Formato de los eventos utilizados en los indicadores de ataque (IOA)

accesstype

Máscara de acceso al fichero:

• (54) WMI_CREATEPROC: WMI Local.

Para el resto de operaciones:

• https://docs.microsoft.com/en-us/windows/win32/secauthz/access-mask

• https://docs.microsoft.com/en-us/windows/win32/fileio/file-access-rights-constants

• https://docs.microsoft.com/en-us/windows/win32/fileio/file-security-and-access-rights

accnube

El agente instalado en el equipo del cliente tiene acceso a la nube de Cytomic.

action

Tipo de acción realizada por el agente Advanced EDR o Advanced EPDR, por el usuario o por el proceso afectado:

• 0 (Allow): el agente permite la ejecución del proceso.

• 1 (Block): el agente bloquea la ejecución del proceso.

• 2 (BlockTimeout): el agente muestra un mensaje emergente al usuario, pero éste no contesta a tiempo.

• 3 (AllowWL): el agente permite la ejecución del proceso por encontrarse en la lista blanca de goodware local.

• 4 (BlockBL): el agente bloquea la ejecución del proceso por encontrarse en la lista negra de malware local.

• 5 (Disinfect): el agente desinfecta el proceso.

• 6 (Delete): el agente clasifica el proceso como malware y lo borra por no poderse desinfectar.

• 7 (Quarantine): el agente clasifica el proceso como malware y lo mueve a la cuarentena del equipo.

• 8 (AllowByUser): el agente muestra un mensaje emergente al usuario y éste responde con “permitir ejecución”.

• 9 (Informed): el agente muestra un mensaje emergente al usuario.

• 10 (Unquarantine): el agente saca el fichero de la cuarentena.

• 11 (Rename): el agente renombra el fichero (acción solo para tests).

• 12 (BlockURL): el agente bloquea la URL.

• 13 (KillProcess): el agente cierra el proceso.

• 14 (BlockExploit): el agente detiene un intento de explotación de proceso vulnerable.

• 15 (ExploitAllowByUser): el usuario no permite cerrar el proceso explotado.

• 16 (RebootNeeded): el agente requiere un reinicio del equipo para bloquear el intento de explotación.

• 17 (ExploitInformed): el agente muestra un mensaje emergente al usuario, informando de un intento de explotación de proceso vulnerable.

• 18 (AllowSonGWInstaller): el agente permite ejecutar el proceso por pertenecer a un paquete de instalación clasificado como goodware.

• 19 (EmbebedInformed): el agente envía a la nube información interna de su funcionamiento para mejorar las rutinas de detección.

• 21 (SuspendProcess): el proceso monitorizado intenta suspender el servicio del antivirus.

• 22 (ModifyDiskResource): el proceso monitorizado intenta modificar un recurso protegido por el escudo del agente.

• 23 (ModifyRegistry): el proceso monitorizado intenta modificar una clave de registro protegida por el escudo del agente.

• 24 (RenameRegistry): el proceso monitorizado intenta renombrar una clave de registro protegida por el escudo del agente.

• 25 (ModifyMarkFile): el proceso monitorizado intenta modificar un fichero protegido por el escudo del agente.

• 26 (Undefined): error al monitorizar la operación del proceso.

• 28 (AllowFGW): el agente permite la operación del proceso monitorizado por estar en la lista local de goodware.

• 29 (AllowSWAuthorized): el agente permite la operación del proceso monitorizado porque el administrador marcó el fichero como software autorizado.

• 30 (InformNewPE): el agente informa de la aparición de un nuevo fichero en el equipo cuando está activada la funcionalidad de Drag&Drop en Cytomic Data Watch.

• 31 (ExploitAllowByAdmin): el agente permite la operación del proceso monitorizado porque el administrador del parque excluyó el exploit.

• 32 (IPBlocked): el agente bloquea IPs para mitigar un ataque por RDP (Remote Desktop Protocolo).

actiontype

Indica el tipo de sesión:

• 0 (Login): inicia la sesión en el equipo del cliente.

• 1 (Logout): finaliza la sesión en el equipo del cliente.

• -1 (Desconocido): no se pudo determinar el tipo de sesión.

age

Fecha de última modificación del fichero.

blockreason

Motivo de la aparición del mensaje emergente en el equipo:

• 0: bloqueo por fichero desconocido en el modo de protección avanzada (hardening o lock) de Advanced EDR o Advanced EPDR.

