Informes: Descripción general de Reporting

Document created by RSA Information Design and Development on May 1, 2018
Version 1Show Document
  • View in full screen mode

Reporting es un conjunto de datos como resultado del monitoreo del tráfico de red, que se puede usar para realizar un análisis. En NetWitness Suite puede ejecutar un informe de los servicios principales de la base de datos de NetWitness Suite para identificar las actividades de red. Por ejemplo, si desea identificar los principales países de origen y los países de destino, o las principales tendencias de amenazas y riesgos que ayudan a monitorear los cambios en las categorías normales o monitorear los usuarios y los servicios que pueden tener actividades maliciosas, etc.

Por lo general, la creación de informes consta de: Informes y gráficos. Puede informar sobre los datos de registros y paquetes recopilados y personalizar los informes y los gráficos para mejorar el aspecto visual. Puede crear informes en tiempo real para los datos históricos. Puede crear gráficos y dashlets, los cuales también se pueden agregar a los dashlets de gráfico en tiempo real.

Reporting Engine

Reporting depende de Reporting Engine para proporcionar datos de los informes, las alertas y los gráficos. Por lo tanto, debe configurar Reporting Engine como un servicio para NetWitness Suite antes de poder generar los informes. También debe especificar el origen de datos en Reporting Engine desde donde se extraen los datos.

Los datos que puede informar o alertar dependen de la configuración de Reporting Engine y de los orígenes de datos que especifica como parte de la definición de la regla.

Nota: Asegúrese de tener acceso a los componentes de Reporting.

Nota: Asegúrese de tener acceso a los orígenes de datos requeridos. Solo los usuarios con privilegios con acceso a información confidencial tienen permiso para ciertos orígenes de datos. Para administrar el control de acceso a orígenes de datos, consulte el tema “Agregar una función y asignar permisos para Warehouse Analytics” de la Guía de Warehouse Analytics. Sin embargo, para los informes, las alertas y los gráficos existentes, si la función o los permisos del usuario se modifican para los orígenes de datos, esto no se aplica a menos que actualice manualmente los permisos.

Nota: Se puede acceder a Reporting según el acceso basado en funciones definido para el usuario.

Informe

Un informe es una combinación de reglas y otros objetos de formato, como encabezados y notas con formato HTML, que describen e identifican los datos relacionados con un área de interés en especial. Los informes se definen y administran en la página Crear informe y se pueden programar para ejecutarse de forma ad hoc u oportuna. Una vez que se ejecuta un informe, los resultados se almacenan de manera central y se pueden enviar automáticamente por correo electrónico, SFTP, URL y NFS a los usuarios; se pueden ver mediante la interfaz web de NetWitness Suite y descargar como archivos PDF y CSV.

Un informe consta de lo siguiente:

                            
PropiedadDescripciónEjemplo
Nombre de informe

Nota: En el campo Nombre, el ícono para expandir el tamaño de la columna no se muestra al final del campo de la columna. Debe mover el mouse un poco hacia la izquierda para ver el ícono que permite ampliar la columna.

Se utiliza para identificar el informe con el fin de calendarizarlo posteriormente.Report1
Texto

Campos de texto predefinidos que se utilizan dentro de un informe para hacer que el informe sea más significativo para el usuario.

Header1, Comment
Reglas

Las reglas (consultas) utilizadas para crear un informe.

select user.dst

where ip.src = 10.10.10.1

Nota: En la interfaz del usuario de Reporting, la fecha o la hora que se muestran siempre están de acuerdo con el perfil de zona horaria que seleccionó el usuario.

Regla

Una regla es el elemento esencial y básico de Reporting. Se debe crear una regla que se pueda usar en informes, gráficos o alertas.

Una regla representa una consulta única que detecta y resume la información solicitada dentro de una recopilación de datos de red.

