Investigar: Filtrar los resultados en la vista Análisis de eventos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Apr 24, 2019
Version 3Show Document
  • View in full screen mode
 

Nota: La información de este tema se aplica a RSA NetWitness® Platform versión 11.1 y superior.

En NetWitness Platform versión 11.0, cuando envía una consulta en las vistas Navegar o Eventos y se dirige a la vista Análisis de eventos, una ruta de navegación de solo lectura muestra la consulta enviada. Debe volver a la Vista Eventos o a la vista Navegar si desea ingresar una consulta diferente.

En la versión 11.1 y superior, un generador de consultas completa la ruta de navegación interactiva en la vista Análisis de eventos, de modo que usted puede crear y editar cada filtro <meta key> <operator> <meta value> en la ruta de navegación. Además, puede seleccionar un servicio y un rango de tiempo diferentes sin necesidad de volver a las vistas Navegar o Eventos. En el resto de esta sección se proporciona información sobre el uso de las funciones del generador de consultas.

Cómo funciona la ruta de navegación

Cuando hace clic en la opción Análisis de eventos en Investigate para abrir la vista, se muestra el selector de servicios y rango de tiempo. De forma predeterminada, el primer servicio se selecciona automáticamente (a menos que haya seleccionado un servicio con anterioridad y el servicio seleccionado se recuerde en el navegador). Si no selecciona un rango de tiempo, se usa el rango de tiempo predeterminado (3 horas). El campo del generador de consulta es un campo vacío que está a la derecha del rango de tiempo.

Cuando abre la vista Análisis de eventos desde las vistas Eventos o Navegar, el servicio, el rango de tiempo y los filtros que se seleccionaron en las vistas Eventos o Navegar se muestran en la ruta de navegación. El servicio, el rango de tiempo y los filtros individuales se pueden modificar.

A partir de la versión 11.2, además de crear una consulta en el Modo guiado, los analistas avanzados pueden ingresar una consulta en el Modo de formato libre. El modo predeterminado es el Modo guiado, el cual incluye opciones de sugerencias automáticas y validación. El Modo de formato libre permite escribir una consulta compleja; la validación se realiza cuando esta se ejecuta.

Nota: Una consulta compleja es cualquier consulta distinta de un filtro básico de <clave de metadatos> <operador> <valor> que contiene los operadores (), ||, &&, length o regex.

Dos botones alternan entre los modos y colocan un cursor en la barra de consulta que permite comenzar a crear una consulta de inmediato. Si seleccionó el Modo de formato libre la última vez que inició sesión, esta opción estará vigente en su próximo inicio de sesión.

  • Cuando cambia del Modo guiado al Modo de formato libre, los filtros que creó en el Modo guiado se transforman en una consulta de texto en el campo Formato libre.
  • Cuando cambia del Modo de formato libre al Modo guiado, la consulta que estaba escribiendo se agrega al generador de consultas como un único filtro no editable.
  • Si comienza a crear una consulta con varios filtros en el Modo guiado, luego cambia al Modo de formato libre y regresa al Modo guiado sin cambios, los diversos filtros aparecen en el mismo estado en que los dejó.

La siguiente figura es un ejemplo de la vista Análisis de eventos con el Modo guiado vigente en el generador de consultas.

example of a query in the Guided Mode query builder

La siguiente figura es un ejemplo del Formato libre en el generador de consultas.

example of the same query in the Free-Form query builder

Nota: En la versión 11.2 se incluyó una característica beta no documentada, denominada modo de Última generación, en la vista Análisis de eventos del generador de consultas, que aún estaba en fase de desarrollo y pruebas. El modo de Última generación se deshabilitó en el parche 11.2.0.1. Si ve el modo de Última generación, no lo use; debe utilizar solamente el Modo guiado y el Modo de formato libre en el generador de consultas para asegurarse de obtener resultados coherentes y predecibles.
Next Gen Mode

Modo guiado en el generador de consultas

El Modo guiado es la forma más sencilla de crear una consulta, ya que incluye características que ayudan a los analistas a ingresar consultas válidas. En la siguiente figura se ilustra la vista Análisis de eventos inicial con el Modo guiado vigente en el generador de consultas.

Initial Event Analysis view with breadcrumb highlighted

Nota: El Modo guiado del generador de consultas es compatible solamente con filtros en el formato <meta key><operator><meta value>. Si las vistas Eventos o Navegar tienen un filtro con más de un operador, not, >, <, <=, >=, ||,&&, (), REGEX o LENGTH, el filtro se agrega, pero no se puede editar en la vista Análisis de eventos. Esto también es así para un filtro que proviene del Formato libre del generador de consultas.

