Investigate: Examinar eventos en la vista Análisis de eventos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Cuando se examinan eventos crudos y metadatos en la vista Análisis de eventos, puede realizar ajustes simples en la visibilidad y el tamaño de los paneles. Dentro de los paneles Análisis de paquetes y Análisis de texto, utilice funciones adicionales para ajustar la manera en que se muestra la reconstrucción y centrarse en datos interesantes.

Seleccionar el tipo de análisis de eventos

Para seleccionar el tipo de análisis para un evento, realice una de las siguientes acciones:

  1. En la barra de herramientas de la vista Análisis de eventos, haga clic en el tipo de análisis.
  2. En el menú desplegable, seleccione el tipo de análisis: File Analysis, Text Analysis, Packet Analysis, Correo electrónico (versión 11.1 y superior) o Web (versión 11.1 y superior).
    Si eligió File Analysis, Text Analysis o Packet Analysis, la vista se actualiza con el panel Análisis de paquetes, Análisis de archivos o Análisis de texto abierto.
    Si eligió Correo electrónico o Web, la reconstrucción de correo electrónico o web de la vista Eventos del evento único se abre en una pestaña nueva. Esta es la misma reconstrucción de una sesión de correo electrónico o web que se utiliza en la vista Eventos. La vista Eventos proporciona mayor funcionalidad cuando se ve una reconstrucción de correo electrónico o web, lo que le permite navegar por las páginas de los eventos de esa vista en lugar de ver un solo evento (consulte Reconstruir un evento).

Note: El panel Análisis de paquetes solo está disponible para los eventos de red.

Abrir, cerrar y ajustar el tamaño de los paneles de la vista Análisis de eventos

La vista Análisis de eventos se abre con la Lista de eventos y ningún evento seleccionado o reconstruido. Cuando selecciona un evento, el panel Detalles del evento de red, Detalles del evento de registro o Detalles del evento de Endpoint se abre a la derecha. Inicialmente, el panel Detalles del evento de red, Detalles del evento de registro o Detalles del evento de Endpoint ocupa de forma predeterminada el 75 % del ancho de la ventana.

Initial view showing wide reconstruction panel

Puede ajustar la relación de tamaño de los dos paneles para mejorar la legibilidad mediante la expansión, la contracción o el cierre de uno de los paneles. Después de cerrar cualquiera de los paneles, puede volver a abrirlo. La relación que selecciona persiste hasta que la cambia o actualiza el navegador.

  • Para volver a abrir el Events panel, haga clic en the open events panel icon en la esquina superior derecha.

Para optimizar la vista:

  1. Para ajustar la relación de tamaño de los dos paneles, realice cualquiera de las siguientes acciones:
    1. Haga clic en expand panel icon en la barra de herramientas del panel que desea expandir.
    2. Haga clic en the reduce panel icon en la barra de herramientas del panel que desea contraer.
  2. Para cerrar cualquiera de los paneles y restaurar el panel abierto a su ancho completo, haga clic en the close icon.
    Este es un ejemplo de la reconstrucción que se muestra a todo el ancho de la ventana del navegador.
    Packet Analysis displayed in the full width of the browser window
  3. Para volver a abrir el Events panel después del cierre, haga clic en the open events panel icon en la esquina superior derecha de la Navigate view.
    El Events panel se abre en el último estado (25 %:75 % o 50 %:50 %).
  4. Para volver a abrir el panel Detalles de eventos, haga clic en un evento en el Events panel.

 

Seleccionar un grupo de columnas y columnas en Análisis de eventos

 

En la versión 11.1 y superior, puede usar grupos de columnas incorporados o personalizados en el panel Eventos. Los grupos de columnas se crean y se administran en la vista Eventos (consulte Administrar grupos de columnas en la vista Eventos); estos grupos se reflejan en la vista Análisis de eventos. Cuando cambia el grupo de columnas, los cambios que realiza en un grupo de columnas son solo para la vista actual. Cuando sale de la vista Análisis de eventos y regresa a esta, los cambios en las columnas no persisten en el panel Eventos.

Estos son los grupos de columnas incorporados.

