Diagramas de grafos

Para ver el detalle de un IOA, accede al listado Indicadores de ataque (IOA)y haz clic en el IOA. Consulta Acceso a los listados. Si el IOA tiene asociado un diagrama de grafos, se mostrará el botón Ver gráfica del ataque en su ventana de detalle.

Estructura de un diagrama de grafos

A continuación se muestran los paneles de información y herramientas de un diagrama de grafos.

Diagrama de grafos y herramientas

Panel informativo del elemento seleccionado (1): muestra información del nodo o de la linea seleccionada. Para obtener el significado de los campos incluidos, consulta Formato de los eventos utilizados en los indicadores de ataque (IOA).
Línea de tiempo (2): muestra un histograma de barras de color verde para representar el número de eventos registrados en cada momento. Permite ampliar o reducir el intervalo al que pertenecen los eventos mostrados. Para obtener información sobre cómo utilizar este recurso, consulta Línea de tiempo.
Barra de herramientas del grafo (3): permite modificar la forma en la que se visualiza el diagrama en la pantalla. Consulta Configuración del diagrama de grafos.
Diagrama (4): representación gráfica de un conjunto de eventos, que utiliza nodos y flechas para mostrar entidades y sus relaciones. Se indica mediante un número en cada flecha el orden en el que se ha registrado la creación de los eventos incluidos en el grafo.
Controles de la línea de tiempo (5): oculta, muestra o restaura la línea de tiempo. Consulta Línea de tiempo.

Configuración del diagrama de grafos

Para modificar el aspecto y la cantidad de información mostrada en un diagrama de grafos y acomodarlo a las necesidades del administrador, se implementan dos recursos principales:

La barra de herramientas del diagrama de grafos, accesible desde la parte izquierda de la pantalla.
Los menús contextuales , accesibles al hacer clic con el botón derecho del ratón sobre un nodo o sobre una agrupación de nodos.

Por defecto, el diagrama se muestra con orientación horizontal (6) y con un nivel de zoom suficiente para que todos los nodos sean visibles sin necesidad de desplazar la pantalla.

Barra de herramientas del diagrama de grafos

Para resaltar de un color diferente los nodos que cumplan con el patrón de búsqueda introducido y facilitar su localización en el diagrama, haz clic en el icono (1).
Para deshacer la última acción ejecutada sobre el diagrama, haz clic en el icono (2).
Para rehacer la última acción desechada del diagrama, haz clic en el icono (3).
Para ampliar el diagrama haz clic en el icono (4).
Para alejar el diagrama haz clic en el icono (5).
Para restaurar la configuración del nivel de zoom al establecido inicialmente, haz clic en el icono (6).
Para cambiar la orientación del diagrama a horizontal, haz clic en el icono (7).
Para cambiar la orientación del diagrama a vertical, haz clic en el icono (8).
Para cambiar la orientación del diagrama de forma que los nodos se distribuyan libremente aprovechando el espacio disponible, haz clic en el icono (9).
Para mostrar u ocultar las distintas capas de información incluidas en el grafo (10) consulta Ocultar y mostrar capas.

Barra de herramientas

Menús de contexto

Al hacer clic con el botón derecho del ratón sobre un nodo o una agrupación, se muestra el menú de contexto. Las opciones que no es posible utilizar dependiendo del estado del nodo se deshabilitan, mostrándose con un color atenuado.

Menú de contexto

Ocultar y mostrar capas

Para ocultar parte de la información incluida en el grafo y mostrar sus características más relevantes del grafo, haz clic en el icono (10). Se mostrará un menú desplegable con las opciones:

Secuencia de ejecución: oculta o muestra la numeración de los eventos que determina el orden de ejecución en el equipo del usuario. Consulta Estilos de las flechas.
Nombres de la relaciones: oculta o muestra el nombre de los eventos. Consulta Formato de los eventos utilizados en los indicadores de ataque (IOA).
Nombres de las entidades.

Seleccionar nodos del diagrama

Para seleccionar un único nodo del diagrama: haz clic sobre el nodo con el botón izquierdo del ratón.
Para seleccionar varios nodos dispersos del diagrama: mantén presionada la tecla Control o Mayúsculas y haz clic sobre los nodos con el botón izquierdo del ratón.
Para seleccionar varios nodos contiguos del diagrama: mantén presionada la tecla Control o Mayúsculas, haz clic en una zona libre del diagrama y arrastra el ratón hasta abarcar los nodos a seleccionar.

Al seleccionar varios nodos del diagrama y hacer clic con el botón derecho del ratón, se muestran únicamente las opciones del menú de contexto comunes a todos los nodos seleccionados.

Mover y borrar nodos del diagrama

Para mover todos los nodos y líneas del diagrama:

Haz clic en un espacio libre y arrastra el ratón en la dirección apropiada.

