Paneles/Widgets del módulo de seguridad
Advanced EDR muestra mediante widgets el estado de la seguridad del parque informático, o de un equipo concreto:
-
Parque informático: haz clic en el menú superior Estado y en el menú lateral Seguridad
.Se mostrarán los contadores relativos a la seguridad de los equipos visibles para el administrador. Consulta Gestión de roles y permisos para establecer los grupos de equipos que serán visibles para la cuenta que accede a la consola de administración, e Icono Filtro por grupo para restringir la visibilidad de los grupos ya establecida en el rol. -
Equipo: haz clic en el menú superior Equipos, elige un equipo de la red y haz clic en la pestaña Detecciones. Se mostrarán los contadores relativos a la seguridad del equipo seleccionado. Consulta Sección Detecciones (4) en Windows, Linux y macOS.
A continuación, se detallan los distintos widgets implementados en el dashboard de Advanced EDR, las distintas áreas y zonas activas incorporadas y los tooltips y su significado.
Estado de protección
Muestra los equipos donde Advanced EDR funciona correctamente y aquellos con errores y problemas en la instalación o en la ejecución del módulo de protección. El estado de los equipos es representado mediante un círculo con distintos colores y contadores asociados.
En la parte inferior del widget se indica el número de equipos que se encuentran en modo auditoría, si los hubiera. Para más información, consulta Modo auditoría
La suma de los porcentajes de las diferentes series puede resultar más de un 100% debido a que los estados no son mutuamente excluyentes, y un mismo equipo puede encontrarse en varias series a la vez.
El panel representa en porcentaje y de forma gráfica los equipos que comparten un mismo estado.
Descripción de las series
| Serie | Descripción |
|---|---|
|
Correctamente protegido |
Porcentaje de equipos en los que Advanced EDR se instaló sin errores y su ejecución no presenta problemas. |
|
Instalando... |
Porcentaje de equipos en los que Advanced EDR se encuentra en proceso de instalación. |
|
Sin licencia |
Equipos sin protección por la falta de suficientes licencias, o por no haberse asignado una licencia disponible. |
|
Protección desactivada |
|
|
Protección con error |
Equipos con Advanced EDR instalado cuyo módulo de protección no responde a las peticiones desde los servidores de Cytomic. |
|
Error instalando |
Equipos cuya instalación no se pudo completar. |
|
Parte central |
Equipos con un agente Cytomic instalado. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en Zonas activas del panel Estado de protección para abrir el listado Estado de protección de los equipos con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Estado de protección = Correctamente protegido. |
|
(2) |
Estado de protección = Instalando… |
|
(3) |
Estado de protección = Protección desactivada. |
|
(4) |
Estado de protección = Protección con error. |
|
(5) |
Estado de protección = Sin licencia. |
|
(6) |
Estado de protección = Error instalando. |
|
(7) |
Sin filtro. |
Equipos sin conexión
Muestra los equipos de la red que no han conectado con la nube de Cytomic en un determinado periodo de tiempo. Estos equipos son susceptibles de tener algún tipo de problema y requerirán una atención especial por parte del administrador.
Descripción de las series
| Serie | Descripción |
|---|---|
|
72 horas |
Número de equipos que no enviaron su estado en las últimas 72 horas. |
|
7 días |
Número de equipos que no enviaron su estado en las últimas 7 días. |
|
30 días |
Número de equipos que no enviaron su estado en las últimas 30 días. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en Zonas activas del panel Equipos sin conexión para abrir el listado Equipos sin conexión con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Última conexión = Hace más de 72 horas. |
|
(2) |
Última conexión = Hace más de 7 días. |
|
(3) |
Última conexión = Hace más de 30 días. |
Protección desactualizada
Muestra los equipos cuya última versión del fichero de firmas instalada difiere en más de 3 días del fichero publicado por Cytomic. También muestra los equipos cuya versión del motor de protección difiere en más de 7 días del publicado por Cytomic. Por lo tanto, estos equipos pueden ser vulnerables frente a los ataques de amenazas.