La sintaxis de una regla es muy similar a la del lenguaje de consulta estándar (SQL) donde puede usar la cláusula SELECT, la cláusula WHERE, clasificar y agrupar opciones y límites para el conjunto de resultados. Una regla consta de lo siguiente:

                                              
PropiedadDescripciónEjemplo
NombreEl nombre de la regla.Actividad de cuenta del sistema Windows
SeleccionarLista de los tipos de metadatos que se devuelven en el conjunto de resultados. La lista de los tipos de metadatos se proporciona en la biblioteca de metadatos. La biblioteca de metadatos en el generador de reglas está constantemente sincronizada con la configuración de índices del host de NetWitness Suite al cual NetWitness Suite está conectado. La cantidad de tipos de metadatos que esta propiedad puede representar depende de cómo se clasifica la regla. Si la propiedad Ordenar por es “Ninguno” o no agregado, una regla puede tener más de un campo de selección, por ejemplo, para cada coincidencia, incluir el ip.src, ip.dst, el tamaño, la hora en el resultado de la regla. Si una regla está establecida para clasificarse, por conteo de sesiones, tamaño de sesión, o tamaño de paquete, puede haber solo un campo en el cual seleccionar. 
DondeUna cláusula que constituye la consulta base de la regla.alert='cleartext_ftp_passwords'
Then (acciones de la regla)Una serie de funciones que manipulan el conjunto de resultados original de una regla para lograr que la salida en un informe sea más concreta o agregar una funcionalidad adicional distinta a la consulta de datos y su visualización. lookup_and_add ('username','ip.src',10);

Ordenar por

Determina cómo se ordenan los datos del conjunto de resultados. Las diversas posibilidades son:

  • Total
  • Valor
  • Nombre de columna

Total

LímiteDesigna el tamaño máximo de un conjunto de resultados para la regla determinada. Los usuarios deben tener en cuenta que si un conjunto de resultados se clasifica por conteo o tamaño, el límite representa los N valores superiores (o inferiores) que se devolverán. Si el conjunto de resultados no se ordena, se devuelven los primeros valores N.20

Nota: En la interfaz del usuario, la fecha o la hora mostradas dependen de la zona horaria que seleccionó el usuario.

Tipos de regla

Existen diversos tipos de regla en Reporting. Los tipos de regla designan el origen de datos de la regla de informes. Estos son los tipos de regla:

                     
Tipo de reglaDescripción
Base de datos de NetWitness La base de datos de NetWitness extrae los metadatos de un Reporting Engine configurado para el uso de un Concentrator, un Broker y un Archiver como orígenes de datos, y proporciona los metadatos para las reglas.
Base de datos de Warehouse La base de datos de Warehouse, conocida también como RSA NetWitness Warehouse, contiene grandes cantidades de datos. Warehouse está diseñado para que pueda recuperar grandes volúmenes de datos con facilidad y eficiencia. Warehouse también extrae los metadatos del Reporting Engine.
Base de datos de Respond Informes de la base de datos de Respond sobre alertas e incidentes. La base de datos de Respond contiene alertas e incidentes que generan diferentes servicios. Puede crear un informe sobre esas alertas y esos incidentes.

Nota: En la interfaz del usuario, la fecha o la hora mostradas dependen de la zona horaria que seleccionó el usuario.

Lista

Una lista es una variable que hace referencia a una serie de valores separados por comas (CSV).  Puede insertar una lista en una regla o usarla como argumento para una acción de regla. Las listas pueden actuar como marcadores de posición para otros valores, los que puede completar y actualizar según sea necesario.

Puede crear, administrar y ver listas que pueden usarse para definir reglas para Reporting y Alerting.

Las listas no pueden estar vacías ni tener valores duplicados o en blanco.

Nota: Si va a definir un informe con una regla que tiene lookup_and_add en la cláusula Then y dirigir la salida de informe a una lista, la lista no se completa con el resultado.
Por ejemplo, si crea una regla con ip.src en la cláusula Select y lookup_and_add ('ip.dst','ip.src', 10) en la cláusula Then, el informe muestra el resultado, pero si redirigió la salida a una lista, la lista estará vacía

Gráfico

Un gráfico es una representación de datos tabular o de cuadrícula. Contiene lo siguiente:

                       
PropiedadDescripciónEjemplo
Nombre del gráficoIdentifica el gráfico.Chart1
Base de la reglaIdentifica la ruta de regla elegida para la jerarquía de carpeta. 

