Respond: Vista Detalles de la alerta

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

En la vista Detalles de la alerta (RESPOND > Alertas > haga clic en un hipervínculo de NOMBRE en la Lista de alertas), puede ver información resumida sobre una alerta, como el origen de la alerta, la cantidad de eventos dentro de la alerta y si es parte de un incidente. También puede ver información detallada acerca de los eventos dentro de la alerta, así como los metadatos de los eventos.

Flujo de trabajo

En este flujo de trabajo se muestra el proceso general que usan los analistas para revisar alertas y crear incidentes.

Incident Details view workflow diagram

Después de revisar la lista de alertas, en la vista Detalles de la alerta, puede investigar aún más esas alertas y crear incidentes a partir de ellas. En CONFIGURAR > vista Reglas de incidentes, puede crear reglas de incidentes para crear incidentes.

Nota: También puede usar Detección de amenazas automatizadas de NetWitness Suite para crear incidentes sin crear reglas manualmente.

¿Qué desea hacer?

                                                     
FunciónDeseo…Mostrarme cómo
Encargados de respuesta ante incidentes,
analistas
Ver todas las alertas en NetWitness Suite.

Ver alertas

Administradores del SOC,
administradores
Crear reglas de incidentes.

Consulte “Crear una regla de incidentes para alertas” en la Guía de configuración de NetWitness Respond.

Encargados de respuesta ante incidentes,
analistas
Ver una lista de eventos en la alerta.*Ver detalles de los eventos de una alerta
Encargados de respuesta ante incidentes, analistasVer los metadatos de cada evento en la alerta.*Ver detalles de los eventos de una alerta

Encargados de respuesta ante incidentes,
analistas

Investigar más a fondo los eventos en la alerta.*

Investigar eventos

Encargados de respuesta ante incidentes,
analistas
Agregar alertas a un incidente existente.

Agregar alertas a un incidente

Agregar indicadores relacionados al incidente

Encargados de respuesta ante incidentes,
analistas
Crear incidentes a partir de alertas.Crear un incidente manualmente
Encargados de la privacidad de datos,
administradores
Eliminar alertas.Eliminar alertas

*Puede realizar estas tareas aquí (es decir, en la vista Detalles de la alerta).

Temas relacionados

Vista Detalles de la alerta

  1. Para acceder a la vista Detalles de la alerta, vaya a RESPONDER > Alertas.

  2. En la Lista de alertas, elija una alerta que desee ver y, a continuación, haga clic en el vínculo de la columna NOMBRE correspondiente a esa alerta.
    La vista Detalles de la alerta tiene un panel Descripción general en el lado izquierdo y un panel Eventos en el lado derecho. Puede cambiar el tamaño de los paneles para visualizar más información, como se muestra en la siguiente figura.
    Alert Details view

Panel Descripción general

El panel Descripción general muestra información de resumen básica acerca de una alerta seleccionada. El panel Descripción general de la vista Lista de alertas contiene la misma información. En el tema Panel Descripción general de la vista Lista de alertas se proporcionan detalles.

Alert Details view Overview panel (This panel is the same as the Overview panel in the Alerts List view)

Panel Eventos

El panel Eventos puede mostrar una Lista de eventos si la alerta tiene más de un evento. Si la alerta tiene un solo evento o si usted hace clic en un evento de la Lista de eventos, puede ver Detalles de eventos en el panel Eventos.

Lista de eventos

La Lista de eventos de una alerta seleccionada muestra todos los eventos incluidos en esa alerta.

Alerts Details view - Events panel showing Event List

En la siguiente tabla se indican algunas de las columnas que se muestran en la Lista de eventos, las cuales proporcionan un resumen de los eventos enumerados.

                                               

Columna

Descripción

TIEMPOMuestra la hora en que se produjo el evento.
TIPOMuestra el tipo de alerta, como Registro y Red.
DIRECCIÓN IP DE ORIGENMuestra la dirección IP de origen si hubo una transacción entre dos máquinas.
DIRECCIÓN IP DE DESTINOMuestra la dirección IP de destino si hubo una transacción entre dos máquinas.
IP DE DETECTORMuestra la dirección IP de la máquina en la que se detectó una anomalía.
USUARIO DE ORIGENMuestra el usuario de la máquina de origen.
USUARIO DE DESTINOMuestra el usuario de la máquina de destino.
NOMBRE DE ARCHIVOMuestra el nombre del archivo, si hubo uno implicado en el evento.
HASH DE ARCHIVOMuestra un hash del contenido del archivo.

Detalles de eventos

En Detalles de eventos en el panel Eventos se muestran los metadatos de cada evento en la alerta.

Alerts Details view - Events panel showing Event List

Metadatos de eventos

En la siguiente tabla se indican algunas secciones y subsecciones de metadatos de eventos que se muestran en las primeras dos columnas de Detalles de eventos. Esta lista no es extensa.

