Actualizado | La fecha en que la lista se actualizó o se modificó por última vez. |
| Conteo | La cantidad de listas en las cuales está disponible la entidad o el valor de metadatos seleccionados. |
| Ventana de tiempo | Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar respuestas. De forma predeterminada, se obtienen todos los datos de Listas. |
| Última actualización | La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché. |
Archer
El panel Búsqueda de contexto para Archer muestra información sobre los recursos, junto con calificaciones de criticidad que usan el origen de datos Archer para las entidades y los valores de metadatos de IP y host. La siguiente figura es un ejemplo del panel de contexto para Archer.
La siguiente información se muestra para Archer.
| Clasificación de criticidad | Muestra la criticidad operacional del dispositivo en función de las aplicaciones que apoya. Las clasificaciones de criticidad se pueden configurar en No clasificado, Baja, Media-baja, Media, Media-alta o Alta. |
| ID de dispositivo | Muestra el valor completado de forma automática que identifica de manera exclusiva el registro en todas las aplicaciones del sistema. |
| Nombre del dispositivo | Muestra el nombre único del dispositivo. |
| Propietario de dispositivos | Muestra los propietarios del dispositivo que son responsables de este y reciben derechos de lectura y actualización para el registro. |
| Nombre del host | Muestra el nombre de host del dispositivo. |
| Instalaciones | Proporciona vínculos a los registros de la aplicación Instalaciones que se relacionan con este dispositivo. |
| Unidad de negocios | Proporciona vínculos a los registros de la aplicación Unidad de negocios que se relacionan con este dispositivo. |
| Clasificación de riesgo | Calcula la clasificación de riesgo del dispositivo según la evaluación más reciente y la clasificación de riesgo promedio de las instalaciones que utilizan el dispositivo. La clasificación de riesgo se puede configurar en Grave, Alta, Mediana, Baja o Mínima. |
| Tipo | Muestra el tipo de dispositivo, como servidor, laptop, escritorio, etc. |
| Dirección IP | Muestra la dirección IP interna primaria del dispositivo. |
| Conteo | Muestra la cantidad de recursos disponibles. |
| Ventana de tiempo | Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar respuestas. De forma predeterminada, se obtienen todos los datos para Archer. |
| Última actualización | La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché. |
Active Directory
La siguiente figura es un ejemplo del panel de contexto para Active Directory.
El panel Búsqueda de contexto para Active Directory muestra toda la información, las alertas y los incidentes relacionados para un usuario. Puede realizar una búsqueda mediante los siguientes formatos:
- userPrincipalName
- Domain\UserName
- sAMAccountName
Si el usuario existe en dominios múltiples o bosques múltiples, se muestra toda la información contextual relacionada para el usuario específico.
La siguiente información se muestra para Active Directory.
| Nombre para mostrar | Muestra el nombre del usuario específico. |
| ID de empleado
| Muestra el ID de empleado del usuario específico. |
| Teléfono | Muestra el número de teléfono del usuario específico. |
| Correo electrónico | Muestra el ID de correo electrónico del usuario específico. |
| ID de usuario de AD | Muestra la identificación única del usuario específico dentro de una organización. |
| Cargo
| Muestra la designación del usuario específico. |
| Administrador
| Muestra el nombre del administrador de |
| Grupos
| Muestra la lista de grupos de los cuales el usuario específico es miembro. |
| Empresa
| Muestra el nombre de la empresa a la cual pertenece el usuario específico. |
| Departamento
| Muestra el nombre del departamento dentro de la organización a la cual pertenece el usuario específico. |
| Ubicación | Muestra la ubicación del usuario específico. |
| Último inicio de sesión
| Muestra la hora en que el usuario específico inició sesión en el sistema solo si el Catálogo global está definido. |
| Último registro de fecha y hora de inicio de sesión | Muestra la hora en que el usuario específico inició sesión en el sistema. |
| Nombre distinguido | Muestra el nombre único asignado al usuario. |
| Conteo | Muestra la cantidad de usuarios. |
| Ventana de tiempo | Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se obtienen todos los datos de Active Directory. |
| Última actualización | La hora en que Context Hub obtuvo y almacenó los datos de búsqueda en la caché. |
NetWitness Endpoint
En el panel Búsqueda de contexto para NetWitness Endpoint se muestra la siguiente información.