• 1: bloqueo por reglas locales.

• 2: bloqueo por regla de origen del fichero no fiable.

• 3: bloqueo por regla de contexto.

• 4: bloqueo por exploit.

• 5: bloqueo por petición al usuario para cerrar el proceso.

bytesreceived

Total de bytes recibidos por el proceso monitorizado.

bytessent

Total de bytes enviados por el proceso monitorizado.

callstack/sonsize

Tamaño en bytes del fichero hijo.

childattributes

Atributos del proceso hijo:

• 0x0000000000000001 (ISINSTALLER): fichero de tipo SFX (SelfExtractor).

• 0x0000000000000002 (ISDRIVER): fichero de tipo Driver.

• 0x0000000000000008 (ISRESOURCESDLL): fichero de tipo DLL de recursos.

• 0x0000000000000010 (EXTERNAL): fichero procedente de fuera del equipo.

• 0x0000000000000020 (ISFRESHUNK): fichero añadido recientemente al conocimiento de Cytomic.

• 0x0000000000000040 (ISDISSINFECTABLE): fichero con acción recomendada de desinfección.

• 0x0000000000000080 (DETEVENT_DISCARD): la tecnología de detección de contexto por eventos no ha realizado ninguna detección.

• 0x0000000000000100 (WAITED_FOR_VINDEX): fichero ejecutado sin haberse monitorizado su creación.

• 0x0000000000000200 (ISACTIONSEND): las tecnologías locales no detectan malware en el fichero y éste se envía a Cytomicpara su clasificación.

• 0x0000000000000400 (ISLANSHARED): fichero almacenado en una unidad de red.

• 0x0000000000000800 (USERALLOWUNK): fichero con permiso para importar DLL desconocidos.

• 0x0000000000001000 (ISSESIONREMOTE): evento originado en una sesión remota.

• 0x0000000000002000 (LOADLIB_TIMEOUT): el tiempo transcurrido entre la interceptación de la carga de la librería y su análisis es mayor a 1 segundo, con lo que el análisis pasa de síncrono a asíncrono para no penalizar el rendimiento.

• 0x0000000000004000 (ISPE): fichero ejecutable.

• 0x0000000000008000 (ISNOPE): fichero no ejecutable.

• 0x0000000000020000 (NOSHELL): el agente no detecta la ejecución de una shell en el sistema.

• 0x0000000000080000 (ISNETNATIVE): fichero de tipo Net Native.

• 0x0000000000100000 (ISSERIALIZER): fichero de tipo Serializer.

• 0x0000000000200000 (PANDEX): fichero incluido en la lista de procesos creados por Cytomic Patch.

• 0x0000000000400000 (SONOFGWINSTALLER): fichero creado por un instalador clasificado como goodware.

• 0x0000000000800000 (PROCESS_EXCLUDED): fichero no analizado por las exclusiones de Advanced EDR.

• 0x0000000001000000 (INTERCEPTION_TXF): la operación interceptada tiene como origen un ejecutable cuya imagen en disco está siendo modificada.

• 0x0000000002000000 (HASMACROS): documento Microsoft Office con macros.

• 0x0000000008000000 (ISPEARM): fichero ejecutable para microprocesadores ARM.

• 0x0000000010000000 (ISDYNFILTERED): fichero permitido en el equipo al no haber tecnologías que lo clasifiquen.

• 0x0000000020000000 (ISDISINFECTED): fichero desinfectado.

• 0x0000000040000000 (PROCESSLOST): operación no registrada.

• 0x0000000080000000 (OPERATION_LOST): operación con pre-análisis, de la que no se ha recibido el post-análisis.

childblake

Firma Blake2S del fichero hijo.

childclassification

Clasificación del proceso hijo que realiza la acción registrada.

• 0 (Unknown): fichero en proceso de clasificación.

• 1 (Goodware): fichero clasificado como goodware.

• 2 (Malware): fichero clasificado como malware.

• 3 (Suspect): fichero en proceso de clasificación con alta probabilidad de resultar malware.

• 4 (Compromised): proceso comprometido por un ataque de tipo exploit.

• 5 (GWNotConfirmed): fichero en proceso de clasificación con alta probabilidad de resultar malware.