Descripción de las series
El panel muestra el porcentaje y el número de equipos vulnerables por estar desactualizados, divididos en tres conceptos:
| Serie | Descripción |
|---|---|
|
Protección |
Desde hace 7 días el equipo tiene un motor de protección instalado anterior a la última versión publicada por Cytomic. |
|
Conocimiento |
Desde hace 3 días el equipo no se actualiza con el fichero de firmas publicado. |
|
Pendiente de reinicio |
El equipo requiere un reinicio para completar la actualización. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en Zonas activas del panel Protección desactualizadapara abrir el listado Estado de protección de los equipos con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Protección actualizada = No. |
|
(2) |
Conocimiento = No. |
|
(3) |
Protección actualizada = Pendiente de reinicio. |
Actividad de malware / PUP
Muestra las incidencias detectadas en los procesos ejecutados por los equipos de usuario y servidores Windows, así como en sus sistemas de ficheros. Estas incidencias son reportadas por el análisis en tiempo real.
Cuando en alguno de los equipos sobre los que el administrador tiene visibilidad se produce una infección al copiar un fichero alojado en otro equipo de la red, se muestran la IP origen de la infección y el número de veces que esta IP ha sido origen de alguna detección (entre paréntesis). Haz clic en el enlace de la IP para acceder al listado Actividad del Malware. Consulta Actividad de malware / PUP.
Para evitar la aparición de muchas repeticiones de una misma amenaza, Advanced EDR muestra como máximo 2 incidencias cada 24 horas por cada tipo de malware encontrado en cada equipo. Además, para registrar la segunda incidencia, debe haber transcurrido al menos 5 minutos desde la primera.
Para algunos tipos de malware específicos, Advanced EDR genera un máximo de 5 incidencias cada 24 horas por cada tipo de malware encontrado en cada equipo.
Descripción de las series
| Serie | Descripción |
|---|---|
|
Número de incidencias |
Número de incidencias / avisos en Número de equipos detectadas. |
|
Acceso a datos |
Número de avisos que incluyen uno o varios accesos a información del usuario contenida en el disco duro de su equipo. |
|
Conexiones exteriores |
Número de avisos que establecieron conexiones con otros equipos. |
|
Ejecutado |
Número de muestras malware que se llegaron a ejecutar. |
|
Amenazas copiadas desde equipos de la red |
Dirección IP origen de la amenaza y número de veces que esta dirección ha sido origen de detección. |
Actividad de malware, Actividad de PUPs y Actividad de exploits muestran datos con un intervalo máximo de 1 mes. En el caso de que el administrador establezca un periodo de tiempo mayor, se mostrará un texto explicativo en la parte superior del panel.
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en Zonas activas del panel Actividad de malware / PUP para abrir el listado Actividad del malware y PUPs con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Tipo de amenaza = (Malware O PUP). |
|
(2) |
Acceso a datos = Verdadero. |
|
(3) |
Conexiones externas = Verdadero. |
|
(4) |
Ejecutado = Verdadero. |
Actividad de exploits
Advanced EDR muestra incidencias en el panel Actividad de exploits cuando detecta ataques por explotación de vulnerabilidades en los equipos Windows de la red del cliente.
Para evitar la aparición de muchas repeticiones de una misma amenaza, Advanced EDR muestra como máximo 10 incidencias cada 24 horas por cada tipo de amenaza encontrada en cada equipo .
Descripción de las series
| Serie | Descripción |
|---|---|
|
Número de incidencias / ataques |
Número de incidencias / ataques en Número de equipos detectadas. |
Filtros preestablecidos desde el panel
Al hacer clic en cualquier zona del widget se mostrará el listado Actividad de exploits filtrado por el último mes.
Actividad de ataques de red
Muestra el número de incidencias de Protección contra ataques de red en equipos Windows de la red y el número de equipos en los que se han detectado.
Advanced EDR muestra una incidencia por cada grupo de ataques del mismo tipo recibidos durante el intervalo de una hora y que tengan como destino una misma IP.
Para más información sobre los tipos de ataques de red detectados consulta https://www.pandasecurity.com/es/support/card?id=700145.
Descripción de las series
| Serie | Descripción |
|---|---|
|
Número de incidencias |
Número de incidencias detectadas. |
|
Equipos |
Número de equipos en los que se han detectado o bloqueado ataques de red. |
Filtros preestablecidos desde el panel
Al hacer clic en cualquier zona del widget se mostrará el listado Actividad de ataques de red filtrado por los últimos 7 días.
Clasificación de todos los programas ejecutados y analizados
Localiza de forma rápida el porcentaje de aplicaciones goodware y malware vistas y clasificadas en la red del cliente, para el intervalo de tiempo establecido por el administrador.
