Gestión de detecciones de indicadores de ataque

Para crear, modificar o borrar configuraciones o recursos asociados a los indicadores de ataque, la cuenta de usuario que accede a la consola de Advanced EPDR requiere el permiso Configurar indicadores de ataque (IOA). Para listar configuraciones o recursos asociados a los indicadores de ataque se requiere el permiso Ver configuración de indicadores de ataque (IOA). Consulta Gestión de roles y permisos .

Advanced EPDR te permite gestionar las detecciones de indicadores de ataque y mostrar los equipos de la red donde se detectaron:

• Mostrar las detecciones de IOAs en el parque

• Buscar los equipos con detecciones de un tipo de IOA

• Buscar las detecciones de IOAs en un equipo

• Buscar equipos y detecciones de IOAs relacionados

• Archivar una o varios detecciones de IOAs

• Marcar detecciones de IOAs como pendientes

• Mostrar el detalle de una detección de IOA y las recomendaciones

Mostrar las detecciones de IOAs en el parque

• Selecciona el menú superior Estado, panel lateral Indicadores de ataque (IOA).

• En la parte superior de la ventana indica el intervalo de datos a mostrar.

• El widget Servicio Threat Hunting contiene los eventos, indicios e indicadores de ataque detectados en el intervalo elegido.

• Haz clic en el área Indicadores de ataque. Se abrirá el listado Indicadores de ataque (IOA) que muestra todas las detecciones en el intervalo de tiempo seleccionado.

Para más información sobre este widget, consulta Servicio Threat Hunting.

Buscar los equipos con detecciones de un tipo de IOA

• Selecciona el menú superior Estado, panel lateral Indicadores de ataque (IOA).

• Haz clic en el tipo de indicador de ataque en el panel Indicadores de ataque (IOA) detectados o en Indicadores de ataque situados en la matriz de MITRE ATT&CK .

• Haz clic en el tipo de indicado de ataque. Se abrirá el listado Indicadores de ataque (IOA) filtrado por tipo de ataque configurado.

Para más información sobre estos widgets, consulta Indicadores de ataque situados en la matriz de MITRE ATT&CK y Indicadores de ataque (IOA).

Buscar las detecciones de IOAs en un equipo

• Haz clic en el menú superior Estado, panel lateral Indicadores de ataque (IOA).

• Haz clic en el equipo apropiado del panel Indicadores de ataque (IOA) por equipo. Se abrirá el listado Indicadores de ataque (IOA) con el filtro por equipo configurado.

Para más información sobre este widget, consulta Indicadores de ataque (IOA) por equipo.

Buscar equipos y detecciones de IOAs relacionados

• En el menú superior selecciona Estado.

• En el panel izquierdo haz clic en Añadir. Se mostrará una ventana con los listados disponibles.

• En la sección Seguridad, selecciona Indicadores de seguridad (IOA). Se abrirá la ventana Nuevo listado de Indicadores de ataque (IOA).

• Cada detección mostrada en el listado Indicadores de ataque (IOA) tiene asociado un menú de contexto con las opciones:

  • Visualizar los IOAs detectados en el equipo : muestra el listado Indicadores de ataque (IOA) filtrado por el campo Equipo.

  • Visualizar equipos con el IOA detectado : muestra el listado Indicadores de ataque (IOA) filtrado por el campo Indicador de ataque.

Para más información acerca de los listados, consulta Listados del módulo Indicadores de ataque (IOA).

Archivar una o varios detecciones de IOAs

Cuando la causa que motivó la detección ha sido resuelta, o cuando se ha comprobado que se trataba de un falso positivo, el administrador puede archivarla:

• Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral Mis listados. Se mostrará la ventana Abrir listado con las plantillas disponibles.

• En la sección Seguridad haz clic en la plantilla Indicadores de ataque (IOA). Se mostrará el listado de IOAs detectados sin filtros configurados.

• Configura los filtros necesarios y haz clic en el botón Filtrar.

• Haz clic en el menú de contexto asociado al indicador a archivar y selecciona la opción Archivar IOA . El indicador de ataque pasará a estado Archivado.

O bien:

• Selecciona las casillas asociadas a las detecciones a archivar.

• En la barra de herramientas, haz clic en el icono Archivar IOA . Las detecciones pasarán a estado Archivado.

Marcar detecciones de IOAs como pendientes

Advanced EPDR añade las detecciones como pendientes para indicar al administrador que es necesaria su revisión. El propio administrador también puede marcar como pendiente una detección previamente archivada, cuando la causa que la motivó no fue resuelta completamente.

• Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral Mis listados. Se abrirá la ventana Abrir listado con las plantillas disponibles.

• En la sección Seguridad, haz clic en la plantilla Indicadores de ataque (IOA). Se mostrará el listado sin filtros configurados.

• Configura los filtros necesarios y haz clic en el botón Filtrar.

• Haz clic en el menú de contexto asociado a la detección que quieres investigar y selecciona la opción Marcar IOA como pendiente . El Indicador de ataque pasará a estado Pendiente.

O bien:

• Haz clic en las casillas de selección asociadas a las detecciones que quieres investigar.

• En la barra de herramientas haz clic en la opción Marcar IOA como pendiente . Las detecciones pasarán a estado Pendiente.

Mostrar el detalle de una detección de IOA y las recomendaciones

• Selecciona el menú superior Estado y en el enlace Añadir del panel lateral Mis listados. Se abrirá la ventana Abrir listado con las plantillas disponibles.

• En la sección Seguridad haz clic en la plantilla Indicadores de ataque (IOA). Se mostrará el listado sin filtros configurados.

• Configura los filtros necesarios y haz clic en el botón Filtrar.

• Haz clic en un indicador de ataque del listado. Se abrirá la ventana de detalle. Consulta Ventana de detalle.