La siguiente información se muestra para IIOC.
| Cantidad de módulos | Muestra la cantidad de módulos que se buscan. |
| Estado administrativo | Muestra el estado administrativo (si corresponde). |
| Última actualización | Muestra la hora en que los datos se actualizaron por última vez. |
| Último inicio de sesión | Muestra la hora en que el usuario inició sesión por última vez. |
| Dirección MAC | Dirección MAC de la máquina. |
| Sistema operativo | Versión del sistema operativo que usa la máquina de NetWitness Endpoint. |
| Estado de la máquina | Muestra si el módulo que se busca está En línea, Offline, Activo o Inactivo. |
| Dirección IP | Muestra la dirección IP del módulo específico. |
La siguiente información se muestra para Módulos.
| Puntaje de IIOC | Un puntaje de IIOC de la máquina es un puntaje agregado que se basa en los puntajes del módulo. Esto se basa en el valor configurado para el campo “Puntaje de IIOC mínimo” en los ajustes de orígenes de datos de Context Hub. El valor predeterminado para “Puntaje de IIOC mínimo” es 500. Consulte el tema “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub. |
| Nombre de módulo | Nombre del módulo que se busca. |
| Puntaje de análisis | Cantidad de archivos activos para la máquina seleccionada. |
| Conteo de máquinas | Indica cuándo se actualizaron por última vez los resultados del escaneo en la base de datos de NetWitness Endpoint. |
| Firma | Indica si el archivo está o no firmado y si es o no válido, y proporciona información acerca del signatario. Por ejemplo, Google, Apple, etc. |
La siguiente información se muestra para Máquinas.
| Niveles de IIOC | Muestra los niveles de IOC. |
| Descripción | Muestra la descripción para el nivel de IOC, si está disponible. |
| Última ejecución | Muestra la hora en que se ejecutó la acción. |
| Conteo | Muestra la cantidad de hosts que se buscan. |
| Ventana de tiempo | Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se obtienen todos los datos de NetWitness Endpoint. |
| Última actualización | Indica cuándo se actualizaron por última vez los resultados del escaneo en la base de datos de NetWitness Endpoint. |
Alertas
La siguiente figura es un ejemplo del panel de contexto para Alerts que se muestra, en primer lugar, en función del tiempo (más recientes a más antiguas) y, a continuación, la gravedad.
En el panel Búsqueda de contexto para Alertas se muestra la siguiente información.
| Creado | Fecha y hora en que se creó la alerta. |
| Gravedad | Valor de gravedad de las alertas |
| Nombre | Nombre de la alerta. Haga clic en el nombre para ver los detalles de una alerta específica. |
| Origen | Nombre del origen de alerta desde donde se activó la alerta. |
| Cantidad de eventos | Número de eventos asociados con la alerta. |
| ID del incidente | Este es el ID del incidente con el cual está asociada la alerta (si corresponde). Haga clic en el ID para ver los detalles de una alerta específica. |
| Conteo | Muestra la cantidad de alertas. De forma predeterminada, solo se muestran las primeras 100 alertas. Para obtener más información acerca de cómo configurar los ajustes, consulte el tema “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub. |
| Ventana de tiempo | Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se recupera los datos de alertas de los últimos 7 días. |
| Última actualización | Indica la última vez en que se recuperaron datos contextuales desde el origen de datos. |
Incidentes
La siguiente figura es un ejemplo del panel de contexto para Incidentes que se basa, en primer lugar, en el tiempo (más recientes a más antiguos) y, a continuación, en el estado de prioridad.
