Respond: Ermitteln, welche Incidents eine Aktion erfordern

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

Una vez que obtiene la información general acerca del incidente en la vista Lista de incidentes, puede ir a la vista Detalles de incidente para obtener más información con el fin de determinar la acción requerida.

Incident Details view

Ver detalles de incidentes

Para ver los detalles de un incidente, en la vista Lista de incidentes, elija un incidente que desee ver y, a continuación, haga clic en el vínculo de la columna ID o NOMBRE correspondiente a ese incidente.

Incident List view showing link to the details view in the Name column

La vista Detalles de incidente del incidente seleccionado aparece con el panel Descripción general y un gráfico de nodos.

Incident Details view example

La vista Detalles de incidente incluye los siguientes paneles:

  • DESCRIPCIÓN GENERAL: El panel de descripción general de incidentes contiene información de resumen general sobre el incidente; por ejemplo, el puntaje, la prioridad, las alertas y el estado. Tiene la opción de cambiar la prioridad, el estado y el usuario asignado del incidente.
  • INDICADORES: El panel Indicadores contiene una lista cronológica de indicadores. Los indicadores son alertas, como una alerta de ESA o una alerta de NetWitness Endpoint. Esta lista permite conectar indicadores con datos relevantes. Por ejemplo, una dirección IP conectada a una alerta de ESA de comando y comunicación también podría haber activado una alerta de NetWitness Endpoint u otras actividades sospechosas.
  • Gráfico de nodos: El gráfico de nodos es un gráfico interactivo que muestra la relación entre las entidades involucradas en el incidente. Una entidad es un elemento de metadatos especificado, como una dirección IP, una dirección MAC, un usuario, un host, un dominio, un nombre de archivo o un hash de archivo.
  • Eventos: El panel Eventos, también conocido como la tabla Eventos, enumera los eventos asociados con el incidente. También muestra información acerca del origen y el destino del evento, junto con información adicional que depende del tipo de evento. Puede hacer clic en un evento de la lista para ver los datos detallados de ese evento.
  • REGISTRO: En el panel Registro, puede acceder al registro del incidente seleccionado, lo cual le permite comunicarse y colaborar con otros analistas. Puede publicar notas en un registro, agregar etiquetas del Modelo de investigación (Reconocimiento, Distribución, Explotación, Instalación y Comando y control) y ver el historial de actividad en el incidente.
  • TAREAS: El panel Tareas muestra todas las tareas que se han creado para el incidente. Desde aquí también puede crear tareas adicionales.
  • RELACIONADO: El panel Indicadores relacionados permite buscar alertas que están relacionadas con este incidente en la base de datos de alertas de NetWitness Suite. También puede agregar al incidente las alertas relacionadas que encuentra.

Para ver más información en el panel lateral izquierdo, sin desplazarse, puede colocar el cursor sobre el borde derecho y arrastrar la línea para cambiar el tamaño del panel, como se muestra en la siguiente figura:

Indident Details view showing how to resize the panel

Ver información de resumen básica acerca del incidente

Puede ver información de resumen básica acerca de un incidente en el panel Descripción general.

Sobre el panel Descripción general, puede ver la siguiente información:

  • ID del incidente: Se trata de un ID único creado automáticamente que se asigna al incidente.
  • Nombre: El nombre del incidente proviene de la regla que se usa para activar el incidente.

Top of left panel

Para ver el panel Descripción general desde la vista Detalles de incidente, seleccione DESCRIPCIÓN GENERAL en el panel izquierdo.

Overview panel

Para ver el panel Descripción general desde la vista Lista de incidentes, haga clic en un incidente de la lista. El panel Descripción general aparece a la derecha.

Incident List with the Overview panel open

El panel Descripción general contiene información de resumen básica acerca del incidente seleccionado:

  • Creado: Muestra la fecha y la hora de creación del incidente.
  • Regla/Por: Muestra el nombre de la regla o de la persona que creó el incidente.
  • Puntaje de riesgo: Indica el riesgo del incidente que se calcula por medio de un algoritmo y que está entre 0 y 100. 100 es el puntaje de riesgo más alto.
  • Prioridad: Muestra la prioridad del incidente. La prioridad puede ser Crítica, Alta, Media o Baja.
  • Estado: Muestra el estado del incidente. El estado puede ser Nuevo, Asignado, En curso, Tarea solicitada, Tarea completa, Cerrado y Cerrado: falso positivo. Después de que se crea una tarea, el estado cambia a Tarea solicitada.
  • Usuario asignado: Muestra el miembro del equipo que está asignado al incidente.
  • Orígenes: Indica los orígenes de datos que se utilizan para ubicar la actividad sospechosa.
  • Categorías: Muestra las categorías de los eventos del incidente.
  • Catalizadores: Muestra el conteo de indicadores que dieron lugar al incidente.