Descripción de las series
El panel consta de cuatro barras horizontales junto al número de eventos asociado y el porcentaje sobre el total.
Este panel muestra datos de elementos clasificados para todo el parque informático, y no solo de aquellos equipos sobre los cuales el administrador tenga permisos según sus credenciales de acceso a la consola. Los elementos no clasificados no se muestran en este panel.
| Serie | Descripción |
|---|---|
|
Aplicaciones confiables |
Aplicaciones vistas en el parque del cliente que han sido analizadas y su clasificación ha sido goodware. |
|
Aplicaciones maliciosas |
Programas que han intentado ejecutarse o han sido analizados en el parque del cliente, y han sido clasificadas como malware o ataques dirigidos. |
|
Exploits |
Número de intentos de explotación de aplicaciones detectados en la red. |
|
Aplicaciones potencialmente no deseadas |
Programas que han intentado ejecutarse o han sido analizados en el parque del cliente, y han sido clasificadas como malware de tipo PUP. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en Zonas activas del panel Clasificación de todos los programas ejecutados y analizados para abrir diferentes listados sin filtros preestablecidos:
| Zona activa | Filtro |
|---|---|
|
(1) |
Listado Actividad del malware. |
|
(2) |
Listado Actividad de exploit. |
|
(3) |
Listado Actividad de PUPs. |
Detecciones mediante políticas avanzadas de seguridad
Muestra los bloqueos de ejecución de scripts sospechosos y programas desconocidos que utilizan técnicas avanzadas de infección.
Advanced EDR muestra incidencias en el panel Detecciones mediante políticas avanzadas de seguridad cuando detecta actividad sospechosa en la red del cliente.
Agrupación de detecciones
Para evitar la aparición de muchas repeticiones de una misma detección, Advanced EDR muestra la primera detección sin agrupar, y agrupa en un único registro el resto de detecciones del mismo tipo al finalizar cada hora.
Para saber si dos detecciones son del mismo tipo, Advanced EDR crea una clave para cada detección con los datos siguientes:
-
Identificador del equipo
-
Regla de la política avanzada de seguridad que generó la detección
-
MD5 del elemento involucrado en la detección para las reglas:
-
Scripts desconocidos
-
Programas compilados localmente
-
Documentos con macros
-
Registro para arranque al inicio de Windows
-
Bloquear programas
-
Descripción de las series
| Serie | Descripción |
|---|---|
|
Detecciones |
Número de detecciones totales efectuadas por las políticas de seguridad avanzadas. |
|
PowerShell con parámetros sospechosos |
Número de veces que el intérprete Powershell recibe parámetros sospechosos que pueden derivar en la ejecución de operaciones peligrosas en el equipo protegido. |
|
PowerShell ejecutado por el usuario |
Número de veces que se intenta ejecutar un script PowerShell monitorizado por una cuenta de tipo interactivo, y por tanto susceptible de ejecutar operaciones peligrosas en el equipo protegido. |
|
Script desconocido |
Número de veces que se intenta ejecutar un script que todavía no han sido clasificado por la inteligencia de seguridad de Cytomic. |
|
Programa compilado localmente |
Número de veces que se intenta ejecutar un programa desconocido por la inteligencia de seguridad de Cytomicpor haber sido compilado en el equipo del usuario. |
|
Documento con macros |
Número de veces que se intenta abrir un documento de tipo ofimático que incorpora macros. |
|
Registro para arranque al inicio de Windows |
Número de veces que un programa intenta añadir una rama en el registro que le permite ganar persistencia en el equipo para cargarse junto al sistema operativo en cada reinicio. |
|
Bloqueos de programas por MD5 |
Número de veces que un programa es bloqueado por pertenecer a la lista de MD5s bloqueados establecida por el administrador. |
|
Bloqueos de programas por nombre |
Número de veces que un programa es bloqueado por pertenecer a la lista de nombres de programas establecida por el administrador. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en Zonas activas del Panel Detecciones mediante políticas avanzadas de seguridad para abrir el listado Bloqueos por políticas avanzadas de seguridad con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Sin filtro. |
|
(2) |
Política aplicada = Script desconocido. |
|
(3) |
Política aplicada = PowerShell con parámetros sospechosos. |
|
(4) |
Política aplicada = Documento con macros. |
|
(5) |
Política aplicada = Programa compilado localmente. |
|
(6) |
Política aplicada = Bloqueos de programas por MD5. |