Para mover un único nodo:

Selecciona el nodo y arrástralo en la dirección apropiada. Todas las líneas que conectan al nodo con sus vecinos se ajustarán a su nueva posición.

Para eliminar un nodo con el teclado:

Selecciona el nodo deseado y presiona la tecla Supr. Se mostrará un mensaje indicando el número total de nodos que se eliminarán del grafo: el propio nodo y todos sus descendientes.
Haz clic en el botón Aceptar.

Para eliminar un nodo con el ratón:

Haz clic con el botón derecho del ratón sobre el nodo a borrar. Se mostrará el menú de contexto.
Selecciona la opción Borrar (x). Se mostrará un mensaje indicando el número total de nodos que se eliminarán del grafo: el propio nodo y todos sus descendientes.
Haz clic en el botón Aceptar.

Para borrar varios nodos:

Selecciona los nodos a borrar y haz clic en cualquiera de ellos con el botón derecho del ratón. Se mostrará el menú de contexto.
Selecciona la opción Borrar (x). Se mostrará un mensaje indicando el número total de nodos que se eliminarán del grafo: los nodos seleccionados y todos sus descendientes.
Haz clic en el botón Aceptar.

Agrupar nodos

En los grafos que contienen una gran cantidad de elementos, el administrador puede agrupar nodos que guarden algún tipo de relación para simplificar el diagrama.

Las agrupaciones de nodos tienen dos estados:

Expandida: si muestra los nodos que la forman.
Colapsada: si oculta los nodos que la forman.

Una agrupación de nodos es una entidad por sí misma, con las siguientes características:

Las acciones aplicadas sobre un grupo de nodos afectan a todos los nodos que lo componen.
Se pueden agrupar nodos de diferentes tipos.
Eliminar una agrupación equivale a eliminar del grafo todos los nodos que la componen.
Al colapsar un grupo, todas las relaciones de sus miembros con nodos externos se representan como si estuvieran establecidas con la agrupación. Las flechas que reflejen relaciones de un mismo tipo (mismo tipo de evento) también se agrupan (consulta Información de una agrupación colapsada).
El espacio vacío de una agrupación expandida, representa al conjunto de nodos agrupados. Por ejemplo, para mostrar el menú de contexto de todos los nodos de una agrupación haz clic con el botón derecho del ratón en un espacio vacío de la agrupación expandida. De la misma forma, si seleccionas la opción Eliminar, borrarás todos los nodos que pertenecen a la agrupación.
Un nodo que pertenece a una agrupación expandida conserva el comportamiento normal de un nodo del grafo sin agrupar: se podrá mover de forma individual, mostrar su menú de contexto, borrar, etc.
Una agrupación puede estar formada solo por nodos, solo por grupos, o por una mezcla de ambos.

Para agrupar un conjunto de nodos:

Selecciona varios nodos del diagrama y haz clic con el botón de la derecha del ratón. Se abrirá el menú de contexto.
En el menú selecciona Agrupar. Se creará un rectángulo de agrupación que contiene los nodos agrupados.

Agrupación de nodos

Haz clic con el botón derecho del ratón en una zona despejada del rectángulo de agrupación. Se abrirá el menú de contexto de la agrupación.
En el menú selecciona Colapsar. Los nodos agrupados se sustituyen por un cuadrado de tamaño inferior y todas las relaciones de los nodos agrupados se mueven al cuadrado de agrupación.

Grupo de nodos colapsado

Para expandir un grupo de nodos colapsado:

Selecciona con el botón derecho del ratón el grupo de nodos colapsado. Se abrirá el menú de contexto.
Selecciona la opción Expandir. Los nodos colapsados se mostrarán junto al rectángulo de agrupación.

Para deshacer una agrupación de nodos:

Selecciona con el botón derecho del ratón el grupo de nodos. Se abrirá el menú de contexto.
Selecciona la opción Desagrupar. Los nodos agrupados se mostrarán en el grafo y el rectángulo de agrupación desaparecerá.

Información de una agrupación colapsada

Tipo de nodos agrupados

Una agrupación puede contener nodos clasificados como goodware, malware o sin clasificar. Esta situación se refleja en el color utilizado para representar la agrupación.

Color	Descripción
	Agrupación con elementos bloqueados.
	Agrupación con elementos clasificados como goodware.
Códigos de color utilizados en las agrupaciones

Número de nodos agrupados

En la esquina superior izquierda se muestra el número de nodos que se mostrarían en el diagrama en caso de que la agrupación no estuviera colapsada. Este número no tiene nada que ver con el número de nodos total (padres, hijos, etc) que puede contener la agrupación, ya que solo se cuentan los nodos que se han expandido previamente.