Ver los indicadores y los enriquecimientos

Nota: Los indicadores son alertas, como una alerta de ESA o una alerta de NetWitness Endpoint.

Puede encontrar indicadores, eventos y enriquecimientos en el panel Indicadores. El panel Indicadores es una lista cronológica de indicadores que permite buscar enriquecimientos y eventos relacionados con el indicador desencadenante. Por ejemplo, un indicador podría ser una alerta de Command and Control, una alerta de NetWitness Endpoint, una alerta de Suspicious Domain (C2) o una alerta de una regla de Event Stream Analysis (ESA). El panel Indicadores permite agregar y ordenar estos indicadores (alertas) de distintos sistemas, de modo que pueda ver cómo se relacionan y también desarrollar un cronograma de un ataque determinado.

Para ver el panel Indicadores, en el panel izquierdo de la vista Detalles de incidente, seleccione INDICADORES.

Indicators panel

Los indicadores son alertas, como una alerta de ESA o una alerta de NetWitness Endpoint. Esta lista permite conectar indicadores con datos relevantes. Por ejemplo, los indicadores pueden mostrar los datos que encuentran las reglas. En el panel Indicadores, el puntaje de riesgo de un indicador se muestra dentro de un círculo de color sólido.

La información del origen de datos se muestra debajo de los nombres de los indicadores. También puede ver la fecha y la hora de creación del indicador y la cantidad de eventos que incluye. Cuando hay datos disponibles, puede ver la cantidad de enriquecimientos. Puede hacer clic en los botones de eventos y enriquecimientos para ver los detalles.

Ver y estudiar los eventos

Puede ver y estudiar los eventos asociados con el incidente desde el panel Eventos. Muestra información acerca de los eventos, como la hora del evento, la dirección IP de origen, la dirección IP de destino, la dirección IP del detector, el usuario de origen, el usuario de destino e información de los archivos acerca de los eventos. La cantidad de información que se muestra depende del tipo de evento.

Hay dos tipos de eventos:

  • Una transacción entre dos máquinas (un origen y un destino)
  • Una anomalía detectada en una máquina (un detector)

Algunos eventos solo tendrán un detector. Por ejemplo, NetWitness Endpoint busca malware en una máquina. Otros eventos tendrán un origen y un destino. Por ejemplo, los datos de paquetes muestran la comunicación entre una máquina y un dominio de comando y control (C2).

Puede desglosar aún más a un evento para obtener datos detallados acerca de este.

Para ver y estudiar los eventos:

  1. Para ver el panel Eventos, en la barra de herramientas de la vista Detalles de incidente, haga clic en View Datasheet icon - It opens the Events panel.
    Events panel
    El panel Eventos presenta una lista de información acerca de cada evento, como se muestra en la siguiente tabla.

    Columna

    Descripción

    TIEMPOMuestra la hora en que se produjo el evento.
    TIPOMuestra el tipo de alerta, como Registro y Red.
    DIRECCIÓN IP DE ORIGENMuestra la dirección IP de origen si hubo una transacción entre dos máquinas.
    PUERTO DE ORIGENMuestra el puerto de origen de la transacción. Los puertos de origen y destino pueden estar en la misma dirección IP.
    HOST DE ORIGENMuestra el host de origen donde se produjo el evento.
    MAC DE ORIGENMuestra la dirección MAC de la máquina de origen.
    USUARIO DE ORIGENMuestra el usuario de la máquina de origen.
    DIRECCIÓN IP DE DESTINOMuestra la dirección IP de destino si hubo una transacción entre dos máquinas.
    PUERTO DE DESTINOMuestra el puerto de destino de la transacción. Los puertos de origen y destino pueden estar en la misma dirección IP.
    HOST DE DESTINOMuestra el host de destino donde se produjo el evento.
    MAC DE DESTINOMuestra la dirección MAC de la máquina de destino.
    USUARIO DE DESTINOMuestra el usuario de la máquina de destino.
    IP DE DETECTORMuestra la dirección IP de la máquina en la que se detectó una anomalía.
    NOMBRE DE ARCHIVOMuestra el nombre del archivo, si hubo uno implicado en el evento.
    HASH DE ARCHIVOMuestra un hash del contenido del archivo.

    Si solo hay un evento en la lista, verá los detalles de ese evento en lugar de una lista.