Cualquier regla de base de datos NetWitness Suite en el sistema Reporting Engine que no se ordena por nada se puede usar para crear un gráfico de forma instantánea. En NetWitness Suite, el intervalo de gráfico se puede ajustar en el panel de definición de gráfico. Cada vez que se ejecuta un gráfico, almacena sus datos de resultados de manera lógica en Reporting Engine, de modo que se puede revisar en la vista Tablero o la vista Gráfico sin ninguna consideración de rendimiento.

Nota: En la interfaz del usuario de Reporting, la salida del campo donde se muestra la fecha y la hora está siempre de acuerdo con el perfil de zona horaria que seleccionó el usuario.

Nota: Reporting Engine (RE) buscará automáticamente el espacio en disco disponible antes de ejecutar una regla, un informe, un gráfico y una alerta. Si el espacio en disco de RE (en porcentaje) es menor que el umbral de espacio en disco mínimo (el valor predeterminado es 5), el RE detendrá la ejecución actual y se mostrará un mensaje de error “El espacio en disco disponible de Reporting Engine principal es <5 %, limpie el espacio para continuar. Además, también puede configurar el umbral de espacio en disco mínimo mediante el uso de la siguiente ruta: RE>Explore>com.rsa.soc.re>Configuration>CommonConfig>minDiskSpaceThreshold.

Guías para informes

En esta sección se enumeran las reglas que recomienda RSA para mejorar el tiempo de ejecución de las entidades informantes, como reglas, informes, alertas, gráficos y listas. Las reglas se proporcionan para lo siguiente:

  • Reglas de NWDB
  • Configuración de tiempo de espera agotado para reglas de NWDB
  • Búsqueda y acción Agregar regla
  • Informes de valores de lista

Reglas de NWDB

Si las entidades informantes como informe, alerta, o gráfico contienen reglas NWDB (en la mayoría de los casos cuando se incluye Agrupar por en la consulta) y demoran mucho en ejecutarse, puede hacer lo siguiente: 

  1. Limitar la cláusula Where: 
    Puede limitar la cantidad de sesiones escaneadas mediante el uso o la delimitación de la cláusula Where (especialmente cuando usa la opción Agrupar por). Por ejemplo, considere la siguiente regla.
    Cláusula Where normal


    Si usa una cláusula Where como se mencionó anteriormente, la cantidad de sesiones agregadas es enorme. Para evitar esto, puede filtrar solo las sesiones requeridas, para lo cual se especifica la lista de direcciones IP o se crea una lista (lista de direcciones IP) que contiene las direcciones IP correspondientes.
    Cláusula Where filtrada  
  2. Uso de claves de metadatos indexadas en la cláusula Where:
    Para entender si los metadatos están indexados, mantenga el mouse sobre la clave de metadatos. Si el tipo de valor es INDEX_VALUE, significa que los metadatos están indexados. El tipo de valor es INDEX_KEY o INDEX_NONE si los metadatos no están indexados.
    A continuación hay una instantánea de una clave de metadatos que está indexada.
    Clave de metadatos indexada
     
  3. Configurar la opción Tiempo de espera agotado:
    Si la consulta está tardando mucho y falla debido a problemas de tiempo de espera agotado, puede configurar el tiempo de espera agotado para las ejecuciones de reglas NWDB. Para obtener más información, consulte la siguiente sección Configuración de tiempo de espera agotado para reglas NWDB.  
  4. Programar las consultas para su ejecución a horas diferentes:
    Si varios agregados de consultas se ejecutan al mismo tiempo y se produce tiempo de espera agotado, puede programar las consultas para que se ejecuten a horas diferentes sin mucha superposición. 

Configuración de tiempo de espera agotado para reglas de NWDB

Nota: Es una buena práctica para comprobar las estadísticas de Reporting Engine y los orígenes de datos de NWDB antes de realizar cualquier cambio en la configuración. Para obtener más información, consulte el tema “Monitorear detalles del servicio” para Reporting Engine y “Monitorear estadísticas del sistema” en la Guía de mantenimiento del sistema.   

