This website uses cookies. By clicking OK, you consent to the use of cookies. Click Here to learn more about how we use cookies.
OK
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Documentación de RSA NetWitness® Platform (Español)

Explore la documentación oficial de RSA NetWitness Platform (español) para obtener útiles tutoriales, instrucciones paso a paso y otros recursos valiosos.
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

 

En la vista Sistema > panel Configuración de Investigation se proporciona la interfaz del usuario para que los administradores configuren ajustes en todo el sistema que NetWitness Suite Investigation usa cuando analiza datos y reconstruye un evento.

Los ajustes de Configuración de Investigation permiten que un administrador administre el rendimiento de las aplicaciones para Investigation. A medida que los analistas reconstruyen y analizan las sesiones que están investigando, el rendimiento se puede ver afectado por operaciones que implican la carga, la búsqueda, la visualización y la reconstrucción de grandes cantidades de datos.

Nota: los analistas también pueden configurar preferencias individuales para Investigation en la vista Perfiles y en la vista Navegación. 

Flujo de trabajo

investWrkFlw.png

¿Qué desea hacer?

                       
Función Deseo…Mostrarme cómo
AdministradorConfigurar los ajustes de Navegar, Eventos y Búsqueda de contextoConfigurar los ajustes de Investigation
AdministradorLimpiar la caché de reconstrucción para los serviciosConfigurar los ajustes de Investigation

Temas relacionados

Vista rápida

El panel Configuración de Investigation tiene tres pestañas: Navegar, Eventos y Búsqueda de contexto.

Aunque la mayoría de los campos de las pestañas tiene una lista de selección con incrementos específicos a través del rango de valores posibles, puede ingresar manualmente un valor dentro del rango permitido. Una entrada no válida se señala mediante el campo resaltado en rojo. Cuando se seleccionan valores válidos, si se hace clic en Aplicar en una determinada sección, los cambios se aplican de inmediato.

Pestaña Navegar

En la siguiente figura se muestra la pestaña Navegar.
Nav181.PNG

             
1Muestra el panel Configuración de Investigation.
2Muestra la pestaña Navegar.

Barra de herramientas y funciones

La pestaña Navegar tiene dos secciones: Configuración de hilos de ejecución de representación y Configuración de coordenadas paralelas.

Configuración de hilos de ejecución de representación

Este es un valor seleccionable entre 1 y 20 que define la cantidad de cargas (valores) simultáneas en la vista Navegar. El valor predeterminado es 1.

NavTb182.PNG

Configuración de coordenadas paralelas

La configuración de coordenadas paralelas se aplica a la visualización de coordenadas paralelas en la vista Navegar. Hay un límite fijo en la cantidad de datos que se pueden representar como un gráfico de coordenadas paralelas. En NetWitness Suite, el administrador puede configurar aquí los límites de las coordenadas paralelas.

Nota: Para mejorar el rendimiento, la configuración recomendada es Límite de escaneo de valores de metadatos: 100000 y Límite de resultados de valores de metadatos: entre 1,000 y 10,000

NavTb(2)182.PNG

En la siguiente tabla se describe la configuración de coordenadas paralelas.

                     
ParámetroDescripción
Límite de escaneo de valores de metadatosLa cantidad máxima de valores de metadatos que se escanean en el rango de tiempo de Investigation que seleccionó el analista en la vista Navegar. Los valores posibles están en el rango de 1,000 a 10,000,000. El valor predeterminado es 100,000.
Límite de resultados de valores de metadatosLa cantidad máxima de valores de metadatos que se devuelven en el rango de tiempo de Investigation que seleccionó el analista en la vista Navegar. Los valores posibles están en el rango de 100 a 1,000,000,000. El valor predeterminado es 10,000.

Vista rápida

Pestaña Eventos

En la siguiente figura se muestra la pestaña Eventos.

Ev181.PNG

Los procedimientos asociados a este panel se proporcionan en Procedimientos estándar.

             
1Muestra el panel Configuración de Investigation.
2Muestra la pestaña Evento.

Barra de herramientas y funciones

En la pestaña Eventos se proporcionan ajustes configurables que afectan a la investigación de eventos. Esta pestaña tiene cuatro secciones: Configuración de búsqueda de eventos, Configuración de la reconstrucción, Configuración de reconstrucción de vista web y Configuración de caché de reconstrucción.