  2. Haga clic en un evento de la Lista de eventos para ver sus detalles.
    En este ejemplo se muestran los detalles del primer evento de la lista.
    Event Details - First Event
  3. Use la navegación de Detalles de eventos para ver detalles de eventos adicionales.
    En este ejemplo se muestra el segundo evento de la lista.
    Event Details - Second event showing navigation

Ver y estudiar las entidades involucradas en los eventos

Una entidad es una dirección IP, una dirección MAC, un usuario, un host, un dominio, un nombre de archivo o un hash de archivo. El gráfico de nodos es un gráfico interactivo que se puede reposicionar para obtener una mejor comprensión de la manera en que se relacionan las entidades involucradas en los eventos. Los gráficos de nodos tienen distintos aspectos según el tipo de evento, la cantidad de máquinas involucradas, si las máquinas están asociadas a usuarios y si hay archivos asociados al evento.

En la siguiente figura se muestra un ejemplo de gráfico de nodos con seis nodos.

Nodal graph

Si observa el gráfico de nodos con detención, puede ver círculos que representan nodos. Un gráfico de nodos puede contener uno o más de los siguientes tipos de nodos:

  • Dirección IP. Si el evento es una anomalía detectada, puede ver una dirección IP de detector. Si el evento es una transacción, puede ver una dirección IP de destino y una de origen.
  • Dirección MAC. Puede ver una dirección MAC para cada tipo de dirección IP.
  • Usuario. Si la máquina está asociada a un usuario, puede ver un nodo de usuario.
  • Host
  • Dominio
  • Nombre de archivo. Si el evento implica archivos, puede ver un nombre de archivo.
  • Hash de archivo. Si el evento implica archivos, puede ver un hash de archivo.

La leyenda en la parte inferior del gráfico de nodos muestra la cantidad de nodos de cada tipo y la codificación en colores de los nodos.

Puede hacer clic en cualquier nodo y arrastrarlo para cambiar su ubicación.

Las flechas entre los nodos ofrecen información adicional acerca de las relaciones entre las entidades:

  • Se comunica con: Una flecha entre un nodo de máquina de origen (dirección IP o dirección MAC) y un nodo de máquina de destino etiquetada con “Se comunica con” muestra la dirección de la comunicación.
  • Como: Una flecha entre los nodos etiquetada con “Como” proporciona información adicional sobre la dirección IP que señala la flecha. En el ejemplo anterior, hay una flecha desde el círculo del nodo de host que señala a un nodo de dirección IP con hash, la cual está etiquetada con “Como”. Esto indica que el nombre en el círculo del nodo de host es el nombre de host de esa dirección IP y no una entidad distinta.
  • Tiene archivo: Una flecha entre un nodo de máquina (dirección IP, dirección MAC o host) y un nodo de hash de archivo etiquetada con “Tiene” indica que la dirección IP tiene ese archivo.
  • Usos: Una flecha entre un nodo de usuario y un nodo de máquina (dirección IP, dirección MAC o host) etiquetada con “Usos” muestra la máquina que utilizó el usuario durante el evento.
  • Se denomina: Una flecha desde un nodo de hash de archivo a un nodo de nombre de archivo etiquetada con “Se denomina” indica que el hash de archivo corresponde a un archivo con ese nombre.
  • Pertenece a: Una flecha entre dos nodos etiquetada con “Pertenece a” indica que se relaciona con el mismo nodo. Por ejemplo, una flecha entre una dirección MAC y un host etiquetada “Pertenece a” indica que es la dirección MAC del host.

Las flechas con mayores tamaños de línea indican que hay más comunicación entre los nodos. Los nodos (círculos) más grandes indican mayor actividad en comparación con los nodos más pequeños. Los nodos de mayor tamaño son las entidades más comunes que se mencionan en los eventos.

El siguiente ejemplo de gráfico de nodos tiene 10 nodos.

Nodal graph example showing 10 nodes

En este ejemplo, observe que hay dos nodos de IP que tienen mucha actividad. Ambos tienen archivos, pero no se comunican entre sí. La dirección IP en la parte superior (192.168.1.1) representa una máquina con dos nombres de host (host.example.com e INENDEBS1L2C) en el dominio example.com. La dirección MAC de la máquina es 11-11-11-11-11-11-11-11-11 y la utiliza Alice.

Filtrar los datos en la vista Detalles de incidente

Puede hacer clic en los indicadores del panel Indicadores para filtrar lo que puede ver en el gráfico de nodos y en la Lista de eventos.

Si selecciona un indicador para filtrar el gráfico de nodos, los datos que no son parte de su selección se atenúan, pero continúan en la vista, como se muestra en la siguiente figura.

Nodal graph filtered by incidents

Si selecciona un indicador para filtrar la lista de eventos, solo se muestran en la lista los eventos de ese indicador. En la siguiente figura se muestra un indicador seleccionado que contiene dos eventos. La Lista de eventos filtrada muestra estos dos eventos.