En el panel Búsqueda de contexto para Incidentes se muestra la siguiente información.
| Creado | La fecha de creación del incidente. |
| Prioridad | Estado de prioridad de los incidentes. |
| Puntaje de riesgo | Puntaje de riesgo de los incidentes. |
| ID | ID del incidente. Cuando se hace clic, se muestran más detalles acerca del incidente. |
| Nombre | Nombre del incidente. |
| Estado | Estado del incidente. |
| Usuario asignado | Propietario actual del incidente. |
| Alertas | Cantidad de alertas asociadas con el incidente. |
| Conteo | Muestra la cantidad de incidentes. De forma predeterminada, solo se muestran las primeras 100 alertas. Para obtener más información acerca de cómo configurar los ajustes, consulte el tema “Configurar ajustes de orígenes de datos de Context Hub” en la Guía de configuración de Context Hub. |
| Ventana de tiempo | Se basa en el valor que se configura para el campo “Consultar últimos” del cuadro de diálogo Configurar ajustes de orígenes de datos. De forma predeterminada, se recupera los datos de alertas de los últimos 7 días. |
| Última actualización | Indica la última vez en que se recuperaron datos contextuales desde el origen de datos. |
Live Connect
La siguiente figura es un ejemplo del panel de contexto para Live Connect.
El panel Live Connect muestra la siguiente información:
- Estado de revisión
- Evaluación del riesgo de Live Connect
- Indicadores de riesgo
- Actividad de la comunidad
En el panel Búsqueda de contexto para Live Connect se muestra la siguiente información.
| Estado de revisión | Muestra el estado de revisión de la entidad de Live Connect seleccionada (IP, archivo o dominio) en función de la actividad de los analistas. Esto proporciona visibilidad de la actividad de los analistas dentro de una organización. Estado
Los siguientes son los tipos de estado: - Nuevo: Si los resultados de búsqueda de una dirección IP se ven por primera vez dentro de la organización.
- Vistos: Si un analista dentro de la organización ya vio los resultados de búsqueda de una dirección IP.
- Marcada como segura: Si un analista dentro de la organización ya vio los resultados de búsqueda y marcó la dirección IP como segura.
- Marcada como riesgosa: Si un analista dentro de la organización ya vio los resultados de búsqueda y marcó la dirección IP como riesgosa.
|
| Evaluación del riesgo | Muestra la evaluación del riesgo para la entidad de Live Connect seleccionada (IP, archivo o dominio) de acuerdo con el análisis y los comentarios de los analistas de Live Connect. Las categorías de evaluación del riesgo son: - Segura: La entidad de Live Connect se considera segura.
- Desconocido: Live Connect no tiene suficiente información acerca de esta entidad para calcular el riesgo.
- Alto riesgo: Se marca como de “Alto riesgo” en función del análisis y los motivos de riesgo que proporciona la comunidad. Las entidades marcadas como de “Alto riesgo” requieren atención inmediata.
- Sospechoso: Se marca como “Sospechoso” en función del análisis y los motivos de riesgo que proporciona la comunidad. El análisis indica actividad potencialmente amenazante que requiere una acción.
- Inseguro: Se marca como “Sospechoso” en función del análisis y los motivos de riesgo que proporciona la comunidad.
La entidad se clasifica como Alto riesgo, Sospechoso o Inseguro y muestra los motivos de riesgo asociados según corresponde. |
| Comentarios sobre la evaluación del riesgo | Comentarios sobre la evaluación del riesgo permite que el analista envíe comentarios de inteligencia de amenazas acerca de una entidad al servidor de Live Connect. - Confirmación de riesgo: La confirmación de riesgo de la entidad de Live Connect seleccionada (IP, archivo o dominio). Las categorías de confirmación de riesgo son:
- Nivel de confianza: El nivel de confianza de un analista en la entrega de comentarios para la entidad de Live Connect. Las categorías de nivel de confianza son las siguientes:
- Etiquetas de indicador de riesgo: Permite seleccionar una categoría de etiqueta en función del análisis.
 |
| Actividad de la comunidad | Actividades de la comunidad, como las siguientes: - Fecha en que se vio por primera vez en la comunidad.
