Mostrar la información de las entidades de interés

Las entidades de interés contienen la información que Advanced EDR utilizó para construir las señales, así como otros detalles derivados del análisis realizado por el software de seguridad.

Para obtener el listado de entidades de interés de un incidente:

• Selecciona Estado en el menú superior.

• En el panel lateral, haz clic en Añadir. Se mostrarán la ventana Añadir listado con los listados disponibles.

• Selecciona incidentes. Se abrirá el listado Nuevo listado de incidentes.

• Configura los filtros del listado. Consulta Herramienta de filtrado.

• Haz clic en Lanzar la consulta. Se mostrarán los incidentes que coinciden con el criterio de filtrado que has configurado.

• Haz clic en el incidente. Se abrirá una ventana con el incidente.

• Comprueba que no hay ninguna señal seleccionada en el panel izquierdo. Para quitar la selección haz clic en la señal. El panel de la derecha se actualizará con la información del incidente.

• Selecciona ENTIDADES DE INTERES. Consulta Tipos de entidades de interés.
  

• 

  Listado de entidades de interés

Tipos de entidades de interés

• Equipo:

  • Para copiar en el portapapeles el nombre del equipo, haz clic en y selecciona Copiar al portapapeles en el menú desplegable.

  • Para obtener los detalles de la configuración de un equipo, haz clic en y selecciona Detalles del equipo en el menú desplegable. Consulta Detalles del equipo.

  • Para acceder a los detalles de los eventos registrados en el equipo con la consola de investigación, haz clic en y selecciona Investigar equipo en el menú desplegable. Consulta Estructura de la consola de investigación.

  • Para obtener información de los eventos registrados en el equipo mediante a preguntas y respuestas interactivas, haz clic en y selecciona Investigación asistida. Consulta Estructura de una investigación asistida y Tipos de preguntas en una investigación asistida.

• Usuario:

  • Para copiar en el portapapeles el nombre de la cuenta del usuario, haz clic en y selecciona Copiar al portapapeles en el menú desplegable.

• Fichero:

  •  Para copiar en el portapapeles el nombre del fichero, haz clic en y selecciona Copiar al portapapeles.

  • Para obtener la información estática del fichero, selecciona Mostrar información estática. Consulta Información estática de un fichero.

Información estática de un fichero

Como parte del proceso de análisis y clasificación, Advanced EDR envía automáticamente a los servidores de Cytomic los ficheros binarios que encuentra en el equipo del usuario, y extrae su información estática.

Si Advanced EDR no encuentra los ficheros solicitados en el servidor de Cytomic o no ha completado su análisis , mostrará un mensaje indicando al administrador que vuelva a intentar la operación unos minutos más tarde.

La información estática de un fichero contiene:

• Cabecera:

  • Nombre del fichero: nombre y tamaño del fichero.

  • Signed: el fichero está firmado digitalmente.

  • Company: nombre de la empresa que creó el fichero, correspondiente al campo CompanyName de la sección de Recursos VERSION_INFO del fichero.

  • File Version: versión del fichero correspondiente al campo FileVersion de la sección de Recursos VERSION_INFO del fichero.

  • Description: descripción del fichero correspondiente al campo FileDescription de la sección de recursos VERSION_INFO del fichero.

  • MD5: hash MD5 del fichero.

  • Path: ruta del fichero.

  • Machine name: nombre del equipo donde se encontró el fichero.

  • Timestamp: fecha y hora en al que se ejecutó el fichero.

• Menú de selección:

  • File capabilities: técnica, táctica y descripción de las funcionalidades detectadas en el fichero.

  • Strings: cadenas de caracteres encontradas en el fichero.

  • Sections: muestra las diferentes secciones que componen el fichero binario. Para más información consulta https://learn.microsoft.com/en-us/archive/msdn-magazine/2002/february/inside-windows-win32-portable-executable-file-format-in-detail y https://learn.microsoft.com/en-us/archive/msdn-magazine/2002/march/inside-windows-an-in-depth-look-into-the-win32-portable-executable-file-format-part-2.

  • Imports: funciones que importa el fichero para poderse ejecutar.

  • Exports: funciones que exporta el fichero.