Configuración de búsqueda de eventos

La configuración de búsqueda de eventos ayuda a limitar la cantidad de eventos que se escanean cuando se realizan búsquedas en la vista Eventos.

EvTb182.PNG

En la siguiente tabla se describe la configuración de búsqueda de eventos.

                 
ParámetroDescripción
Límite de eventos escaneadosCantidad máxima de eventos que se escanean cuando se realizan búsquedas en la vista Eventos.
Límite de resultados de eventosCantidad máxima de resultados que se devuelven cuando se realizan búsquedas en la vista Eventos.

Configuración de la reconstrucción

A medida que los analistas reconstruyen sesiones que están investigando, algunos eventos pueden ser muy grandes y pueden contener muchos miles de paquetes de origen. La reconstrucción de estas sesiones, especialmente en un ambiente multiusuario, puede degradar el rendimiento de las aplicaciones. La configuración de la reconstrucción permite que un administrador limite la cantidad de paquetes y el tamaño de un único evento durante la reconstrucción.

Nota: se puede configurar un reemplazo para la sección Configuración de la reconstrucción para las vistas web (en Configuración de reconstrucción de vista web).

ReconSet183.PNG

En la siguiente tabla se describen las funciones de Configuración de la reconstrucción.

                         
ParámetroDescripción
Cantidad máxima de paquetes para un único eventoEsta configuración protege el rendimiento mediante la definición de un límite en la cantidad de paquetes que se procesan para la reconstrucción de un único evento.

Los valores posibles están en el rango de 100 a 10,000 paquetes y se ingresan manualmente o en incrementos de 100 de la lista de selección. El valor predeterminado es 100 paquetes.
Tamaño máximo, en bytes, de un único eventoEsta configuración protege el rendimiento mediante la definición de un límite en el tamaño máximo, en bytes, de la reconstrucción de un único evento.
Los valores posibles están en el rango de 102,400 a 104,857,600 bytes y se ingresan manualmente o en incrementos de 10,240 de la lista de selección. El valor predeterminado es 2,097,152 bytes.

Permitir el reemplazo de Reconstrucción completa con paquetes

Cuando se selecciona esta casilla de verificación, se proporciona a los analistas un botón Usar más paquetes en el panel Reconstrucción. Esto permite que el servidor de NW vuelva a generar eventos con el uso de todos los paquetes disponibles en el evento.

Permitir el análisis del conjunto de caracteres HTML para las páginas webEsta opción permite que el Servidor de NetWitness identifique la codificación de las páginas web definida en la etiqueta de metadatos HTML en lugar del encabezado HTTP. La configuración predeterminada es deshabilitado.

Configuración de reconstrucción de vista web

La configuración de reconstrucción de vista web permite que un administrador configure ajustes que mejoran la reconstrucción de una vista web mediante el escaneo y la reconstrucción de eventos relacionados que contienen los mismos archivos de soporte. Cuando NetWitness Suite reconstruye una vista web que abarca múltiples eventos, es posible mejorar la reconstrucción del evento objetivo con el escaneo y la reconstrucción de eventos relacionados que contienen los mismos archivos de soporte, como imágenes y archivos de hoja de estilo en cascada (CSS).

  • Los únicos eventos relacionados que se escanean son eventos de tipo de servicio HTTP con la misma dirección de origen que el evento objetivo y un registro de fecha y hora dentro de un rango de tiempo especificado antes y después del evento objetivo.
  • La cantidad máxima de eventos relacionados que se escanean es configurable.

Si se hace clic en la opción Configuración avanzada, se muestran todos los ajustes configurables de esta sección.

WebVw184_625x196.png

En la siguiente tabla se describe la configuración de reconstrucción de vista web.

                                     
ParámetroDescripción
Habilite los archivos de soporte para la vista webEsta opción determina cómo se reconstruyen las vistas web que tienen datos relacionados en otras sesiones. De manera predeterminada, la opción está habilitada.

Cuando está habilitada, los archivos de soporte de eventos relacionados se pueden usar en la reconstrucción de vistas web. En esta sección se habilitan ajustes adicionales para calibrar el rendimiento y los analistas tienen la opción de habilitar el uso de CSS en las reconstrucciones.

