Investigate: Realizar acciones en datos en la vista Análisis de eventos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Cuando encuentra datos de interés en la vista Análisis de eventos, puede realizar búsquedas internas en NetWitness Endpoint y RSA Live, así como búsquedas externas de valores de metadatos en recursos de la comunidad, como el Historial de IP SANS y la Búsqueda en ThreatExpert.

Abrir un evento de terminal en el cliente grueso de NetWitness Endpoint

Cuando observa un evento de terminal en el panel Análisis de texto, puede cambiar a NetWitness Endpoint para analizar el mismo evento. El cliente grueso de NWE ofrece funciones adicionales más allá de las funcionalidades incorporadas de NetWitness Endpoint Insights.

Note: La versión 4.4 del cliente grueso de NetWitness Endpoint (NWE) debe estar instalada en el mismo servidor, las claves de metadatos de NWE deben existir en el archivo table-map.xml en el Log Decoder y las claves de metadatos de NWE deben existir en el archivo index-concentrator-custom.xml. El cliente grueso de NWE es una aplicación solo de Windows. En la Guía del usuario de NetWitness Endpoint para la versión 4.4 se proporcionan instrucciones de configuración completas.

Para abrir un evento en NetWitness Endpoint:

  1. A partir de la vista Navegar:
    1. En la lista desplegable Consulta, seleccione Avanzada e ingrese una de las siguientes consultas: nwe.callback_id exists o device.type='nwendpoint'
      Los datos de Endpoint se muestran en el panel Valores.
    2. Haga clic con el botón secundario en un evento y seleccione Análisis de eventos en el menú.
  2. (Versión 11.1 y superior) Vaya a INVESTIGAR > Análisis de eventos. En la lista desplegable Consulta, seleccione Avanzada e ingrese una de las siguientes consultas: nwe.callback_id exists o device.type='nwendpoint'
    Los datos de Endpoint se muestran en el panel Eventos.
  3. Seleccione un evento.
    El Análisis de eventos se abre y el evento seleccionado se muestra en el Análisis de texto.
    an endpoint event open in Text Analysis
  4. En el encabezado del evento, haga clic en Cambiar a Endpoint.
    Se abre una nueva pestaña del navegador con la dirección URL ecatui://<id> y se inicia el cliente grueso de NWE. Si el cliente grueso de NetWitness Endpoint no está instalado, no se muestran datos y aparece el siguiente mensaje: Applicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.

Realizar búsquedas de valores de metadatos en Análisis de eventos

En la vista Análisis de eventos, puede investigar más a fondo los valores de metadatos de un evento, para lo cual debe hacer clic con el botón secundario en ciertos valores de metadatos y usar las opciones de un menú desplegable. No todos los campos tienen acciones del botón secundario. Para realizar búsquedas internas y externas:

  1. En la vista Análisis de eventos, haga clic con el botón secundario en un valor de metadatos de la Lista de eventos, el panel Metadatos de eventos o el encabezado del evento. Algunos valores de metadatos tienen un menú desplegable.
    Right click on meta values for further actions
  2. Seleccione una de las siguientes búsquedas internas:
    Copiar: Copia el valor de metadatos al portapapeles.
    Volver a centrar la investigación en una pestaña nueva: Inicia otra investigación en una pestaña nueva con el foco en el valor de metadatos seleccionado.
    Aplicar desglose en pestaña nueva: Aplica el desglose y lo inicia en una pestaña nueva para desglosar a los datos en la vista Navegar.
    Aplicar desglose !EQUALS en pestaña nueva: Aplica (!EQUALS) a los metadatos e inicia una pestaña nueva, con la exclusión concreta del valor de metadatos de los resultados.
    Búsqueda de hosts: Busca el valor en la vista Investigar > Hosts.
    Búsqueda del cliente grueso de Endpoint: Analiza el valor de metadatos en el cliente grueso de Endpoint (para los clientes que tienen el agente de Endpoint).
    Búsqueda en Live: Busca un valor de metadatos en Live para realizar un análisis más a fondo.
  3. Para una búsqueda externa, coloque el cursor sobre un valor de metadatos, haga clic con el botón secundario y seleccione Búsqueda externa.
    External lookups from Event Analysis
  4. En el submenú, seleccione una de las búsquedas externas disponibles:
    Google: Busca un valor de metadatos en Google.com
    Historial de IP SANS: Busca un valor de metadatos en el historial de IP SANS, dominio = http://isc.sans.org/ipinfo.html?ip=ipaddress
    CentralOps Whois para direcciones IP y nombres de host: Busca un valor de metadatos en CentralOps Whois para direcciones IP y nombres de host, dominio = http://centralops.net/co/DomainDossier.aspx?addr=domain&dom_whois=true&dom_dns=true&net_whois=true
    Búsqueda de dirección IP en Robtex: Busca un valor de metadatos en la búsqueda de direcciones IP en Robtext, dominio = https://www.robtex.com/cidr/domain.ipaddress
    IPVoid: Busca un valor de metadatos en IPVoid, dominio = http://www.ipvoid.com/scan/domain/
    URLVoid: Busca un valor de metadatos en URLVoid, dominio = http://www.urlvoid.com/scan/ipaddress/
    Búsqueda en ThreatExpert: Busca un valor de metadatos de IP en la búsqueda de ThreatExpert, dominio = http://www.threatexpert.com/reports.aspx?find=IP address
You are here
Table of Contents > Análisis de eventos crudos y metadatos en la vista Análisis de eventos > Realizar acciones en datos en la vista Análisis de eventos

Attachments

    Outcomes