Investigate: Comenzar una investigación en las vistas Navegar o Eventos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

La vista Navigate es la vista predeterminada de Investigate, a menos que haya seleccionado otra vista como la vista inicial. Esta preferencia del usuario se configura en el nivel de la aplicación, como se describe en Configuración de vistas y preferencias de NetWitness Investigate. En estas vistas, se buscan eventos de interés en función de una consulta. En la vista Navegar, también puede limitar los resultados, para lo cual debe hacer clic en las claves y los valores de metadatos. Cuando encuentra eventos de interés, puede observarlos más detenidamente en las demás vistas de Investigate.

Para comenzar una investigación en las vistas Navegar o Eventos, se debe especificar un servicio.

  • NetWitness Suite abre las vistas Navegar o Eventos con el servicio predeterminado especificado por el usuario seleccionado.
  • Si actualmente no se ha especificado ningún servicio predeterminado y el ID del servicio no se encuentra en la URL, NetWitness Suite presenta un cuadro de diálogo que permite seleccionar el servicio o la recopilación que se investigará.
  • Cuando un servicio se seleccionó de forma manual o predeterminada en las vistas Navegar o Eventos, puede cambiar el servicio o la recopilación que se investigará mediante la selección del nombre del servicio en la barra de herramientas. NetWitness Suite presenta un cuadro de diálogo que permite seleccionar el servicio que se investigará.

Note: El servicio Archiver no aparece en la vista Navegar para minimizar la experiencia del usuario de bajo rendimiento cuando se realizan investigaciones. Archiver está disponible en la vista Eventos para exportaciones de registros y mejora de funcionalidades de búsqueda. 

Con una recopilación o un servicio seleccionados, NetWitness Suite está listo para cargar datos para el servicio o la recopilación. Se recomienda seleccionar también un rango de tiempo de modo que los resultados se carguen con mayor rapidez. Varios ajustes en el cuadro de diálogo Ajustes de configuración de las vistas Navegar y Eventos o en Perfiles > panel Preferencias > pestaña Investigaciones afectan el proceso de carga: Umbral, Número máximo de resultados de valores, Mostrar información de depuración, Cargar valores automáticamente y Optimizar cargas de la página Investigation (consulte Configuración de vistas y preferencias de NetWitness Investigate).

Note: En la vista Eventos, los datos se cargan automáticamente. Si especificó Cargar valores automáticamente en las preferencias de la vista Navegar, NetWitness Suite completa los datos de forma automática. De lo contrario, debe seleccionar el botón Cargar valores. NetWitness Suite completa los metadatos en el panel Valores de la vista Navegar y los resultados se pueden ver casi de inmediato.

En el resto de este tema se proporcionan instrucciones para comenzar la investigación de datos de un servicio.

Note: Solo los usuarios a los cuales se asignó la función de administrador pueden crear una recopilación y solo el creador de la recopilación puede investigarla.

 

Después de la carga de datos en las vistas Navegar o Eventos:

  1. Limite los resultados, visualice datos y realice acciones en un punto de desglose (consulte Investigación de metadatos en la vista Navegar y Análisis de eventos crudos en la vista Eventos. Por ejemplo, puede Ver el contexto adicional de un punto de datos, Iniciar un escaneo de Malware Analysis desde la vista Navegar o Agregar eventos a un incidente para Response.
  2. Reconstruya un evento (consulte Reconstruir un evento) o vea el Análisis de eventos interactivo de un evento (consulte Comenzar una investigación en la vista Análisis de eventos).

Comenzar una investigación (sin servicio predeterminado)

  1. Vaya a INVESTIGAR > Navegar o Eventos.
    Se muestra el cuadro de diálogo Investigate.
    Investigate dialog
  2. Haga doble clic en un servicio o seleccione uno, por lo general, un Concentrator, y haga clic en Navegar.
    En la vista Eventos, los datos se cargan automáticamente. Si está trabajando en la vista Navegar, el panel resultante muestra la actividad que corresponde al servicio seleccionado, pero los datos no se cargan automáticamente.
  3. (Recomendado) Seleccione un rango de tiempo específico de modo que los resultados se carguen con mayor rapidez.
  4. Si desea modificar opciones de la investigación antes de realizar la carga, puede crear o modificar un perfil personalizado, aplicar otro rango de tiempo, crear o aplicar un grupo de metadatos y realizar una consulta personalizada como se describe en Consulta y realización de acciones en datos en las vistas Navegar y Eventos. También puede modificar las opciones en cualquier momento durante la investigación.
  5. Para cargar datos en la vista Navegar, haga clic en the Load Values button.
    Comienza la carga de los datos del servicio seleccionado.
    Navigate view with data loading
    Con el servicio seleccionado y los datos cargados, está listo para comenzar a analizar los datos.