  • Análisis de correo electrónico: Incluye claves de metadatos que son útiles para investigar metadatos relacionados con el correo electrónico.
  • Análisis de terminales: Incluye claves de metadatos que son útiles para investigar metadatos relacionados con terminales.
  • Malware Analysis: Incluye claves de metadatos que son útiles para investigar metadatos relacionados con malware.
  • HTTP de salida: Incluye claves de metadatos que son útiles para investigar metadatos relacionados con HTTP de salida.
  • Protocolos SSL/TLS de salida: Incluye claves de metadatos que son útiles para investigar metadatos relacionados con el análisis de SSL/TLS de salida.
  • Lista de resumen: Incluye claves de metadatos que son útiles en una investigación general. Este es el grupo de columnas predeterminado.
  • Análisis de amenazas: Incluye claves de metadatos que marcan amenazas potenciales en el conjunto de datos.
  • Análisis web: Incluye claves de metadatos que marcan anomalías en el tráfico web.

Un grupo de columnas puede contener más columnas de las que se ven sin desplazarse hacia la derecha. En la versión 11.1, puede seleccionar las columnas que aparecen en la vista Análisis de eventos. El orden de las columnas refleja el orden en la vista Eventos del grupo de columnas predeterminado. De forma predeterminada, cuando se selecciona un grupo de columnas, se muestran las primeras 15 columnas. Para una visualización optimizada, se recomienda ver solo 15 columnas a la vez; sin embargo, puede seleccionar columnas adicionales para ver y quitar las columnas que se muestran.

Para seleccionar un grupo de columnas:

  1. En el menú desplegable junto a Eventos, seleccione un grupo de columnas (por ejemplo, Lista de resumen). También puede comenzar a escribir el nombre del grupo de columnas y seleccionar un grupo a medida que estos aparecen en el menú desplegable.
    Default Column Groups drop-down menu
    El panel Eventos muestra datos en las columnas que pertenecen al grupo de columnas seleccionado.

Para seleccionar columnas que desea ver:

  1. Mientras trabaja en la vista Análisis de eventos, con un grupo de columnas seleccionado, haga clic en the settings icon para mostrar el selector de columnas.
    Column selector filtering list
  2. Seleccione las claves de metadatos o ingrese el nombre de una clave de metadatos que desea mostrar en columnas adicionales. 
  3. Si no desea mostrar una clave de metadatos en una columna, deselecciónela.
    Los datos se vuelven a mostrar en función de las columnas seleccionadas.

Ajustar la visualización de las solicitudes y las respuestas

Para los tipos de evento que incluyen solicitudes y respuestas, puede realizar varios ajustes.

Note: Si el tipo de análisis no tiene solicitudes y respuestas, la opción no se puede seleccionar. El panel File Analysis es un ejemplo de un tipo de reconstrucción sin solicitudes ni respuestas. Un evento de registro reconstruido en la vista de texto es otro ejemplo.

Para seleccionar qué lado de la conversación desea mostrar, Solicitud, Respuesta o ambos, haga clic en uno o en ambos íconos de dirección Request and Response icons. La reconstrucción se actualiza con la información seleccionada.

Note: Si no ve ningún dato, es posible que haya deseleccionado tanto la Solicitud y como la Respuesta. Debe seleccionar una de las dos para ver los datos.

Ver los metadatos de un evento

Cuando se examinan eventos en los paneles Text Analysis, Packet Analysis o File Analysis, puede hacer clic en the show Event Meta panel icon para mostrar los metadatos asociados en un panel adyacente, el panel Metadatos de eventos.

Cuando se observan los paneles Análisis de texto y Metadatos de eventos y se coloca el puntero sobre los pares de claves de metadatos/valores de metadatos, se muestran unos binoculares si el valor de metadatos se puede buscar en el texto crudo. Este es un ejemplo del ícono de binoculares que se muestra cuando se coloca el puntero sobre el par de clave de metadatos/valor de metadatos Directorio y /.

binoculars icon in the Event Meta panel

Cuando se hace clic en el ícono, se activa una búsqueda del par de clave de metadatos/valor de metadatos (que no distingue mayúsculas de minúsculas) en el panel Text Analysis y se resalta cada instancia. En el Event Meta panel, la fila resaltada muestra un conteo de los resultados y una barra de desplazamiento que puede utilizar para buscar rápidamente cada resultado en el panel Text Analysis. Aparece resaltada cada una de las ubicaciones de los datos que activaron la generación de la clave de metadatos, y puede avanzar para ver la siguiente y retroceder para ver la anterior.

Solo se pueden buscar en el texto crudo las claves de metadatos que tienen valores pertinentes. Puede buscar solo una clave de metadatos por vez. Si el valor está oculto debido al truncamiento de una entrada de texto con más de 3,000 caracteres, la entrada de texto se expande para revelar el valor de metadatos encontrado.

Cuando se hace clic en el mismo par de clave de metadatos/valor de metadatos o en otro par en el Event Meta panel, el resaltado se quita del texto crudo. El resaltado también se quita si cierra el Event Meta panel.