Si la ejecución de la regla NWDB falla debido a tiempo de espera agotado, puede obtener los siguientes errores en la página Ver un informe: 

  • Error de tiempo de espera de Reporting Engine
    • «El origen de datos “10.31.x.x Concentrator” no respondió dentro del tiempo configurado de 30 minutos para la solicitud “/sdk/values”». 
    • Error de tiempo de espera agotado de NWDB
      • «Se produjo un error al obtener datos del origen “10.31.x.x Concentrator”. {Timeout message from NWDB}»
      En esta situación, puede hacer lo siguiente:
      • Tiempo de espera agotado de Reporting Engine 
        En caso de tiempo de espera agotado de Reporting Engine, puede configurar el tiempo de espera en una duración mayor para que se puedan ejecutar las consultas largas. Para obtener más información sobre la configuración de las opciones NWDB Queries Time Out y NWDB Info Queries Time Out para Reporting Engine, consulte el tema “Paso 2. Configurar ajustes de Reporting Engine” en la Guía de configuración de Reporting Engine. RSA recomienda configurar NWDB Query Time Out en cero minutos (implica que no hay tiempo de espera) y NWDB Info Queries Time Out en 60 minutos.
      • Tiempo de espera agotado de NWDB
        En caso de tiempo de espera agotado de NWDB, puede ser necesario configurar los parámetros query.level.timeout y max.concurrent.queries del origen de datos de NWDB en función de las recomendaciones de la Guía de ajuste de la base de datos de Core para ajustar las consultas.
        La figura siguiente es un ejemplo de la vista Explorador, donde puede configurar los parámetros para el origen de datos de NWDB.
        Configurar parámetros para el origen de datos de NWDB
      • Programar informes a horas diferentes
        Si los dispositivos principales de NWDB son muy utilizados, es posible programar los informes para que se ejecuten a diferentes horas sin superposición. 
      • Dividir el informe
        Si tiene muchas reglas en un informe, divídalo en varios informes, donde cada informe contendrá un conjunto lógico de reglas. Si tiene varias reglas, todas las reglas comenzarán a ejecutarse al mismo tiempo sobre la base de los hilos de ejecución disponibles, por lo tanto puede agrupar las reglas lógicamente en informes separados.

Acción LookupAndAdd Rule

Si una regla que se compone de acciones de reglas lookup_and_add únicas o múltiples tarda mucho en ejecutar el informe, es porque cada acción de regla activa varias consultas de búsqueda en el origen de datos NWDB, lo que da como resultado un tiempo de ejecución mayor.

Para mejorar el tiempo de ejecución del informe, puede hacer lo siguiente:  

  • Limitar la cláusula Where en lo siguiente:
    • Regla que contiene la acción de regla lookup_and_add
    • Acción de regla lookup_and_add
  • Establecer límites
    Debe establecer límites adecuados para las acciones de las reglas y las reglas. Si el límite es alto, hará que se activen muchas consultas y por lo tanto la ejecución del informe demorará mucho tiempo. 
  • Establecer el parámetro de agregación buleano

    Si no desea el valor agregado, como sum(meta), count(meta), etc., para los valores de búsqueda, configure el parámetro de agregación buleano en falso en la acción de regla lookup_and_add. Para obtener más información, consulte la sección Sintaxis de reglas de NWDB en Sintaxis de la regla .

    lookup_and_add(string select, string field, int limit, boolean inherit, string extraWhere, boolean aggregate)

    Considere la regla con la acción de regla lookup_and_add:

    Regla con la acción de regla lookup_and_add 

    Se muestra la salida:

