Introducción a las señales e incidentes

Esta sección incluye los conceptos que necesitas para conocer los procesos involucrados en la creación de incidentes, y ejecutar acciones (automáticas y manuales) para resolverlos.

Evento

Acción relevante ejecutada por un proceso en el equipo del usuario y monitorizada por Advanced EDR. Los eventos se envían a la nube de Cytomic en tiempo real como parte del flujo de telemetría. Las tecnologías avanzadas de análisis automático, los analistas y threat hunters los analizan en su contexto para determinar si son susceptibles de pertenecer a una señal.

Señal

Representa una secuencia de eventos poco frecuentes detectados en un equipo con sistema operativo Windows, y que indican un suceso importante. Cytomic evalúa la severidad de cada señal según el riesgo que represente para la seguridad de tu organización.

Advanced EDR genera automáticamente una señal cuando detecta alguno de los elementos siguientes :

• Malware, PUP o exploit. Consulta Protección avanzada.

• Ficheros desconocidos. Consulta Información de elementos bloqueados en clasificación.

• Ficheros detectados mediante políticas avanzadas. Consulta Políticas avanzadas de seguridad .

• Aplicaciones identificadas mediante una configuración de seguridad avanzada o una configuración de bloqueo de programas. Consulta Configuración del bloqueo de programas.

• Ataques de red. Consulta Protección contra ataques de red.

• Drivers vulnerables. Consulta Anti-exploit.

• Indicadores de ataque. Consulta Gestión de detecciones de indicadores de ataque.

Incidente

Es una agrupación de señales relacionadas con alta probabilidad de pertenecer a un ataque informático.

Un incidente agrupa las señales que encuentra en un mismo equipo de la infraestructura IT para facilitarte su identificación, gestión y resolución.

Los incidentes son entidades dinámicas. Advanced EDR puede añadir señales a un incidente hasta 7 días despues de su creación. También puedes modificar un incidente añadiendo o eliminando señales manualmente.

Para facilitar la gestión de incidentes, Advanced EDR asocia a cada uno de ellos un estado, que puedes modificar:

• Pendiente: comprueba que el ataque es real y toma las medidas necesarias para mitigarlo. Todos los incidentes nuevos se crean con el estado pendiente asignado.

• Cerrado: has investigado el incidente y completado las acciones de resolución, o no han sido necesarias por tratarse de un falso positivo.

Advanced EDR asocia un riesgo a los incidentes y a las señal. El riesgo de un incidente es el riesgo mayor de todas las señales que lo conforman:

• Crítico: riesgo 9 y 10

• Alto: riesgo 7 y 8

• Medio: riesgo 4, 5 y 6

• Bajo: riesgo 1,2 y 3

• Sin riesgo: sin riesgo

Entidades de interés

Son los elementos de tu infraestructura IT que están directamente involucrados o se han visto afectados por un incidente:

• Equipo: estación de trabajo o servidor donde se detecta el incidente o dispositivo remoto relacionado.

• Usuario: cuenta de usuario que lanzó alguno de los procesos relacionado con el incidente o es propietaria de alguno de los ficheros relacionados con el incidente.

• Fichero: fichero accedido (creado, modificado o borrado) por alguno de los procesos relacionados con el incidente.

TTPs (Tácticas, Técnicas y Procedimientos)

Los TTPs describen cómo actúan los atacantes en un ciberataque en el marco MITRE ATT&CK®, una referencia global del comportamiento de los adversarios.

• Táctica: El objetivo general del atacante.

• Técnica: El método específico usado para lograr una táctica.

• Procedimiento: La implementación concreta de esas técnicas.

Los TTPs te muestran cómo se comportan los atacantes y cómo detectar y mitigar sus acciones. A diferencia de los indicadores simples (como IPs o nombre de fichero), los TTPs te dan una visión más profunda y detallada de la forma de operar del adversario.