NW: Navegación básica en NetWitness Suite

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

La aplicación NetWitness Suite se divide en cinco áreas funcionales principales, conocidas como vistas, que se basan en las funciones típicas del centro de operaciones de seguridad (SOC).

This image shows the NetWitness Suite log in dialog and the five top-level menu items: Respond, Investigate, Monitor, Configure, and Admin.

  • RESPONDER: Esta vista es para los encargados de respuesta ante incidentes, quienes pueden ver una lista de incidentes ordenados por prioridad para la realización de tareas de triage. Estos incidentes provienen de orígenes, como reglas de ESA, NetWitness Endpoint o módulos de ESA Analytics para Detección de amenazas automatizadas. Aquí también se pueden ver todas las alertas que recibe NetWitness Suite.
    Para los usuarios existentes de 10.6, esta vista se conocía como la vista Administración de incidentes. La Lista de alertas en la vista Respond reemplaza a la vista Alertas > Resumen en ESA 10.6.
  • INVESTIGAR: Esta vista es principalmente para los buscadores de amenazas avanzados, quienes prefieren buscar amenazas manualmente mediante metadatos, datos de eventos crudos y reconstrucción y análisis de eventos de NetWitness Suite. Los encargados de respuesta ante incidentes también usan esta vista para obtener detalles acerca de los eventos asociados a un incidente que se investiga. Tanto los buscadores de amenazas como los encargados de respuesta ante incidentes pueden usar las funciones de análisis forense de reconstrucción y análisis de eventos en esta vista.
  • MONITOREAR: Esta vista es para todos los usuarios. Puede ver tableros e informes en diferentes áreas de interés según los permisos de usuario. NetWitness Suite se abre en esta vista de manera predeterminada.
    Para los usuarios existentes de 10.6, esta es la vista Tablero.
  • CONFIGURAR: Esta vista es para el personal de inteligencia de amenazas (contenido), el cual configura orígenes de datos y entradas en NetWitness Suite. El personal de inteligencia de amenazas usa esta área para descargar y administrar contenido de Live. También puede crear y administrar reglas de incidentes y de ESA.
    Para los usuarios existentes de 10.6, esta vista contiene Live, Incidentes > Configurar y Alertas > Configurar de la versión anterior.
  • ADMINISTRAR: Esta vista es para los administradores del sistema, quienes configuran y mantienen la aplicación en general.
    Para los usuarios existentes de 10.6, esta es la vista Administration, excepto por las secciones que se agregaron a la vista Configurar.

Acceso a las vistas principales

Las opciones que abren cada una de las vistas principales se enumeran en la parte superior de la ventana del navegador. Con los permisos adecuados, puede acceder a cualquiera de estas vistas en la parte superior de cada ventana del navegador en cualquier momento.

This figure shows the NetWitness Suite main menu.

Menús secundarios

Algunas vistas tienen menús secundarios con vistas adicionales que puede seleccionar, las cuales varían según las tareas que puede realizar. En el siguiente ejemplo se muestra el menú MONITOREAR.

This figure shows the Monitor menu as an example of a secondary menu.

Opciones adicionales

Además de las vistas principales, existen opciones adicionales en la parte superior de la ventana del navegador que son comunes a toda la aplicación.


This figure shows the common options available from a classic view. They are Notifications, Preferences, and Help.

En la siguiente tabla se describen estas opciones comunes:

                                      
Opción comúnNombreDescripción

Jobs icon

Trabajos

En las vistas INVESTIGAR, MONITOREAR, CONFIGURAR y ADMINISTRAR, haga clic en este ícono para ver y administrar los trabajos en la bandeja Trabajos. Los trabajos son tareas según demanda o programadas que tardan un tiempo en completarse en la aplicación NetWitness Suite.

Notifications icon NotificacionesHaga clic en este ícono para ver las notificaciones de la aplicación.
User Preferences icon showing username Preferencias de usuarioHaga clic en este ícono para ver las opciones de preferencias de usuario disponibles. Puede administrar las preferencias de usuario y cerrar la sesión de NetWitness Suite.
User Profile menu options (Classic views only) Perfil de usuarioHaga clic en su perfil de usuario para ver las opciones disponibles. Puede administrar las preferencias de usuario, cambiar la contraseña y cerrar la sesión de NetWitness Suite.
Help icon AyudaHaga clic en este ícono para ver los temas de ayuda de NetWitness Suite.

Vistas principales

En las siguientes secciones se explican las vistas principales.

