Investigate: Configurar la vista Análisis de eventos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Note: The information in this topic applies to RSA NetWitness® Suite Version 11.1 and later.

A partir de la versión 11.1, los analistas pueden configurar preferencias que afectan el comportamiento de NetWitness Suite cuando se analizan datos mediante la vista Investigar > Análisis de eventos. La barra de herramientas principal de Investigate tiene un aspecto distinto cuando está abierta la vista Análisis de eventos; estos dos botones permiten el acceso a cuadros de diálogo de preferencias: User Profile icon y Open Preferences icon. El menú Usuario (User Profile icon) se centra en las preferencias globales del usuario, como la zona horaria. En cambio, el menú de preferencias de Análisis de eventos (Open Preferences icon) lo hace en las preferencias del usuario para el comportamiento en la vista Análisis de eventos. En el resto de esta sección se describen ambos conjuntos de preferencias.

Configurar la vista predeterminada de Investigate

La vista predeterminada de Investigate se configura en el cuadro de diálogo Preferencias de usuario globales (en la esquina superior derecha de la ventana del navegador de NetWitness Suite, seleccione User Profile icon).
En el cuadro de diálogo Preferencias de usuario se muestran las preferencias actuales para la vista Investigate. En las siguientes vistas puede seleccionar la vista predeterminada de Investigate cuando se abre: Vista Navegar, vista Eventos, vista Análisis de eventos, vista Hosts, vista Archivos o vista Malware Analysis.
User Preferences in the Respond and Investigate views

Las preferencias de usuario globales se describen en detalle en la Guía de introducción de NetWitness Suite. Go to the Master Table of Contents for NetWitness Logs & Packets 11.x to find all NetWitness Suite 11.x documents.

Configurar la vista Análisis de eventos

En la versión 11.1, puede configurar las preferencias pertinentes a la vista Análisis de eventos. Las preferencias que selecciona aquí persisten por usuario y están disponibles cada vez que el usuario específico inicia sesión en la aplicación.

Para configurar los valores predeterminados para trabajar en la vista Análisis de eventos:

  1. Con la vista Análisis de eventos abierta, haga clic en Open Preferences icon.
  2. En el menú desplegable Vista Análisis de eventos predeterminada, seleccione el tipo de reconstrucción predeterminado cuando abre un evento en el panel Análisis de eventos: Análisis de texto, Análisis de paquetes o Análisis de archivos.
    Si no selecciona un tipo de análisis predeterminado, cuando abra un evento, el tipo de reconstrucción predeterminado será el Análisis de paquetes, excepto para los eventos de registro y terminal, los cuales se abren en el Análisis de texto. Si selecciona un tipo de reconstrucción predeterminado, el tipo de reconstrucción es la reconstrucción predeterminada que especificó. En ambos casos, el valor predeterminado es el punto de partida y, si cambia el tipo mientras está trabajando, el tipo que selecciona se utiliza para la reconstrucción siguiente.
  3. En la lista desplegable Formato de registro predeterminado, seleccione el formato de descarga para la exportación de registros: Descargar registro, Descargar XML, Descargar CSV o Descargar JSON. Si no selecciona un formato aquí, el formato de descarga predeterminada es Descargar registro. Estas opciones también están disponibles en un menú desplegable en el momento de la descarga.
  4. En el menú desplegable Descargar PCAP, seleccione el formato predeterminado para la descarga de paquetes. Estas opciones también están disponibles en un menú desplegable en el momento de la descarga:
    Descargar PCAP para descargar el evento completo como un archivo de captura de paquetes (*.pcap)
    Descargar todas las cargas útiles para descargar la carga útil como un archivo *.payload
    Descargar carga útil de la solicitud para descargar la carga útil de la solicitud como un archivo *.payload1
    Descargar carga útil de la respuesta para descargar la carga útil de la respuesta como un archivo *.payload2
  5. En Configurar el formato de hora para las consultas, elija Hora de la base de datos u Hora del reloj. La vista Análisis de eventos puede mostrar los resultados en función de la hora de la base de datos o la hora actual del reloj. Cuando configura el formato de hora aquí, la preferencia del usuario individual se guarda hasta que se vuelve a cambiar. La configuración predeterminada de esta preferencia es Hora de la base de datos, que es el mismo formato de hora que se usa para mostrar los resultados de consulta en las vistas Navegar y Eventos.
    Cuando se selecciona Hora de la base de datos, la hora de inicio y finalización de una consulta se basa en la hora en que se almacenó el evento.
    Cuando se selecciona Hora del reloj, la consulta se ejecuta con la hora actual según la zona horaria configurada en las preferencias del usuario.
You are here
Table of Contents > Configuración de vistas y preferencias de NetWitness Investigate > Configurar la vista Análisis de eventos

Attachments

    Outcomes