Listados del módulo Indicadores de ataque (IOA)

Acceso a los listados

Accede a los listados siguiendo dos rutas:

En el menú superior Estado, haz clic en el panel de la izquierda Indicadores de ataque y en el widget relacionado.

O bien:

En el menú superior Estado, haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana emergente con los listados disponibles.
En la sección Seguridad, selecciona el listado Indicadores de ataque (IOA) para ver su plantilla asociada. Modifícala y haz clic en Guardar. El listado se añadirá al panel lateral.

Permisos requeridos

Permiso	Acceso a listados
Visualizar detecciones y amenazas	Indicadores de ataque (IOA)
Permisos requeridos para acceder a los listados de Indicadores de ataque (IOA)

Indicadores de ataque (IOA)

Muestra el detalle de los IOAs detectados por Advanced EDR en los equipos de usuario y servidores. La generación de IOAs cumple las reglas siguientes:

Cada IOA hace referencia a un único equipo y a un tipo de IOA. Si se produce la misma cadena de eventos sospechosos en varios equipos, se genera un IOA independiente para cada equipo.
Si la tripla patrón - equipo - tipo se detecta varias veces durante una hora, se generarán dos IOAs: uno inicial cuando se detecta el primero, y otro cada hora indicando el número de repeticiones en el campo Ocurrencias a lo largo de esa hora.

Campo	Comentario	Valores
Equipo	Nombre del equipo con el IOA detectado.	Cadena de caracteres
Grupo	Carpeta dentro del árbol de carpetas de Advanced EDR a la que pertenece el equipo.	Cadena de caracteres
Indicador de ataque	Nombre de la regla interna que detecta el patrón de eventos que genera el IOA.	Cadena de caracteres
Ocurrencias	Número de veces que se repite el IOA durante 1 hora.	Número
Riesgo	Importancia del impacto del IOA detectado: Crítico Alto Medio Bajo Desconocido	Enumeración
Acción	Tipo de acción ejecutada por Advanced EDR en los IOAs Ataque por fuerza bruta al RDP: Informado Ataque bloqueado Consulta Respuesta automática para ataques RDP.	Enumeración
Estado	Archivado: el IOA ya no requiere atención por parte del administrador al tratarse de un falso positivo o por haberse completado las tareas de resolución. Pendiente: el IOA no ha sido investigado por el administrador. Consulta Indicadores de ataque (IOA).	Enumeración
Fecha	Fecha y hora en la que se detectó por última vez el IOA.	Fecha
Campos del listado Indicadores de ataque (IOA)

Campos mostrados en fichero exportado

Campo	Comentario	Valores
Indicador de ataque	Nombre de la regla que detecta el patrón de eventos que genera el IOA.	Cadena de caracteres
Ocurrencias	Número de veces que se repite el IOA durante 1 hora.	Número
Riesgo	Importancia del impacto del IOA detectado: Crítico Alto Medio Bajo Desconocido	Enumeración
Acción	Tipo de acción ejecutada por Advanced EDR: Informado Ataque bloqueado Consulta Respuesta automática para ataques RDP.	Enumeración
Estado	Archivado: el IOA ya no requiere atención por parte del administrador al tratarse de un falso positivo o por haberse completado las tareas de resolución. Pendiente: el IOA no ha sido investigado por el administrador. Consulta Indicadores de ataque (IOA).	Enumeración
Fecha	Fecha y hora en la que se detectó por última vez el IOA.	Fecha
Fecha de archivado	Fecha de la última vez que se archivó el IOA	Fecha
Tiempo hasta el archivado	Tiempo que ha transcurrido desde que se detectó el IOA hasta que el administrador pudo verificar su validez y desarrollar las labores de resolución en caso de ser necesarias.	Fecha
Grupo	Carpeta dentro del árbol de carpetas de Advanced EDR a la que pertenece el equipo.	Cadena de caracteres
Dirección IP	Dirección IP principal del equipo.	Cadena de caracteres
Dominio	Dominio Windows al que pertenece el equipo.	Cadena de caracteres
Descripción	Descripción breve de las estrategias empleadas por el atacante.	Cadena de caracteres
Campos del fichero exportado Indicadores de ataque (IOA)

