Gestión de IOCs

Acceso a la galería de IOCs

Para acceder a la galería de IOCs, haz clic en el menú superior Configuración y en el panel lateral Galería de IOCs. Se desplegará un listado con los IOCs importados.

Permisos requeridos

Para poder ver y acceder a la funcionalidad de IOCs es necesario tener asignado el permiso Buscar y administrar IOCs en el rol de la cuenta de usuario. Para asignar el permiso consulta el apartado Buscar y administrar IOCs.

Galería de IOCs

La galería de IOCs muestra un listado de todos los IOCs importados o creados con el asistente. Por cada IOC se incluye la información siguiente:

Campo Descripción Valores

Nombre

Nombre del IOC asignado en el momento de su creación o importación.

Cadena de caracteres

Descripción

Campo descripción del IOC.

Cadena de caracteres

Tipo

Estado de IOC:

  • STIX (Pendiente de aprobación): el IOC fue importado desde una fuente externa y requiere su aprobación para adaptarlo al formato aceptado por Advanced EPDR.

  • STIX: el IOC fue importado desde una fuente externa y se aprobó, con lo que ya se encuentra adaptado al formato aceptado por Advanced EPDR y puede usarse en las búsquedas.

  • Creado por el usuario: IOC creado a través del asistente de la consola web. No requiere aprobación para usarse en las búsquedas.

Consulta el apartado Aprobar un IOC importado para obtener más información.

Enumeración

Fecha de modificación

Fecha en la que se modificó el IOC.

Fecha

Fecha de creación

Fecha en la que se creó el IOC.

Fecha

Listado de IOCs creados o importados

Crear un nuevo IOC

  • Haz clic en el botón Añadir situado en la esquina superior derecha. Se abrirá la ventana Añadir IOC.

  • Introduce los campos Nombre, Autor, Descripción.

  • En el campo propiedad Introduce la característica del ataque a detectar:

    • MD5 del archivo: comprueba que existe un fichero con el hash indicado en formato MD5.

    • SHA-256 del archivo: comprueba que existe un fichero con el hash indicado en formato SHA-256.

    • Nombre del archivo: comprueba que existe un fichero con el nombre indicado.

    • Ruta del archivo: comprueba que existe un fichero con la ruta indicada.

    • Dominio: comprueba que existe una conexión de red establecida mediante TCP o UDP desde o hacia el dominio indicado.

    • IPv4: comprueba que existe una conexión TCP o UDP establecida desde o hacia la IP indicada.

    • IPv6: comprueba que existe una conexión TCP o UDP establecida desde o hacia la IP indicada en formato IPv6.

    • Regla YARA: comprueba que existe un fichero cuyo contenido coincide con el patrón descrito en la regla YARA indicada.

  • Selecciona el operador: determina el modo de comparación de la propiedad encontrada en el equipo con el valor de referencia establecido por el administrador en el IOC.

    • En: cuando se indiquen una o varias propiedades en el campo valor, el equipo solo deberá cumplir una.

    • Es igual a: la propiedad encontrada en el equipo coincide exactamente con la indicada por el administrador en el campo valor.

  • Valor: establece las propiedades con las que se realizará la búsqueda:

    • Uno o varios valores separados por retorno de carro.

    • No admite comodines.

  • Nueva condición: añade más condiciones a la regla. Se aplicarán los operadores lógicos Y/O.

Operadores lógicos

Para combinar dos condiciones o más en una misma regla se utilizan los operadores lógicos Y y O. Al añadir una segunda condición y sucesivas a una regla se mostrará de forma automática un desplegable con los operadores lógicos disponibles, que se aplicarán a las condiciones adyacentes.

Agrupaciones de condiciones de regla

Los paréntesis en una expresión lógica se utilizan para variar el orden de evaluación de los operadores que relacionan las condiciones de las reglas introducidas.

Para encerrar dos o más condiciones en un paréntesis crea una agrupación marcando con las casillas de selección las condiciones consecutivas que formarán parte del grupo y haz clic en el botón Agrupar condiciones. Se mostrará una línea delgada que abarcará las reglas de reglas de monitorización que forman parte de la agrupación.

Mediante el uso de paréntesis se definen agrupaciones de varios niveles para poder anidar grupos de operandos en una expresión lógica.

Condiciones de uso de reglas YARA

Un IOC no puede incorporar más de una regla YARA. Si el administrador añade una regla YARA a un IOC vacío, no podrá utilizar otras propiedades. De igual modo, si el administrador ya ha añadido otras propiedades al IOC, las reglas YARA quedarán deshabilitadas.

En caso de que la regla no cumpla con la sintaxis YARA, la consola mostrará un mensaje de error y no permitirá guardar el IOC.

Copiar un IOC

Las copias de IOCs de ejecutan desde el listado de Galería de IOCs siguiendo los pasos mostrados a continuación:

  • Haz clic en el icono . Se desplegará un menú de contexto.

  • Selecciona la opción Hacer una copia. Se mostrará la ventana Editar IOC con los datos del IOC original precargados, excepto por:

  • Nombre: nombre del IOC original precedido por “copia de".