MONITOREAR

La vista MONITOREAR contiene el tablero NetWitness Suite. Monitor ofrece tableros e informes preconfigurados que usted puede usar, aunque también puede crear tableros e informes propios.

This figure shows an example Monitor view showing the default dashboard.

Menú de MONITOREAR

This figure shows the Monitor secondary menu: Overview, Reports, and Alerts.

El menú MONITOREAR tiene las siguientes opciones:

  • Descripción general: La vista Descripción general permite ver y administrar sus tableros. Puede seleccionar los siguientes tableros preconfigurados:
    • Valor predeterminado
    • Identidad
    • Investigation
    • Operaciones: Análisis de archivos
    • Operaciones: Registros
    • Operaciones: Red
    • Operaciones: Análisis de protocolos
    • Descripción general
    • RSA SecurID
    • Amenaza: Localización
    • Amenaza: Intrusión
    • Amenaza: Indicadores de malware

    Para los usuarios existentes de 10.6, esta era la vista Tablero.

  • Informes: La vista Informes permite ver y administrar informes pertinentes a su función del SOC de acuerdo con sus permisos asignados.
                                      
¿Qué puedo hacer aquí?RutaMostrarme cómo
Seleccionar un tablero

MONITOREAR > Descripción general

Consulte Administración de tableros.

Crear un tableroMONITOREAR > Descripción general

Consulte Administración de tableros.

Administrar tableros

MONITOREAR > Descripción general

Consulte Administración de tableros.

Ver un informeMONITOREAR > Informes > VerConsulte Guía de Reporting.

Administrar informes

MONITOREAR > Informes > Administrar

Consulte Guía de Reporting.

RESPONDER

La vista Respond presenta a los analistas una línea de espera de incidentes en orden de gravedad. Cuando selecciona un incidente en la línea de espera, usted recibe los datos de soporte pertinentes que lo ayudarán a investigarlo. Desde ahí, puede determinar el alcance del incidente y elevarlo o corregirlo según corresponda.

Menú de RESPONDER

Respond Menu

El menú RESPONDER tiene las siguientes opciones:

  • Incidentes: La vista Lista de incidentes contiene una lista de todos los incidentes con información básica. La vista Detalles de incidente proporciona amplios detalles sobre el incidente.
  • Alertas: Las vistas Lista de alertas y Detalles de la alerta proporcionan información sobre todas las alertas y los indicadores de amenazas que recibe NetWitness Suite en una ubicación.
  • Tareas: La vista Lista de tareas permite crear tareas y rastrearlas hasta su finalización.

En la siguiente figura se muestra la vista Respond, vista Lista de incidentes.

Respond view - Incident Details view

En la siguiente figura se muestra un ejemplo de la vista Respond, vista Detalles de incidente.

Respond view - Incident Details view

Cuando se usa NetWitness Suite como herramienta de administración de casos, esta vista también permite administrar incidentes. Los incidentes nuevos aparecen en orden de prioridad en la parte superior de la línea de espera de incidentes y los incidentes en curso se muestran debajo de los incidentes nuevos.

En la siguiente figura se muestra un flujo de trabajo general de la vista Responder.

This diagram shows a high-level Respond view workflow.

En la vista Respond, los analistas observan la lista de incidentes ordenados según su prioridad y determinan cuáles de ellos requieren una acción. Ellos hacen clic en un incidente para obtener un panorama claro de este con detalles de soporte, lo que les permite investigarlo más a fondo. A continuación, los analistas pueden determinar cómo responder ante la amenaza, ya sea con su escalación o su corrección.

                                      
¿Qué puedo hacer aquí?RutaMostrarme cómo

Ver listas de incidentes ordenados según su prioridad

RESPONDER > Incidentes (vista Lista de incidentes)

Consulte la Guía del usuario de NetWitness Respond.

Determinar los incidentes que requieren acción
(realizar tareas de triage de un incidente)

RESPONDER > Incidentes (vista Detalles de incidente)

Consulte la Guía del usuario de NetWitness Respond.

Investigar el incidente

RESPONDER > Incidentes (vista Detalles de incidente)

Consulte la Guía del usuario de NetWitness Respond. (También puede pasar a la vista Investigate).

Elevar o corregir el incidenteRESPONDER > Incidentes (vista Detalles de incidente) y RESPONDER > Tareas (vista Lista de tareas)Consulte la Guía del usuario de NetWitness Respond.

Revisar alertas

RESPONDER > Alertas (vistas Lista de alertas y Detalles de la alerta)

Consulte la Guía del usuario de NetWitness Respond.

