Investigate: Investigar los hosts

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Note: The information in this topic applies to RSA NetWitness® Suite Version 11.1 and later.

Para realizar una investigación sobre hosts:

  1. Vaya a INVESTIGAR > Hosts.
    Se muestra una lista de hosts.
  2. Seleccione los hosts que desea escanear y haga clic en Iniciar escaneo. Para obtener más información, consulte Investigar los hosts.
  1. Después de completar el proceso de escaneo de los hosts, haga clic en el nombre de host para investigar los resultados del escaneo. Para obtener más información, consulte Investigar los hosts.

Note: Para investigar hosts de NetWitness Endpoint 4.4, consulte Investigar los hosts de NetWitness Endpoint 4.4.0.2 o superior.

Filtrar los hosts

Puede filtrar los hosts en el sistema operativo o seleccionar los campos del menú desplegable Agregar filtro.

Note: Cuando use el filtrado en una gran cantidad de datos, use al menos un campo indexado con el operador Equals para mejorar el rendimiento. Los siguientes campos están indexados en la base de datos: Hostname, IPV4, Operating System y Last Scan Time.

Filter

Para buscar valores múltiples dentro de un campo, configure la opción de filtro en Equals y use || como separador.

Por ejemplo:

  • Uso del operador Equals para valores múltiples IPv4 con un separador ||.
    Example with equals operator
  • Uso del operador IN para Hora de último escaneo con el fin de filtrar agentes que se escanean en las últimas 6 horas.
    Example using IN operator

Haga clic en Guardar para guardar la búsqueda y proporcione un nombre (hasta 250 caracteres alfanuméricos). El filtro se agrega al panel Filtros guardados de la izquierda. Para eliminar un filtro, coloque el cursor sobre el nombre y haga clic en Delete.

Note: Cuando se guarda el filtro, no se permiten caracteres especiales, excepto guion bajo (_) y guion (-).

Escanear los hosts

Puede realizar un escaneo según demanda o programar uno que se ejecute de manera diaria o semanal. Para obtener información sobre la programación de un escaneo, consulte la Guía de configuración de RSA NetWitness Endpoint Insights.

Note: No puede realizar un escaneo para los agentes de NetWitness Endpoint 4.4 desde la interfaz del usuario de NetWitness Suite.

Escaneo según demanda

Es posible que desee ejecutar un escaneo según demanda si:

  • Se determina que un archivo en la sección Archivos globales es malicioso.
  • Un archivo malicioso está presente en diferentes hosts de la red.
  • Usted desea investigar un host que está infectado.
  • Obtiene la instantánea más reciente del host.

Cuando se escanean los hosts, el agente de Endpoint recupera los siguientes datos que se pueden utilizar para la investigación:

  • Controladores, procesos, archivos DLL, archivos (ejecutables), servicios y ejecuciones automáticas que se ejecutan en el host.
  • Entradas del archivo host y tareas programadas.
  • Información del sistema, como recurso compartido de red, parches de Windows instalados, tareas de Windows, usuarios que iniciaron sesión, historial de Bash y productos de seguridad instalados.

Para iniciar un escaneo:

  1. Vaya a INVESTIGAR > Hosts.
  2. Seleccione uno o más hosts (hasta 100) para un escaneo según demanda y haga clic en Iniciar escaneo.
  3. Haga clic en Iniciar escaneo en el cuadro de diálogo.
    Esto ejecuta un escaneo rápido de todos los módulos ejecutables cargados en la memoria. Este proceso tarda aproximadamente 10 minutos.

Los siguientes son los estados de escaneo:

                           
EstadoDescripción
InactivoNo hay ningún escaneo en curso.
Escaneando
  • Hay un escaneo en curso.
  • Iniciando escaneo
  • La solicitud de escaneo se envía al servidor, pero el agente la recibe la próxima vez que se comunica con el servidor.
  • Deteniendo escaneoLa solicitud de detención se envía al servidor, pero el agente la recibe la próxima vez que se comunica con el servidor.

    Cambiar a las vistas Navegar y Análisis de eventos

    Si debe investigar un host, una dirección IP (IPv4) o un nombre de usuario determinados para buscar actividad relacionada en un rango de tiempo, puede ir a las vistas Navegar y Análisis de eventos para obtener el contexto completo de la actividad. De forma predeterminada, el rango de tiempo está configurado en 1 día. Puede cambiar el rango de tiempo según corresponda.