    Regla con la salida de la acción de regla lookup_and_add 

  • Cada acción de regla lookup_and_add activa de forma predeterminada dos consultas de búsqueda simultáneas en el origen de datos. RSA recomienda conservar la configuración predeterminada; sin embargo, si desea aumentar el valor, tal vez desee asegurarse de que el valor del parámetro Max # of Concurrent LookupAndAdd Queries en Reporting Engine sea menor que el valor Max Concurrent Queries en la configuración del origen de datos de NWDB.
    Si el origen de datos de NWDB se comparte en otros servicios, puede conservar un valor bajo para el parámetro Max # of Concurrent LookupAndAdd Queries en Reporting Engine, puesto que aumentarlo afectará las consultas desde otros servicios. Para obtener más información, consulte el tema “Pestaña General de Reporting Engine” de la Guía de configuración de Reporting Engine
  • Si está interesado solo en valores únicos y no en agregados precisos, establezca Session Threshold en un valor distinto de cero para la regla NWDB. Para obtener más información, consulte la sección Crear una regla mediante un origen de datos de NetWitness en Configurar una regla. Cuanto mayor sea el valor, más demorará la ejecución de la regla. Si el valor se configura en cero, demorará más, pero proporcionará agregados precisos.
    Considere una regla con la acción de regla lookup_and_add y el umbral de sesión configurado en 10.
    Regla con la acción de regla lookup_and_add y el umbral de sesión configurado en 10

    Se muestra la salida:
    regla con la acción de regla lookup_and_add y el umbral de sesión configurado en 10

Informes de valores de lista

Usar una lista refinada:

En el caso de los informes de valor de lista (para cualquier tipo de origen de datos), se generan informes individuales para cada valor de la lista. Por lo tanto, mientras mayor sea el número de valores en la lista, más demorará la ejecución de los informes. Por lo tanto, debe utilizar una lista refinada para generar dichos informes. 

Control de acceso de Reporting

El módulo Reporting ofrece la opción de configurar el control de acceso para todos sus componentes. En NetWitness Suite, puede definir distintas funciones y especificar el control de acceso para cada una de ellas desde el módulo Seguridad del sistema. Puede definir el control de acceso que se proporcionará a cada función para el módulo Reporting. Para obtener más información, consulte los temas “Paso 1: Revisar las funciones preconfiguradas de NetWitness Suite” y “Paso 2: (Opcional) Agregar una función y asignar permisos” en la Guía de administración de usuarios y de la seguridad del sistema.

El módulo Reports permite modificar los permisos de función o acceder a los siguientes objetos de Reporting:

El siguiente es un ejemplo de la jerarquía de los grupos de objetos, los objetos y los dependientes. Esta es una ilustración de la jerarquía de grupos de informes e informes.

Jerarquía de grupos de informes e informes

Jerarquía de grupos de informes e informes

Permiso para grupos de objetos

  • Debe tener permiso de Lectura y escritura para establecer los permisos para el grupo de objetos, los objetos o los dependientes. Los dependientes con el permiso “Sin acceso” aparecen bloqueados en gris y los dependientes con el permiso de “Solo lectura” se indican con un ícono.
  • Cuando configura el permiso para el grupo de objetos, los objetos y los dependientes del grupo de objetos no lo heredan automáticamente. Para hacer que lo hereden, debe seleccionar la opción “Aplicar estos permisos a subgrupos y <Objects> en este grupo”. Por ejemplo, si no desea que las funciones Operadores accedan a informes del Grupo de informes A, debe configurar como Sin acceso el permiso del Grupo A para la función Operador y seleccionar la opción “Aplicar estos permisos a subgrupos e informes en este grupo”.
  • Cuando configura los permisos para el grupo de objetos y selecciona la opción “Aplicar estos permisos a subgrupos y <Objects> en este grupo”, los dependientes, como reglas o calendarios, en los objetos no heredan los permisos automáticamente. Debe usar la opción “Aplicar permisos de solo lectura a las reglas de <Object>” para aplicar el permiso a las reglas.
  • Cuando configura los permisos para los objetos, debe asegurarse de que los objetos de la jerarquía tengan siempre un permiso que sea menor o igual que el superior en la jerarquía de modo que se aplique el permiso. Por ejemplo, si los informes de un grupo de informes tienen permiso de Lectura y escritura, se aplica un permiso de Solo lectura o Sin acceso en el nivel del grupo de informes y se selecciona la opción “Aplicar estos permisos a subgrupos e informes en este grupo”, el permiso en las reglas permanece sin cambios. 
  • Los permisos se aplican en cascada de arriba abajo en la jerarquía y no viceversa. Por ejemplo, si aplica un permiso a una regla, esto no cambia el permiso del informe que contiene la regla. 

