Investigate: Tipos de reconstrucción en la vista Análisis de eventos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Durante la búsqueda de posibles amenazas en datos de red capturados, puede desglosar a distintos puntos de interés en los datos. Si una sesión específica contiene eventos sospechosos, puede examinar la lista de eventos de la sesión y también puede ver de manera segura una reconstrucción del evento con funciones que ayudan a identificar patrones. (Consulte Inicio de una investigación para conocer los distintos métodos de acceso a la vista Análisis de eventos).

Note: Si está analizando eventos un servicio 10.6.x u 11.0.0.x desde un servidor de NetWitness 11.1, el comportamiento de la descarga en la vista Análisis de eventos varía para los archivos, las PCAP, los registros, las cargas útiles y los valores de metadatos. Puede ver una carga útil de evento en un servicio 10.6.x u 11.0.0.x para el cual no tiene permiso, pero no podrá descargar los archivos ni las cargas útiles.

En la vista Análisis de eventos, puede seleccionar el formato de la reconstrucción: Packet Analysis, File Analysis o Text Analysis, Correo electrónico (versión 11.1 y superior) y Web (versión 11.1 y superior). Cuando la clave de metadatos medium etiqueta un evento como un evento de registro o un evento de terminal, solo está disponible el Text Analysis. La reconstrucción predeterminada para los eventos de red es Text Analysis; sin embargo, para un evento de red, el último formato de reconstrucción que se abrió reemplaza el valor predeterminado. Las reconstrucciones de correo electrónico y web abren el evento en la vista Eventos.

Esta figura es un ejemplo del panel Detalles del evento de red: Text Analysis en una ventana del navegador web que es lo suficientemente ancha para mostrar las opciones de formato de reconstrucción en una fila.

example of Event Analysis view with format options in a row

Cuando la ventana del navegador es demasiado angosta para mostrar todas las opciones de visualización horizontalmente, estas se presentan en una lista desplegable.

example of Event Analysis view with format options in a drop-down menu

Dentro de cada tipo de análisis, hay ajustes de configuración disponibles para mejorar el análisis. Si cambia una configuración, esta se conserva entre actualizaciones del navegador e inicios de sesión dentro del mismo navegador. Estos son los ajustes de configuración que se conservan:

  • La reconstrucción seleccionada: Text Analysis, Packet Analysis o File Analysis.
  • Si el Event Meta panel está abierto o cerrado.
  • Si el encabezado del evento está abierto o cerrado.
  • Si se muestra la Solicitud, la Respuesta o ambas.
  • Si se muestran cargas útiles de paquetes en el panel Packet Analysis.
  • Si se muestran bytes sombreados en el panel Packet Analysis.
  • Si se resaltan otros tipos de archivo comunes en el panel Packet Analysis.
  • La cantidad de paquetes por página en el panel Packet Analysis.
  • Si se muestra texto comprimido o sin comprimir en el panel Análisis de texto.
  • La configuración de decodificación de texto en el panel Análisis de texto de un evento de red.

El panel Análisis de texto

Puede ver todos los tipos de eventos (eventos de red, eventos de registro y eventos de terminal) en su formato de texto original en el panel Text Analysis.

Note: Los eventos de terminal están disponibles para su investigación en la versión 11.1 y superior.

El panel Text Analysis para algunos eventos de red puede ser bastante grande. Para garantizar la mejor representación, la cantidad de paquetes que se pueden representar en un único evento está limitada a 2,500. Si el panel Text Analysis no muestra todos los paquetes, el pie de página indica que se alcanzó el límite de 2,500 paquetes; no se representarán paquetes adicionales para este evento. En esta figura se ilustra una reconstrucción que tiene 2,727 paquetes, de los cuales solo se representan 2,500; no se representarán más paquetes para esta reconstrucción.

reconstruction of an event that has more than 2500 packets

Footer showing that the maximum number of packets has been reached

Note: Algunos eventos de red tienen una gran cantidad de paquetes, pero una carga útil muy pequeña. En este caso, si la carga útil completa se incluye dentro de los primeros 2,500 paquetes, esto cumple con la definición de mostrar todos los paquetes. No se muestra ningún mensaje que indique que no está viendo todos los paquetes.

En el panel Text Analysis, los eventos de red, los eventos de registro y los eventos de terminal se presentan de manera diferente.

  • En el caso de los eventos de red, Investigate proporciona la dirección del paquete (Solicitud o Respuesta) y el contenido de cada paquete en formato de texto. Si está reconstruyendo un evento de red, el panel Text Analysis es desplazable. Cuando se desplaza, la información de identificación de texto, así como las etiquetas Solicitud y Respuesta, permanecen visibles en lugar de desplazarse fuera de la vista.
  • Los eventos de registro y los eventos de terminal no tienen ninguna solicitud o respuesta; solo se muestra el evento crudo en el panel Text Analysis.