• 6 (Pup): fichero clasificado como programa no deseado.

• 7 (GwUnwanted): equivalente a PUP.

• 8 (GwRanked): proceso clasificado como goodware.

• -1 (Unknown)

childfiletime

Fecha del fichero hijo registrado por el agente.

childfilesize

Tamaño del fichero hijo registrado por el agente.

childmd5

Hash del fichero hijo.

childpath

Ruta del fichero hijo que realiza la operación registrada.

childpid

Identificador del proceso hijo.

childurl

Url de descarga del fichero.

childstatus

Estado del proceso hijo.

• 0 (StatusOk): estado OK.

• 1 (NotFound): elemento no encontrado.

• 2 (UnexpectedError): error desconocido.

• 3 (StaticFiltered): fichero identificado como malware mediante información estática contenida en la protección de Advanced EDR o Advanced EPDR.

• 4 (DynamicFiltered): fichero identificado como malware mediante tecnología local implementada en Advanced EDR oAdvanced EPDR.

• 5 (FileIsTooBig): fichero demasiado grande.

• 6 (PEUploadNotAllowed): el envío de ficheros está desactivado.

• 11 (FileWasUploaded): fichero enviado a la nube para su analisis.

• 12 (FiletypeFiltered): fichero de tipo DLL de recursos, Net Native o Serializer.

• 13 (NotUploadGWLocal): fichero goodware no guardado en la nube.

• 14 (NotUploadMWdisinfect): fichero malware desinfectado no guardado en la nube.

classname

Tipo del dispositivo donde reside el proceso. Se corresponde con la clase indicada en el fichero .inf asociado al dispositivo.

configstring

Versión del fichero MVMF.xml en uso.

commandline

Línea de comandos configurada como tarea para ser ejecutada a través de WMI.

confadvancedrules

Configuración de las políticas de seguridad avanzada de Advanced EDR o Advanced EPDR.

copy

Nombre del servicio que desencadena el evento.

details

Resumen en forma de agrupación de campos relevantes del evento.

description

Descripción del dispositivo USB que realiza la operación.

detectionid

Identificador único de la detección realizada.

devicetype

Tipo de unidad donde reside el proceso o fichero que desencadenó la operación registrada.

• 0 (UNKNOWN): desconocida.

• 1 (CD_DVD): unidad de CD o DVD.

• 2 (USB_STORAGE): dispositivo de almacenamiento USB.

• 3 (IMAGE): fichero de tipo imagen.

• 4 (BLUETOOTH): dispositivo Bluetooth.

• 5 (MODEM): modem.

• 6 (USB_PRINTER): impresora USB.

• 7 (PHONE): telefonía móvil.

• 8 (KEYBOARD): teclado.

• 9 (HID): ratón.

direction

Sentido de la conexión de red.

• 0 (UnKnown): desconocido.

• 1 (Incoming): conexión establecida desde el exterior hacia un equipo de la red del cliente.

• 2 (Outgoing): conexión establecida desde un equipo de la red del cliente hacia el exterior.

• 3 (Bidirectional): bidireccional.

domainlist

Lista de dominios enviados por el proceso al servidor DNS para su resolución y número de resoluciones por cada dominio.

domainname

Nombre del dominio al que el proceso intenta acceder/resolver.

errorcode

Código de error suministrado por el sistema operativo ante un inicio de sesión fallido.

• 1073741724 (Invalid username): el nombre de usuario no existe.

• 1073741730 (Login server is unavailable): el servidor necesario para validar el inicio de sesión no está disponible.

• 1073741718 (Invalid password): el usuario es correcto pero la contraseña es incorrecta.

• 1073741715 (Invalid username or authentication info): el usuario o la información de autenticación es errónea.

• 1073741714 (Invalid username or password): nombre desconocido o contraseña errónea.

• 1073741260 (Account blocked): acceso bloqueado.

• 1073741710 (Account disabled): cuenta deshabilitada.

• 1073741713 (User account day restriction): intento de inicio de sesión en horario restringido.

• 1073741712 (Invalid workstation for login): intento de inicio de sesión desde un equipo no autorizado.

• 1073741604 (Sam server is invalid): error en el servidor de validación. No se puede realizar la operación.

• 1073741421 (Account expired): cuenta caducada.

• 1073741711 (Password expired): contraseña caducada.

