Respond: Investigar el incidente

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

Para investigar más a fondo un incidente en la vista Detalles de incidente, puede encontrar vínculos que lo dirigen a información contextual adicional sobre el incidente cuando está disponible. Este contexto adicional puede ayudarlo a comprender el contexto técnico adicional y el contexto de negocios acerca de una entidad específica en el incidente. También puede proporcionar información adicional que tal vez desee investigar para asegurarse de comprender el alcance completo del incidente.

Ver información contextual

En los paneles Indicadores, Lista de eventos, Detalles de eventos o en el gráfico de nodos, puede ver entidades subrayadas. Si una entidad está subrayada, NetWitness Suite está completando información acerca de ese tipo de entidad en Context Hub. Puede estar disponible información adicional sobre esa entidad en Context Hub.

En la siguiente figura se muestran entidades subrayadas en el panel Indicadores y en el gráfico de nodos.

Indicators panel and Nodal Graph showing underlined entities

En la siguiente figura se muestran entidades subrayadas en el panel Detalles de eventos.

Event Details panel showing underlined entities

Context Hub está preconfigurado con campos de metadatos mapeados a las entidades. NetWitness Respond e Investigate usan estos mapeos predeterminados para la búsqueda de contexto. Para obtener información acerca de cómo agregar claves de metadatos, consulte “Configurar ajustes para un origen de datos” en la Guía de configuración de Context Hub.

Precaución: Para que la búsqueda de contexto funcione de manera correcta en las vistas Respond e Investigate, al mapear claves de metadatos en la pestaña ADMINISTRAR > SISTEMA > Investigaciones > Búsqueda de contexto, RSA recomienda agregar únicamente claves de metadatos a los mapeos de claves de metadatos, no campos de MongoDB. Por ejemplo, ip.address es una clave de metadatos e ip_address no lo es (es un campo de MongoDB).

Para ver información contextual:

  1. En los paneles Indicadores, Lista de eventos, Detalles de eventos o en el gráfico de nodos, coloque el cursor sobre una entidad subrayada.
    Aparece un mensaje de globo de contexto con un resumen rápido del tipo de datos de contexto que está disponible para la entidad seleccionada.
    Nodal Graph showing context tooltip
    El mensaje de globo de contexto tiene dos secciones: Puntos destacados de contexto y Acciones.
    Context tooltip
    La información de la sección Puntos destacados de contexto lo ayuda a determinar las acciones que desea realizar. Puede mostrar datos relacionados de incidentes, alertas, listas, Endpoint y Live Connect. Según los datos, tal vez pueda hacer clic en estos elementos para obtener más información. En el ejemplo anterior se muestran 430 incidentes relacionados, 665 alertas, 0 listas y no se muestra información en NetWitness Endpoint o Live Connect que mencione la entidad de dirección IP, 192.168.144.254.

    En la sección Acciones se enumeran las acciones disponibles. En el ejemplo anterior, están disponibles las opciones Cambiar a Investigate, Cambiar a Endpoint y Agregar/eliminar de la lista. Para obtener más información, consulte Cambiar a Investigate, Cambiar a NetWitness Endpoint y Agregar una entidad a una lista blanca.
  2. Para ver más detalles acerca de la entidad seleccionada, haga clic en el botón Ver contexto.
    Se abre el panel Búsqueda de contexto, el cual muestra toda la información relacionada con la entidad.
    En el siguiente ejemplo se muestra información contextual para una dirección IP de origen seleccionada. Enumera todos los incidentes que mencionan la dirección IP.
    Context panel
    Para comprender las distintas vistas dentro del panel Búsqueda de Context Hub, consulte
    Panel Búsqueda de contexto: Vista Respond .

Agregar una entidad a una lista blanca

Puede agregar cualquier entidad subrayada a una lista, como una lista blanca o una lista negra, desde un mensaje de globo de contexto. Por ejemplo, para reducir los falsos positivos, tal vez desee incluir en la lista blanca un dominio subrayado con el fin de excluirlo de las entidades relacionadas.

  1. En los paneles Indicadores, Lista de eventos, Detalles de eventos o en el gráfico de nodos, coloque el cursor sobre una entidad subrayada que desee agregar a una lista de Context Hub.
    Aparece un mensaje de globo de contexto que muestra las acciones disponibles.
    Nodal graph showing Add to List option
  2. En la sección ACCIONES del mensaje de globo, haga clic en Agregar/eliminar de la lista.
    El cuadro de diálogo Agregar/eliminar de la lista muestra las listas disponibles.
    Add to List dialog
  3. Seleccione una o más listas y haga clic en Guardar.
    La entidad aparece en las listas seleccionadas.
    El Cuadro de diálogo Agregar/eliminar de la lista proporciona información adicional.