Para buscar en el texto crudo los valores de metadatos que activaron una clave de metadatos:

  1. Abra un evento de red en el panel Text Analysis.
    a network event open in the Text Analysis panel
  2. En la barra de herramientas, haga clic en the Open Meta Panel icon para abrir el Event Meta panel. A medida que pasa el cursor sobre los pares de claves:valores de metadatos en la lista, un ícono de binoculares identifica los valores que se pueden buscar en el panel Text Analysis.
  3. Para buscar el valor en el texto crudo, haga clic en una fila que tenga el ícono de binoculares, lo cual indica que permite realizar búsquedas.
    Si en el texto no hay ninguna aparición pertinente del valor, el valor que está buscando se resalta en el Event Meta panel y no se resalta nada en el panel Text Analysis.
    Si se encuentra una o más instancias pertinentes del valor en el panel Text Analysis, se resalta cada aparición. El valor que está buscando se resalta en el Event Meta panel y la barra de desplazamiento está visible.

  4. Para quitar el resaltado, cierre el Event Meta panel, haga clic en el mismo par de clave de metadatos/valor de metadatos en el Event Meta panel o haga clic en otro par en el Event Meta panel.
    El resaltado se quita del texto crudo.

Mostrar u ocultar el encabezado del evento

Para ocultar el encabezado del evento en los paneles Packet Analysis, Text Analysis o File Analysis y dejar más espacio vertical para los datos, haga clic en the Display Header icon.

Navegar por páginas de eventos en el panel Análisis de paquetes

En la versión 11.1 y superior, los controles de paginación de paquetes permiten una mayor flexibilidad en la paginación a través de una lista de paquetes. Puede seleccionar la cantidad de paquetes que se muestran por página y la selección se guarda de un inicio de sesión a otro en la aplicación NetWitness. Cuando un control no está disponible, este aparece atenuado; por ejemplo, mientras ve la página 1, los controles previous page icon y first page icon aparecen atenuados.

Para utilizar los controles de paginación:

  1. Con un evento abierto en la vista Análisis de eventos, haga clic en la actual cantidad de paquetes por página (100, 300 o 500) y seleccione la nueva cantidad de paquetes por página en el menú desplegable.
    packets per page selector
  2. Para ir a páginas siguientes o anteriores, use los iconos de control de páginas:
    Haga clic en go to the next page icon para ir a la página siguiente.
    Haga clic en last page icon para ir a la última página.
    Haga clic en previous page icon para ir a la página anterior.
    Haga clic en first page icon para ir a la primera página.
  3. Para ir a una página específica, escriba un número de página en el campo de número de página page number field.

Expandir las entradas de texto truncadas en el panel Análisis de texto

Una reconstrucción de un evento de red en el panel Text Analysis puede incluir solicitudes y respuestas de varios cientos de miles de caracteres, y el desplazamiento a través de una entrada larga de más de 6,000 caracteres que no son de interés puede ser una pérdida de tiempo. Con el fin de mejorar la experiencia para los analistas, todas las entradas de texto que tienen más de 6,000 caracteres se truncan y solo muestran los primeros 2,000. En este ejemplo se muestra una entrada que tiene más de 2,000 caracteres y un mensaje en el encabezado indica el porcentaje del total de caracteres que se presenta.

example of a packet with a percentage of the data displayed

Puede ver que se muestra el 60 % de los caracteres (los primeros 2,000). Haga clic en Mostrar 40 % restante para visualizar el resto de la entrada.

Text Analysis with truncate entries expanded

Si busca metadatos vistos en el Event Meta panel mientras el texto está truncado en el panel Text Analysis, se busca en el texto truncado. Si los metadatos existen dentro del texto oculto, la entrada de texto se expande para mostrar el texto con los metadatos encontrados.

Realizar la codificación y la decodificación de URL y Base64 en el panel Análisis de texto

Si una sesión de red que se reconstruye en el panel Text Analysis contiene cadenas codificadas en Base64 o URL, puede decodificarlas para comprender mejor la sesión. Si la sesión contiene cadenas decodificadas para Base64 o URL, puede ver una cadena en su forma codificada a fin de buscar instancias adicionales del texto codificado en otras sesiones.

Cuando observa una sesión de red que contiene texto codificado en el panel Text Analysis, puede seleccionar un subconjunto del texto dentro de una única Solicitud o Respuesta para verlo en su forma codificada o decodificada. Según el contenido que se carga en el Decoder, puede haber metadatos adicionales que describan la inclusión de datos codificados en Base64 o URL dentro de la sesión.

