Detalle de los programas bloqueados

Advanced EDR muestra el detalle extendido de los programas cuando son bloqueados por alguna de las tecnologías de detección avanzada soportadas:

Detección de malware o PUP.
Detección de exploits.
Bloqueo de programas por políticas avanzadas de seguridad.
Bloqueo de programas desconocidos en clasificación.

Detección del malware

Acceso a la ventana Detalle del malware y Detalle de PUP

Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana con los listados disponibles.
Haz clic en e listado Actividad del malware o PUPs
Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como malware o PUP.
Haz clic en un elemento. Se mostrará la ventana Detección de malware o Detección de PUP.

O bien:

Haz clic en el menú superior Estado, panel lateral Seguridad. Se mostrarán los widgets asociados a los módulos de seguridad.
Haz clic en los widgets Actividad de malware o Actividad de PUP.
Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como malware o PUP.
Haz clic en un elemento. Se mostrará la ventana Detección de malware o Detección de PUP.

La ventana de detalle se divide en varias secciones:

Información general.
Equipo afectado.
Impacto de la amenaza en el equipo.
Origen de la infección.
Apariciones en otros equipos.

Información general

Campo	Descripción	Valores
Amenaza	Nombre de la amenaza y hash que la identifica.	Tipo y nombre de la amenaza Hash
Acción	Tipo de acción que Advanced EDR ha ejecutado sobre el elemento. Movido a Cuarentena: el fichero que se ha movido a cuarentena. Bloqueado: el proceso fue bloqueado antes de su ejecución. Eliminado: el fichero se ha eliminado. Detectado: el proceso fue detectado pero no bloqueado por estar la protección avanzada configurada en modo Audit. Permitido (modo auditoría): se informó al usuario de que el malware había realizado acciones sospechosas. Al estar el modo auditoría activado, las amenazas se detectan pero no se bloquean ni eliminan. Consulta Modo auditoría	Enumeración Consulta Permitir y volver a impedir la ejecución de elementos para obtener información de como gestionar los bloqueos de la amenazas detectadas. Consulta Restaurar elementos de cuarentena.
Campos de la sección Información general en Detección de malware

Campo

Descripción

Valores

Amenaza

Nombre de la amenaza y hash que la identifica.

Tipo y nombre de la amenaza
Hash

Acción

Tipo de acción que Advanced EDR ha ejecutado sobre el elemento.

Movido a Cuarentena: el fichero que se ha movido a cuarentena.
Bloqueado: el proceso fue bloqueado antes de su ejecución.
Eliminado: el fichero se ha eliminado.
Detectado: el proceso fue detectado pero no bloqueado por estar la protección avanzada configurada en modo Audit.
Permitido (modo auditoría): se informó al usuario de que el malware había realizado acciones sospechosas. Al estar el modo auditoría activado, las amenazas se detectan pero no se bloquean ni eliminan. Consulta Modo auditoría

Enumeración

Consulta Permitir y volver a impedir la ejecución de elementos para obtener información de como gestionar los bloqueos de la amenazas detectadas.

Consulta Restaurar elementos de cuarentena.

Campos de la sección Información general en Detección de malware

Equipo afectado

Consulta Gestión de amenazas, elementos en clasificación y cuarentena para obtener información sobre las acciones que el administrador puede ejecutar sobre los elementos encontrados.

Campo	Descripción
Equipo	Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.
Visualizar parches disponibles	Si el módulo Cytomic Patch está activado muestra los parches y actualizaciones pendientes de instalar en el equipo.
Usuario logueado	Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.
Ruta de detección	Ruta del sistema de ficheros donde reside la amenaza.
Campos de la sección Equipo afectado en Detección de malware, PUP y programas bloqueados en clasificación

Impacto de la amenaza en el equipo

Campo	Descripción
Amenaza	Nombre de la amenaza detectada y cadena resumen de identificación del archivo (hash). Haz clic en los dos botones para ampliar información en Internet mediante el buscador Google y la web de Virustotal. Si la amenaza es de reciente aparición se mostrará la leyenda Nueva amenaza.
Actividad	Resumen de las acciones más importantes ejecutadas por el malware: Se ha ejecutado Ha accedido a datos Ha intercambiado datos con otros equipos Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones. Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución.
Fecha de detección	Fecha en la que Advanced EDR detectó la amenaza en la red del cliente.
Tiempo de exposición	Tiempo que la amenaza ha permanecido sin clasificar en la red del cliente.
Campos de la sección Impacto de la amenaza en el equipo en Detección de malware, PUP y programas bloqueados en clasificación

Origen de la infección

Campo	Descripción
Equipo origen de la amenaza	Si el intento de infección viene de un equipo de la red del cliente, indica el nombre del equipo.
IP origen de la amenaza	Si el intento de infección viene de un equipo de la red del cliente, indica la dirección IP del equipo.
Usuario origen de la amenaza	Usuario conectado en la máquina origen de la infección.
Campos de la sección Origen de la infección en Detección de malware, PUP y programas bloqueados en clasificación

Apariciones en otros equipos

Muestra todos los equipos de la red donde fue visto el malware detectado.

