10.5. Vistas: múltiples opciones para visualizar los datos

Las vistas ofrecen múltiples perspectivas para la visualización de los datos asociados al tráfico de red.

Nota

Recuerde que en la sección Dashboard puede crear widgets personalizados para cada tipo de App indicando un tipo de vista para la visualización de los eventos.

Las vistas que se encuentran disponibles para Malware son las siguientes:^[16]

Raw: vista de la totalidad de datos de los eventos en bruto, clasificados por atributos y franjas de tiempo.
Tops: agregación de eventos en base a una unidad para mostrar los más destacados. Suma el total de datos de diferentes eventos para mostrarlo como uno único.
Compare: comparación de intervalos de tiempo para analizar diferencias en el estado de la red.
Unique: muestra los elementos diferentes que ha interactuado con la red según atributo.

Vistas

Importante

Las opciones que se muestran en la pestaña Options y los atributos Add tab/Columns variarán según el tipo de vista elegida.

10.5.1. Raw

Esta vista nos ofrece los datos de los eventos en bruto, por tanto, visualizaremos la totalidad de eventos por atributo segmentados por franjas de tiempo.

En la tabla de datos recogerá, por tanto, todos los datos de los eventos clasificados por columnas. Los datos se muestran a nivel de pantalla, no obstante, si desea ver más, basta con hacer scroll y esperar a que se carguen más datos: Load more.

Para localizar rápidamente en la tabla la información de un evento basta con hacer clic sobre el flujo que se quiere consultar. Este quedará sombreado al igual que las filas correspondientes en la tabla de datos.

Vistas: Raw

Nota

Como se puede observar en la imagen, el tipo de gráfica ideal para la vista Raw es el de flujo de datos o Streams.

En la vista Raw los atributos se muestran en columnas.

Gestión de eventos Malware en la vista Raw

La vista Raw nos permite visualizar todos los eventos recogidos por los sensores Mail Gateway por atributo y segmentados por franjas de tiempo. Combinado con el tipo de gráfica Stream nos permite, además, visualizar el flujo de datos que se está produciendo dentro de la red.

Cada columna de la tabla de datos nos muestra los valores que corresponden con los atributos seleccionados, así como el intervalo de tiempo entre eventos (Timestamp).

En esta tabla podemos realizar diferentes acciones:

Intervalo de tiempo o Timestamp: podemos consultar el intervalo de tiempo que se toma como referencia para mostrar el número de eventos que se han producido en ese tiempo.
Consultar información del evento: haciendo clic sobre el icono de "Editar" para obtener una mayor granuralidad.
Cuando se ha llegado al límite de granuralidad en el que se pueden mostrar los eventos, este icono se transformará en el de información.
Nota
Recuerde que la granuralidad mínima disponible es de 1m.
Detalle Timestamp: información del evento
Al hacer clic sobre él accederemos a una pantalla en la que se nos proporciona la información completa asociada a cada uno de los eventos consignados en ese intervalo de tiempo:
- Email
- File
- Malware
- Network
Información del evento
Create object
Es posible crear un objeto a partir de las SRC Address y DST Address que se muestran en el apartado Network una vez se ha accedido a la información del evento.
Crear un objeto

^[16] Las vistas Analyze, State Changes e IOCs serán explicadas en el capítulo "Operativa básica de redborder Malware".