Los siguientes son ejemplos de un cuadro activado con el puntero que muestra la codificación URL y texto codificado en Base64.

Text Analysis displaying encoded text

Text Analysis displaying decoded text

Para realizar la codificación y la decodificación en el panel Text Analysis:

  1. En la vista Análisis de eventos, vaya al panel Text Analysis de una sesión que incluya contenido codificado o decodificado.
  2. Si desea ver parte del texto decodificado en su forma codificada, arrastre para seleccionar el texto dentro de una única Solicitud o Respuesta.
    Un menú ofrece opciones de codificación y decodificación.
    the popup menu for decoding and encoding text
  3. Haga clic en Codificar el texto seleccionado.
    El texto codificado se muestra en un cuadro activado con el puntero, el cual permanece en su lugar hasta que usted hace clic en the close icon, selecciona otro texto en el panel Text Analysis, cierra el Events panel, selecciona otro evento para su reconstrucción o cambia a otra vista de reconstrucción.
    an encoded URL
    Cuando se selecciona un texto más largo, el cuadro activado con el puntero es desplazable y lo suficientemente grande para mostrar todo el texto seleccionado, así como el texto decodificado.
  4. Si la sesión contiene texto codificado que desea ver en su forma decodificada, arrastre para seleccionar el texto dentro de una única Solicitud o Respuesta.
    Un menú ofrece opciones de codificación y decodificación.
  5. Haga clic en Decodificar el texto seleccionado.
    El texto decodificado se muestra en un cuadro activado con el puntero, el cual permanece en su lugar hasta que usted hace clic en the close icon, selecciona otro texto en el panel Text Analysis, cierra el Events panel, selecciona otro evento para su reconstrucción o cambia a otra vista de reconstrucción.
  6. Si desea copiar parte del texto de la reconstrucción del texto, realice una de las siguientes acciones:
    1. Arrastre para seleccionar parte del texto, haga clic con el botón secundario y seleccione Copiar texto seleccionado en el menú emergente.
      selected data with the copy, decode, and encode menus
    2. Arrastre para seleccionar parte del texto y, a continuación, seleccione Decodificar el texto seleccionado o Codificar el texto seleccionado. Dentro de la ventana emergente, seleccione el texto que desee y presione Ctrl+C.
      El texto seleccionado se copia al portapapeles y queda disponible para pegarlo en una consulta.
  7. Cuando finalice, haga clic en the Close icon para cerrar el cuadro activado con el puntero.

Ver texto descomprimido de una sesión de red HTTP en el panel Análisis de texto

Cuando el contenido de una sesión de red HTTP está comprimido y usted ve el panel Text Analysis, NetWitness Suite muestra el contenido descomprimido de forma predeterminada. Esto permite determinar si hay patrones y ver los caracteres legibles. Puede alternar entre una vista comprimida y descomprimida del texto comprimido.

Note: El texto descomprimido no está disponible para el panel Packet Analysis, el panel File Analysis, las sesiones de red no HTTP y los datos del registro.

La alternancia entre el texto comprimido y descomprimido solo se muestra en el panel Text Analysis y se habilita solo si hay contenido de texto comprimido.

  1. Abra el panel Text Analysis de una sesión HTTP que contenga contenido comprimido.
    De forma predeterminada, la sesión se reconstruye con el texto descomprimido y sobre la reconstrucción aparece el switch de alternancia Mostrar cargas útiles comprimidas.
    a decompressed payload
  2. Para ver el mismo texto en su forma comprimida, haga clic en el switch de alternancia.
    La vista cambia de modo que el texto comprimido ya no es legible y el switch indica que la opción Mostrar paquetes comprimidos está activada.
    a compressed payload
  3. Para volver a la vista de texto descomprimido, vuelva a hacer clic en el switch.

Usar la opción Solo carga útil del panel Análisis de paquetes de una sesión de red

Cuando observa una reconstrucción de una sesión de red en el panel Análisis de paquetes, puede optar por ver solo la carga útil principal de cada paquete. De forma predeterminada, se muestran los bytes del encabezado y el pie de página de cada paquete. Puede ocultarlos, para lo cual debe hacer clic en el switch de alternancia Mostrar solo cargas útiles. Si observa solo los bytes de carga útil, puede volver a la configuración predeterminada mediante el ajuste del switch de alternancia Mostrar solo cargas útiles en activado. Esta configuración persiste hasta que la cambia o actualiza el navegador.

