Investigate: Filtrar los resultados en la vista Análisis de eventos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Note: The information in this topic applies to RSA NetWitness® Suite Version 11.1 and later.

En NetWitness Suite versión 11.0, cuando envía una consulta en las vistas Navegar o Eventos y se dirige a la vista Análisis de eventos, una ruta de navegación de solo lectura muestra la consulta enviada. Debe volver a la Events view o a la vista Navegar si desea ingresar una consulta diferente.

En la versión 11.1 y superior, un generador de consultas completa la ruta de navegación interactiva en la vista Análisis de eventos, de modo que usted puede crear y editar cada filtro <meta key> <operator> <meta value> en la ruta de navegación. Además, puede seleccionar un servicio y un rango de tiempo diferentes sin necesidad de volver a las vistas Navegar o Eventos. En el resto de esta sección se proporciona información sobre el uso de las funciones del generador de consultas de la versión 11.1.

Cómo funciona la ruta de navegación

Cuando hace clic en la opción Análisis de eventos en Investigate para abrir la vista, se muestra el selector de servicios y rango de tiempo. De forma predeterminada, el primer servicio se selecciona automáticamente (a menos que haya seleccionado un servicio con anterioridad y el servicio seleccionado esté en localStorage). Si no selecciona un rango de tiempo, se usa el rango de tiempo predeterminado. El campo del generador de consulta es un campo vacío que está a la derecha del rango de tiempo. En la siguiente figura se ilustra la ruta de navegación con solo un servicio y un rango de tiempo seleccionados.

Empty query builder field in the Event Analysis view

Cuando abre la vista Análisis de eventos desde las vistas Eventos o Navegar, el servicio, el rango de tiempo y los filtros que se seleccionaron en las vistas Eventos o Navegar se muestran en la ruta de navegación. El servicio, el rango de tiempo y los filtros individuales se pueden modificar.

Note: El generador de consultas solo es compatible con filtros simples en el formato <meta key><operator><meta value>. Si las vistas Eventos o Navegar tienen un filtro con más de un operador, ||,&&, (), REGEX o LENGTH, el filtro se agrega, pero no se puede editar en la vista Análisis de eventos.

A medida que crea filtros en el generador de consultas, la ruta de navegación se actualiza con cada filtro en un campo editable. Cuando envía la consulta, se usa el operador Y con todos los filtros para generar resultados. La consulta no se envía hasta que usted hace clic en Consultar eventos. Los filtros se alinean de izquierda a derecha, lo que representa la secuencia en la que se crearon. Cada filtro es una expresión simple del formato <meta key> <operator> <optional value>. A medida que se agregan más filtros y no se pueden mostrar en una sola línea, se ajustan de manera automática en otra línea y el área de entrada se expande verticalmente para que todos los filtros estén visibles sin tener que desplazarse hacia la derecha.

A medida que crea y edita filtros, recibe sugerencias de completado automático que muestran únicamente claves de metadatos y operadores válidos en la lista desplegable. Puede escribir o seleccionar valores en la lista desplegable. En la lista desplegable, los operadores cuya ejecución tarda más tiempo se marcan con un icono de cronómetro. Los filtros no válidos se marcan con un contorno rojo, y si coloca el cursor sobre el filtro, se muestra un mensaje que explica el error.

El botón Consultar eventos está en el lado derecho de la entrada de la ruta de navegación y queda visible según sea necesario para el ingreso de una consulta. Los filtros nuevos se aplican cuando usted hace clic en Consultar eventos.

Note: Si cambia el servicio, una llamada de red para datos en reconstrucciones o el panel Eventos (por ejemplo, Cargar más) usan los filtros anteriores de servicio/rango de tiempo/metadatos. Continúan usando estos parámetros de consulta anteriores hasta que usted envía la nueva consulta. Cuando hay un conjunto de resultados cargado y usted cambia el servicio, el rango de tiempo o un filtro, el botón Consultar eventos se vuelve azul para indicar que los datos de la vista están obsoletos. Incluso si comienza a editar cualquiera de los parámetros y, a continuación, decide no hacerlo, el botón Consultar eventos se vuelve azul para indicar que debe volver a enviar la consulta.