INVESTIGAR

En la vista Investigar se presentan seis vistas diferentes de un conjunto de datos, lo que permite que los analistas vean metadatos, datos de terminales, registros, eventos y posibles indicadores de riesgo. Además de investigar datos en un servicio específico, puede cambiar a Investigate desde Respond, a la vista Monitorear, a una entrada de un informe que generó Reporting Engine o a una aplicación de otros fabricantes correctamente configurada. Puede comenzar la investigación en cualquiera de las seis vistas de Investigate y, a continuación, continuar en otra vista; la pregunta que se debe responder determina la manera en que se procede. Si encuentra un evento que necesita una respuesta, puede crear un incidente en Respond, donde un encargado de respuesta ante incidentes llevará a cabo acciones adicionales. En la Guía del usuario de NetWitness Investigate se proporciona información detallada.

Menú INVESTIGATE

Investigate submenus

El menú INVESTIGAR tiene las siguientes opciones:

  • Navegar: La vista Navegar proporciona una lista de claves de metadatos y valores de metadatos con enfoque en los metadatos. Puede desglosar los datos, abrir un evento seleccionado en la vista Eventos o en la vista Análisis de eventos, ver una reconstrucción de un evento, buscar eventos, buscar contexto adicional desde el servicio Context Hub y configurar las preferencias de la vista Navegar.
  • Eventos: La vista Eventos proporciona una lista de eventos con enfoque en los datos crudos. Puede navegar en una lista de eventos simple, una lista detallada y una lista de registros. Puede buscar eventos, abrir un evento seleccionado en la vista Análisis de eventos, ver una reconstrucción del evento, realizar un análisis de eventos y configurar las preferencias de la vista Eventos.
  • Análisis de eventos: La vista Análisis de eventos proporciona una lista de eventos con enfoque en los metadatos y los datos crudos. Puede ver una reconstrucción que ofrece indicaciones útiles para identificar puntos de interés en una reconstrucción, ir directamente a la vista Hosts, cambiar a Endpoint independiente, buscar datos en Live y realizar búsquedas externas.
  • Vista Hosts: (Versión 11.1 y superior) La vista Hosts enumera todos los hosts en los que se ejecuta un agente de NetWitness Endpoint Insights. Para cada host, puede ver los procesos, los controladores, los archivos DLL, los archivos (ejecutables), los servicios y las ejecuciones automáticas que se ejecutan, así como la información relacionada con los usuarios que iniciaron sesión. Desde la vista Hosts, puede ir a las vistas Navegar y Análisis de eventos.
  • Vista Archivos: (Versión 11.1 y superior) La vista Archivos enumera todos los archivos únicos que se encuentran en su implementación y sus propiedades asociadas. Para cada archivo, puede ver detalles como el tamaño de archivo, la entropía, el formato, el nombre de la empresa, la firma y la suma de comprobación. Desde la vista Archivos, puede ir a las vistas Navegar y Análisis de eventos.
  • Malware Analysis: Malware Analysis es un procesador de análisis de malware automatizado, diseñado para analizar determinados tipos de objetos de archivos (como Windows PE, PDF y MS Office) con el fin de evaluar la probabilidad de que un archivo sea malicioso. Mediante el uso de Malware Analysis, usted puede establecer prioridades entre la enorme cantidad de archivos capturados, con el fin de concentrar los esfuerzos de análisis en los archivos que tienen más probabilidad de ser maliciosos. 

En la siguiente figura se muestra la vista Investigar/vista Navegar.

Navigate view

En la siguiente figura se muestra la vista Investigar/vista Análisis de eventos.

Investigate > Event Analysis view

En la siguiente figura se muestra la vista Hosts/vista Detalles del host.

Investigate - Hosts view Hosts Details view

En la siguiente figura se muestra el Resumen de eventos de Malware Analysis.

the Malware Analysis Summary of Events

En la siguiente figura se muestra un flujo de trabajo general de la vista Investigar.

High-Level Investigate Workflow

                                           
¿Qué puedo hacer aquí?RutaMostrarme cómo
Navegar por metadatos de eventosVista NavegarConsulte “Investigación de metadatos en la vista Navegar” en la Guía del usuario de NetWitness Investigate.
Navegar por eventos crudosVista Eventos

Consulte “Análisis de eventos crudos en la vista Eventos” en la Guía del usuario de NetWitness Investigate.

Analizar eventos crudos y metadatos

Vista Análisis de eventosConsulte “Análisis de metadatos y eventos crudos en la vista Análisis de eventos” en la Guía del usuario de NetWitness Investigate.