Buscar nodos

La barra de búsqueda permite resaltar los nodos que interesan al administrador y acceder de forma rápida a sus detalles.

Barra de búsqueda de grafos

(1): Haz clic para mostrar u ocultar la barra de búsqueda.
(2): Escribe la cadena de caracteres a buscar. La búsqueda se ejecuta en tiempo real sobre el nombre y el detalle de los nodos, y se excluye el contenido de las flechas. Para limpiar la búsqueda, haz clic en el icono .

Para evitar mostrar nodos huérfanos en los resultados de las búsquedas siempre se incluye el nodo padre, aunque no coincida con el patrón introducido.

(3): Limita las búsquedas en el grafo a determinados tipos de entidades. Para extender la búsqueda a más de un tipo de entidad, expande el desplegable y selecciona los tipos de entidad que deseas. Para volver a buscar en todos los tipos de entidad, haz clic en la opción Limpiar búsqueda. El operador lógico aplicado al establecer una búsqueda sobre varios tipos de entidad es OR.
(4) Limita las búsquedas en el grafo a las entidades que han sido clasificados por Advanced EDR a los valores indicados en el desplegable. Para extender la búsqueda a más de una clasificación, expande el desplegable y selecciona las clasificaciones que deseas. Para volver a buscar sin tener en cuenta la clasificación de las entidades, haz clic en la opción Limpiar búsqueda. El operador lógico aplicado al establecer una búsqueda sobre nodos con distintas clasificaciones es OR.
El operador lógico al definir a la vez una búsqueda por entidad y una búsqueda por clasificación es AND.
(5): Indica el número de nodos que coinciden con el patrón de búsqueda introducido. Cuando la herramienta de resaltado está activada (4), al hacer clic en el icono se muestra un desplegable:
- Seleccionar los nodos encontrados: selecciona los nodos que coinciden con el patrón de búsqueda introducido. Para mostrar el menú de contexto, haz clic con el botón derecho del ratón en cualquier elemento seleccionado.
- Seleccionar todos los nodos menos los encontrados: selecciona los nodos que no coinciden con el patrón de búsqueda introducido. Para mostrar el menú de contexto, haz clic con el botón derecho del ratón en cualquier elemento seleccionado.
(6): Resalta los elementos encontrados con el color amarillo.
(7): Oculta los elementos que no coinciden con el patrón de búsqueda introducido.

Las búsquedas realizadas sobre nodos agrupados expandidos se comportan de la forma indicada, pero si se trata de un grupo colapsado, tienen un comportamiento diferente:

Si la búsqueda se realiza en modo resaltado (4), se iluminará la agrupación si uno de los nodos que la componen coincide con la búsqueda. En caso contrario, la agrupación no se iluminará.
Si la búsqueda se realiza en modo ocultación (5), la agrupación se mostrará si por lo menos uno de los nodos que la componen coincide con la búsqueda. En caso contrario, la agrupación no se mostrará en el grafo.

Línea de tiempo

Controles de la línea de tiempo

La línea de tiempo permite atenuar los nodos y las relaciones que se registraron fuera del intervalo definido por el administrador. De esta manera, los eventos del océano de datos que no resultan de interés pasan a un segundo plano en el diagrama, y permiten al administrador centrarse en los más relevantes.

La línea de tiempo utiliza un histograma de barras de color verde situado en su parte inferior (2) para representar el número de eventos registrados en cada momento. Al pasar el puntero del ratón sobre las barras, se muestra una etiqueta que indica el número de eventos y la fecha en la que se registraron.

Para definir un intervalo mediante la línea de tiempo:

Haz clic en (1) y arrástralo hacia izquierda y derecha. El histograma se ampliará o reducirá para adaptarse al nuevo intervalo definido.
Se atenuarán los nodos y relaciones del diagrama de grafos que queden fuera del nuevo intervalo definido.

Para ocultar / mostrar la línea de tiempo:

Para eliminar el panel haz clic en Ocultar línea de tiempo.
Para volver a visualizar el panel haz clic en Mostrar línea de tiempo.
Haz clic en Reiniciar la línea de tiempo para restaurar la línea de tiempo a su configuración original.

Información contenida en diagramas de grafos

Los diagramas de grafos representan de forma gráfica el árbol de ejecución de un IOA, donde los nodos representan las entidades que participan en una operación (procesos, ficheros o destino de una comunicación u operación) y las flechas la operación propiamente dicha. Para ello se utilizan códigos de color, paneles y otros recursos que aportan información sobre las entidades representadas y sus relaciones.

