6.2. Eventos Malware (Proxy ICAP)
El usuario puede visualizar el tráfico que está siendo procesado por el Proxy ICAP en la sección Malware situada en el margen izquierdo del menú de cabecera.
El tráfico SSH no es filtrado por el Proxy ICAP.
Para visualizar los eventos producidos por los ficheros que pasan por la red el usuario puede seleccionar el atributo Hash mediante la opción + Add Tab. Es posible seleccionar tantos atributos como elementos quiera observar en el tráfico de su red. Es recomendable que se añada la pestaña para realizar un análisis en profundidad.
Esos atributos se añadirán a la vista y el usuario podrá realizar diferentes acciones sobre ellos.
Una vez que hemos añadido a la vista los atributos deseados, podremos visualizar un resumen con los eventos producidos por ellos. Al hacer clic sobre cualquiera de estos elementos se despliega un submenú desde el cual se pueden realizar acciones de análisis y seguimiento de los objetos.
Outliers
Activando esta opción se marcarán en la vista las anomalías de los eventos del atributo seleccionado. Esta acción es muy útil para aislar comportamientos anómalos dentro del flujo del tráfico.
Para conseguir un resultado significativo esta consulta debe realizarse cuando el Manager contenga un histórico de datos de al menos un mes.
Filenames
Mediante esta opción el usuario obtiene el nombre de un fichero a partir de un hash. Esto simplifica la identificación de un fichero concreto que haya aparecido bajo el mismo nombre.
Analysis
Al seleccionar la opción Analysis el usuario visualiza un completo resumen sobre el estado del fichero.
En la pantalla de Analysis se muestra la siguiente información:
Status
En este apartado se muestra el progreso del análisis del fichero y la información correspondiente a los servicios externos de reputación.
Es posible descargar el fichero que se está analizando mediante la opción Download File.
Loaders
En este apartado se muestra con mayor grado de detalle el proceso y resultado del análisis realizado por los diferentes cargadores o servicios de reputación.
Es posible realizar la descarga del histórico del fichero en formato JSON.
Evolution
Show Evolution muestra la evolución temporal de los diferentes eventos recogidos por cada uno de los sensores que se encuentran registrados en el Manager.
En la parte superior de la pantalla encontramos una representación gráfica de esta evolución sobre una línea de tiempo. Dependiendo del volumen de los círculos se habrán registrado mayor o menor número de eventos para un periodo de tiempo determinado.
En la parte inferior se ofrece un resumen detallado de cada uno de los eventos por sensor especificando el score asignado para el objeto que se está analizando, el sensor, SRC Address, DST Address, el email emisor, los emails receptores y el número de eventos generados por ese objeto (en la imagen se trata de eventos registrados para una URL).
Propagation
Al seleccionar la opción Show Propagation accedemos a una interfaz en la que se nos muestra de manera gráfica la propagación de ese objeto (en la imagen URL) a través de las IPs o Emails de nuestra organización.
Haciendo clic en alguno de los nodos que se muestran (IPs/emails de origen y de destino) se visualiza en la parte inferior un resumen de todos los eventos generados por ese objeto en el periodo de tiempo seleccionado.