Acciones del teclado que se utilizan en la ruta de navegación

La ruta de navegación está diseñada para permitir la entrada, la edición y la eliminación de filtros desde el teclado sin tener que utilizar un puntero. Aunque puede utilizar el puntero, tiene la opción de mantener sus dedos en el teclado. Esta tabla identifica las acciones del teclado disponibles cuando el cursor está situado en la parte del generador de consultas de la ruta de navegación; estas acciones no se aplican al selector de servicios ni al rango de tiempo.

                                                               
AcciónEntrada del teclado
Actualizar la dirección URL y volver a enviar la consulta.Con el foco en el generador de consultas, presione Intro.
Seleccionar el filtro que está inmediatamente a la izquierda, si existe uno.Sin ninguna selección en el generador de consultas, presione la techa Flecha hacia la izquierda.
Seleccionar el filtro que está inmediatamente a la derecha, si existe uno.Sin ninguna selección en el generador de consultas, presione la techa Flecha hacia la derecha.
Insertar un nuevo filtro inmediatamente a la izquierda del filtro seleccionado.Con un filtro seleccionado, presione la tecla de Flecha hacia la izquierda.
Insertar un nuevo filtro inmediatamente a la derecha del filtro seleccionado.Con un filtro seleccionado, presione la tecla de Flecha hacia la derecha.
Insertar un nuevo filtro inmediatamente a la izquierda del filtro seleccionado y abrirlo para su edición.Con un filtro seleccionado, presione las teclas Mayús + Flecha hacia la izquierda.
Insertar un nuevo filtro inmediatamente a la izquierda del filtro seleccionado y abrirlo para su edición.Con un filtro seleccionado, presione las teclas Mayús + Flecha hacia la derecha.
Seleccionar todos los filtros a la derecha del filtro actual.Con un filtro seleccionado, presione las teclas Mayús + Flecha hacia abajo.

Seleccionar todos los filtros a la izquierda del filtro actual.

Con un filtro seleccionado, presione las teclas Mayús + Flecha hacia arriba.

Deseleccionar todos los filtros.Con un filtro seleccionado, presione la tecla Escape.

Eliminar los filtros seleccionados.

Con los filtros seleccionados, elija la opción hacer clic con el botón secundario > Eliminar los filtros seleccionados, presione Eliminar o presione la Tecla de retroceso.

Actualizar una consulta solo con los filtros seleccionados.Con los filtros seleccionados, elija la opción hacer clic con el botón secundario > Consultar con filtros seleccionados.

Abrir una nueva pestaña con los filtros seleccionados.

Con los filtros seleccionados, elija la opción hacer clic con el botón secundario > Consultar con filtros seleccionados en una pestaña nueva.

Agregar un filtro a la ruta de navegación

Para filtrar los datos que se muestran en la vista Análisis de eventos:

  1. Navegue a la vista Análisis de eventos.
  2. Para insertar un filtro, haga clic en el campo vacío del generador de consultas o antes o después de un filtro existente.
    Si el punto de inserción está entre dos filtros, este se marca con un punto verde. Si el punto de inserción está al final de la ruta de navegación existente, se abre el campo de entrada del filtro. Este es un campo vacío del generador de consultas.
    Empty query builder field in the Event Analysis view

  3. Haga clic en el punto de inserción para que un menú desplegable muestre las claves de metadatos disponibles que se usarán en el filtro nuevo. Las claves de metadatos disponibles se obtienen del servicio que se está investigando. Si comienza a escribir, la lista se actualiza para filtrar las claves de metadatos.
    the Meta Key drop-down list

