Detalle de la información de una señal
Advanced EDR muestra información de las señales que muestra en:
-
Los listados de señales cuando añades una señal manualmente. Consulta Añadir señales al incidente.
-
En el panel derecho del incidente, cuando seleccionas una señal. Consulta Mostrar la información de una señal.
El panel derecho muestra los campos de la señal divididos en secciones:
-
Información general: información común a todas las señales, como el equipo donde se detectó, la fecha y hora de la detección, o si accedió a datos o se comunicó con el exterior, entre otros.
-
Detalles de la amenaza: disponible en las señales que se generan ante una detección de malware, PUP, exploit o driver vulnerable, entre otros.
-
Evento relacionado: información de los eventos que provocaron la creación de la señal.
-
Info de reclasificación: información de clasificación de un elemento desconocido.
-
Datos de la evidencia: información del contexto en el que se produce un indicador de ataque. Consulta Gestión de detecciones de indicadores de ataque.
-
Info de exploit: información del contexto en el que detecta un ataque de tipo exploit.
-
Info de Net Attack: información del equipo remoto que realiza un ataque de red.
Descripción de los campos de una señal
Solo se muestran los campos que contienen información para cada tipo de señal almacenada.
| Campo | Descripción |
|---|---|
|
Información general |
|
|
Fecha y Hora |
Fecha y hora en la que se creó la señal. |
|
Nombre |
Nombre de la señal. |
|
Hunting rule |
Identificador de la regla de hunting que Advanced EDR utilizó para detectar el patrón de eventos que genera la señal. |
|
Severidad |
|
|
Nombre de host |
Nombre del equipo donde se detectó la señal. |
|
MUID |
Identificador del equipo donde se detectó la señal. |
|
Acción |
Tipo de acción realizada por el agente Advanced EDR, por el usuario o por el proceso afectado. Consulta Campo Action. |
|
Tecnología |
Tecnología del agente Advanced EDR que provocó la señal. Consulta Campo Winningtech. |
|
Modo de configuración |
Modo de ejecución del agente. Consulta Campo Servicelevel. |
|
Acceso a datos |
La señal accedió a algún fichero del equipo o al registro de Windows. |
|
Comunicación |
La señal se comunicó con dispositivos externos. |
|
IP remota |
Dirección IP del equipo remoto. |
|
Nombre de máquina remota |
Nombre del equipo remoto. |
|
Nombre de usuario remoto |
Nombre de la cuenta de usuario remota. |
|
Usuario logueado |
Nombre de la cuenta de usuario que inicio sesión en el equipo. |
|
Id del árbol de procesos |
Identificador del árbol de procesos al que pertenece la señal. |
|
Id de la sesión |
Identificador de la sesión en el equipo de los procesos que pertenecen a la señal. |
|
Id del hilo |
Identificador de un hilo de un proceso que pertenece la señal. |
|
Detalles de la amenaza |
|
|
Nombre de la amenaza |
Nombre del malware si ha sido identificado. |
|
Path |
Ruta del fichero que contiene la amenaza. |
|
Fichero |
MD5 del fichero que contiene la amenaza. Para obtener información estática del fichero haz clic en Mostrar información estática. Consulta Mostrar la información de las entidades de interés. |
|
Detección |
Identificador interno de la detección. |
|
Evento relacionado |
|
|
Tipo de evento |
|
|
Fecha y Hora |
Fecha y hora en la que se registró el evento. |
|
Path |
Ruta del fichero involucrado en el evento. |
|
Fichero |
MD5 del fichero involucrado en el evento. Para obtener información estática del fichero haz clic en Mostrar información estática. Consulta Mostrar la información de las entidades de interés. |
|
Commandline |
Linea de comandos registrada. |
|
Verificado |
El elemento es seguro (está clasificado como goodware). |
|
Acción pasiva |
La acción está registrada de forma pasiva o activa. |
|
Acción |
Acción en activa o pasiva registrada por el proceso. Consulta Acción. |
|
Info de reclasificación |
|
| MD5 |
MD5 del fichero reclasificado. Para obtener información estática del fichero haz clic en Mostrar información estática. Consulta Mostrar la información de las entidades de interés. |
|
Fecha de importación |
Fecha en la que se envío el fichero a Cytomic para su clasificación. |
|
Fecha de reclasificación |
Fecha en la que se terminó la clasificación. |
|
Reclasificado a |
Categoría del elemento reclasificado:
|
|
Detección |
Identificador interno de la detección. |
|
Tipo de malware |
|
|
Info de Net Attack |
|
|
IP de origin |
Dirección IP del equipo que realizó el ataque de red. |
|
Puerto de origen |
Puerto desde donde el equipo realizó el ataque de red. |
|
IP de destino |
Dirección IP del equipo que recibe el ataque de red. |
|
Puerto de destino |
Puerto en el que se detecta el ataque de red. |
|
Ocurrencias |
Numero de detecciones registradas con el mismo tipo de ataque y la misma IP de origen en una hora. |
|
Detección |
Identificador interno de la detección. |
|
Datos de la evidencia |
|
| Path del fichero padre |
Nombre y ruta del fichero padre. |
| Nombre del fichero padre | Nombre del fichero padre. |
| MD5 del padre | MD5 del fichero padre. |
|
PID del padre |
Identificador del proceso padre. |
| Path del fichero hijo |
Nombre y ruta del fichero hijo. |
| Nombre del fichero hijo | Nombre del fichero hijo. |
| MD5 del hijo | MD5 del fichero hijo. |
|
PID del hijo |
Identificador del proceso hijo. |
|
Acción |
|
| Usuario logueado |
Nombre de la cuenta de usuario que inicio sesión en el equipo. |
|
Commandline |
Linea de comandos que ejecuto el proceso. |
|
Id de la regla |
Identificador interno de la hunting rule que detectó la señal. |
|
Tipo de la regla |
|
|
Id del IoA |
Identificador interno del indicador de ataque |
|
Info de Exploit |
|
|
Tipo de exploit |
Origen del ataque:
|
|
Uris |
Lista de URLs accedidas en el momento en el que se detectó un exploit que llega por el navegador. |
|
Files |
Lista de ficheros accedidos en el momento en el que se detectó un exploit que llega por un fichero. |
|
Version |
Contenido del campo Version de los metadatos del fichero. |
|
Vulnerable |
La aplicación está clasificada como vulnerable. |