Investigar terminales

Vista Hosts

Consulte “Investigación de hosts y archivos” en la Guía del usuario de NetWitness Investigate.

Buscar archivos sospechosos de EndpointVista ArchivosConsulte “Investigación de hosts y archivos” en la Guía del usuario de NetWitness Investigate.

Buscar malware en archivos y eventos

Vista Malware Analysis

Consulte “Realización de un análisis de malware” en la Guía del usuario de NetWitness Investigate.

CONFIGURAR

La vista Configurar permite que el personal de inteligencia de amenazas (contenido) configure orígenes de datos y entradas en NetWitness Suite en una ubicación conveniente.

Menú de CONFIGURAR

This figure shows the Configure secondary menu: Live Content, Incident Rules, ESA Rules, Subscriptions, and Custom Feeds.

El menú CONFIGURAR tiene las siguientes opciones:

  • Live Content: (Servicios de Live) La vista Live Content permite buscar y suscribirse a recursos de Servicios de Live. Servicios de Live es el componente de NetWitness Suite que administra la comunicación y la sincronización entre los servicios de NetWitness Suite y una biblioteca de contenido de Live disponible para los clientes de RSA NetWitness Suite. Puede ver, buscar, implementar y suscribirse a contenido del sistema de administración de contenido (CMS) de RSA Live para los servicios y el software de NetWitness Suite. Cuando se suscribe a un recurso, acepta recibir actualizaciones de RSA Servicios de Live de manera habitual.
    Para los usuarios existentes de 10.6, esto era Live > Buscar.
  • Reglas de incidentes: La vista Reglas de incidentes permite crear reglas de incidentes con diversos criterios para la creación automática de incidentes. Puede ver los incidentes ordenados según su prioridad en la vista Respond.
    Para los usuarios existentes de 10.6, esto era Incidentes > Configurar. En 11.1 y superior, las reglas de agregación se conocen como reglas de incidentes.
  • Notificaciones de Respond: La vista Notificaciones de Respond le permite enviar automáticamente notificaciones por correo electrónico a los administradores del SOC y a los analistas asignados a los incidentes cuando estos se crean o se actualizan.
  • Reglas de ESA: La vista Reglas de ESA permite administrar las reglas de Event Stream Analysis (ESA) que especifican criterios para el comportamiento de problemas o eventos amenazantes en la red. Cuando ESA detecta una amenaza que coincide con los criterios de una regla, genera una alerta.
    Las reglas de ESA se pueden crear o descargar desde Servicios de Live. La Biblioteca de reglas muestra todas las reglas de ESA creadas o descargadas. Para activar las reglas, debe agregarlas a una implementación. Las implementaciones mapean reglas desde la biblioteca de reglas a los servicios de ESA correspondientes.
    Para los usuarios existentes de 10.6, esto era Alertas > Configurar.
  • Suscripciones: (Servicios de Live) La vista Suscripciones permite administrar el contenido de Live al que se suscribió en la vista Live Content. Para configurar Servicios de Live en NetWitness Suite, configure la conexión y la sincronización entre el servidor de CMS y NetWitness Suite.
    Para los usuarios existentes de 10.6, esto era Live > Configurar.
  • Feeds personalizados: (Servicios de Live) La vista Feeds personalizados optimiza la tarea de crear y administrar feeds personalizados, además de completar los feeds en los Decoders y los Log Decoders seleccionados. Puede configurar y mantener feeds personalizados y de identidad.
    NetWitness Suite utiliza feeds para crear metadatos en función de valores de metadatos definidos de forma externa. Un feed es una lista de datos que se compara con las sesiones a medida que se capturan o procesan. Para cada coincidencia, se crean metadatos adicionales.
    Puede crear feeds personalizados para proporcionar extracción de metadatos adicionales, por ejemplo, con el fin de admitir aplicaciones de red personalizadas.
    Para los usuarios existentes de 10.6, esto era Live > Feeds.
                                                
¿Qué puedo hacer aquí?RutaMostrarme cómo

Crear una cuenta de Servicios de Live.

Portal de registro de RSA Live:
https://cms.netwitness.com/registration/

Consulte la Guía de administración de servicios de Live.

Buscar e implementar recursos de Servicios de Live.CONFIGURAR > Live ContentConsulte la Guía de administración de servicios de Live.
Crear incidentes automáticamente.CONFIGURAR > Reglas de incidentes

Consulte la Guía de configuración de NetWitness Respond.

Configurar notificaciones de Respond.CONFIGURAR > Notificaciones de RespondConsulte la Guía de configuración de NetWitness Respond.

Configurar alertas.