• 1073741517 (Clock difference is too big): los relojes de los equipos conectados tienen un desfase demasiado grande.

• 1073741276 (Password change required on reboot): requiere que el usuario cambie la contraseña en el siguiente reinicio.

• 1073741275 (Windows error (no risk)): error de Windows que no implica riesgo.

• 1073741428 (Domains trust failed): la solicitud de inicio de sesión falló porque la relación de confianza entre el dominio primario y el dominio confiable falló.

• 1073741422 (Netlogon not initialized): intento de inicio de sesión, pero el servicio Netlogon no inicia.

• 1073741074 (Session start error): error durante el inicio de sesión.

• 1073740781 (Firewall protected): el equipo en el que se está iniciando sesión está protegido por un firewall de autenticación. La cuenta especificada no puede autenticarse en el equipo

• 1073741477 (Invalid permission): el usuario no tiene permisos para ese tipo de inicio de sesión.

errorstring

Cadena de caracteres con información de depuración sobre la configuración del producto de seguridad.

eventtype

Tipo de evento registrado por el agente.

• 1 (ProcessOps): proceso que realiza operaciones con el disco duro del equipo.

• 14 (Download): descarga de datos ejecutada por el proceso.

• 22 (NetworkOps): operación de red ejecutada por el proceso.

• 26 (DataAccess): operación ejecutada por el proceso, que corresponde a un acceso a ficheros de datos alojados en dispositivos internos de almacenamiento masivo.

• 27 (RegistryOps): el proceso accede al registro de Windows.

• 30 (ScriptOps): operación ejecutada por un proceso de tipo script.

• 31 (ScriptOps): operación ejecutada por un proceso de tipo script.

• 40 (Detection): detección realizada por las protecciones activadas de Advanced EDR.

• 42 (BandwidthUsage): volumen de información manejada en cada operación de transferencia de datos ejecutada por el proceso.

• 45 (SystemOps): operación ejecutada por el motor WMI del sistema operativo Windows.

• 46 (DnsOps): acceso al servidor de nombres DNS ejecutado por el proceso.

• 47 (DeviceOps): el proceso ejecuta un acceso a un dispositivo externo.

• 50 (UserNotification): notificación que se le presenta al usuario junto a su respuesta si la hubiera.

• 52 (LoginOutOps): operación de inicio o cierre de sesión efectuado por el usuario.

• 99 (RemediationOps): eventos de detección, bloqueo y desinfección del agente Advanced EDR o Advanced EPDR.

• 100 (HeaderEvent): evento administrativo con información de la configuración del software de protección, su versión e información del equipo y del cliente.

• 199 (HiddenAction): evento de detección que no genera alerta.

exploitorigin

Origen del intento de explotación del proceso.

• 1 (URL): dirección URL.

• 2 (FILE): fichero.

extendedinfo

Información adicional sobre los eventos de tipo Type:

• 0 (Command line event creation): vacío.

• 1 (Active script event creation): Nombre del fichero del script.

• 2 (Event consumer to filter consumer): vacío.

• 3 (Event consumer to filter query): vacío.

• 4 (Create User): vacío.

• 5 (Delete User): vacío.

• 6 (Add user group): SID del grupo.

• 7 (Delete user group): SID del grupo.

• 8 (User group admin): SID del grupo.

• 9 (User group rdp): SID del grupo.

failedqueries

Número de peticiones de resolución DNS fallidas producidas por el proceso en la última hora.

friendlyname

Nombre legible del dispositivo.

firstseen

Fecha en la que se ve el fichero por primera vez.

hostname

Nombre del equipo que ejecuta el proceso.

infodiscard

Información interna del fichero de cuarentena.

ipv4status

Tipo de direccionamiento IP:

• 0 (Private)

• 1 (Public)

isdenied

Indica si se ha denegado la acción reportada sobre el dispositivo.

islocal

Indica si la tarea se ha creado en el equipo local o en uno remoto.

interactive

Indica si es un inicio de sesión de usuario interactiva.

idname

Nombre del dispositivo.

key

Rama o clave del registro afectado.

lastquery

Última consulta del agente Advanced EDR o Advanced EPDR a la nube.

localip

Dirección IP local del proceso.

localport

Depende del campo direction:

• outgoing: es el puerto del proceso que se ejecuta en el equipo protegido con Advanced EDR yAdvanced EPDR.