A medida que crea filtros en el Modo guiado del generador de consultas, la ruta de navegación se actualiza con cada filtro en un campo editable. Cuando envía la consulta, se usa el operador Y con todos los filtros para generar resultados. La consulta no se envía hasta que usted hace clic en Consultar eventos. Los filtros se alinean de izquierda a derecha, lo que representa la secuencia en la que se crearon. Cada filtro es una expresión simple del formato <meta key> <operator> <optional value>. A medida que se agregan más filtros y no se pueden mostrar en una sola línea, se ajustan de manera automática en otra línea y el área de entrada se expande verticalmente para que todos los filtros estén visibles sin tener que desplazarse hacia la derecha.

A medida que crea y edita filtros, recibe sugerencias de completado automático que muestran únicamente claves de metadatos y operadores válidos en la lista desplegable. Puede escribir o seleccionar valores en la lista desplegable. En la lista desplegable, las operaciones cuya ejecución tarda más tiempo se marcan con un icono de cronómetro. Los filtros no válidos se marcan con un contorno rojo, y si coloca el cursor sobre el filtro, se muestra un mensaje de globo que explica el error.

El botón Consultar eventos está en el lado derecho de la entrada de la ruta de navegación y queda activo según sea necesario para el envío de una consulta. Se envía una consulta cuando se hace clic en Consultar eventos o se presiona Intro después de crear un filtro. Cuando hay un conjunto de resultados cargado y se cambia el servicio, el rango de tiempo o un filtro, el botón Consultar eventos se vuelve azul para indicar que los datos de la vista ahora están obsoletos. En la versión 11.2 y superior, el botón Consultar eventos también se volverá azul si ha pasado más de un minuto, debido a que el rango de tiempo de la consulta original ya no genera el mismo conjunto de resultados.

Nota: Si cambia el servicio, una llamada de red para datos en reconstrucciones o más datos en el panel Eventos (por ejemplo, Cargar más) usa los filtros anteriores de servicio/rango de tiempo/metadatos. La llamada de red continúa usando estos parámetros de consulta anteriores hasta que usted envía la nueva consulta.

Acciones del teclado que se usan en el Modo guiado

En el Modo guiado, el generador de consultas permite la entrada, la edición y la eliminación de filtros desde el teclado sin tener que utilizar un puntero. Aunque puede utilizar el puntero, tiene la opción de mantener sus dedos en el teclado. En esta tabla se identifican las acciones del teclado disponibles cuando el cursor está situado en la parte de la ruta de navegación del Modo guiado del generador de consultas; estas acciones no se aplican al selector de servicios ni al rango de tiempo.

                                                                   
AcciónEntrada del teclado
Enviar una consulta.Con el foco en el generador de consultas y sin filtros pendientes, presione Intro.
Seleccionar el filtro que está inmediatamente a la izquierda, si existe uno.Sin ninguna selección en el generador de consultas, presione la tecla Flecha hacia la izquierda.
Seleccionar el filtro que está inmediatamente a la derecha, si existe uno.Sin ninguna selección en el generador de consultas, presione la tecla Flecha hacia la derecha.
Insertar un nuevo filtro inmediatamente a la izquierda del filtro seleccionado.Con un filtro seleccionado, presione la tecla de Flecha hacia la izquierda.
Insertar un nuevo filtro inmediatamente a la derecha del filtro seleccionado.Con un filtro seleccionado, presione la tecla de Flecha hacia la derecha.
Insertar un nuevo filtro inmediatamente a la izquierda del filtro seleccionado y abrirlo para su edición.Con un filtro seleccionado, presione las teclas Mayús + Flecha hacia la izquierda.
Insertar un nuevo filtro inmediatamente a la izquierda del filtro seleccionado y abrirlo para su edición.Con un filtro seleccionado, presione las teclas Mayús + Flecha hacia la derecha.
Seleccionar todos los filtros a la derecha del filtro actual.Con un filtro seleccionado, presione las teclas Mayús + Flecha hacia abajo.

Seleccionar todos los filtros a la izquierda del filtro actual.

Con un filtro seleccionado, presione las teclas Mayús + Flecha hacia arriba.

Editar un filtro seleccionado.

Con un único filtro seleccionado, presione la tecla Intro.

Deseleccionar todos los filtros.Con un filtro seleccionado, presione la tecla Esc.

Eliminar los filtros seleccionados.

Con los filtros seleccionados, elija la opción hacer clic con el botón secundario > Eliminar los filtros seleccionados, presione Eliminar o presione la Tecla de retroceso.

Actualizar una consulta solo con los filtros seleccionados.Con los filtros seleccionados, elija la opción hacer clic con el botón secundario > Consultar con filtros seleccionados.

Abrir una nueva pestaña con los filtros seleccionados.

Con los filtros seleccionados, elija la opción hacer clic con el botón secundario > Consultar con filtros seleccionados en una pestaña nueva.