Herramienta de filtrado

Campo	Descripción	Valores
Buscar equipo	Nombre del equipo.	Cadena de caracteres
Riesgo	Importancia del impacto del IOA detectado: Crítico Alto Medio Bajo Desconocido	Enumeración
Acción	Tipo de acción ejecutada por Advanced EDR: Informado Ataque bloqueado Consulta Respuesta automática para ataques RDP.	Enumeración
Táctica	Categoría de la táctica de ataque que generó el IOA, mapeado según la especificación MITRE. Para localizar rápidamente una táctica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona la táctica por la que quieres filtrar.	Cadena de caracteres
Fechas	Intervalo de fechas en el que se ha producido el IOA.	Últimas 24 horas Últimos 7 días Último mes
Estado	Indica el estado en el que se encuentra el IOA.	Pendiente Archivado
Indicador de ataque	Nombre del IOA a buscar. Para localizar rápidamente un IOA concreto, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona el IOA por el que quieres filtrar.	Cadena de caracteres
Técnica	Categoría de la técnica o subtécnica de ataque que generó el IOA, mapeado según la especificación MITRE. Al filtrar por una técnica, se muestran los IOAs que tienen esa técnica asociada o alguna de sus subtécnicas. Al filtrar por una subtécnica, se muestran los IOAs que tienen asociada esa subtécnica en concreto . Las técnicas se identifican por una cadena de caracteres con el formato TXXXX. Las subtécnicas se identifican por una cadena de caracteres con el formato TXXXX.YYY. Para localizar rápidamente una técnica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona la técnica por la que quieres filtrar.	Cadena de caracteres
Campos de filtrado para el listado Indicadores de ataque (IOA)

Ventana de detalle

Haz clic en uno de los elementos del listado para mostrar la ventana de detalle. Incluye una descripción detallada del cuándo y dónde se produjo el IOA, así como el detalle del patrón de eventos registrado que motivó su aparición.

En los IOAs Avanzados se añade la pestaña Actividad donde se muestran todos los eventos que forman parte del posible ataque.

Campo	Comentario	Valores
Fecha de detección	Fecha y hora en la que se detectó por última vez el IOA. Fecha en la que se archivó el IOA si está en este estado. Botón para archivar el IOA o para marcarlo como pendiente de investigación.
Indicador de ataque (IOA)	Nombre de la regla que detecta el patrón de eventos que genera el IOA.	Cadena de caracteres
Riesgo	Importancia del impacto del IOA detectado: Crítico Alto Medio Bajo Desconocido	Enumeración
Descripción	Detalle de la cadena de eventos detectada en el equipo del cliente, y de las consecuencias que puede tener en el caso de que el ataque cumpla sus objetivos.	Cadena de caracteres
Investigación avanzada del ataque (no disponible en IOAs avanzados)	Informe con el detalle completo del IOA: Identificador del equipo y fecha. Nombre del tipo de IOA detectado. Descripción detallada del funcionamiento interno del IOA, con el mapeo a la táctica y técnica MITRE utilizadas. Herramientas del sistema operativo utilizadas en el ataque. Detalle del equipo. Criticidad del ataque. Estado del equipo con respecto al ataque. Estado de la evolución del ataque. Usuarios logueados en el momento del ataque. IPs / URLs accedidas. Historial de repeticiones diarias del ataque. Grafo de ejecución de la cadena de procesos involucrados en el ataque. Consejos para mitigar o resolver el ataque. Los informes tienen una duración de un mes desde la generación del IOA, transcurrido el cual dejarán de estar accesibles. A su vez, un informe muestra los eventos que forman parte del ataque en el intervalo de los 30 días anteriores a la detección del IOA.	Botón
Ver gráfica del ataque (no disponible en IOAs avanzados)	Grafo interactivo con la secuencia de procesos que generó el IOA. Consulta Diagramas de grafos .	Botón
Acción	Tipo de acción ejecutada por Advanced EDR: Informado Ataque bloqueado Consulta Respuesta automática para ataques RDP.	Enumeración
Recomendaciones	Acciones de resolución recomendadas por Cytomicpara el administrador de la red.	Cadena de caracteres
Campos de la ventana Detalle del IOA

