Gestión de indicadores de ataque

Activar y modificar la detección de IOAs

Por defecto, Advanced EPDR asigna una configuración de tipo Indicadores de ataque (IOA) a todos los equipos gestionados de la red, con todos los tipos de IOA activados por defecto. Para desactivar la detección de un tipo de IOA específico:

  • Selecciona el menú superior Configuración, menú lateral Indicadores de ataque (IOA).

  • Haz clic en el botón Añadir, se abrirá la ventana de configuración de Añadir configuración

  • Selecciona los IOAs que Advanced EPDR buscará en el flujo de telemetría generado por los equipos.

    Para poder seleccionar indicadores de ataque avanzados concretos, es necesario activarlos todos. Para ello, desplaza el control deslizante.

  • Selecciona los equipos que recibirán la nueva configuración y haz clic en el botón Guardar

Para más información sobre cómo gestionar configuraciones, consulta Gestión de configuraciones.

Agrupación de indicadores de ataque

Para evitar mostrar un excesivo número de detecciones en la consola del cliente, dos o más IOAs iguales pueden agruparse en uno, indicando el número de repeticiones en el campo Ocurrencias detectadas de su detalle (consulta Ventana de detalle). Para agrupar dos o más IOAs iguales es necesario que se cumplan las condiciones siguientes:

  • Que sean del mismo tipo.

  • Que se detecten en el mismo equipo

  • Que se detecten en un intervalo de tiempo próximo.

El algoritmo de agrupación empleado varía dependiendo del tipo de IOA y de si el equipo está en modo auditoría o no (para activar o desactivar el modo auditoría consulta Modo auditoría).

Algoritmo de agrupación de IOAs

  • El primer IOA se registra de forma normal con el campo Ocurrencias detectadas a 1.

  • Se agrupan todos los IOAs repetidos en intervalo de 6 horas. Se envía un IOA al final de cada intervalo y se indica en el campo Ocurrencias detectadasel acumulado de IOAs registrados hasta el momento.

  • Si no se registran IOAs iguales en un intervalo de 6 horas no se envía un IOA para ese intervalo.

  • Pasados 4 intervalos (24 horas) se vuelve a iniciar el proceso.

Algoritmo de agrupación de IOAs avanzados

  • El primer IOA se registra de forma normal con el campo Ocurrencias detectadas a 1.

  • Se agrupan todos los IOAs repetidos en intervalo de 1 hora. Se envía un IOA al final de cada intervalo y se indica en el campo Ocurrencias detectadasel acumulado de IOAs registrados hasta el momento.

  • Si no se registran IOAs iguales en un intervalo de 1 hora no se envía un IOA para ese intervalo.

  • Pasadas 24 horas se vuelve a iniciar el proceso.

Algoritmo de agrupación de IOAs avanzados con el modo de auditoria activado

En este modo no se agrupan IOAs avanzados. Cada IOA avanzado detectado se envía con el campo Ocurrencias detectadas a 1.

Algoritmo de agrupación de IOAs de tipo Ataques RDP

Para obtener más información sobre el algoritmo de detección de ataques de red consulta Detección y protección frente ataques RDP.

Advanced EPDR muestra como máximo 50 incidencias iguales cada 24 horas del tipo Ataques de red por cada equipo. Se considera que varios IOAs Ataques de red son iguales cuando:

  • El equipo destino del ataque es el mismo.

  • El proceso involucrado en el equipo del usuario atacado es el mismo. Dependiendo de la etapa del ataque de red, este proceso será el que atiende a las peticiones RDP del sistema operativo, o bien cualquier otro proceso que se ejecuta de forma remota en el equipo tras un inicio de sesión exitoso si está precedido de varios intentos de inicio de sesión erróneos.

Mostrar todos los IOAs detectados en el parque

  • Selecciona el menú superior Estado, panel lateral Indicadores de ataque (IOA).

  • En la parte superior de la ventana indica el intervalo de datos a mostrar.

  • El widget Servicio Threat Hunting contiene los eventos, indicios e indicadores de ataque detectados en el intervalo elegido.

  • Haz clic en el área Indicadores de ataque. Se abrirá el listado Indicadores de ataque (IOA) que muestra todos los IOAs detectados en el intervalo de tiempo seleccionado.

Para más información sobre este widget, consulta Servicio Threat Hunting.

Buscar todos los equipos con un tipo de IOA determinado

Para más información sobre estos widgets, consulta Indicadores de ataque situados en la matriz de MITRE ATT&CK y Indicadores de ataque (IOA).

Buscar todos los indicadores de ataque detectados en un equipo

Para más información sobre este widget, consulta Indicadores de ataque (IOA) por equipo.

Buscar equipos e IOAs relacionados

Cada IOA mostrado en el listado Indicadores de ataque (IOA) tiene asociado un menú de contexto con las opciones:

  • Visualizar los IOAs detectados en el equipo : muestra el listado Indicadores de ataque (IOA) filtrado por el campo Equipo.

  • Visualizar equipos con el IOA detectado : muestra el listado Indicadores de ataque (IOA) filtrado por el campo Indicador de ataque.

Para más información acerca de los listados, consulta Listados del módulo Indicadores de ataque (IOA).

Archivar uno o varios indicadores de ataque

Cuando la causa que motivó el IOA ha sido resuelta, o cuando se ha comprobado que se trataba de un falso positivo, el administrador puede archivar el IOA detectado:

  • Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral Mis listados. Se mostrará la ventana Abrir listado con las plantillas disponibles.

  • En la sección Seguridad haz clic en la plantilla Indicadores de ataque (IOA). Se mostrará el listado de IOAs detectados sin filtros configurados.

  • Configura los filtros necesarios y haz clic en el botón Filtrar.

  • Haz clic en el menú de contexto asociado al indicador a archivar y selecciona la opción Archivar IOA . El indicador de ataque pasará a estado Archivado.

O bien:

  • Selecciona las casillas asociadas a los indicadores de ataque a archivar.

  • En la barra de herramientas, haz clic en el icono Archivar IOA . Los indicadores de ataques pasarán a estado Archivado.

Marcar uno o varios IOAs como pendientes

Advanced EPDR añade los IOAs detectados como pendientes para indicar al administrador que es necesaria su revisión. El propio administrador también puede marcar como pendiente un indicador previamente archivado, cuando la causa que motivó el IOA no fue resuelta completamente.

  • Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral Mis listados. Se abrirá la ventana Abrir listado con las plantillas disponibles.

  • En la sección Seguridad, haz clic en la plantilla Indicadores de ataque (IOA). Se mostrará el listado sin filtros configurados.

  • Configura los filtros necesarios y haz clic en el botón Filtrar.

  • Haz clic en el menú de contexto asociado al indicador que quieres archivar y selecciona la opción Marcar IOA como pendiente . El Indicador de ataque pasará a estado Pendiente.

O bien:

  • Haz clic en las casillas de selección asociadas a los indicadores de ataque a archivar.

  • En la barra de herramientas haz clic en la opción Marcar IOA como pendiente . Los Indicadores de ataques pasarán a estado Pendiente.

Mostrar el detalle de un IOA y las recomendaciones para su resolución

  • Selecciona el menú superior Estado y en el enlace Añadir del panel lateral Mis listados. Se abrirá la ventana Abrir listado con las plantillas disponibles.

  • En la sección Seguridad haz clic en la plantilla Indicadores de ataque (IOA). Se mostrará el listado sin filtros configurados.

  • Configura los filtros necesarios y haz clic en el botón Filtrar.

  • Haz clic en un indicador de ataque del listado. Se abrirá la ventana de detalle. Consulta Ventana de detalle.