Grafos de ejecución

Advanced EDR visualiza en un grafo el período de 15 días con la telemetría asociada a cada detección realizada por la protección avanzada. En este grafo se muestra de forma gráfica las acciones de los programas que envueltos en el ataque.

Para acceder al grafo de ejecución abre la ventana de detalle (consulta Detalle de los programas bloqueados), haz clic en la pestaña Actividad y en el botón Ver gráfica de actividad.

Amenaza representada mediante grafos

  • Actividad de Malware y PUPs para abrir la ventana Detección del malware.

  • Actividad de Exploits para abrir la ventana Detección de exploit.

  • Programas actualmente bloqueados en clasificación para abrir la ventana Detalles del programa bloqueado.

  • Bloqueos por políticas avanzadas de seguridad para abrir la ventana Bloqueo por política avanzada de seguridad.

Haz clic en la pestaña Actividad y Ver gráfica de actividad para mostrar el grafo de ejecución de la amenaza.

Los grafos de ejecución representan de forma visual la información mostrada en las tablas de acciones, poniendo énfasis en el enfoque temporal. Los grafos se utilizan inicialmente para tener, de un solo vistazo, una idea general de las acciones desencadenadas por la amenaza.

Diagramas

La cadena de acciones en la vista de grafos de ejecución se representa mediante dos elementos:

  • Nodos: en su mayoría accione o elementos informativos.

  • Líneas y flechas: unen los nodos de acción e informativos para establecer un orden temporal y asignar a cada nodo el rol de “sujeto” o “predicado”.

Nodos

Muestran la información mediante su icono asociado, color y un panel descriptivo que se muestra a la derecha de la pantalla cuando se seleccionan con el ratón.

El código de colores utilizado es:

  • Rojo: elemento no confiable, malware, amenaza.

  • Naranja: elemento desconocido, no catalogado.

  • Verde: elemento confiable, goodware.

Representación gráfica de acciones en el diagrama de grafos lista los nodos de tipo acción junto con una breve descripción:

Símbolo Descripción Símbolo Descripción

Fichero descargado.

Fichero comprimido creado.

Fichero ejecutable borrado.

Socket / comunicación usada.

Librería cargada.

La monitorización comenzó.

Servicio instalado.

Proceso creado.

Fichero ejecutable renombrado.

Fichero ejecutable creado.

Librería creada.

Clave en el registro creada.

Proceso detenido o cerrado.

Fichero ejecutable modificado.

Clave de registro modificada.

Hilo creado remotamente.

Fichero ejecutable mapeado para escritura.

Fichero comprimido abierto.

Representación gráfica de acciones en el diagrama de grafos

Tipos de nodo en el diagrama de grafos lista los nodos de tipo descriptivo junto con una breve descripción:

Símbolo Descripción

Nombre de fichero y extensión.

  • Verde: goodware.

  • Naranja:no catalogado.

  • Rojo: malware/PUP.

Equipo interno (está en la red corporativa).

  • Verde: confiable.

  • Naranja: desconocido.

  • Rojo: no confiable.

Equipos externos.

  • Verde: confiable.

  • Naranja: desconocido.

  • Rojo: no confiable.

País asociado a la IP de un equipo externo.

Fichero y extensión.

Clave del registro.

Tipos de nodo en el diagrama de grafos

Líneas y flechas

Las líneas del diagrama de grafos relacionan los diferentes nodos y ayudan a establecer visualmente el orden de ejecución de las acciones.

Los dos atributos de una línea son:

  • Grosor de la línea: número de veces que ha aparecido la relación en el diagrama. A mayor número de veces mayor tamaño de la línea.

  • Flecha: dirección de la relación entre los dos nodos.

La línea temporal (Timeline)

Controla la visualización de la cadena de acciones ejecutadas por la amenaza a lo largo del tiempo. Mediante los botones situados en la parte inferior de la pantalla visualiza el momento preciso donde la amenaza ejecutó cierta acción, y recupera información extendida para ayudar en los procesos de análisis forense.

Es posible seleccionar un intervalo concreto de la línea temporal arrastrando los selectores de intervalo hacia la izquierda o derecha para abarcar la franja más interesante.

Selectores del intervalo temporal a presentar

Una vez seleccionado el intervalo, el grafo mostrará únicamente las acciones y nodos que caigan en dentro de él. El resto de acciones y nodos quedará difuminado en el diagrama.

Las acciones de la amenaza se representan en la línea temporal como barras verticales acompañadas del time stamp, que marca la hora y minuto donde ocurrieron.

Para poder ver la ejecución completa de la amenaza y la cadena de acciones que ejecutó, se utilizan los siguientes controles:

Timestamp, fecha y acciones de la amenaza

  • Iniciar: comienza la ejecución de la Timeline a velocidad 1x. Los grafos y las líneas de acciones irán apareciendo según se vaya recorriendo la línea temporal.

  • 1x: establece la velocidad de recorrido de la línea temporal.

  • Detener: detiene la ejecución de la línea temporal.

  • + y -: zoom in y zoom out de la línea temporal.

  • < y >: mueve la selección del nodo al inmediatamente anterior o posterior.

  • Zoom inicial: recupera el nivel de zoom inicial si se modificó con los botones + y –.

  • Seleccionar todos los nodos: mueve los selectores temporales para abarcar toda la línea temporal.

  • Primer nodo: establece el intervalo temporal en el inicio, paso necesario para iniciar la visualización de la TimeLine completa.

Para poder visualizar el recorrido completo de la Timeline primero selecciona “Primer nodo” y después “Iniciar”. Para ajustar la velocidad de recorrido selecciona el botón 1x.

Filtros

En la parte superior del diagrama de grafos se encuentran los controles para filtrar la información que se mostrará.

  • Acción: desplegable que selecciona un tipo de acción de entre todas las ejecutadas por la amenaza. El diagrama solo mostrará los nodos que coincidan con el tipo de acción seleccionada y aquellos nodos adyacentes relacionados con esta acción.

  • Entidad: desplegable que selecciona una entidad (contenido del campo Path/URL/Entrada de registro /IP:Puerto).

Recolocar los nodos y zoom general del grafo

Para mover el grafo en las cuatro direcciones y hacer zoom in o zoom out utiliza los controles situados en la parte superior derecha del grafo.

Para hacer zoom in y zoom out más fácilmente utiliza la rueda central del ratón.

  • El símbolo abandona la vista de grafos.

  • Para ocultar la zona de botones Timeline a fin de ganar espacio de la pantalla haz clic en el icono situado en la parte inferior derecha del grafo.

  • El comportamiento del grafo representando en pantalla es configurable mediante el panel accesible al seleccionar el botón situado en la zona superior izquierda del grafo.