Investigate: Filtrar resultados en la vista Navegar

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Cuando se realiza una investigación en la vista Navegar, están disponibles varios métodos para limitar los resultados que se muestran cuando se cargan valores de claves de metadatos en esta vista. Los métodos básicos de filtrado disponibles para los analistas son los siguientes:

El resto de este tema se centra en los métodos básicos de filtrado de datos. Además, métodos más avanzados permiten configurar grupos de metadatos, perfiles y visualizaciones de coordenadas paralelas.

Se proporciona un tema aparte para cada uno de los métodos más avanzados.

Establecer el rango de tiempo

Cuando se realiza una investigación en la vista Navegar, las opciones de rango de tiempo limitan los resultados devueltos. Puede seleccionar:

  • Un rango de tiempo relativo a la recopilación. Los rangos relativos a la recopilación se basan en la última hora de recopilación de datos.
  • Un rango de tiempo relativo al calendario.
  • Un rango de fechas personalizado.
  • Todos los datos.

El rango de fechas seleccionado (tipo) se muestra en la barra de herramientas de la vista Navegar como la etiqueta Rango de tiempo; de forma predeterminada, la etiqueta es Últimas 3 horas. La pantalla Rango de tiempo muestra el primer y el último registro de fecha y hora del rango de fechas que se está utilizando para los metadatos.

Note:  El rango de tiempo se basa en la zona horaria configurada en el panel Preferencias de perfil, como se describe en “Configuración de las preferencias del usuario” en la Guía de introducción de RSA NetWitness Suite.

Para seleccionar un rango de tiempo incorporado:

  1. Haga clic en la opción Rango de tiempo de la barra de herramientas de la vista Navegar. El rango de tiempo predeterminado es para las Últimas 3 horas, pero es posible que ya haya un valor distinto seleccionado en la lista de selección, por ejemplo, Todos los datos o Última hora, y puede que se utilice como etiqueta en el panel de opciones.
    Se muestra la lista de selección Rango de tiempo.
    Time Range Selection List
  2. Realice una de las siguientes acciones:
    • Si desea ver todos los datos, seleccione Todos los datos.
    • Si desea establecer un rango de tiempo relativo a la recopilación en minutos, horas o días, seleccione un valor como Últimos 10 minutos, Últimas 3 horas o Últimos 5 días.
    • Si desea establecer un rango de tiempo relativo a hoy, seleccione Ayer, Esta semana (versión 11.1), La semana pasada (versión 11.1), Todo el día o una parte del día, como Primera hora, Mañana, Tarde o Noche.
    • Si desea establecer un rango de fechas único, seleccione Personalizado en el menú Rango de tiempo y siga el procedimiento que aparece a continuación.
      El rango de tiempo seleccionado se aplica a los resultados actuales del panel Valores.

Para especificar un rango de tiempo personalizado:

  1. Seleccione Personalizado en el menú Rango de tiempo.
    Las opciones de selección de fecha se muestran en la barra de herramientas.
    Custom Time Range
  2. Dentro de los campos de tiempo Fecha inicial y Fecha de finalización, realice lo siguiente para especificar la fecha y la hora:
    1. Haga clic en una fecha del calendario.
    2. (Opcional) Seleccione la hora en los campos Hora, Minuto, Segundo o haga clic en Ahora. La selección de la hora se configura de manera predeterminada en la hora actual.

Note: Si se especifican horas de inicio o finalización personalizadas en segundos, siempre el valor de la hora de inicio en segundos se configura de manera predeterminada en :00 y siempre el valor de la hora de finalización en segundos se configura de manera predeterminada en :59. Por ejemplo, si está usando la hora para desglosar a un problema, la hora de desglose se interpreta como “HH:MM:00 - HH:MM:59”. Los segundos se muestran en este formato en las funciones de Investigation > Navegar.

  1. Para aplicar el rango, haga clic en Ir.
    El rango de tiempo seleccionado se aplica a los resultados actuales del panel Valores.