  4. Para seleccionar una clave de metadatos, realice una de las siguientes acciones:

    1. Si solo hay una opción en el menú desplegable, presione la Barra espaciadora.
    2. Si hay dos o más opciones en el menú desplegable, haga clic en la clave de metadatos o utilice la flecha hacia arriba/abajo y presione Intro.
    3. Escriba la clave de metadatos y un espacio. A medida que escribe la clave de metadatos, la lista se actualiza.
      Cuando está seleccionada una clave de metadatos, se muestra una lista de operadores válidos para esta. Los operadores cuyo procesamiento requiere más tiempo se marcan con un icono de cronómetro.
      the operators drop-down list with a stopwatch marking operators that take more time to query
  5. Para seleccionar un operador, realice una de las siguientes acciones:

    1. Si solo hay una opción en el menú desplegable, presione la Barra espaciadora.
    2. Si hay dos o más opciones en el menú desplegable, haga clic en el operador o utilice la flecha hacia arriba/abajo y presione Intro.
    3. Escriba el operador y presione Intro.
      La lista desplegable se cierra y usted puede agregar un valor si el operador lo acepta.
  6. (Opcional) Escriba un valor y presione Intro.

  7. Para crear el filtro, presione Intro. Si hace clic en cualquier lugar fuera del cuadro antes de presionar Intro, el filtro no se crea.
    El filtro nuevo se inserta y el cursor se sitúa después del último filtro.
    Si hay un error en el filtro, este se marca con un contorno rojo. Puede colocar el cursor sobre el filtro para ver un mensaje de globo que explica el error.
  8. Corrija todos los filtros que tengan errores.
  9. Cuando esté listo para ejecutar la consulta en la ruta de navegación, haga clic en Consultar eventos.
  10. La Lista de eventos se actualiza para reflejar la consulta.

Editar un filtro en la ruta de navegación

Para editar un filtro en el generador de consultas:

  1. Navegue a la vista Análisis de eventos.
  2. Para editar un filtro, haga doble clic en él o haga clic en el filtro y presione Intro.
  3. Cuando haya terminado de editar, presione Intro para actualizar el filtro.
  4. Para deseleccionar el filtro, haga clic en otro filtro.
  5. Si desea volver a ejecutar la consulta, haga clic en el botón Consulta.
    La Lista de eventos se actualiza para reflejar el filtro actualizado.

Consulta con los filtros seleccionados en la ruta de navegación

Con dos o más filtros en la ruta de navegación, puede devolver el foco a la misma consulta para incluir solo los filtros seleccionados. Los resultados se muestran en la pestaña actual del navegador o en una nueva pestaña del navegador.

Para actualizar la consulta solo con los filtros seleccionados:

  1. Comience con una ruta de navegación que incluya al menos dos filtros; por ejemplo, una consulta tiene tres filtros: risk.info = exists, direction ="lateral" y threat.category exists.
  2. Para abrir una pestaña nueva con los filtros seleccionados, haga clic con el botón secundario en el filtro query direction = "lateral" y seleccione Consultar con filtros seleccionados en una pestaña nueva en el menú desplegable.
    the Query with selected filters in a new tab option selected
    Se abre una pestaña nueva con los resultados del filtro seleccionado.
    results in a new tab
  3. Para consultar los filtros seleccionados en la misma pestaña, haga clic en direction = "lateral" y threat.category exists. A continuación, haga clic con el botón secundario y seleccione Consultar con filtros seleccionados en el menú desplegable.
    the Query with selected filters option selected in the drop-down menu

Eliminar un filtro en la ruta de navegación

Para eliminar un filtro:

  1. Haga clic en X en un filtro, haga clic en el filtro para seleccionarlo y presione Eliminar o haga clic con el botón secundario en uno o más filtros y seleccione Eliminar los filtros seleccionados en el menú desplegable.
  2. Si desea volver a ejecutar la consulta, haga clic en el botón Consulta.
    El filtro seleccionado se elimina y la Lista de eventos se actualiza.
You are here
Table of Contents > Análisis de eventos crudos y metadatos en la vista Análisis de eventos > Filtrar los resultados en la vista Análisis de eventos

Attachments

    Outcomes