Retroalimentación en el Modo guiado

El Modo guiado proporciona retroalimentación visual durante la creación de consultas. En esta tabla se identifica y se describe la posible retroalimentación.

                            
COMENTARIOSIconoDescripción
Círculo verde Green circle inbetween filters El cursor se colocó entre dos filtros existentes. Si se hace clic, se inserta un nuevo filtro en esta ubicación.

Contorno rojo de un filtro

Red outline example

El tipo de valor no es válido para la clave de metadatos seleccionada; por ejemplo, un valor de cadena para una clave de metadatos que espera un entero. Se muestra un mensaje de globo en el que se explica el error.

Cronómetro Stopwatch Icon El procesamiento de la combinación de clave de metadatos/operador seleccionada requiere tiempo extra. Aunque la consulta se puede ejecutar de todos modos, se recomienda una clave de metadatos o un operador más eficientes.

Agregar un filtro en el Modo guiado

Para filtrar los datos que se muestran en la vista Análisis de eventos en el Modo guiado:

  1. Vaya a la vista Análisis de eventos y seleccione Modo guiado debajo del generador de consultas.
    Este es un ejemplo del generador de consultas vacío en el Modo guiado antes de que se comience a ingresar un filtro.
    Guided Mode, empty query builder field
  2. Para insertar un filtro, haga clic en el campo del generador de consultas o antes o después de un filtro existente.
    Si el punto de inserción está entre dos filtros, este se marca con un punto verde. Si el punto de inserción está al final de la ruta de navegación existente, se abre el campo de entrada del filtro con un cursor parpadeante en el punto de entrada. Un menú desplegable enumera las claves de metadatos disponibles para el servicio seleccionado en orden alfabético. Las claves de metadatos disponibles provienen del servicio que se investiga, y las claves de metadatos cuyo procesamiento requiere más tiempo se marcan con un icono de cronómetro.
    the meta key drop-down list in the Guided Mode query builder
  3. Para seleccionar una clave de metadatos, realice una de las siguientes acciones:

    1. Si solamente hay una opción en el menú desplegable, presione Intro.
    2. Si hay dos o más opciones en el menú desplegable, haga clic en la clave de metadatos o utilice la flecha hacia arriba/abajo y presione Intro.
    3. Comience a escribir la clave de metadatos. A medida que escribe la clave de metadatos, la lista se actualiza. Para seleccionar la clave de metadatos, presione Intro.
    4. Si desea editar o eliminar la clave de metadatos, presione la Tecla de retroceso o Eliminar.
      A medida que usa la Tecla de retroceso y elimina un carácter, la lista desplegable de claves de metadatos se filtra para incluir claves de metadatos que comienzan con esos caracteres. Para seleccionar una clave de metadatos, presione Intro.
      La clave de metadatos se agrega al generador de consultas y se muestra una lista de operadores válidos para la clave de metadatos seleccionada. Las operaciones cuyo procesamiento requiere más tiempo se marcan con un icono de cronómetro.
      example of operators drop-down menu
  4. Para seleccionar un operador, realice una de las siguientes acciones:

    1. Si solamente hay una opción en el menú desplegable, presione Intro.
    2. Si hay dos o más opciones en el menú desplegable, haga clic en el operador o utilice la flecha hacia arriba/abajo y presione Intro.
    3. Escriba el operador y presione Intro.
      La lista desplegable se cierra y usted puede agregar un valor si el operador lo acepta.
  5. (Opcional) Escriba un valor y presione Intro.

  6. Para crear el filtro, presione Intro. Si hace clic en cualquier lugar fuera del cuadro antes de presionar Intro, el filtro no se crea.
    Se inserta el filtro nuevo, el cursor parpadeante se sitúa después del último filtro y se muestran las claves de metadatos. Si hay un error en el filtro, este se marca con un contorno rojo. Puede colocar el cursor sobre el filtro para ver un mensaje de globo en el que se explica el error. En esta figura se muestra una consulta que se crea sin errores.
    the completed filter with a value
  7. Corrija todos los filtros que tengan errores.
  8. Cuando esté listo para ejecutar la consulta en la ruta de navegación, haga clic en Consultar eventos.
  9. La Lista de eventos se actualiza para reflejar la consulta.

Editar un filtro en el Modo guiado

Cuando hay una consulta en el Modo guiado del generador de consultas, puede editar un filtro. Para editar un filtro:

  1. Haga doble clic en el filtro o haga clic en él y presione Intro.
  2. Edite el filtro. Cuando haya terminado de editar, presione Intro para actualizar el filtro.
  3. Si desea volver a ejecutar la consulta, haga clic en el botón Consulta.
    La Lista de eventos se actualiza para reflejar el filtro actualizado.