Los recursos utilizados para reflejar la información son:

Colores de los nodos: indican la clasificación del elemento.
Iconos de los nodos: indican el tipo de elemento.
Iconos de estado: indican la acción que se ejecutó sobre el elemento.
Colores de las flechas: indican si el elemento fue bloqueado.
Estilos de las flechas: indican el número y el sentido de las acciones ejecutadas entre los dos nodos.
Etiquetas de las flechas: al hacer clic en ellas, muestran información en el panel de la derecha sobre la acción ejecutada por el proceso.
Etiquetas del nodo: al hacer clic en ellas, muestra información en el panel de la derecha sobre la entidad.

Colores de los nodos

Color	Descripción
	Elemento clasificado como malware.
	Elemento clasificado como PUP. Elemento clasificado como sospechoso. Elemento sin clasificar.
(Color Original)	Elemento clasificado como goodware.
Códigos de color utilizados en los nodos de un grafo

Iconos de los nodos

Icono	Descripción	Descripción
	Proceso. Si pertenece a un paquete de software conocido, se mostrará su icono.	Archivo comprimido
	Hilo remoto	Archivo ejecutable
	Librería	Archivo de tipo script
	Protección	Valor de la rama del registro Windows
	Carpeta	URL en una comunicación
	Archivo no ejecutable	Dirección IP en una comunicación
Códigos de color utilizados en los nodos de un grafo

Iconos de estado

Icono	Descripción	Descripción
	Fichero borrado	Fichero en cuarentena
	Fichero desinfectado	Proceso eliminado
Iconos utilizados para indicar el estado del nodo

Etiquetas de los nodos

Indican el nombre de la entidad. Al hacer clic sobre ellas, se muestra el panel derecho con los campos que las describen.

Colores de las flechas

Indican si Advanced EDR o Advanced EDR bloquearon la ejecución de la acción por haber clasificado al proceso como una amenaza.

Rojo: la acción fue bloqueada por el software de protección. Consulta el significado de las acciones siguientes en el campo action de Formato de los eventos utilizados en los indicadores de ataque (IOA).
- Block
- BlockTimeout
- BlockExploit
- BlockBL
- Disinfect
- Delete
- Quarantine
- KillProcess
- IPBlocked
Negro: la acción fue permitida.

Estilos de las flechas

Grosor de la flecha: representa el número de acciones de un mismo tipo ejecutadas entre un par de nodos. Cuanto mayor sea el número de acciones agrupadas, mayor será el grosor de la flecha dibujada. Al hacer clic en la flecha, el panel informativo mostrará la fecha en la que se ha producido la primera y la última acción de la agrupación.
Sentido de la flecha: refleja el sentido de la acción.
Numeración: cada flecha incluye un número que refleja el orden en el que se registró el evento al que representa.

Etiquetas utilizadas en las flechas

Indican el nombre de la acción ejecutada por el proceso. Al hacer clic en ellas, se muestra el panel derecho con los campos del evento registrado.

Niveles representados por defecto

Inicialmente se muestra como centro del diagrama el nodo que desencadenó la generación del IOA, junto a un subconjunto de nodos vecinos que lo rodean, de todos los registrados en el IOA:

3 niveles superiores de nodos: se muestran los nodos padres, abuelos y bisabuelos del nodo principal.
1 nivel inferior de nodos: se muestran los nodos hijos del nodo principal.

El número máximo de nodos del mismo nivel que se muestran es 25. Por encima de este número no se representarán nodos, para evitar la generación de gráficos muy sobrecargados.

Mostrar los nodos hijos

Si un nodo del grafo tiene nodos hijos ocultos, se indica con el icono en su parte inferior derecha. Para mostrar sus nodos hijos, haz clic sobre el nodo con el botón derecho del ratón. Se mostrará un menú de contexto. Dependiendo del tipo de nodo se mostrarán las siguientes opciones:

Mostrar padre: muestra los nodos padre del nodo seleccionado.
Mostrar toda su actividad (número): muestra todos los nodos hijos del nodo seleccionado, sin importar su tipo. El número máximo de nodos mostrados es 25. Se indica el número total de eventos que relacionan el nodo padre con sus hijos.
Mostrar hijos: muestra un desplegable con el tipo de nodos hijo a mostrar y el número de nodos de cada tipo:
- Archivos de datos: ficheros que contienen información de tipo no identificado.
- Archivos de script: ficheros con secuencias de comandos.
- Descargas: ficheros de datos descargados de la red.
- DNS: dominios que fallaron al resolver su IP.
- Entradas del registro de Windows
- Ficheros comprimidos
- Ficheros PE: ficheros ejecutables.
- Hilos remotos
- IPs: dirección IP del extremo de la comunicación.
- Librerías
- Procesos
- Protección: acción del antivirus.

Al seleccionar varios nodos del diagrama y hacer clic con el botón derecho del ratón se mostrarán únicamente las opciones del menú de contexto comunes a todos los nodos seleccionados.