Formato de los eventos recogidos en la telemetría

Advanced EDR monitoriza los procesos ejecutados en los equipos de los clientes y envía a la nube de Cytomic la telemetría que generan. Allí, queda a disposición de un grupo de analistas especializados en tarea de hunting para detectar indicadores de ataque (IOAs) producidos en la infraestructura informática de los clientes.

La telemetría se almacena utilizando un formato estructurado, que recibe el nombre de “evento”, y que está formado por diversos campos. Para interpretar correctamente la información de cada evento, es necesario comprender el significado de cada uno de los campos.

La información del evento que desencadenó el IOA se encuentra en la ventana Detalle del evento, y se muestra en formato JSON, así como en las gráficas de ataque. Consulta Configuración de indicadores de ataque para obtener más información acerca del módulo de detección de IOAs.

También es posible acceder a la telemetría completa generada por los equipos en la pestaña Investigación de los detalles del equipo. Consulta Sección Investigación (5).

Para conocer todos los tipos de eventos, consulta Campos de los eventos recibidos en Cytomic Orion.