• incoming: es el puerto del proceso que se ejecuta en el equipo remoto.

localdatetime

Fecha en formato UTC que tiene el equipo en el momento en que se produce el evento registrado. Esta fecha depende de la configuración del equipo y por lo tanto puede ser errónea.

loggeduser

Usuario logueado en el equipo en el momento de la generación del evento.

machinename

Nombre del equipo que ejecuta el proceso.

manufacturer

Fabricante del dispositivo.

MUID

Identificador interno del equipo del cliente.

objectname

Nombre único del objeto dentro de la jerarquía WMI.

opentstamp

Fecha de la notificación WMI cuando el evento es de tipo WMI_CREATEPROC (54).

operation

Tipo de operación ejecutada por el proceso.

• 0 (CreateProc): proceso creado.

• 1 (PECreat): programa ejecutable creado.

• 2 (PEModif): programa ejecutable modificado.

• 3 (LibraryLoad): librería cargada.

• 4 (SvcInst): servicio instalado.

• 5 (PEMapWrite): programa ejecutable mapeado para escritura.

• 6 (PEDelet): programa ejecutable borrado.

• 7 (PERenam): programa ejecutable renombrado.

• 8 (DirCreate): carpeta creada.

• 9 (CMPCreat): fichero comprimido creado.

• 10 (CMOpened): fichero comprimido abierto.

• 11 (RegKExeCreat): creada una rama del registro que apunta a un fichero ejecutable.

• 12 (RegKExeModif): modificada una rama del registro que apunta a un fichero ejecutable.

• 15 (PENeverSeen): programa ejecutable nunca visto en Advanced EDR.

• 17 (RemoteThreadCreated): hilo remoto creado.

• 18 (ProcessKilled): proceso destruido.

• 25 (SamAccess): acceso a la SAM del equipo.

• 30 (ExploitSniffer): técnica Sniffer de explotación detectada

• 31 (ExploitWSAStartup): técnica WSAStartup de explotación detectada.

• 32 (ExploitInternetReadFile): técnica InternetReadFile de explotación detectada.

• 34 (ExploitCMD): técnica CMD de explotación detectada.

• 39 (CargaDeFicheroD16bitsPorNtvdm.exe): carga de fichero de 16bits por ntvdm.exe

• 43 (Heuhooks): tecnología de antiexploit detectada.

• 54 (Create process by WMI): proceso creado por WMI modificado.

• 55 (AttackProduct): ataque detectado al servicio, a un fichero o a una clave de registro del agente.

• 61 (OpenProcess LSASS): apertura del proceso LSASS.

operationflags/ integrityLevel

Indica el nivel de integridad asignado por Windows al elemento.

• 0x0000 Untrusted level

• 0x1000 Low integrity level

• 0x2000 Medium integrity level

• 0x3000 High integrity level

• 0x4000 System integrity level

• 0x5000 Protected

operationstatus

Indica si el evento debe ser enviado a Cytomic Insights o no:

• 0: Enviar.

• 1: Filtrado por el agente.

• 2: No enviar.

origusername

Usuario del equipo que realiza la operación.

pandaid

Identificador del cliente.

pandaorionstatus

Indica el estado de la configuración horaria del equipo del cliente con respecto al reloj mantenido en Cytomic.

• 0 (Version not supported): el cliente no soporta la sincronización de su configuración horaria con la de Cytomic.

• 1 (Recalculated Panda Time): el cliente ha corregido su configuración horaria con la establecida en Cytomic.

• 2: (Panda Time Ok): el cliente tiene establecida una configuración horaria correcta.

• 3: (Panda Time calculation error): error al establecer la configuración horaria corregida.

pandatimestatus

Contenido de los campos DateTime, Date y LocalDateTime.

parentattributes

Atributos del proceso padre.

• 0x0000000000000001 (ISINSTALLER): fichero de tipo SFX (SelfExtractor).

• 0x0000000000000002 (ISDRIVER): fichero de tipo Driver.

• 0x0000000000000008 (ISRESOURCESDLL): fichero de tipo DLL de recursos.

• 0x0000000000000010 (EXTERNAL): fichero procedente de fuera del equipo.

• 0x0000000000000020 (ISFRESHUNK): fichero añadido recientemente al conocimiento de Cytomic.