  • Con la opción Mostrar solo cargas útiles desactivada, se muestra la cantidad de paquetes, el encabezado de los paquetes, el pie de página de los paquetes y la carga útil.
  • Con la opción Mostrar solo cargas útiles activada, no se muestra ningún byte de encabezado y pie de página de los paquetes. Solo se muestra el contenido de los paquetes de 16 bytes hexadecimales por línea y el código ASCII correspondiente por línea.
  1. En la vista Análisis de eventos, vaya al panel Packet Analysis de una sesión de red.
    De forma predeterminada, la sesión se reconstruye y muestra el encabezado, el pie de página y la carga útil del paquete.
    Packet headers hightlighted in blued
  2. Para cambiar la vista con el fin de mostrar solo la carga útil de cada paquete, haga clic en el switch de alternancia Mostrar solo cargas útiles.
    La vista cambia de modo que solo la carga útil esté visible y los paquetes contiguos del mismo lado se concatenan para que la carga útil sea más legible y comprensible.
    Display Payloads Only in effect

Ver bytes resaltados en el panel Análisis de paquetes

Cuando abre por primera vez una reconstrucción en el panel Packet Analysis, los bytes significativos del encabezado de cada paquete se resaltan en azul y los bytes de carga útil se diferencian mediante sombreado que ayuda a comprender el contenido del paquete. En esta figura se muestra el Packet Analysis predeterminado con resaltado y sombreado de bytes.

Packet Analysis with highlighting and byte shading

La opción Sombrear bytes agrega sombreado para identificar los distintos bytes hexadecimales (de 00 a FF) mediante grados de resaltado. Los bytes cerca del rango inferior son más transparentes y los más cercanos a 255 son más opacos. Los bytes hexadecimales y ASCII aparecen sombreados. Este es un ejemplo del sombreado aplicado a cada byte hexadecimal.

example of shading applied to hexadecimal bytes

El switch Sombrear bytes controla el sombreado de los bytes. Cuando activa o desactiva Sombrear bytes, la configuración persiste hasta que la cambia o actualiza el navegador.

Resaltar los tipos de archivo comunes en el panel Análisis de paquetes

En el panel Análisis de paquetes, los analistas pueden mostrar u ocultar el resaltado de ciertos tipos de archivo comunes en función de la firma de los archivos. Cuando la función Patrones de archivo comunes está activada, los bytes de número mágico en la firma del archivo se resaltan en la carga útil y usted puede colocar el cursor sobre el resaltado para ver el posible tipo de archivo. En este ejemplo, 89 50 4e 47 está resaltado en la carga útil hexadecimal y PNG está resaltado en la carga útil ASCII. Cuando coloca el cursor sobre los bytes resaltados, un cuadro muestra el posible tipo de archivo asociado con el número mágico.

Possible file type highlighted

Estos son los tipos de archivo y los números mágicos correspondientes que se resaltan si están presentes en la carga útil:

                                                                                                  
Tipo de archivoFirma hexadecimalCodificación ASCII
Archivo ejecutable de DOS/Windows PE4D 5AMZ
Gráficos de red portátiles (PNG) 89 50 4E 47 0D 0A 1A 0APNG
JPEG FF D8 FFJPEG
JPEG/JFIF4A 46 49 46JFIF
JPEG/Exif45 78 69 66Exif
GIF47 49 46 38 37 61GIF87a
GIF47 49 46 38 39 61GIF89a

Archivo ejecutable no portátil

5A 4D

ZM

BMP42 4DBM
PDF25 50 44 46%PDF
Documento de Office antiguo (doc, xls, ppt, msg y otros)D0 CF 11 E0 A1 B1 1A E1ÐÏ.ࡱ.á
Formatos de archivo ZIP y formatos basados en él, como JAR, ODF y OOXML50 4BPK..
Formato de archivo 7-Zip (7z)37 7A BC AF 27 1C7z¼¯'
Archivo de clase Java, binario multiarquitectura Mach-OCA FE BA BEÊþº¾
Postscript 25 21 50 53%!PS
Script de shell de UNIX/Linux23 21#!
Archivos ejecutables en formato ejecutable y vinculable (ELF)7F 45 4C 46 .ELF

Para ver las firmas de archivo comunes en el panel Análisis de paquetes:

  1. Vaya al panel Análisis de paquetes y active la opción Patrones de archivo comunes.
    Si hay más de un elemento resaltado en la vista, se muestran todos.
  2. Para ver el cuadro activado con el cursor, coloque el cursor sobre el elemento resaltado.
You are here
Table of Contents > Análisis de eventos crudos y metadatos en la vista Análisis de eventos > Examinar eventos en la vista Análisis de eventos

Attachments

    Outcomes