- Tiempo desde que la dirección IP, el archivo o el dominio se vieron por primera vez (Hora actual: hora en que se vio por primera vez).
Actividad de la comunidad de tendencias: Si la dirección IP se conoce dentro de la comunidad de RSA, se muestra una representación gráfica de la tendencia de actividad de la comunidad para lo siguiente: - Usuarios (en %) que vieron la dirección IP en la comunidad de Live Connect con el tiempo.
- Usuarios (en %) que enviaron comentarios para la dirección IP.
- Usuarios (en %) que marcaron la dirección IP como insegura con el tiempo.
|
| Indicadores de riesgo | Los indicadores de riesgo se resaltan en función de las etiquetas que asigna la comunidad a las entidades (direcciones IP, archivos o dominios).
 Las etiquetas se categorizan como se indica a continuación: - Reconocimiento
- Distribución
- Comando y control
- Movimiento lateral
- Escalación de privilegio
- Creación de paquetes y exfiltración
Estas etiquetas son ejemplos y varían en función de las entradas recibidas de la comunidad en el servidor de Live Connect. El analista puede elegir las etiquetas de indicadores de riesgo apropiadas y proporcionar los comentarios de revisión. Una etiqueta resaltada indica que la entidad seleccionada está asociada a esa categoría y etiqueta específicas. Cuando se hace clic en una etiqueta resaltada, se muestra su descripción. |
| Identidad | Proporciona la siguiente información de identidad para la entidad o el valor de metadatos seleccionados: Para la dirección IP: - Número de sistema autónomo (ASN)
- Prefijo
- Código del país y Nombre de país
- Inscrito (organización)
- Fecha
Para hash de archivo: - Nombre de archivo
- Tamaño del archivo
- MD5
- SH1
- SH256
- Hora de compilación
- Tipo MIME
Para un dominio: - Nombre del dominio
- Dirección IP asociada
|
| Información del certificado | Proporciona la siguiente información del certificado para el hash de archivo seleccionado: - Emisor del certificado
- Validez del certificado
- Algoritmo de firma
- Número de serie del certificado
|
| Información WHO IS | La información WHO IS proporciona los detalles de propiedad de un dominio determinado.  Se muestra la siguiente información del propietario del dominio: - Fecha de creación
- Fecha de actualización
- Fecha de vencimiento
- Tipo (tipo de registro)
- Nombre
- Organización
- Dirección con código postal
- País
- Teléfono
- Fax
- Correo electrónico
|
| Archivos relacionados | Se muestran los archivos relacionados para la dirección IP y el dominio de los tipos de entidad. Se muestra una lista de archivos asociados conocidos, junto con la siguiente información: - Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido)
- Nombre de archivo
- MD5
- Fecha y hora de compilación
- Hash de importación de función de API
- Tipo MIME
|
| Dominios relacionados | Se muestran los dominios relacionados para la dirección IP y los archivos de los tipos de entidad. Se muestra una lista de dominios asociados conocidos, junto con la siguiente información: - Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido)
- Nombre del dominio
- Nombre de país
- Fecha de registro
- Fecha de vencimiento
- Dirección de correo electrónico del inscrito
|
| IP relacionadas | Se muestran las direcciones IP relacionadas para el dominio y los archivos de los tipos de entidad. Se muestra una lista de direcciones IP asociadas conocidas, junto con la siguiente información: - Clasificación de riesgo de Live Connect (Seguro, Riesgoso o Desconocido)
- Dirección IP
- Nombre del dominio
- Código del país y Nombre de país
- Nombre de país
- Fecha de registro
- Fecha de vencimiento
- Dirección de correo electrónico del inscrito
 |