Permiso para objetos o dependientes

  • Debe tener permiso de Lectura y escritura para establecer los permisos para los objetos o los dependientes.
  • Puede especificar el permiso para varios objetos simultáneamente en lugar de configurarlo para cada objeto.
  • Cuando configura el permiso para el objeto, los dependientes del objeto no lo heredan automáticamente. Para que lo hereden, debe seleccionar la opción “Aplicar permisos de Solo lectura a las reglas de <Object>”.

Cuando aplica el permiso a los dependientes, se aplica en función del permiso existente para la función. Por ejemplo, considere a un analista y a un operador con los siguientes permisos para los distintos dependientes (el objeto Informe A tiene la Regla AA, la Regla AB y la regla AC como dependientes). 

                               
Objeto o dependiente Analista Operador
Informe ALectura y escrituraSin acceso
           Regla AALectura y escrituraSin acceso
           Regla ABLectura y escrituraLectura y escritura
           Regla ACSolo lecturaSin acceso

Cuando el analista aplica un permiso de Lectura y escritura a la función Operador y selecciona la opción “Aplicar permisos de solo lectura a las reglas de <Object>”, los permisos se configuran para los distintos dependientes de la siguiente manera: 

Modificar los permisos

  • Nivel de grupo: configure los permisos en el nivel de grupo de objetos y para todos los objetos y las entidades del grupo. Por ejemplo, si tiene 80 informes en el grupo Informes de administradores y no desea que nadie agregue o modifique estos informes, excepto el administrador, puede configurar como Solo lectura el permiso para todas las demás funciones en el nivel de grupo y seleccionar la opción para aplicarla a todos los informes y subgrupos del grupo de informes. 
  • Múltiples objetos: seleccione múltiples objetos y especifique el acceso para todos los objetos seleccionados. Por ejemplo, si tiene 10 informes en el subgrupo Tráfico de red con información confidencial a la cual no desea que nadie acceda, seleccione los 10 informes y, a continuación, configure el permiso para todas las funciones como “Sin acceso”.
  • Un único objeto: seleccione solo el objeto y especifique el permiso. Por ejemplo, seleccione el Informe de tráfico de red y especifique el permiso de Lectura y escritura para la función Analista de seguridad o seleccione la Alerta de error al iniciar sesión y especifique el permiso de Lectura y escritura para una función Analista de seguridad.
                               
Objeto o dependienteOperador (antes de la aplicación del permiso)Operador (después de la aplicación del permiso)
Informe ASin accesoLectura y escritura
           Regla AASin accesoSolo lectura
           Regla ABLectura y escrituraLectura y escritura
           Regla ACSin accesoSolo lectura

Funciones y permisos para el módulo Reporting

Aunque NetWitness Suite tiene cinco funciones preconfiguradas, puede agregar funciones personalizadas. Por ejemplo, además de la función Analistas preconfigurada, puede agregar las funciones personalizadas AnalystsEurope y AnalystsAsia.

                               
FunciónPermiso
AdministradoresAcceso completo al sistema
OperadoresAcceso a configuraciones, pero no a datos
AnalistasAcceso a datos, pero no a configuraciones
SOC_ManagersEl mismo acceso que los analistas, además del permiso adicional para manejar incidentes
Malware_AnalystsAcceso solo a eventos de malware

Según la función del usuario, puede establecer los siguientes permisos de acceso para acceder a los componentes del módulo Reporting (reglas, informes, gráficos, alertas, listas):

  • Crear
  • Eliminar
  • Exportación
  • Administrar 
  • Ver 

Nota: Debe habilitar todos estos permisos para una función de usuario con el fin de poder definir, eliminar, administrar y ver cada uno de los módulos Reporting. También debe tener permisos apropiados para que el origen de datos se enumere mientras define los informes, los gráficos o las alertas. Para obtener más información, consulte “Configurar permisos de orígenes de datos” en la Guía de configuración de Reporting Engine.

Para obtener una lista detallada de permisos y cómo agregar una función y asignar permisos, consulte los temas “Permisos de función” y “Paso 2. (Opcional) Agregar una función y asignar permisos” en la Guía de administración de usuarios y de la seguridad del sistema

You are here
Table of Contents > Descripción general de Reporting

Attachments

    Outcomes