Ficheros exportados Excel

Advanced EDR permite exportar a un fichero Excel la telemetría del contexto asociada al proceso en el momento en que se detecta el ataque por parte de alguna de las tecnologías avanzadas. Para descargar el fichero Excel consulta el apartado Detalle de los programas bloqueados y haz clic en el icono situado en la parte superior derecha del listado. Al elegir la opción Exportar listado y detalles se descargará un fichero Excel con los detalles extendidos de todas las amenazas mostradas en el listado.

Campo Descripción Valores

Fecha

Fecha de la acción registrada.

Fecha

MD5

Código MD5 del fichero bloqueado.

Cadena de caracteres
SHA-256

Código SHA-256 del fichero bloqueado.

Cadena de caracteres

Política

Nombre de la política que bloqueó el fichero. Disponible en el listado Detecciones mediante políticas avanzadas de seguridad.

Cadena de caracteres

Amenaza

Nombre de la amenaza. Disponible en los listados:

  • Actividad del malware

  • Actividad de PUPs

  • Programas actualmente bloqueados en clasificación

  • Historial de programas bloqueados

Cadena de caracteres

Usuario

Cuenta de usuario bajo la cual se ejecutó la amenaza.

Cadena de caracteres

Equipo

Nombre del equipo donde se encontró la amenaza.

Cadena de caracteres

Ruta

Nombre de la amenaza, dispositivo y carpeta donde se almacena dentro del equipo del usuario.

Cadena de caracteres

Acceso a datos

La amenaza ha accedido a ficheros que residen en el equipo del usuario. Disponible en los listados:

  • Actividad del malware

  • Actividad de PUPs

  • Programas actualmente bloqueados en clasificación

  • Historial de programas bloqueados

Binario

Acción

Tipo de acción registrada en el sistema.

  • Descargado de

  • Comunica con

  • Accede a datos

  • Accede

  • Es accedido por

  • LSASS.EXE abre

  • LSASS.EXE es abierto por

  • Es ejecutado por

  • Ejecuta

  • Es creado por

  • Crea

  • Es modificado por

  • Modifica

  • Es cargado por

  • Carga

  • Es borrado por

  • Borra

  • Es renombrado por

  • Renombra

  • Es matado por

  • Mata proceso

  • Proceso suspendido

  • Crea hilo remoto

  • Hilo inyectado por

  • Es abierto por

  • Abre

  • Crea

  • Es creado por

  • Crea clave apuntando a Exe

  • Modifica clave apuntando a Exe

  • Intenta detener

  • Finalizado por

Línea de comandos

Línea de comandos asociada a la ejecución de la acción.

Cadena de caracteres

Fecha del evento

Fecha y hora en la que el evento se registró en el equipo del cliente.

Cadena de caracteres

Nº veces

Número de veces que se ejecutó la acción. Una misma acción ejecutada varias veces de forma consecutiva solo aparece una vez en el listado de acciones con el campo Nº veces actualizado.

Numérico

Ruta/URL/Clave de registro/IP:Puerto

Entidad de la acción. Según sea el tipo de acción podrá contener diferentes valores.

  • Clave del registro: acciones que implican modificación del registro de Windows.

  • IP:Puerto: acciones que implican una comunicación con un equipo local o remoto.

  • Ruta: acciones que implican acceso al disco duro del equipo.

  • URL: acciones que implican el acceso a una URL.

Hash del archivo/Valor del registro/Protocolo-Dirección/Descripción

Campo que complementa a la entidad.

  • Hash del archivo: acciones que implican acceso a un archivo.

  • Valor del registro acciones que implican un acceso al registro.

  • Protocolo-Dirección: acciones que implican una comunicación con un equipo local o remoto. Los valores posibles son:

    • TCP

    • UDP

    • Bidirectional

    • UnKnown

    • Descripción

Confiable

El fichero bloqueado está firmado digitalmente.

Binario

Campos del fichero exportado Listado y detalles