Pestaña detalles

Campo	Comentario	Valores
Equipo	Nombre y grupo del equipo afectado. Si el equipo se encuentra en modo contención, se añade el botón Finalizar modo “Contención de ataque RDP”. Consulta Finalizar manualmente el estado de Contención de ataque RDP.	Cadena de caracteres
Ocurrencias detectadas	Número de veces que se repite el IOA . Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones.	Número
Último evento	Fecha en la que se ha producido el evento que desencadenó el IOA en el equipo.	Fecha
Ver detalle de actividad completo	Disponible en IOAs avanzados. Consulta Pestaña Actividad.
Ver investigación del equipo	Consulta Pestaña Investigación.
Otros detalles	JSON con los campos relevantes del evento que desencadenó la generación del IOA. Consulta Formato de los eventos recogidos en la telemetría.	Cadena de caracteres
Táctica	Categoría de la táctica del ataque que generó el IOA, mapeado según la especificación MITRE.	Cadena de caracteres
Técnica	Categoría de la técnica del ataque que generó el IOA, mapeado según la especificación MITRE. Sse identifican por una cadena de caracteres con el formato TXXXX.	Cadena de caracteres
Subtécnica	Categoría de la subtécnica del ataque que generó el IOA, mapeado según la especificación MITRE. Se identifican por una cadena de caracteres con el formato TXXXX.YYY.	Cadena de caracteres
Plataforma	Sistemas operativos y entornos donde MITRE ha registrado el tipo de ataque.	Cadena de caracteres
Descripción	Detalle de la táctica y técnica empleadas por el IOA detectado, según la matriz de MITRE.	Cadena de caracteres
Campos de la ventana Detalle del IOA

Pestaña Actividad

La ventana de detalle de un IOA Avanzado tiene una pestaña adicional Actividad donde se muestra un listado con todos los eventos que desencadenaron la detección. De esta forma, el administrador puede comprobar la secuencia de pasos ejecutada por el software malicioso y confirmar o desestimar el ataque.

Campo	Comentario	Valores
Buscar	Filtra el listado buscando por el contenido de los campos Fecha y Acción. Soporta búsquedas parciales de cadenas de caracteres.
Fecha	Fecha en la que se registro el evento.	Fecha
Acción	Resumen de los detalles del evento. Para obtener toda la información haz clic en el evento.	Cadena de caracteres
Exportar	Exporta en un fichero Excel el listado de eventos mostrado en la consola.
Campos de la pestaña Actividad

Al hacer clic en un evento se desplegará el panel lateral Detalles del evento con dos pestañas:

Detalles: muestra los campos del evento y su contenido. Para conocer el significado de cada campo consulta Formato de los eventos recogidos en la telemetría.
MITRE: muestra la táctica, técnica y subtécnica asociada al evento, así como su descripción. Si el IOA Avanzado está asociado a más de una técnica, el panel MITRE agrupa la información en varios desplegables, uno por cada técnica. Toda la información de la pestaña MITRE se recoge de la fuente oficial accesible en la dirección webhttps://attack.mitre.org/matrices/enterprise/.

Campo	Descripción
Táctica	Nombre de la táctica de la matriz MITRE relacionada con el IOA avanzado. Las tácticas vienen identificadas por una cadena de caracteres con el formato TAXXXX.
Técnica	Nombre de la técnica de la matriz MITRE relacionada con IOA avanzado. Las técnicas se identifican por una cadena de caracteres con el formato TXXXX.
Subtécnica	Nombre de la subtécnica de la matriz MITRE relacionada con IOA avanzado. Las subtécnicas se identifican por una cadena de caracteres con el formato TXXXX.YYY.
Plataforma	Sistemas operativos afectados por la técnica & táctica.
Permisos necesarios	Permisos que requiere el atacante para desarrollar el ataque descrito en la técnica & táctica.
Descripción	Descripción de la técnica & táctica según los datos publicados por MITRE.
Campos de la pestaña MITRE

Pestaña Investigación

Todos los tipos de IOAs incorporan la posibilidad de abrir una consola de investigación en Cytomic Orion que muestra la telemetría completa registrada en el equipo y permite realizar una investigación. La consola se posiciona en el último evento que generó la detección del IOA para facilitar el análisis al administrador, y le permite retroceder hasta 5 días en el tiempo para acceder al contexto del equipo en el que se produjo la detección, y un día posterior para poder calibrar los efectos del ataque en el equipo.

Para obtener más información sobre la consola de investigación consulta Sección Investigación (5).