Investigate: Investigar los archivos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Note: The information in this topic applies to RSA NetWitness® Suite Version 11.1 and later.

Los analistas pueden usar la vista Archivos (INVESTIGAR > Archivos) para identificar los archivos sospechosos con el examen del nombre de archivo, el tamaño de archivo, la entropía, el formato, el nombre de la empresa, la firma y la suma de comprobación.

Por ejemplo, cuando se observa un nombre de archivo, si el ransomware WannaCry infectó un ambiente, el analista puede filtrar la lista por este nombre de archivo. También puede buscar este ransomware mediante la suma de comprobación.

El tamaño del archivo puede ser un indicador durante la evaluación de un archivo. Los troyanos suelen tener menos de 1 MB y la mayoría de ellos tiene menos de 500 KB.

Filtrar los archivos

Puede filtrar los archivos en el sistema operativo o seleccionar los campos del menú desplegable Agregar filtro.

Note: Cuando use el filtrado en un conjunto de datos grande, use al menos un campo indexado con el operador Equals para mejorar el rendimiento. Los siguientes campos están indexados en la base de datos: Nombre de archivo, MD5, Sistema operativo, Hora en que se vio por primera vez y Formato.

Filter Files

Haga clic en Guardar para guardar la búsqueda y proporcione un nombre (hasta 250 caracteres alfanuméricos). El filtro se agrega al panel Filtros guardados de la izquierda. Para eliminar un filtro, coloque el cursor sobre el nombre y haga clic en Delete.

Note: Cuando se guarda el filtro, no se permiten caracteres especiales, excepto guion bajo (_) y guion (-).

Por ejemplo, filtrado de archivos con el nombre de archivo malware y el uso del operador Equals.

Filter files using the Equals operator

Note: Para el tamaño de archivo, 1 KB se calcula como 1,024 bytes. Por ejemplo, si el tamaño real del archivo es 8,421 bytes, la interfaz del usuario lo mostrará como 8.2 KB en lugar de 8.22 KB. Cuando se usa el operador Equals, se recomienda realizar búsquedas en las cuales se utilice el formato de bytes.

Cambiar a las vistas Navegar y Análisis de eventos

Si debe investigar un nombre de archivo o un hash (SHA256 y MD5) determinados en los archivos globales para buscar actividad relacionada en un rango de tiempo, puede ir a las vistas Navegar y Análisis de eventos para obtener el contexto completo del archivo. De forma predeterminada, el rango de tiempo está configurado en 1 día. Puede cambiar el rango de tiempo según corresponda.

Para cambiar a las vistas Navegar o Análisis de eventos:

  1. Vaya a INVESTIGAR > Archivos.
  2. Haga clic en Pivot to Investigate junto al nombre de archivo o hash.

Pivot to Navigate and Event Analysis views

  1. En el cuadro de diálogo Seleccionar servicio, seleccione cualquiera de los servicios necesarios para la investigación.
  2. Haga clic en Navegar o Análisis de eventos para analizar los datos.

Note: Mientras cambia a las vistas Navegar o Análisis de eventos, si los valores no están indexados, los resultados tardan en cargarse. Para obtener más información, consulte Solución de problemas de NetWitness Investigate.

Configurar preferencias de archivos

De forma predeterminada, la vista Archivos muestra algunas columnas y los archivos se ordenan en función de la hora en que se vieron por primera vez. Si desea ver columnas específicas y ordenar los datos por un campo determinado:

  1. Vaya a INVESTIGAR > Archivos.
  2. Seleccione las columnas, para lo cual debe hacer clic en Settings en la esquina de la derecha. En el siguiente ejemplo se muestra la pantalla que aparece durante la adición de columnas:
    Select Columns for Files
  3. Ordene los datos por la columna requerida.

Note: Este valor se configura como la vista predeterminada cada vez que inicia sesión en la vista Archivos.

Exportar archivos globales

Para extraer la lista de archivos globales a un archivo CSV:

Note: Cuando use el filtrado en un conjunto de datos grande, use al menos un campo indexado con el operador Equals para mejorar el rendimiento. Puede exportar hasta 100,000 archivos por vez.

  1. Vaya a INVESTIGAR > Archivos.
  2. Filtre los archivos mediante la selección de la opción de filtro requerida.
  3. Agregue columnas, para lo cual debe hacer clic en Settings en la esquina de la derecha.
  4. Haga clic en Exportar a CSV.

Puede guardar o abrir el archivo CSV.

You are here
Table of Contents > Investigación de los hosts y los archivos > Investigar los archivos

Attachments

    Outcomes