• 0x0000000000000040 (ISDISSINFECTABLE): fichero con acción recomendada de desinfección.

• 0x0000000000000080 (DETEVENT_DISCARD): la tecnología de detección de contexto por eventos no ha realizado ninguna detección.

• 0x0000000000000100 (WAITED_FOR_VINDEX): fichero ejecutado sin haberse monitorizado su creación.

• 0x0000000000000200 (ISACTIONSEND): las tecnologías locales no detectan malware en el fichero y éste se envía a Cytomicpara su clasificación.

• 0x0000000000000400 (ISLANSHARED): fichero almacenado en una unidad de red.

• 0x0000000000000800 (USERALLOWUNK): fichero con permiso para importar DLL desconocidos.

• 0x0000000000001000 (ISSESIONREMOTE): evento originado en una sesión remota.

• 0x0000000000002000 (LOADLIB_TIMEOUT): el tiempo transcurrido entre la interceptación de la carga de la librería y su análisis es mayor a 1 segundo, con lo que el análisis pasa de síncrono a asíncrono para no penalizar el rendimiento.

• 0x0000000000004000 (ISPE): fichero ejecutable.

• 0x0000000000008000 (ISNOPE): fichero de tipo no ejecutable.

• 0x0000000000020000 (NOSHELL): el agente no detecta la ejecución de una shell en el sistema.

• 0x0000000000080000 (ISNETNATIVE): fichero de tipo Net Native.

• 0x0000000000100000 (ISSERIALIZER): fichero de tipo Serializer.

• 0x0000000000200000 (PANDEX): fichero incluido en la lista de procesos creados por Cytomic Patch.

• 0x0000000000400000 (SONOFGWINSTALLER): fichero creado por un instalador clasificado como goodware.

• 0x0000000000800000 (PROCESS_EXCLUDED): fichero excluido por las exclusiones de Cytomic Orion.

• 0x0000000001000000 (INTERCEPTION_TXF): la operación interceptada tiene como origen un ejecutable cuya imagen en disco está siendo modificada.

• 0x0000000002000000 (HASMACROS): documento Microsoft Office con macros.

• 0x0000000008000000 (ISPEARM): fichero ejecutable para microprocesadores ARM.

• 0x0000000010000000 (ISDYNFILTERED): fichero permitido en el equipo al no haber tecnologías que lo clasifiquen.

• 0x0000000020000000 (ISDISINFECTED): fichero desinfectado.

• 0x0000000040000000 (PROCESSLOST): operación no registrada.

• 0x0000000080000000 (OPERATION_LOST): operación con pre-análisis, de la que no se ha recibido el post-análisis.

parentblake

Firma Blake2S del padre de la operación.

parentcount

Número de procesos con accesos DNS fallidos.

parentmd5

Hash del fichero padre.

parentpath

Ruta del fichero padre que realizó la operación registrada.

parentpid

Identificador del proceso padre.

parentstatus

Estado del proceso padre.

• 0 (StatusOk): estado OK.

• 1 (NotFound): elemento no encontrado.

• 2 (UnexpectedError): error desconocido.

• 3 (StaticFiltered): fichero identificado como malware mediante información estática contenida en la protección de Advanced EDR o Advanced EPDR.

• 4 (DynamicFiltered): fichero identificado como malware mediante tecnología local implementada en Advanced EDR o Advanced EPDR.

• 5 (FileIsTooBig): fichero demasiado grande.

• 6 (PEUploadNotAllowed): el envío de ficheros está desactivado.

• 11 (FileWasUploaded): fichero enviado a la nube.

• 12 (FiletypeFiltered): fichero de tipo DLL de recursos, Net Native o Serializer.

• 13 (NotUploadGWLocal): fichero goodware no guardado en la nube.

• 14 (NotUploadMWdisinfect): fichero malware desinfectado no guardado en la nube.

pecreationsource

Tipo de unidad donde fue creado el fichero:

• (0) Unknown: el tipo de dispositivo no puede ser determinado.

• (1) No root dir: ruta del dispositivo inválida. Por ejemplo, un medio de almacenamiento externo que ha sido extraído.

• (2) Removable media: medio de almacenamiento extraible.

• (3) Fixed media: medio de almacenamiento interno.