    Note: El cambio a las vistas Navegar o Análisis de eventos no es compatible con IPv6.

    Para cambiar a las vistas Navegar o Análisis de eventos:

    1. Vaya a INVESTIGAR > Hosts o INVESTIGAR > Archivos.
    2. Haga clic en Pivot to Investigate junto al nombre de host.
      Pivot to Navigate or Event Analysis view
      Como alternativa, en la pestaña Descripción general, puede hacer clic con el botón secundario en el nombre de host, la dirección IP (IPv4) o los usuarios que iniciaron sesión a los cuales cambiará.
      Pivot to Investigate
    1. En el cuadro de diálogo Seleccionar servicio, seleccione cualquiera de los servicios necesarios para la investigación.
    2. Haga clic en Navegar o Análisis de eventos para analizar los datos.

    Investigar los detalles de los hosts

    Para buscar archivos sospechosos en un host, haga clic en el nombre de host y vea los detalles del host o inicie un escaneo según demanda para obtener la información más reciente.

    Host Details view

    Buscar en las instantáneas

    Para investigar un host o ver si está infectado con malware conocido, puede buscar las apariciones del nombre de archivo, la ruta de archivo o la suma de comprobación SHA-256.

    Note: Para buscar una suma de comprobación SHA-256, proporcione la cadena de hash completa en el cuadro de búsqueda.

    El resultado muestra detalles, como el nombre de archivo y la información de firma, junto con su interacción con el sistema (se ejecutó como proceso, biblioteca, ejecución automática, servicio, tarea o controlador). Para ver más detalles de estos resultados, haga clic en la categoría.

    Por ejemplo, un usuario hizo clic y ejecutó un archivo adjunto malicioso a través de un correo electrónico de robo de identidad y lo descargó en C:\Users. Para investigar este archivo:

    1. Vaya a INVESTIGAR > Hosts.
    2. Seleccione el host que desea investigar.
    3. En la pestaña Descripción general, ingrese la ruta de archivo C:\Users en el cuadro de búsqueda.
      La búsqueda muestra todos los archivos ejecutables de esta carpeta. En este ejemplo, el archivo NWEMalware.exe es un archivo sin firmar que podría ser malicioso.
      Search on snapshots
  •         Este archivo se ejecutó como un proceso.
    1. Para ver los detalles de este archivo, haga clic en Process en el resultado.
      Esto abre la pestaña Proceso, donde puede ver los detalles del proceso.
      Search Result

    Analizar los procesos

    En la vista Hosts, seleccione la pestaña Proceso. Puede ver los procesos que estaban en ejecución para el host seleccionado en el momento del escaneo. Las columnas Nombre de proceso e ID de proceso (PID) se muestran como:

    • Vista de árbol: Puede desglosar a cada proceso y ver el proceso secundario o primario asociado a él.
    • Vista de lista: Puede ordenar las columnas Nombre de proceso y PID.

    Haga clic en Tree view para cambiar las vistas.

    El siguiente es un ejemplo de la vista de árbol:

    Tree View

    Cuando se revisan los procesos, es importante ver los Argumentos de lanzamiento. Incluso los archivos legítimos se pueden utilizar con fines malintencionados, por lo que es importante verlos todos para determinar si hay alguna actividad maliciosa.

    Por ejemplo:

    • rundll32.exe es un archivo ejecutable legítimo de Windows que se categoriza como un archivo válido. Sin embargo, un adversario puede usar este archivo ejecutable para cargar un archivo DLL malicioso. Por lo tanto, al ver los procesos, debe ver los argumentos del archivo rundll32.exe.
    • LSASS.EXE es un elemento secundario de WININIT.EXE. No debe tener procesos secundarios. A menudo, el malware usa este archivo ejecutable para volcar contraseñas o crea una imitación para ocultarse en un sistema (lass.exe, lssass.exe, lsasss.exe, etc.).

    • La mayoría de las aplicaciones de usuario legítimas, como Adobe, navegadores web, etc., no generan procesos secundarios como cmd.exe. Si encuentra esto, investigue los procesos.

    Analizar las ejecuciones automáticas

    En la vista Hosts, seleccione la pestaña Ejecuciones automáticas. Puede ver las ejecuciones automáticas, los servicios, las tareas y los trabajos cron que están en ejecución para el host seleccionado.