Consulta con los filtros seleccionados en el Modo guiado

Cuando hay uno o más filtros en el Modo guiado del generador de consultas, puede devolver el foco a la misma consulta para incluir únicamente los filtros seleccionados. Los resultados se muestran en la pestaña actual del navegador o en una nueva pestaña del navegador. Para actualizar la consulta solo con los filtros seleccionados:

  1. Comience con una consulta en el Modo guiado que incluya uno o más filtros; por ejemplo, una consulta tiene tres filtros: risk.info = exists, direction ="lateral" y threat.category exists.
  2. Para abrir una pestaña nueva con los filtros seleccionados, elija direction = "lateral", haga clic con el botón secundario en el filtro y seleccione Consultar con filtros seleccionados en una pestaña nueva en el menú desplegable.
    the Query with selected filters in a new tab option selected
    Se abre una nueva pestaña con los resultados del filtro seleccionado y la consulta original queda intacta en la pestaña anterior.
    results in a new tab
  3. Para consultar los filtros seleccionados en la misma pestaña, elija direction = "lateral" y threat.category exists. A continuación, haga clic con el botón secundario y seleccione Consultar con filtros seleccionados en el menú desplegable.
    the Query with selected filters option selected in the drop-down menu
    Se envía una consulta únicamente con los filtros seleccionados y se quitan todos los filtros restantes.

Eliminar un filtro en el Modo guiado

Para eliminar un filtro:

  1. Haga clic en X en un filtro, haga clic en el filtro para seleccionarlo y presione Eliminar o haga clic con el botón secundario en uno o más filtros y seleccione Eliminar los filtros seleccionados en el menú desplegable.
  2. Si desea volver a ejecutar la consulta, haga clic en el botón Consulta.
    El filtro seleccionado se elimina y la Lista de eventos se actualiza.

Formato libre en el Generador de consultas

Las consultas en Formato libre son más útiles cuando se tiene en mente una consulta compleja que se desea ingresar rápidamente y se conocen las claves de metadatos, los operadores válidos y la sintaxis válida para el ingreso de valores. En la siguiente figura se ilustra la vista Análisis de eventos inicial con la consulta en Formato libre vacía en el generador de consultas.

Free-Form query builder, with the field empty

El cursor parpadeante indica que está lista para el ingreso de una consulta. Aquí puede ingresar texto libre. A medida que se agregan más expresiones y no se pueden mostrar en una sola línea, se ajustan de manera automática en otra línea y el área de entrada se expande verticalmente para que todos los filtros estén visibles sin tener que desplazarse hacia la derecha.

Estos son algunos ejemplos de consultas que puede ingresar en modo de Formato libre:

Para buscar eventos con un nombre de usuario de 8 a 11 caracteres similar a atreeman-72:
user.all length 8-11 && (user.all regex '^a[a-z]{2}ee[a-z]{3}-[0-9]{2}')

Para buscar eventos que son eventos de red HTTP o relacionados con registros de aix o ciscoasa:
service=80 || (device.type = 'aix','ciscoasa')

Para buscar todos los eventos salientes que no se dirigen a Canadá ni a Estados Unidos:
direction = 'outbound' AND not(country.dst = 'united states' || country.dst = 'canada')

Si tiene una consulta enviada en el Modo guiado, esta se transforma en texto cuando hace clic en Cambiar al modo de Formato libre. Este es un ejemplo de una consulta enviada en el Modo guiado.
query from Guided Mode

Aquí puede ingresar texto libre. A medida que se agregan más expresiones y no se pueden mostrar en una sola línea, se ajustan de manera automática en otra línea y el área de entrada se expande verticalmente para que todos los filtros estén visibles sin tener que desplazarse hacia la derecha.

El botón Consultar eventos está en el lado derecho de la entrada de la ruta de navegación y se destaca en azul según sea necesario para el ingreso de una consulta. La consulta se aplica cuando se hace clic en Consultar eventos. En ese momento, la consulta se valida para mostrar errores de sintaxis y lógicos.

a query that has been submitted

Las operaciones cuyo procesamiento requiere más tiempo no se destacan cuando están en el Modo guiado, pero en esta tabla se proporciona un resumen de operaciones con uso intensivo de recursos como referencia.

                                                    
Método de índiceValor no de textoValor de textoOperaciones regularesOperaciones con uso intensivo de recursos
Por clave  exists, !existseq, !eq
Por clave  exists, !existseq, !eq, begins, ends, contains
Por valor  exists, !exists, eq, !eqno hay operadores con uso intensivo de recursos
Por valor  exists, !exists, eq, !eq, begins

ends, contains

Por ningunocaso especial para sessionid exist, !exits, eq, !eq

no hay operadores con uso intensivo de recursos

You are here
Table of Contents > Análisis de eventos crudos y metadatos en la vista Análisis de eventos > Filtrar los resultados en la vista Análisis de eventos

Attachments

    Outcomes