Configurar o borrar el servicio predeterminado

Puede configurar o borrar el servicio predeterminado en el cuadro de diálogo Investigar un servicio.

  1. Haga clic en el nombre del servicio en la barra de herramientas.
    Se muestra el cuadro de diálogo Investigate.
    Investigate dialog
  2. Seleccione un servicio en la cuadrícula Servicios y haga clic en Default Service button.
    El servicio se convierte en el valor predeterminado (como lo indica Valor predeterminado entre paréntesis después del nombre del servicio).
  3. Para borrar el servicio predeterminado, selecciónelo en la cuadrícula y haga clic en Default Service button y, a continuación, haga clic en Cancelar para cerrar el cuadro de diálogo.
    No se configura un servicio predeterminado.

Note: El botón Cancelar no cancela la selección del servicio predeterminado. Simplemente cierra el cuadro de diálogo sin tener que navegar al servicio seleccionado actualmente en la cuadrícula. La configuración de un servicio predeterminado que es diferente del servicio que se investiga en la actualidad, no actualiza la vista Navegar. Debe seleccionar explícitamente y navegar a un servicio diferente.

Comenzar una investigación (se especifica el servicio predeterminado)

  1. Vaya a INVESTIGATE > Navegar o Eventos.
    Si el ajuste de Cargar valores automáticamente está desactivado, la vista Navegar se muestra con el servicio predeterminado seleccionado y listo para cargar datos. Si el ajuste Cargar valores automáticamente está activado, los valores se cargan como se muestra en el paso 3. En la vista Eventos, los datos se cargan automáticamente.
  2. Si desea modificar opciones de la investigación en la vista Navegar antes de realizar la carga, puede crear o modificar un perfil personalizado, aplicar otro rango de tiempo, crear o aplicar un grupo de metadatos y realizar una consulta personalizada.
  3. Cuando esté listo, haga clic en Load Values button.
    Los valores del servicio se cargan de acuerdo con las opciones seleccionadas.
    Navigate view with data loading
    Con el servicio seleccionado y los datos cargados, está listo para comenzar a analizar los datos.

Cambiar el servicio o la recopilación que se investigará

  1. En las vistas Navegar o Eventos, haga clic en el nombre del servicio en la parte superior del panel de opciones.
    Se muestra el cuadro de diálogo Investigate.
    Investigate dialog
  2. Haga doble clic en un servicio o seleccione uno y haga clic en Navegar. El panel resultante muestra la actividad del servicio seleccionado.
    Si el ajuste Cargar valores automáticamente está activado, los valores se cargan como se muestra en el paso 3. De lo contrario, la vista Navegar se muestra con el servicio predeterminado seleccionado y los datos listos para cargarse. En la vista Eventos, los datos se cargan automáticamente.
    Investigate Navigate view with Load Values button
  3. Cuando esté listo, haga clic en Load Values button.
    Los valores del servicio comienzan a cargarse de acuerdo con las opciones seleccionadas.
    Investigate Navigate view
    Con el servicio seleccionado y los datos cargados, está listo para comenzar a analizar los datos.

Investigar recopilaciones de restauración de Workbench

Este procedimiento permite que los administradores seleccionen contenido de una recopilación existente que se volverá a procesar para realizar una investigación más detallada. Esto se aplica a los Decoders que usan servicios de Workbench.

Note: Solo un usuario con privilegios administrativos puede crear una recopilación y usted solo puede ver las recopilaciones que creó.

Para volver a procesar los datos con el fin de realizar una investigación más detallada:

  1. Vaya a INVESTIGATE > Navegar o Eventos.
    Se muestra el cuadro de diálogo Investigate.
    Investigate dialog
  2. Seleccione un servicio de Workbench y un nombre de Workbench que desee investigar.
  3. Haga clic en Navegar para realizar una investigación sobre el servicio de Workbench que seleccionó.
    Haga clic en Cancelar para seleccionar otro servicio de Workbench que se investigará.
    Se muestra la vista Investigación.
    Con la recopilación seleccionada y los datos cargados, está listo para comenzar a analizar los datos.
You are here
Table of Contents > Inicio de una investigación > Comenzar una investigación en las vistas Navegar o Eventos

Attachments

    Outcomes