Crear una lista

Puede crear listas en Context Hub desde la vista Respond. Además de usar listas para ingresar entidades en listas blancas y negras, puede usarlas para monitorear el comportamiento anormal en las entidades. Por ejemplo, para mejorar la visibilidad de una dirección IP y un dominio sospechosos que se están investigando, tal vez desee incluirlos en dos listas por separado. Una lista podría incluir dominios que posiblemente tengan relación con conexiones de comando y control, y la otra, direcciones IP relacionadas con conexiones de troyanos de acceso remoto. A continuación, puede identificar indicadores de riesgo mediante estas listas.

Para crear una lista en Context Hub:

  1. En los paneles Indicadores, Lista de eventos, Detalles de eventos o en el gráfico de nodos, coloque el cursor sobre una entidad subrayada que desee agregar a una lista de Context Hub.
    Aparece un mensaje de globo de contexto que muestra las acciones disponibles.
  2. En la sección ACCIONES del mensaje de globo, haga clic en Agregar/eliminar de la lista.
  3. En el cuadro de diálogo Agregar/eliminar de la lista, haga clic en Crear lista nueva.
    Add/Remove from List dialog Create New List section
  4. Escriba un Nombre de lista único para la lista. El nombre de lista no distingue mayúsculas de minúsculas.
  5. (Opcional) Escriba una DESCRIPCIÓN para la lista.
    Los analistas con los permisos adecuados también pueden exportar listas en formato CSV para enviarlas a otros analistas, quienes pueden realizar tareas adicionales de rastreo y análisis. En la Guía de configuración de Context Hub se proporciona información adicional.

Cambiar a NetWitness Endpoint

Si la aplicación del cliente grueso de NetWitness Endpoint está instalada, puede iniciarla mediante el mensaje de globo de contexto. Desde allí, puede investigar más a fondo una dirección IP, una dirección MAC o un host sospechosos.

  1. En los paneles Indicadores, Lista de eventos, Detalles de eventos o en el gráfico de nodos, coloque el cursor sobre una entidad subrayada para acceder a un mensaje de globo de contexto.
  2. En la sección ACCIONES del mensaje de globo, seleccione Cambiar a Endpoint.
    La aplicación del cliente grueso de NetWitness Endpoint se abre fuera del navegador web.

Para obtener más información sobre el cliente grueso, consulte la Guía del usuario de NetWitness Endpoint.

Cambiar a Investigate

Si desea realizar una investigación más completa del incidente, puede acceder a la vista Investigate.

  1. En los paneles Indicadores, Lista de eventos, Detalles de eventos o en el gráfico de nodos, coloque el cursor sobre una entidad subrayada para acceder a un mensaje de globo de contexto.
  2. En la sección ACCIONES del mensaje de globo, seleccione Cambiar a Investigate.
    Se abre la vista Navegar de Investigate, la que permite realizar una investigación más detallada.

Para obtener más información, consulte la Guía del usuario de NetWitness Investigate.

Documentar los pasos realizados fuera de NetWitness

El registro muestra notas que agregan los analistas y permite colaborar con los pares. Puede publicar notas en un registro, agregar etiquetas del Modelo de investigación (Reconocimiento, Distribución, Explotación, Instalación y Comando y control) y ver el historial de actividad en el incidente.

Ver las entradas del registro para un incidente

En la barra de herramientas de la vista Detalles de incidente, haga clic en Journal icon.
Details view showing the Journal icon
El diario aparece en el lado derecho de la vista Detalles de incidente.
Incident Details view showing Journal panel

El registro muestra el historial de actividad en un incidente. Para cada entrada del registro, puede ver el autor y la hora de la entrada.
Journal Panel

Agregar una nota

Por lo general, deberá agregar una nota para permitir que otro analista comprenda el incidente o para la posteridad con el fin de documentar los pasos de la investigación.

  1. En la parte inferior del panel Registro, escriba la nota en el cuadro Nueva entrada de diario.
    New Journal Entry example
  2. (Opcional) Seleccione un Modelo de investigación en la lista desplegable (Reconocimiento, Distribución, Explotación, Instalación, Comando y control, Acción en objetivo, Contención, Erradicación y Cierre).

  3. Después de terminar la nota, haga clic en Enviar.
    La entrada nueva del registro aparece en el registro.
    Journal showing a successful joural entry

Eliminar una nota

  1. En el panel Registro, busque la entrada del registro que desea eliminar.
  2. Haga clic en el ícono Papelera (eliminar) Trash can (delete) icon junto a la entrada del registro.
    Journal entry showing trash can (delete) icon
  3. En el cuadro de diálogo de confirmación que aparece, haga clic en Aceptar para confirmar que desea eliminar la entrada del registro. No se puede revertir esta acción.
You are here
Table of Contents > Investigar el incidente

Attachments

    Outcomes