Campos	Descripción
Equipo	Nombre del equipo.
Ruta del archivo	Ruta y nombre del fichero que contiene el malware.
Fecha primera aparición	Fecha en la que la amenaza fue detectada por primera vez en ese equipo.
Campos de la sección Apariciones en otros equipos en Detección de malware, PUP y programas bloqueados en clasificación

Detección exploit

Acceso a la ventana Detalle del exploit

Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana con los listados accesibles.
Haz clic en el listado Actividad de exploits.
Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como exploits.
Haz clic en un elemento. Se mostrará la ventana Detección de exploit.

O bien:

Selecciona el menú superior Estado, panel lateral Seguridad. Se mostrarán los widgets asociados a los módulos de seguridad.
Haz clic en el widget Actividad de exploits.
Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como exploits.
Haz clic en un elemento. Se mostrará la ventana Detalle de exploit.

La ventana de detalle se divide en varias secciones:

Información general.
Equipo afectado.
Impacto de la amenaza en el equipo.

Información general

Campo	Descripción	Valores
Programa comprometido	Nombre del programa que recibió el intento de explotación de una vulnerabilidad y hash que lo identifica.	Ruta: ruta del programa afectado por el exploit. Versión: versión del programa afectado por el exploit. Hash: hash del programa afectado por el exploit.
Técnica	Identificador de la técnica utilizara para explotar las vulnerabilidades de los programas.	Enlace a la descripción de la técnica utilizada por el exploit.
Acción	Muestra el tipo de acción que Advanced EDR ha ejecutado sobre el programa afectado por el exploit. Permitido: la protección anti-exploit está configurada en modo Audit. El exploit se ejecutó. Bloqueado: el exploit fue bloqueado antes de su ejecución. Permitido por el usuario: se preguntó al usuario del equipo si finalizar el proceso comprometido y el usuario decidió permitir que el exploit continúe ejecutándose. Proceso finalizado: el exploit fue eliminado, pero se llegó a ejecutar parcialmente. Pendiente de reinicio: se informó al usuario del equipo de la necesidad de reiniciar el equipo para eliminar completamente el exploit. Mientras tanto el exploit se seguirá ejecutando. Permitido (modo auditoría): se informó al usuario de que el exploit ha realizado acciones sospechosas. Al estar el modo auditoría activado, las amenazas se detectan pero no se bloquean ni eliminan. Consulta Modo auditoría	Enumeración Consulta Permitir y volver a impedir la ejecución de elementos para obtener información de como gestionar los bloqueos de las amenazas detectadas.
Campos de la sección Información general en Detección exploit

Equipo afectado

Campo	Descripción
Equipo	Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.
Usuario logueado	Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.
Ruta del programa comprometido	Ruta del programa que recibió el intento de explotación de una vulnerabilidad.
Campos de la sección Equipo afectado en Detección exploit

Impacto del exploit en el equipo

Campo	Descripción
Programa comprometido	Ruta y nombre del programa que recibió el intento de explotación. Si Advanced EDR detectó que el programa no está actualizado a la última versión publicada por el proveedor, mostrará el aviso Programa vulnerable.
Actividad	Se ha ejecutado : el exploit se llegó a ejecutar antes de ser detectado por Advanced EDR. Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones. Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución
Fecha de detección	Fecha en la que Advanced EDR detectó el exploit en la red del cliente.
Posible origen del exploit	Ruta y nombre del programa que posiblemente inició el exploit.
Campos de la sección Impacto del exploit en el equipo en Detección exploit

Bloqueo por política avanzada de seguridad

Acceso a la ventana Bloqueo por política avanzada de seguridad

Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana con los listados accesibles.
Haz clic en el listado Bloqueos por políticas avanzadas de seguridad.
Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos bloqueados por política avanzada de seguridad.
Haz clic en un elemento. Se mostrará la ventana Bloqueo por política avanzada de seguridad.