  • Identificador: no se mostrará. Se generará un nuevo Identificador automáticamente al guardar el IOC.

Borrar IOCs

Durante la ejecución de una tarea no se podrá borrar un IOC que esté en uso, sin importar el estado en el que se encuentre la tarea. Al intentarlo se mostrará un mensaje de error.

Borrar un IOC

Haz clic en el menú de contexto del IOC a borrar y elige la opción Eliminar. El IOC se borrará del listado. Las estadísticas de los IOCs encontrados hasta la fecha del borrado se mantendrán en el listado de IOCs detectados y en los widgets del panel de control IOCs.

Borrar uno o varios IOCs

  • Selecciona los elementos que quieres eliminar con las casillas de selección del listado de IOCs.

  • Haz clic en el botón de menú desplegable y en Borrar. La opción de Borrar también se muestra en la barra de herramientas superior.

Las estadísticas de los IOCs encontrados hasta la fecha del borrado se mantendrán en el listado de IOCs detectados y en los widgets del panel de control IOCs.

Importar y exportar IOCs

Durante la ejecución de una tarea no se podrá importar un IOC con el mismo Identificador que otro en uso, sin importar el estado en el que se encuentre la tarea. Al intentarlo se mostrará un mensaje de error.

Importar un IOC

Para importar un IOC sigue los pasos mostrados a continuación:

  • Haz clic en el icono situado en la esquina superior derecha. Se mostrará la ventana de importación.

  • Haz clic en Seleccionar archivo y elige un fichero compatible con STIX, YARA o valores separados por comas.

  • Haz clic en el botón Importar. El nuevo IOC se mostrará en la galería de IOCs.

  • En el caso de que el IOC ya exista se preguntará que hacer:

    • Reemplazar: actualiza el IOC existente con la nueva información.

    • Ignorar: descarta la nueva información conservando el IOC existente.

Aprobar un IOC importado

Los IOCs importados de fuentes externas requieren un paso previo antes de poder utilizarse en las búsquedas. Este paso es necesario para comprobar que realmente el IOC subido es interpretado por Advanced EPDR de forma correcta, ya que no todas las entidades soportadas por la especificación STIX 2.x se tienen en cuenta a la hora de realizar una búsqueda.

Una vez importado el IOC, sigue los pasos mostrados a continuación:

  • Si el IOC no ha sido aprobado mostrara el mensaje (Pendiente de aprobación) en la columna Tipo del listado.

  • Haz clic en el IOC a aprobar. Se mostrará la ventana de Editar IOC.

  • Si existe alguna regla del IOC que no pueda ser interpretada por Advanced EPDR se mostrará un recuadro en rojo indicado la situación. Los datos mostrados en la ventana de edición se corresponderán a las secciones del IOC que son correctamente interpretadas por Advanced EPDR.

  • Si las reglas mostradas son correctas, haz clic en el botón Aprobar sentencia de búsqueda y guardar para poder utilizar el IOC en las búsquedas.

Advanced EPDR solo elimina reglas en un IOC importado al ejecutar búsquedas. El IOC sin embargo se almacenará de forma íntegra en el servidor de Cytomic y se podrán ver sus entidades y relaciones así como el código fuente original.

Exportar un único IOC

  • En el listado de IOCs haz clic en el icono asociado al IOC a exportar. Se mostrará un menú desplegable.

  • Selecciona la opción Exportar. Se descargará en el equipo del administrador un fichero JSON con la definición del IOC.

Exportar uno o varios IOCs

  • Haz clic en las casillas de selección de los IOCs a exportar en el listado de IOCs.

  • Haz clic en la opción Exportar de la barra de herramientas. Se descargará un único archivo json con la definición de todos los IOCs seleccionados.

Visualizar IOCs importados

Representar gráficamente un IOC

Haz clic sobre el menú contextual del IOC elegido y en la opción Ver archivo STIX original. Se mostrará la ventana Archivo STIX con la representación gráfica del IOC y el Código del IOC.

Representación gráfica de un IOC

La ventana Archivo STIX tiene las características siguientes:

  • Ordena las distintas entidades (1) del diagrama pinchando en cada una de ellas y arrastrándola con el ratón.

  • Haz clic en el enlace Leyenda(3) para obtener el significado de cada uno de los iconos representados en la gráfica.

  • Haz clic en el selector Visualización / Código (3) para alternar entre la vista gráfica y la definición del IOC. El código del IOC se muestra tabulado y se puede copiar al portapapeles.

Aunque el código del IOC se muestra de forma íntegra tal y como se importó desde la fuente original, Advanced EPDR puede omitir ciertas secciones no compatibles con la implementación. Por esta razón los resultados obtenidos de una búsqueda pueden no ser los esperados.

Filtrar IOCs importados

Para filtrar los elementos del listado de IOCs utiliza la barra de búsqueda del panel de la Galería de IOCs. Introduce el nombre o la descripción como términos de búsqueda para mostrar solo los elementos del listado que coincidan.