Como se ha comentado en el capítulo "Plataforma web redborder" en el área de analítica encontramos las secciones correspondientes a la analítica de los eventos correspondientes a cada una de las Apps. A continuación se describe la estructura de esta interfaz y las diferentes opciones para la visualización de eventos Malware.
La sección de eventos Malware presenta una estructura similar a la descrita para la operativa de la plataforma web en general. De este modo, nos encontramos los siguientes elementos:
10.1.1. Opciones disponibles en el submenú de la sección Malware
Filters: (Filtros) permiten al usuario aislar una porción de información para conseguir mayor grado de detalle. En esta pestaña, el usuario podrá visualizar el número de filtros que se han aplicado y realizar acciones sobre los mismos:
-Advanced Search: Crear un filtro avanzado.
-Create an alarm: Crear una alarma en base a las condiciones de los filtros aplicados.
-Create a widget on: Crear un widget basado en los filtros aplicados y aplicarlo en un dashboard o informe.
Vistas: ofrece diferentes opciones de visualización de la información.
-Raw
-Compare
-Unique
-Analyze
-State Changes
-IOCs
Agregación: son los diferentes valores o unidades de medida en las que se pueden mostrar los datos.
-Events
-Files
Granuralidad: indica el grado de detalle temporal con el que es posible visualizar los datos. El mínimo valor de granularidad es un minuto.
Tipo de gŕafica: muestra los diferentes tipos de gráfica entre los que podemos elegir para mostrar los datos. Los tipos de gráficas disponibles varían según el tipo de vista seleccionada. Estos son los siguientes:
-Stacked
-Area
-Line
-Bars
-SBars
Opciones: en este apartado el usuario podrá realizar diferentes acciones para la gestión de los datos que se muestran en esta sección. Las opciones varían según el tipo de vista seleccionada.
-Show Total: Mostrar Total.
-Export to CSV: Exportar a CSV.
-Time Machine: Máquina del tiempo.
-Save tab as default: Guardar pestañas como predeterminadas.
Atributos (Add Tab): Los eventos recibidos por el Manager están compuestos por duplas del tipo "columna:valor". Los valores que se indican en cada columna pueden entenderse como datos propios del evento que son los que realmente nos aportan información. Estos son llamados "atributos".
Los atributos pueden mostrarse de varias maneras: en forma de pestañas o de columnas. (Add tabs/Columns) dependiendo de la vista que estemos consultando.
10.1.2. Cuerpo de la pantalla: filtrado por rango de tiempo, pestañas de atributos y vistas
Filtrado por rango de tiempo: acceso directo a los eventos filtrados en base a un periodo de tiempo: última 1h., 2h., 3h., 12h., 24h., última semana, último mes, filtro personalizado.
Existe la posibilidad de seleccionar un rango de fechas diferente a las que se ofrecen por defecto. Dependiendo de las necesidades del usuario, podrá realizar una selección de tiempo personalizada a través de la opción Custom. Más adelante se especificará el procedimiento a seguir para realizar un filtro temporal personalizado.
Pestañas de atributos: clasifican la información que se va a analizar. Navegando por cada una de las pestañas podemos conocer los valores y gráficas asociados a los atributos que hayamos seleccionado.
El usuario puede variar el orden en el que se muestran las pestañas en cualquier momento. Para ello arrastrar la pestaña y soltar en la posición en la que se desea colocar.
Esta sección no se visualiza en la vista Raw.
Vista: en esta zona se muestran los datos según la vista y tipo de gráfica seleccionadas. Al posicionar el cursor sobre cualquiera de los puntos que componen la gráfica, aparece un cuadro de diálogo en el que se le muestra en detalle la información para ese instante de tiempo, agregación y atributo.
10.1.3. Resumen, buscador y tabla de datos
Resumen: bajo la gráfica, en algunas vistas, se encuentra un resumen relativo a todos los datos cargados que aparecen tanto en la vista como en la tabla de datos.
En este resumen se indican los siguientes datos:
Valor total de la agregación de todos los datos cargados
Valor total de la agregación de todos los datos cargados y seleccionados
Número de filas de datos cargadas
Porcentaje del valor agregado de los datos cargados sobre el total de datos.
Buscador: permite realizar una búsqueda por atributo. Las búsquedas se convierten en filtros automáticamente tal y como veremos más adelante.
Tabla de datos: muestra los valores clasificados por tipo de atributo seleccionado.
Para el análisis aislado de uno o más elementos de esta barra (seleccionar como filtro), es necesario hacer clic sobre el elemento que desea filtrar. Para selección múltiple basta con mantener pulsada la tecla Shift.
Al posicionar el ratón sobre cualquiera de los elementos de la tabla de datos visualizaremos un menú que muestra las diferentes acciones que se pueden realizar sobre ese elemento. Para más información consulte el capítulo Operativa básica de redborder Malware.