Establecer el método de cuantificación y la secuencia de clasificación de resultados de claves de metadatos

Puede seleccionar la forma en que se cuantifican y se secuencian los resultados de cada clave de metadatos en la vista Navegar.

Note: Si se utilizan entidades de metadatos (versión 11.1 y superior) en grupos de metadatos, los resultados mostrarán los 20 valores principales que coincidieron con cualquiera de las claves de metadatos contenidas en la entidad de metadatos.

Cada sección de clave de metadatos en la vista Navegar contiene una lista de valores ordenada que muestra cada valor de clave de metadatos (Valor) y su conteo (Total). Puede especificar si:

  • Los resultados de cada sección Clave de metadatos se clasifican según Valor o Total.
  • Los resultados se clasifican en orden ascendente o descendente.
  • Los valores que se muestran para cada clave de metadatos se cuantifican por cantidad de paquetes (Conteo de paquetes), cantidad de sesiones o registros (Cuantificar por conteo de eventos) o tamaño de los eventos (Cuantificar por tamaño de evento).

Note:  Si tiene un Log Decoder y un Packet Decoder cuyos metadatos observa, el cálculo de lo que se cuenta realmente depende del tipo de clave. Si opta por Cuantificar por conteo de paquetes y observa los registros, la salida de la vista Navegar es la misma que si hubiera seleccionado Cuantificar por conteo de eventos (consulte Vista Navegar para obtener detalles).

En esta imagen se muestra la clave de metadatos Event Type clasificada por Total en orden Descendente. El valor con el mayor conteo de coincidencias se presenta primero. El valor failure audit tiene 71 coincidencias y se enumera primero. El valor logon solo tiene una coincidencia y se presenta al final. El método de cuantificación es Conteo de eventos.

Meta key in order descending by total

En esta imagen se muestran las claves de metadatos Event Type clasificadas por Valor en orden Descendente. Los nombres de los valores se presentan en orden alfabético a partir del final del alfabeto. El valor success audit se enumera primero. El valor connect se presenta al final. El método de cuantificación es Conteo de eventos.

Meta key in order descending alphabetically

Para seleccionar el método de cuantificación de conteo de claves de metadatos y el orden de los resultados de claves de metadatos que se muestran en la vista Navegar:

  1. En la barra de herramientas, seleccione Conteo de eventos, Tamaño de evento o Conteo de paquetes y elija una de las opciones de cuantificación del menú desplegable. La etiqueta del menú muestra la opción seleccionada.
    Quantification Menu
    La vista actual se vuelve a cargar de acuerdo con su selección.
  2. En la barra de herramientas, seleccione Total o Valor y elija uno de los métodos de orden en el menú desplegable. La etiqueta del menú muestra la opción seleccionada.
    Order Menu
    La vista actual se vuelve a cargar de acuerdo con su selección.
  3. En la barra de herramientas, seleccione Ascendente o Descendente y elija una de las opciones de orden de clasificación del menú desplegable. La etiqueta del menú muestra la opción seleccionada.
    La vista actual se vuelve a cargar de acuerdo con su selección.
    Sort Menu

Administrar y aplicar claves de metadatos predeterminadas en una investigación

Cuando los analistas realizan una investigación de datos capturados en Investigation, se carga un conjunto de claves de metadatos predeterminado, el cual se muestra en una secuencia predeterminada en la vista Navegar > panel Valores. La secuencia y el contenido predeterminados se basan en las claves de metadatos del servicio que se investiga. Los analistas pueden especificar las claves de metadatos para mostrar durante la navegación mediante la selección de las claves de metadatos predeterminadas o de un grupo de claves de metadatos definido por el usuario, que proporciona una gran flexibilidad para definir claves de metadatos. Esto puede ayudar a desglosar más directamente los datos deseados y reducir el tiempo de carga mediante la prevención de la carga de metadatos que no es de interés en la investigación actual.

Note: En la versión 11.1 y superior, cuando se usan claves de metadatos, también se pueden usar entidades de metadatos configuradas.