    Por ejemplo, en la pestaña Servicios, puede buscar la hora de creación del archivo. La hora de compilación se encuentra dentro de cada archivo portable ejecutable (PE) en el encabezado PE. Es raro que se altere el registro de fecha y hora, a pesar de que un adversario puede cambiarlo fácilmente antes de realizar una implementación en el terminal de una víctima. Este registro de fecha y hora puede indicar si se introduce un nuevo archivo. Puede comparar el registro de fecha y hora del archivo con la hora de creación en el sistema para buscar la diferencia. Si un archivo se compiló hace algunos días, pero su registro de fecha y hora en el sistema muestra que se creó hace algunos años, esto indica que el archivo se alteró.

    Analizar los archivos

    En la vista Hosts, seleccione la pestaña Archivos. Puede ver la lista de archivos escaneados en el host en el momento del escaneo. De forma predeterminada, la tabla muestra 100 archivos. Para mostrar más archivos, haga clic en Cargar más en la parte inferior de la página.

    Por ejemplo, muchos troyanos escriben nombres de archivo aleatorios cuando colocan sus cargas útiles para evitar una búsqueda sencilla en los terminales de la red en función del nombre de archivo. Si un archivo se llama svch0st.exe, scvhost.exe o svchosts.exe, esto indica que se creó una imitación del archivo legítimo de Windows denominado svchost.exe.

    Analizar las bibliotecas

    En la vista Hosts, seleccione la pestaña Bibliotecas. Puede ver la lista de bibliotecas cargadas en el momento del escaneo.

    Por ejemplo, un archivo con entropía alta se marca como empaquetado. Un archivo empaquetado significa que se comprimió para reducir su tamaño (o para ocultar cadenas maliciosas e información de configuración).

    Analizar los controladores

    En la vista Hosts, seleccione la pestaña Controladores. Puede ver la lista de controladores en ejecución en el host en el momento del escaneo.

    Por ejemplo, este panel permite comprobar si el archivo está firmado o sin firmar. Un archivo con la firma de un proveedor de confianza, como Microsoft y Apple, con el término valid, indica que es un archivo válido.

    Analizar la información del sistema

    En la vista Hosts, seleccione la pestaña Información del sistema. Este panel enumera la información del sistema del agente. Para el sistema operativo Windows, el panel muestra las entradas del archivo host y los recursos compartidos de red de ese host.

    Por ejemplo, el malware podría usar las entradas del archivo host para bloquear las actualizaciones de los antivirus.

    Eliminar un host

    Para eliminar los hosts manualmente desde la interfaz del usuario:

    1. Vaya a INVESTIGAR > Hosts.
    2. Seleccione los hosts que desea eliminar en la vista Hosts y haga clic en Eliminar.
      Esto elimina todos los datos de terminales recopilados en los hosts seleccionados.

    Note: Si elimina accidentalmente un host desde la vista Hosts, el servidor de Endpoint prohíbe todas las solicitudes desde este agente. El agente se debe desinstalar manualmente desde el host y reinstalar para que aparezca en la vista Hosts.

    Configurar las preferencias de los hosts

    De forma predeterminada, la vista Hosts muestra algunas columnas y los hosts se ordenan en función de la hora del último escaneo. Si desea ver columnas específicas y ordenar los datos por un campo determinado:

    1. Vaya a la vista INVESTIGAR > Hosts.
    2. Seleccione las columnas, para lo cual debe hacer clic en Settings en la esquina de la derecha. En el siguiente ejemplo se muestra la pantalla que aparece durante la adición de columnas:
      Select Columns for Hosts
    3. Ordene los datos por la columna requerida.

    Note: Este valor se configura como la vista predeterminada cada vez que inicia sesión en la vista Hosts.

    Exportar los atributos de los hosts

    Puede exportar hasta 100,000 atributos de hosts por vez. Para extraer los atributos de hosts a un archivo de valores separados por comas (csv):

    1. Vaya a INVESTIGAR > Hosts.
    2. Filtre los hosts mediante la selección de las opciones de filtro requeridas.
    3. Agregue columnas, para lo cual debe hacer clic en Settings en la esquina de la derecha.
    4. Haga clic en Exportar a CSV.

    Puede guardar o abrir el archivo csv.

    You are here
    Table of Contents > Investigación de los hosts y los archivos > Investigar los hosts

    Attachments

      Outcomes