Cuando está deshabilitada, los archivos de soporte de eventos relacionados no se usan y el ajuste para que los analistas habiliten el uso de CSS en reconstrucciones está deshabilitado.
Rango de tiempo para escanear eventos relacionadosEstá disponible cuando se selecciona Habilite los archivos de soporte para la vista web. Configura el rango de tiempo dentro del cual NetWitness Suite escanea eventos relacionados que son del tipo de servicio HTTP y que tienen la misma dirección de origen que el evento objetivo. Este es un valor entre 0 y 60.
  • Segundos antes del evento objetivo
  • Segundos después del evento objetivo
Limite la cantidad de eventos relacionados que se procesanPermite la configuración de la cantidad máxima de eventos relacionados que NetWitness Suite escanea en el rango de tiempo especificado para descubrir archivos de soporte para el evento objetivo. De manera predeterminada, el parámetro está deshabilitado.  Cuando se habilita, también lo hace el campo Máximo de eventos relacionados.
Máximo de eventos relacionadosCuando se habilita el parámetro Limite la cantidad de eventos que se procesan, este campo especifica la cantidad máxima de eventos relacionados que NetWitness Suite escanea en el rango de tiempo especificado con el fin de descubrir archivos de soporte para el evento de destino.

Este es un valor seleccionable entre 10 y 1,000 y se ingresa en incrementos de 100. El valor predeterminado es 100.
Limite la cantidad de paquetes y el tamaño de cada evento relacionado
 		Reemplaza la configuración general para la cantidad máxima de paquetes y el tamaño máximo (en bytes) de eventos relacionados individuales.
Cantidad máxima de paquetes para un único evento relacionadoLos valores posibles están en el rango de 100 a 10,000 paquetes y se ingresan en incrementos de 100 de la lista de selección. El valor predeterminado es 100 paquetes.
Tamaño máximo, en bytes, de un único evento relacionadoLos valores posibles están en el rango de 102,400 a 104,857,600 bytes y se ingresan en incrementos de 10,240 de la lista de selección. El valor predeterminado es 524,288 bytes.

Configuración de caché de reconstrucción

En algunos casos, la caché de reconstrucción puede presentar contenido incorrecto; por esta razón, NetWitness Suite quita de la caché las reconstrucciones que tienen más de un día.  La caché se borra a diario a la medianoche. Entre las limpiezas diarias de la caché, ciertas acciones pueden dejar obsoleta la caché que se usa en una reconstrucción y, si es necesario, los administradores pueden borrar manualmente la caché para uno o más servicios que están conectados al Servidor de NetWitness actual.

ReconCache186_625x207.png

En la siguiente tabla se describen las funciones de Configuración de caché de reconstrucción.

                       
FunciónDescripción
Cuadro de selecciónEl cuadro de selección en filas individuales y en la barra de título permite la selección de uno o más servicios, o de todos ellos, cuya caché se debe borrar manualmente.
Borrar caché de los servicios seleccionadosBorra la caché de reconstrucción de cada servicio seleccionado.
Borrar caché de todos los serviciosBorra la caché de reconstrucción de todos los servicios.

Vista rápida

Pestaña Búsqueda de contexto

En la siguiente figura se muestra la pestaña Búsqueda de contexto.

Con181.PNG

Los procedimientos asociados con este panel se proporcionan en “Administrar mapeo de tipos de metadatos y claves de metadatos” en la Guía de configuración de Context Hub.

             
1Muestra el panel Configuración de Investigation.
2Muestra la pestaña Búsqueda de contexto.

Barra de herramientas y funciones

La pestaña Búsqueda de contexto permite al administrador configurar el mapeo de claves de metadatos y tipos de metadatos de Investigation. El administrador puede agregar claves de metadatos que se encuentran en Investigation a la lista de tipos de metadatos compatibles con el servicio Context Hub o quitarlas de ella.

En la siguiente tabla se describen las funciones de la pestaña Búsqueda de contexto.

                   
FunciónDescripción
ic-add.pngAgrega una clave de metadatos al tipo de metadatos seleccionado compatible con Context Hub.
ic-delete.pngElimina la clave de metadatos del tipo de metadatos seleccionado.
AplicarGuarda los cambios realizados en la pestaña Búsqueda de contexto.
You are here
Table of Contents > Referencias > Panel Configuración de Investigation
Labels (1)
Labels:
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2020 RSA Security LLC or its affiliates.
All rights reserved.