• (4) Remote drive: medio de almacenamiento remoto (por ejemplo unidad de red).

• (5) CD-ROM drive

• (6) RAM disk

phonedescription

Descripción del teléfono si la operación involucró a un dispositivo de este tipo.

protocol

Protocolo de comunicaciones utilizado por el proceso.

• 1 (ICMP)

• 2 (IGMP)

• 3 (RFCOMM)

• 6 (TCP)

• 12 (RDP),

• 17 (UDP)

• 58 (ICMPV6)

• 113 (RM)

querieddomaincount

Número de dominios diferentes con resolución fallida del proceso en la última hora.

regaction

Tipo de operación realizada en el registro del equipo.

• 0 (CreateKey): crea una nueva rama del registro.

• 1 (CreateValue): asigna un valor a una rama del registro.

• 2 (ModifyValue): modifica un valor de una rama del registro.

remediationresult

Respuesta del usuario ante el mensaje emergente mostrado por Advanced EDR o Advanced EPDR.

• 0 (Ok): el cliente acepta el mensaje.

• 1 (Timeout): el mensaje emergente desaparece por la inacción del usuario.

• 2 (Angry): el usuario elige rechazar el bloqueo desde el mensaje emergente.

• 3 (Block): se produce un bloqueo porque el usuario no contesta al mensaje emergente.

• 4 (Allow): el usuario acepta la solución.

• -1 (Unknown)

remoteip

IP del equipo que inició la sesión remota.

remotemachinename

Nombre del equipo que inicia la sesión remota.

remoteport

Depende del campo direction:

• incoming: es el puerto del proceso que se ejecuta en el equipo protegido con Advanced EDR y Advanced EPDR.

• outcoming: es el puerto del proceso que se ejecuta en el equipo remoto.

remoteusername

Nombre del equipo que inicia la sesión remota.

sessiondate

Fecha de inicio del servicio del antivirus por última vez, o desde la última actualización.

sessiontype

Tipo de creación o inicio de sesión:

• 0 (System Only): sesión iniciada con una cuenta de sistema.

• 2 (Local): sesión creada físicamente mediante un teclado o a través de KVM sobre IP.

• 3 (Remote): sesión creada remotamente en carpetas o impresoras compartidas. Este tipo de inicio de sesión tiene autenticación segura.

• 4 (Scheduled): sesión creada por el programador de tareas de Windows.

• -1 (Unknown)

• 5 (Service): sesión creada cuando arranca un servicio que requiere ejecutarse en la sesión de usuario. La sesión es eliminada cuando el servicio se detiene.

• 7 (Blocked): un usuario intenta entrar en una sesión bloqueada previamente.

• 8 (Remote Unsecure): idéntico al tipo 3 pero la contraseña viaja en texto plano.

• 9 (RunAs): sesión creada cuando se usa el comando “RunAs” bajo una cuenta diferente a la utilizada para iniciar la sesión, y especificando el parámetro “/netonly”. Sin el parámetro “/netonly” se genera un tipo de sesión 2.

• 10 (TsClient): sesión creada cuando se accede mediante “Terminal Service”, “Remote desktop” o “Remote Assistance”. Identifica una conexión de usuario remota.

• 11 (Domain Cached): sesión de usuario creada con credenciales de dominio cacheadas en el equipo, pero sin conexión con el controlador de dominio.

servicelevel

Modo de ejecución del agente.

• 0 (Learning): el agente no bloquea ningún programa pero monitoriza los procesos ejecutados.

• 1 (Hardening): el agente bloquea la ejecución de todos los programas sin clasificar cuyo origen no sea confiable, así como los programas clasificados como malware.

• 2 (Block): el agente bloquea todos los ejecutables sin clasificar y los clasificados como malware.

• -1 (N/A)

timeout

El análisis en local tardó demasiado tiempo en completarse y el proceso se delega en otros mecanismos que no impacten en el rendimiento.

times

Número de veces que se ha producido el mismo evento de comunicación en la última hora.

timestamp

Marca de tiempo de la acción registrada en el equipo del cliente que genera el indicio.

totalresolutiontime

Indica el tiempo que ha tardado la nube en responder, y si ha habido error en la consulta del código de error.

• 0: No se ha consultado a nube.

• >0: Tiempo en ms que ha tardado la consulta a la nube.