CONFIGURAR > Reglas de ESA

Consulte la Guía del usuario de Alerting con ESA Correlation Rules.
Configurar los servicios de Servicios de Live en NetWitness SuiteCONFIGURAR > Suscripción

Consulte la Guía de administración de servicios de Live.

Configurar y mantener los feeds personalizados y de identidad.CONFIGURAR > Feeds personalizadosConsulte la Guía de administración de servicios de Live.

ADMINISTRAR

En la vista Admin, los administradores pueden administrar los hosts de red y los servicios, monitorear el estado y la condición de NetWitness Suite y administrar la seguridad en el nivel del sistema. También pueden configurar los recursos globales del sistema y administrar los orígenes de eventos.

Menú de ADMINISTRAR

This figure shows the Admin secondary menu: Hosts, Services, Event Sources, Health & Wellness, System, and Security.

El menú ADMINISTRAR tiene las siguientes opciones:

  • Hosts: La vista Hosts permite configurar y mantener los hosts. Un host es la máquina en la cual se ejecutan los servicios y puede ser una máquina física o virtual.
  • Servicios: La vista Servicios permite administrar los servicios, administrar sus usuarios y sus funciones, mantener sus archivos de configuración y explorar y editar sus propiedades. Un servicio realiza una función única, como un servicio Decoder, que captura datos de red en forma de paquetes.
  • Orígenes de eventos: La vista Orígenes de eventos permite administrar orígenes de eventos y configurar políticas de alerta para ellos. En general, las organizaciones monitorean los orígenes de eventos en grupos de acuerdo con la criticidad de estos. Puede crear políticas de monitoreo para cada grupo de orígenes de eventos y ordenarlos de acuerdo con su prioridad.
  • Estado y condición: La vista Estado y condición permite monitorear el estado de los hosts y los servicios de NetWitness Suite en el ambiente de red.
  • Sistema: La vista Sistema permite establecer las configuraciones globales de NetWitness Suite. Puede configurar el registro de auditoría global, el correo electrónico, el registro de sistema, los trabajos, RSA Servicios de Live, la integración de URL, Investigation, Event Stream Analysis (ESA), ESA Analytics y ajustes avanzados del rendimiento. Además, puede administrar las versiones de NetWitness Suite y configurar el servidor de licencia local.
  • Seguridad: En la vista Seguridad de Administration se proporciona la funcionalidad para administrar cuentas de usuario, administrar funciones de usuario, mapear grupos externos a funciones de NetWitness Suite y modificar otros parámetros del sistema relacionados con la seguridad. Estos se aplican al sistema NetWitness Suite y se utilizan junto con los ajustes de seguridad de cada servicio.
                                                               
¿Qué puedo hacer aquí?RutaMostrarme cómo

Administrar hosts.

ADMINISTRAR > Hosts

Consulte la Guía de introducción de hosts y servicios.

Administrar los servicios, incluida la administración del acceso de los usuarios a los servicios y la seguridad.

ADMINISTRAR > Servicios

Consulte la Guía de introducción de hosts y servicios.

Administrar orígenes de eventos y configurar políticas de alerta para ellos.

ADMINISTRAR > Orígenes de eventos

Consulte la Guía de administración de orígenes de eventos.

Configurar y monitorear alarmas para los hosts y los servicios en el dominio de NetWitness Suite.

ADMINISTRAR > Estado y condición > Alarma

Consulte la Guía de mantenimiento del sistema.

Monitorear estadísticas de los hosts de NetWitness Suite y de los servicios que se ejecutan en los hosts.

ADMINISTRAR > Estado y condición > Monitoreo

Consulte la Guía de mantenimiento del sistema.

Crear y aplicar políticas a los hosts y los servicios como ayuda para mantener el estado y la condición del dominio de NetWitness Suite.ADMINISTRAR > Estado y condición > Políticas

Consulte la Guía de mantenimiento del sistema.

Establecer configuraciones globales para NetWitness Suite.

ADMINISTRAR > Sistema

Consulte Guía de configuración del sistema.

Configurar el registro de auditoría global.ADMINISTRAR > Sistema > Auditoría global

Consulte Guía de configuración del sistema.

Configurar la seguridad del sistema.ADMINISTRAR > Seguridad

Consulte la Guía de administración de usuarios y de la seguridad del sistema.

Administrar a los usuarios del sistema con funciones y permisos.

ADMINISTRAR > Seguridad

Consulte la Guía de administración de usuarios y de la seguridad del sistema.

You are here
Table of Contents > Navegación básica en NetWitness Suite

Attachments

    Outcomes