O bien:

Selecciona el menú superior Estado y haz clic en el panel lateral Seguridad. Se mostrarán los widgets asociados a los módulos de seguridad.
Haz clic en el widget Detecciones mediante políticas avanzadas de seguridad.
Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos bloqueados por política avanzada de seguridad.
Haz clic en un elemento. Se mostrará la ventana Bloqueo por política avanzada de seguridad.

La ventana de detalle se divide en varias secciones:

Información general.
Equipo.
Programa bloqueado.

Información general

Campo	Descripción
Programa bloqueado	Nombre del programa bloqueado por el administrador.
Política aplicada	Nombre de la política avanzada de seguridad que bloqueó el programa. Consulta Políticas avanzadas de seguridad .
Acción	Bloqueado: el proceso fue bloqueado antes de su ejecución. Detectado: el proceso fue detectado pero no bloqueado por estar configurada la política de seguridad en modo Audit. Permitido (modo auditoría): se informó al usuario de que el proceso ha realizado acciones sospechosas. Al estar el modo auditoría activado, las amenazas se detectan pero no se bloquean ni eliminan. Consulta Modo auditoría
Campos de la sección Información general en Bloqueo por política avanzada de seguridad

Equipo

Campo	Descripción
Equipo	Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.
Usuario logueado	Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.
Campos de la sección Equipo en Bloqueo por política avanzada de seguridad

Programa bloqueado

Campo	Descripción
Nombre	Nombre del programa bloqueado.
MD5	Hash del fichero bloqueado.
Ruta	Dispositivo y carpeta donde se almacena el fichero bloqueado en el equipo del usuario.
Actividad	Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones. Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución.
Fecha de detección	Fecha en la que Advanced EDR bloqueó la ejecución del programa.
Campos de la sección Programa bloqueado en Bloqueo por política avanzada de seguridad

Bloqueo de programas desconocidos en clasificación e Historial de programas bloqueados

Acceso a la ventana Detalles del programa bloqueado

Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana con los listados accesibles.
Haz clic en el listado Programas actualmente bloqueados en clasificación.
Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos desconocidos en clasificación.
Haz clic en un elemento. Se mostrará la ventana Detalles del programa bloqueado.
Para abrir el histórico de programas bloqueados por ser desconocidos haz clic en el enlace Ver historial de bloqueos.

O bien:

Selecciona el menú superior Estado y haz clic en el panel lateral Seguridad. Se mostrarán los widgets asociados a los módulos de seguridad.
Haz clic en el widget Programas actualmente bloqueados en clasificación.
Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos desconocidos en clasificación.
Haz clic en un elemento. Se mostrará la ventana Detalles del programa bloqueado.

La ventana de detalle se divide en varias secciones:

Información general.
Equipo.
Actividad del programa en el equipo.
Origen.

Información general

Campo	Descripción
Programa	Nombre del programa bloqueado.
Acción	Bloqueado
Probabilidad de que sea malicioso	Baja Media Alta Muy Alta
Estado	Estado del proceso de clasificación y origen del error si no se ha podido iniciar el proceso de investigación.
Desbloquear	Permite la ejecución del programa antes de que sea clasificado. Consulta Permitir y volver a impedir la ejecución de elementos para obtener información de como gestionar los bloqueos de las amenazas detectadas.
Campos de la sección Información general en Detalle del programa bloqueado

Equipo

Campo	Descripción
Equipo	Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.
Usuario logueado	Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.
Modo de protección	Configuración de la protección avanzada en el momento de producirse el bloqueo (Audit, Hardening, Lock).
Ruta de detección	Ruta del programa bloqueado dentro del equipo del usuario o servidor.
Campos de la sección Equipo en Detalle del programa bloqueado

Actividad del programa en el equipo

Campo	Descripción
Programa	Nombre del programa bloqueado.
Actividad	Resumen de las acciones más importantes ejecutadas por el malware: Se ha ejecutado Ha accedido a datos Ha intercambiado datos con otros equipos Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones. Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución.
Fecha de detección	Fecha en la que Advanced EDR bloqueó la ejecución del programa.
Tiempo de exposición	Tiempo que la amenaza ha permanecido sin clasificar en la red del cliente.
Campos de la sección Actividad del programa en el equipo en Detalle del programa bloqueado

Origen

Campo	Descripción
Equipo origen	Si el fichero viene de un equipo de la red del cliente, indica el nombre del equipo.
IP origen	Si el fichero viene de un equipo de la red del cliente, indica la dirección IP del equipo.
Usuario origen	Usuario conectado en el equipo origen del fichero.
Campos de la sección Origen en Detalle del programa bloqueado