                                                                                                                                

Sección

Subsección

Descripción

Datos

 

Muestra información acerca de los datos relacionados con el evento, por ejemplo, los archivos involucrados. Puede haber 0 o más por evento.
 Nombre del archivoMuestra el nombre del archivo, si hubo uno implicado en el evento.
 HashMuestra un hash del contenido del archivo, por ejemplo, MD5 o SHA1.
 TamañoMuestra el tamaño de la transmisión o del archivo involucrados en el evento.
Descripción Muestra una descripción general del evento.
Destino

 

Muestra el dispositivo y el usuario de destino.
 DispositivoMuestra información acerca del dispositivo de destino. Consulte Atributos de dispositivos de origen o destino de eventos, a continuación.
 UsuarioMuestra información acerca del usuario o los usuarios del destino. Consulte Atributos de usuarios de origen o destino de eventos, a continuación.
Detector

 

Muestra el producto de software o el host que detectaron el problema. Esto tiene mayor relación con los escáneres de malware y los registros.

 

Clase de dispositivo

Muestra la clase de dispositivo del producto que detectó la alerta.

 

Dirección IP

Muestra la dirección IP del producto que detectó la alerta.

 

Nombre del producto

Muestra el nombre del producto que detectó la alerta.

Dominio Muestra el dominio asociado con el evento.
Enriquecimiento

 

Muestra información de enriquecimiento disponible.

Vínculos relacionados Si está disponible, muestra un vínculo a la interfaz del usuario del producto de origen.

 

Tipo

Muestra el tipo de evento, como investigate_original_event.

 

URL

Muestra el vínculo de URL a la interfaz del usuario del producto de origen.

Tamaño

 

Muestra el tamaño de la transmisión o el archivo involucrados.

Origen Muestra el dispositivo y el usuario de origen.

 

Dispositivo

Muestra información acerca de la máquina de origen. Consulte Atributos de dispositivos de origen o destino de eventos, a continuación.
 UsuarioMuestra información acerca del usuario o los usuarios de la máquina de origen. Consulte Atributos de usuarios de origen o destino de eventos, a continuación.

Registro de fecha y hora

 

Muestra la hora en que se produjo el evento.

Tipo

 

Muestra el tipo de la alerta, como registro, red, correlación, Volver a enviar, Carga manual, Según demanda, Recurso compartido de archivos o IOC instantáneo.

Atributos de dispositivos de origen o destino de eventos

En la siguiente tabla se indican los atributos de un dispositivo de origen o destino de eventos que se pueden mostrar en Detalles de eventos.

                                                   

Nombre

Descripción

Tipo de recurso

Muestra el tipo de dispositivo, por ejemplo, escritorio, laptop, servidor, equipo de red, tableta, etc.

Unidad de negociosMuestra la unidad de negocios asociada.
Clasificación de cumplimiento de normasMuestra la clasificación de cumplimiento de normas del dispositivo. Puede ser Baja, Media o Alta.
CriticidadMuestra lo importante que es el dispositivo para el negocio (importancia para el negocio).
FuncionalidadMuestra la ubicación del dispositivo.
Ubicación geográficaMuestra la ubicación geográfica para el host. Puede contener los siguientes atributos: ciudad, país, latitud, longitud, organización y dominio.
Dirección IPMuestra la dirección IP del dispositivo.
Dirección MACMuestra la dirección MAC del dispositivo.
Nombre NetBIOSMuestra el nombre de NetBIOS del dispositivo.
Puerto

Muestra el puerto TCP, el puerto UDP o el puerto IP Src (el primero disponible) que se utilizan para la conexión al host y desde este.

Atributos de usuarios de origen o destino de eventos

En la siguiente tabla se indican los atributos de un usuario de origen o destino de eventos que se pueden mostrar en Detalles de eventos.

                           

Nombre de atributo

Descripción

Dominio AD

Muestra el dominio de Active Directory.

Nombre de usuario de ADMuestra el nombre de usuario de Active Directory.
Dirección de correo electrónicoMuestra la dirección de correo electrónico del usuario.
Nombre de usuarioMuestra un nombre general si no conoce el origen del nombre de usuario, por ejemplo, UNIX o un nombre de usuario en un sistema específico.

Acciones de la barra de herramientas

En esta tabla se enumeran las acciones de la barra de herramientas disponibles en la vista Detalles de la alerta.

                    
OpciónDescripción
Back to Alerts icon (arrow pointing left)

(Volver a alertas) Permite volver a la vista Lista de alertas.

Events Details Navigation options showing Back To Table button Haga clic en las flechas para navegar entre los detalles de los metadatos de cada evento en la alerta. Los números, como “1 de 2”, muestran el número del evento que se observa. Haga clic en Volver a tabla para volver a la vista Lista de eventos, que también se conoce como Tabla de eventos.

 

Previous Topic:Vista Lista de alertas
You are here
Table of Contents > Información de referencia de NetWitness Respond > Vista Detalles de la alerta

Attachments

    Outcomes