Para cada tipo de evento (red, registro o terminal), existen varias diferencias:

  • El encabezado del evento incluye información pertinente a cada tipo de evento.
  • Existen diferentes opciones de exportación.

El siguiente es un ejemplo del panel Análisis de texto para cada tipo de evento, un evento de red, un evento de registro y un evento de terminal.

example of a network event in the Text Analysis panel

log event in the Text Analysis panel

an endpoint event in the Text Analysis view

Note: El conteo de paquetes calculado, el tamaño de paquetes calculado y el tamaño de cargas útiles calculado en el encabezado del evento puede ser distinto a las mismas estadísticas en el Event Meta panel, porque, en ocasiones, los metadatos se escriben antes de que se complete el análisis de eventos y pueden incluir duplicados de paquetes.

El panel Análisis de paquetes

El panel Packet Analysis es solo para los eventos de red. El panel Packet Analysis es desplazable y la información de identificación de paquetes, así como las etiquetas Solicitud y Respuesta, permanecen visibles en lugar de desplazarse fuera de la vista.

initial view of an event in the Packet Analysis panel

En el panel Packet Analysis, los encabezados proporcionan la dirección del paquete (Solicitud o Respuesta), el número del paquete, la hora de inicio del paquete, el ID del paquete y la secuencia, además del tamaño de la carga útil. Todos los paquetes comienzan con un encabezado y algunos de ellos tienen un pie de página. Algunos paquetes tienen una carga útil.

En la versión 11.1, los controles de paginación agregan flexibilidad cuando se navega por las páginas de los paquetes.

Los metadatos en los datos hexadecimales y ASCII se resaltan en azul; cuando coloca el cursor sobre los metadatos resaltados, se activa un cuadro que muestra la información de clave de metadatos/valor de metadatos.

example of a information displayed in a hover box

Las firmas de archivos comunes se resaltan con un fondo de color naranja. Cuando coloca el cursor sobre el texto resaltado, se activa un cuadro que muestra la descripción del tipo de archivo.

potential Windows executable highlighted

El panel Análisis de archivos

El panel File Analysis muestra una lista de archivos asociados con el evento de red seleccionado. Este es un ejemplo del panel File Analysis.

initial view of the File Analysis panel

Puede seleccionar un archivo, varios archivos o todos ellos para exportarlos al sistema de archivos local. Cuando se seleccionan archivos, el botón Exportar archivos se activa y refleja la cantidad de archivos seleccionados.

File Analysis panel with files selected

Caution: Se recomienda tener precaución al descomprimir y abrir archivos asociados con una aplicación predeterminada; por ejemplo, una hoja de cálculo de Excel se puede abrir automáticamente en Excel antes de que usted tenga la oportunidad de verificar su seguridad.

Herramientas analíticas para cada tipo de análisis de eventos

Las herramientas analíticas en la vista Análisis de eventos están diseñadas para ayudar a los analistas a encontrar información pertinente para los distintos tipos de eventos (evento de red, evento de registro y evento de terminal). En esta tabla se enumeran las acciones que puede realizar según el tipo de evento. En el resto de esta sección se proporcionan procedimientos para llevar a cabo las acciones.

                                                                                                                                       
AcciónEvento de redEvento de registroEvento de terminal
Ver el panel Análisis de texto
Ver el panel Análisis de archivos   
Ver el panel Análisis de paquetes   
Abrir, cerrar y ajustar el tamaño de los paneles
Ajustar la visualización de las solicitudes y las respuestas   
Mostrar u ocultar el encabezado del evento en el panel Análisis de texto
Expandir las entradas de texto truncadas en el panel Análisis de texto   
Cambiar entre una vista comprimida y descomprimida de las cargas de trabajo en el panel Análisis de texto   
Ver bytes resaltados en el panel Análisis de paquetes   
Resaltar los tipos de archivo comunes en el panel Análisis de paquetes   
Mostrar solo la carga útil en el panel Análisis de paquetes   
Sombrear los bytes en el panel Análisis de paquetes cuando solo se observa la carga útil   
Realizar la codificación y la decodificación de URL y Base64 en el panel Análisis de texto   
Ver texto descomprimido de una sesión de red HTTP en el panel Análisis de texto   
Ver los metadatos de un evento en el panel Análisis de texto
Descargar un evento de red (como un archivo PCAP, solo la carga útil, solo la solicitud o solo la respuesta) en los paneles Análisis de paquetes o Análisis de texto   
Exportar archivos desde un evento de red en el panel Análisis de archivos   
Descargar el archivo de un evento de registro en el panel Análisis de texto   
Descargar el archivo de un evento de terminal en el panel Análisis de texto  
Abrir el evento de terminal actual en el panel Análisis de texto  
You are here
Table of Contents > Análisis de eventos crudos y metadatos en la vista Análisis de eventos > Tipos de reconstrucción en la vista Análisis de eventos

Attachments

    Outcomes