• <0: Código de error de la consulta a la nube.

type

Tipo de operación WMI ejecutada por el proceso.

• 0 (Command line event creation): WMI lanza una línea de comandos como respuesta a un cambio en la base de datos.

• 1 (Active script event creation): se ejecuta un script como respuesta a la recepción de un evento.

• 2 (Event consumer to filter consumer): evento que se genera cada vez que un proceso se subscribe para recibir notificaciones. Se recibe el nombre del filtro creado.

• 3 (Event consumer to filter query): evento que se genera cada vez que un proceso se subscribe para recibir notificaciones. Se recibe la consulta que ha ejecutado para suscribirse.

• 4 (Create User): se añade una cuenta de usuario al sistema operativo.

• 5 (Delete User): se borra una cuenta de usuario del sistema operativo

• 6 (Add user group): se añade un grupo al sistema operativo

• 7 (Delete user group): se borra un grupo dal sistema operativo

• 8 (User group admin): se añade un usuario al grupo admin.

• 9 (User group rdp): se añade un usuario al grupo rdp.

uniqueid

Identificador único del dispositivo.

url

Url de descarga lanzada por el proceso que generó el evento registrado.

value

Tipo de operación realizada en el registro del equipo.

• 0 (CreateKey): crea una nueva rama del registro.

• 1 (CreateValue): asigna un valor a una rama del registro.

• 2 (ModifyValue): modifica un valor en una rama del registro.

valuedata

Tipo del dato del valor contenido en la rama del registro.

• 00 (REG_NONE)

• 01 (REG_SZ)

• 02 (REG_EXPAND_SZ)

• 03 (REG_BINARY)

• 04 (REG_DWORD)

• 05 (REG_DWORD_BIG_ENDIAN)

• 06 (REG_LINK)

• 07 (REG_MULTI_SZ)

• 08 (REG_RESOURCE_LIST)

• 09 (REG_FULL_RESOURCE_DESCRIPTOR)

• 0A (REG_RESOURCE_REQUIREMENTS_LIST)

• 0B (REG_QWORD)

• 0C (REG_QWORD_LITTLE_ENDIAN)

vdetevent

Versión de la DLLdeteven.dll.

version

Versión del sistema operativo del equipo que ejecuta el software vulnerable.

versionagent

Versión del agente instalado.

versioncontroller

Versión de la DLL psnmvctrl.dll

vtabledetevent

Versión de la DLL TblEven.dll

vtableramsomevent

Versión de la DLL TblRansomEven.dll

vramsomevent

Versión de la DLL RansomEvent.dll

vantiexploit

Versión de la tecnología de antiexploit.

vtfilteraxtiexploit

Versión del filtro de la tecnología de antiexploit.

versionproduct

Versión del producto de protección instalado.

winningtech

Tecnología del agente Advanced EPDR o Advanced EDR que provoca el evento.

• 0 (Unknown)

• 1 (Cache): clasificación cacheada en local.

• 2 (Cloud): clasificación descarga de la nube.

• 3 (Context): regla de contexto local.

• 4 (Serializer): tipo de binario.

• 5 (User): premiso solicitado al usuario.

• 6 (LegacyUser): permiso solicitado al usuario.

• 7 (NetNative): tipo de binario.

• 8 (CertifUA): detección por certificados digitales.

• 9 (LocalSignature): firma local.

• 10 (ContextMinerva): regla de contexto en la nube.

• 11 (Blockmode): el agente estaba en modo hardening o lock cuando se bloqueó la ejecución del proceso.

• 12 (Metasploit): ataque generado con el framework metaExploit.

• 13 (DLP): tecnología Data Leak Prevention.

• 14 (AntiExploit): tecnología de identificación de intento de explotación de proceso vulnerable.

• 15 (GWFilter): tecnología de identificación de procesos goodware.

• 16 (Policy): políticas de seguridad avanzada deAdvanced EDR

• 17 (SecAppControl): tecnologías control aplicaciones de seguridad.

• 18 (ProdAppControl): tecnologías control aplicaciones de productividad.

• 19 (EVTContext): tecnología contextual de Linux.

• 20 (RDP): tecnología para detectar/bloquear ataques e intrusiones por RDP (Remote Desktop Protocol)

• 21 (AMSI): tecnología para detectar malware en notificaciones AMSI.

• -1 (Unknown)