Si ningún grupo de metadatos personalizado está vigente, la vista Navegar se muestra con la visibilidad de claves de metadatos especificada en el cuadro de diálogo Claves de metadatos predeterminadas. Para optimizar la carga de claves de metadatos en la vista Navegar > panel Valores, NetWitness Suite no abre claves de metadatos no indexadas de forma predeterminada. Cuando abre una clave de metadatos no indexada en la vista Valores, NetWitness Suite comienza a cargar valores para esa clave de metadatos. Si el tiempo de carga es excesivo, el tiempo de espera de la carga de las claves de metadatos se agota con un mensaje. El título, los valores y los conteos de las claves de metadatos no indexadas no se pueden desglosar en el panel Valores. El etiquetado adicional en Investigation identifica las claves de metadatos no indexadas.

Para seleccionar las claves de metadatos a aplicar en su investigación, puede:

  • Seleccionar las claves de metadatos predeterminadas.
  • Seleccione un conjunto de claves de metadatos definido por el usuario, denominado grupo de metadatos.

Note:  Una vez creados, los grupos de metadatos definidos por el usuario se pueden editar, eliminar, exportar para su uso en otros servicios e importar al servicio que se está investigando. Todos estos procedimientos están dentro de un tema aparte: Administrar grupos de metadatos.

El cuadro de diálogo Claves de metadatos predeterminadas permite especificar la vista predeterminada y mostrar la secuencia de claves de metadatos durante la navegación en la vista Investigate > Navegar para un servicio específico. En el caso de cada clave o de todas las claves, puede establecer la vista predeterminada en:

  • Oculta: Los resultados de la clave de metadatos predeterminada se ocultan y no están disponibles para carga.
  • Abierto: Los resultados de la clave de metadatos predeterminada son abiertos y se muestran todos los valores y conteos.
  • Cerrada: Los resultados de la clave de metadatos predeterminada son cerrados, solamente se puede ver el nombre de los metadatos.
  • Automática: La carga de claves de metadatos predeterminadas se controla mediante el nivel de índice, el cual debe indexarse según valor. 

Cuando use las claves de metadatos predeterminadas, tenga presente que se pueden modificar para distintos servicios y que es posible que no vea el mismo conjunto de claves de metadatos predeterminadas cuando navegue a un punto de desglose en diferentes servicios. Si no ve los datos que espera, puede ser necesario cambiar la vista inicial de las claves de metadatos predeterminadas.

Cuando cambia el estado inicial de las claves de metadatos predeterminadas en la vista Navegar, el cambio persiste para ese servicio. Cuando se agregan claves nuevas al archivo de índice personalizado para un servicio principal (por ejemplo, concentrator-custom-index.xml o decoder-custom-index.xml), las claves nuevas se agregan a la lista de claves de metadatos predeterminadas. Los cambios que hace en la vista Navegar se aplican solo al servicio actual.

Para especificar que la vista Navegar inicial se abra con las claves de metadatos predeterminadas:

  1. Vaya a INVESTIGATE > Navegar.
  2. Seleccione un servicio y elija Navegar.
  3. En el menú Metadatos, seleccione Usar claves de metadatos predeterminadas.
    Si hay una investigación en curso, los datos se vuelven a cargar en la vista actual y un ícono resalta la opción seleccionada. Si aún no se cargan datos, las claves de metadatos predeterminadas se usan para la carga siguiente.

Configurar claves de metadatos predeterminadas

Para configurar la vista predeterminada de claves de metadatos predeterminadas en la vista Navegar:

  1. En la barra de herramientas de la vista Navegar, seleccione Metadatos > Administrar claves de metadatos predeterminadas.
    El cuadro de diálogo Administrar claves de metadatos predeterminadas se muestra con la lista de claves de metadatos disponibles para el servicio.
    This is the Manage Default Meta Keys dialog
  2. (Opcional) Para cambiar el orden de las claves, seleccione una o más claves y arrastre los valores hacia arriba o hacia abajo por la lista de claves.
  3. Realice una de las siguientes acciones:
    • (Opcional) Para cambiar la vista predeterminada de todas las claves de metadatos, asegúrese de que no se haya seleccionado ninguna clave y, en la barra de herramientas, seleccione Option Drop-down Menu.
    • (Opcional) Para cambiar la vista predeterminada de una o más claves, seleccione las claves y, en la barra de herramientas, seleccione Options Drop-down Menu.
      Se muestra una lista desplegable de las posibles vistas iniciales de todas las claves de metadatos predeterminadas.
    • (Opcional) Para volver a la vista predeterminada de claves de metadatos como se especifica en el archivo de índice del servicio, asegúrese de que no esté seleccionada ninguna clave y, en la barra de herramientas, seleccione Options Drop-down Menu > Automático.
      Cuando modifica las claves de metadatos predeterminadas para una clave de metadatos no indexada, no puede configurar la clave en ABIERTO. Si cambia a ABIERTO la vista predeterminada para un grupo de claves de metadatos y algunas de las claves de metadatos no están indexadas, estas claves vuelven a AUTOMÁTICO. En consecuencia, la clave de metadatos se carga automáticamente solo si está indexada, y las claves de metadatos no indexadas se CIERRAN hasta que se abren de forma manual.
  4. Seleccione una de las vistas.
  5. Para guardar los cambios, haga clic en Aplicar.
    Las claves de metadatos que se muestran en la vista Navegar están ajustadas a sus especificaciones. Si las claves de metadatos predeterminadas están ocultas, los valores de las claves de metadatos no se muestran en la investigación en absoluto. Si las claves de metadatos predeterminadas están cerradas, los valores de las claves de metadatos no se cargan de forma predeterminada, pero puede cargar las claves de metadatos individuales de forma manual en la vista Navegar.

Desglosar a datos en gráfico de tiempo de la vista Navegar

La visualización Gráfico de tiempo permite a los analistas visualizar actividades en el transcurso del tiempo. Puede acercar la vista a los datos mediante la selección de una ventana de tiempo y la opción Investigar. A continuación, puede restablecer la navegación al rango de tiempo que esta aplicado antes de acercar la vista.

  1. Vaya a INVESTIGATE > Navegar.
    Se muestran el gráfico de tiempo para el punto de desglose actual y el rango de tiempo seleccionado.
    Navigate view Time Chart Visualization
  2. Para destacar un período en el gráfico de tiempo, haga clic en el período de tiempo deseado y arrastre el mouse.
    El gráfico de tiempo se vuelve a crear para el rango de tiempo seleccionado, sin embargo, los valores de metadatos no se alteran.
  3. Para desglosar a datos en el rango de tiempo seleccionado, haga clic en Investigate.
    La URL se actualiza para reflejar el reemplazo del rango de tiempo y el panel de opciones de Investigation se actualiza para reflejar el rango de tiempo personalizado. El gráfico de tiempo se vuelve a crear y se cargan los valores de metadatos para el rango de tiempo seleccionado.
  4. Para restablecer el gráfico de tiempo al rango de tiempo original, haga clic en Restablecer zoom.
    La URL se actualiza para reflejar la URL original antes de acercar la vista a los datos y el panel de opciones de Investigation se actualiza para reflejar el rango de tiempo seleccionado antes del acercamiento. Se vuelve a crear el gráfico de tiempo para el rango de tiempo seleccionado y se cargan los valores de metadatos para ese rango de tiempo.

Desglosar a datos en el panel Valores

NetWitness Suite muestra la actividad y los valores del servicio seleccionado en la vista Investigation > Navegar. Para investigar los datos, los analistas desglosan a estos, para lo cual hacen clic en una clave de metadatos o en un valor de metadatos, lo que se trata como una consulta. En el panel Valores, cada consulta se agrega a los datos de la ruta de navegación. Esto da como resultado una ruta de navegación en la parte superior, con una ruta de navegación para cada consulta. Puede editar la ruta de navegación para insertar o quitar una consulta.