Incident Details view - An indicator selected with two events filters the Events list

Si selecciona un indicador para filtrar la lista de eventos y hay solo un evento para ese indicador, puede ver los detalles de ese evento, como se muestra en la siguiente figura.

Incident Details view - An indicator selected with one event shows the details for that event

Ver las tareas asociadas a un incidente

Los encargados de responder ante amenazas y otros analistas pueden crear tareas para un incidente y rastrear esas tareas hasta su finalización. Esto puede ser muy útil, por ejemplo, cuando se requieren acciones relativas a los incidentes de equipos fuera de sus operaciones de seguridad. Puede ver las tareas asociadas a un incidente en la vista Detalles de incidente.

  1. Vaya a RESPONDER > Incidentes y busque el incidente que desea ver en la Lista de incidentes.
  2. Haga clic en el vínculo del campo ID o NOMBRE del incidente para ir a la vista Detalles de incidente.
  3. En la barra de herramientas de la vista Detalles de incidente, haga clic en Journal, Tasks, and Related icon.
    Se abre el panel Registro.
  4. Haga clic en la pestaña TAREAS.
    El panel Tareas muestra todas las tareas que se han creado para el incidente.
    TASKS panel

Para obtener más información acerca de las tareas, consulte Vista Lista de tareas, Ver todas las tareas de incidentes y Crear una tarea.

Ver notas sobre los incidentes

El registro de incidentes permite ver el historial de actividad del incidente. Puede ver las entradas del registro de otros analistas y también comunicarse y colaborar con ellos.

  1. Vaya a RESPONDER > Incidentes y busque el incidente que desea ver en la Lista de incidentes.
  2. Haga clic en el vínculo del campo ID o NOMBRE del incidente para ir a la vista Detalles de incidente.
  3. En la barra de herramientas de la vista Detalles de incidente, haga clic en Journal, Tasks, and Related icon.
    El panel Registro muestra todas las entradas del registro para el incidente.
    Journal panel

Buscar indicadores relacionados

Los indicadores relacionados son alertas que no formaban parte originalmente del incidente seleccionado, pero que se relacionan de alguna manera con este. La relación puede o no ser obvia. Por ejemplo, los indicadores relacionados pueden implicar una o más entidades del incidente, pero también se pueden relacionar debido a inteligencia externa a NetWitness Suite.

En el panel Relacionado de la vista Detalles de incidente, puede buscar una entidad (por ejemplo, IP, MAC, host, dominio, usuario, nombre de archivo o hash) en otras alertas fuera del incidente actual.

  1. Vaya a RESPONDER > Incidentes y busque el incidente que desea ver en la Lista de incidentes.
  2. Haga clic en el vínculo del campo ID o NOMBRE del incidente para ir a la vista Detalles de incidente.
  3. En la barra de herramientas de la vista Detalles de incidente, haga clic en Journal, Tasks, and Related icon.
    El panel Registro se abre en el lado derecho.
  4. Haga clic en la pestaña Relacionado.
    Related Indicators panel
  5. Haga clic en Buscar.
    Aparece una lista de indicadores relacionados (alertas) debajo del botón Buscar en la sección Indicadores para. Si una alerta no forma parte de otro incidente, puede hacer clic en el botón Agregar a incidente para agregar el indicador relacionado (alerta) al incidente actual. Consulte Agregar indicadores relacionados al incidente a continuación.

Agregar indicadores relacionados al incidente

Puede agregar indicadores relacionados (alertas) al incidente actual desde el panel Indicadores relacionados. Un indicador que ya forma parte de un incidente no puede formar parte de otro. En los resultados de búsqueda, si una alerta aún no forma parte de un incidente, aparece con un botón Agregar a incidente.

  1. En el panel RELACIONADO (Indicadores relacionados), realice una búsqueda para encontrar indicadores relacionados. Consulte Buscar indicadores relacionados anteriormente.
    Related Indicators panel
  2. Revise las alertas en los resultados de búsqueda. La sección Indicadores para (debajo del botón Buscar) muestra los indicadores relacionados (alertas).
  3. Para examinar los detalles de una alerta antes de agregarla como un indicador relacionado con el incidente, puede hacer clic en el vínculo Abrir en una nueva ventana para ver los detalles de la alerta para ese indicador.
  4. Para cada alerta que desee agregar al incidente actual como un indicador relacionado, haga clic en el botón Agregar a incidente.
    El indicador relacionado seleccionado se agrega al panel Indicadores en el lado izquierdo. Ahora, el botón del panel Indicadores relacionados del lado derecho muestra Parte de este incidente.
    Indicator find results showing Part of this Incident button after adding the indicator to the incident
You are here
Table of Contents > Determinar los incidentes que requieren acción

Attachments

    Outcomes