Para desglosar a un subconjunto de los metadatos:

  1. Inicie una investigación para mostrar los metadatos en la vista Navegar.
    Navigate view with metadata in the values panel
  2. Para desglosar a los metadatos, realice cualquier combinación de las siguientes acciones:
    1. Haga clic en una clave de metadatos, por ejemplo, Tipo de servicio.
    2. Haga clic en un valor de metadatos, el texto de color azul en los resultados. Por ejemplo, OTRO.
      Cada vez que hace clic en una clave de metadatos o en un valor de metadatos, la consulta de investigación cambia a un punto focal restringido, o punto de desglose, en los datos. En cada punto de desglose, el panel Valores se actualiza y el nuevo punto de desglose se muestra en la ruta de navegación. El siguiente es un ejemplo de la primera ruta de navegación.
      First breadcrumb
      Este es un ejemplo de una ruta de navegación larga que no cabe en la barra de herramientas. A la última consulta que cabe le sigue un menú desplegable que muestra consultas adicionales. Para seleccionar un punto de desglose dentro del desbordamiento, haga clic en el icono de desbordamiento y en una consulta de la lista desplegable.
      Overflow drop-down

Para agregar una consulta en la ruta de navegación:

En la ruta de navegación, puede hacer clic en cualquiera de las rutas para mostrar el menú Consulta. Puede insertar una nueva consulta antes de una ruta de navegación y agregar una nueva consulta al final de la ruta. Después de cada edición en la ruta de navegación, NetWitness Suite actualiza los resultados.

Para agregar una consulta en la ruta de navegación:

  1. Haga clic en una ruta de navegación.
    Se muestra el menú Ruta de navegación.
    Breadcrumb menu
  2. Para agregar una consulta en la ruta de navegación, seleccione Agregar o Insertar antes.
    Se muestra el cuadro de diálogo Crear filtro.
    Create Filter dialog
  3. Cree la consulta como se describe en Crear una consulta personalizada.

Para editar una consulta en la ruta de navegación:

En la ruta de navegación, puede hacer clic en cualquiera de las rutas para mostrar el menú Consulta. Puede eliminar una ruta de navegación y editar una consulta en una ruta de navegación. Después de cada edición en la ruta de navegación, NetWitness Suite actualiza los resultados.

Para trabajar con consultas en la ruta de navegación:

  1. Haga clic en una ruta de navegación.
    Se muestra el menú Ruta de navegación.
    Breadcrumb menu
  2. Para editar una consulta en la ruta de navegación, seleccione Editar.
    El cuadro de diálogo Crear se muestra con la consulta seleccionada abierta para edición.
    Edit Filter dialog
  3. Edite los campos como se describe en Crear una consulta personalizada.

Para realizar una búsqueda rápida dentro de una clave de metadatos:

  1. Mantenga el mouse sobre una sección de clave de metadatos y haga clic en la lupa.
    Se muestra el formulario Búsqueda rápida, el cual contiene un comparador y un operando opcional para la búsqueda.
    Quick Search form
  2. (Opcional) Si desea cerrar el formulario de búsqueda, vuelva a hacer clic en la lupa.
  3. Seleccione la operación en la lista desplegable de la izquierda y escriba el valor de texto que desea buscar. A continuación, haga clic en Desglosar para realizar la ejecución.
    Los metadatos de esa clave de metadatos se utilizan para desglosar a los metadatos actuales.

Para ver la información de la clave de metadatos:

Para ver detalles sobre una clave de metadatos, específicamente el nombre de la clave, el nivel de índice configurado para mostrar la clave de metadatos y la vista predeterminada configurada para la clave de metadatos:

  1. Haga clic en el menú desplegable junto a la clave de metadatos. En estas dos figuras se muestra el menú desplegable de las versiones 11.0.0.x, 11.1 y superior.
    Meta Key drop-down y Meta key drop-down for Version 11.1
  2. Seleccione Información de clave de metadatos.
    Se muestra el cuadro de diálogo Información de clave de metadatos.
    the Meta Key Information dialog
  3. Una vez que haya finalizado la visualización, haga clic en Close icon.
  4. (Opcional para la versión 11.0) Para ver nombres de metadatos encontrados para la clave de metadatos como una lista de valores separados por comas, haga clic en el menú desplegable junto a la clave de metadatos y seleccione Ver como CSV.
    Se muestra el cuadro de diálogo Mostrando valores en formato CSV. Una vez que haya finalizado la visualización, haga clic en Cerrar.
  5. (Opcional para la versión 11.1) Para ver nombres de metadatos encontrados para la clave de metadatos en una lista, haga clic en el menú desplegable junto a la clave de metadatos y seleccione Exportar valores.
    Se muestra el cuadro de diálogo Exportar valores.
    the Export Values dialog
  6. (Opcional) Si desea ocultar los resultados de la clave de metadatos en el punto de desglose actual, haga clic en el menú desplegable junto a la clave de metadatos y, a continuación, haga clic en Ocultar resultados.

Para mostrar eventos asociados a un valor de metadatos:

La vista Eventos proporciona detalles adicionales para un evento en dos vistas distintas: Lista Eventos y Vista detallada.

  1. En la vista Navegar, desglose a los metadatos que sean el centro de la investigación.
  2. Haga clic en el conteo (el número de color verde) junto a un valor de metadatos de color azul.
    Se muestra la vista Eventos correspondiente al punto de desglose actual.
    Las operaciones que puede realizar en la vista Eventos se describen en Análisis de eventos crudos en la vista Eventos.

Para buscar eventos específicos asociados a un valor de metadatos:

  1. En la vista Navegar, desglose a los metadatos que sean el centro de la investigación (haga clic en el valor de metadatos o agregue una consulta).
  2. Escriba una cadena de búsqueda en el cuadro Buscar y presione Intro o haga clic en Buscar.
    También puede seleccionar y configurar preferencias del modo de búsqueda. Consulte Buscar patrones de texto para obtener información detallada sobre la búsqueda.
    La vista Eventos se abre en una pestaña nueva y muestra los resultados de búsqueda. Si no ve el término de búsqueda resaltado, haga clic en Mostrar metadatos adicionales. Su selección de rango de tiempo y los desgloses (consultas) se transfieren a la vista Eventos.
    Events view

Para ver un valor de metadatos seleccionado en RSA Live:

  1. En la vista Navegar, desglose a los metadatos que sean el centro de la investigación.
  2. Haga clic con el botón secundario en un valor de metadatos (el texto de color azul).
    Se muestra el menú desplegable Valor de metadatos.
  3. Para buscar el valor de metadatos en RSA Live, seleccione Búsqueda en Live.
    La vista Búsqueda en Live se muestra con el valor de metadatos ingresado en el campo Valores de metadatos generados, el cual está listo para realizar una búsqueda.

    Live Search View

Para volver a enfocar la investigación en un punto de desglose:

  1. Haga clic con el botón secundario en un valor de metadatos (el texto de color azul).
    Se muestra el menú desplegable Valor de metadatos.
    Meta value drop-down menu
  2. Elija una de las opciones cambio de enfoque.
    El desglose se vuelve a enfocar según la opción elegida.

Para observar un conteo específico en una nueva pestaña:

Para ver un conteo de un valor de metadatos en una nueva pestaña o ver un geomap de las ubicaciones para el valor de metadatos seleccionado:

  1. Haga clic con el botón secundario en el conteo de un valor de metadatos (el número de color verde después del valor de metadatos de color azul).
    Se muestra el menú contextual.
  2. (Opcional) Para abrir una investigación por separado para el valor de metadatos específico, seleccione Abrir en una nueva pestaña.
  3. (Opcional) Para abrir un geomap que muestra las ubicaciones donde se originó el valor de metadatos seleccionado, elija Ubicaciones de Geomap en pestaña nueva.
You are here
Table of Contents > Investigación de metadatos en la vista Navegar > Filtrar resultados en la vista Navegar

Attachments

    Outcomes