Listados del módulo Indicadores de ataque (IOA)
Acceso a los listados
Accede a los listados siguiendo dos rutas:
-
En el menú superior Estado, haz clic en el panel de la izquierda Indicadores de ataque y en el widget relacionado.
O bien:
-
En el menú superior Estado, haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana emergente con los listados disponibles.
-
En la sección Seguridad, selecciona el listado Indicadores de ataque (IOA) para ver su plantilla asociada. Modifícala y haz clic en Guardar. El listado se añadirá al panel lateral.
Permisos requeridos
Permiso | Acceso a listados |
---|---|
Visualizar detecciones y amenazas |
|
Indicadores de ataque (IOA)
Muestra el detalle de los IOAs detectados por Advanced EPDR en los equipos de usuario y servidores. La generación de detecciones cumple las reglas siguientes:
-
Cada detección hace referencia a un único equipo y a un tipo de IOA. Si se produce la misma cadena de eventos sospechosos en varios equipos, se genera una detección independiente para cada equipo.
-
Si la tripla patrón - equipo - tipo se detecta varias veces, las detecciones se agruparán, indicando el número de repeticiones en el campo Ocurrencias. Para obtener más información sobre el algoritmo de agrupación consulta Agrupación de detecciones generadas por IOAs.
Campo | Comentario | Valores |
---|---|---|
Equipo |
Nombre del equipo con el IOA detectado. |
Cadena de caracteres |
Grupo |
Carpeta dentro del árbol de carpetas de Advanced EPDR a la que pertenece el equipo. |
Cadena de caracteres |
Indicador de ataque |
Nombre de la regla interna que detecta el patrón de eventos que genera la detección. |
Cadena de caracteres |
Ocurrencias |
Número de veces que se repite la detección. Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones generadas por IOAs. |
Número |
Riesgo |
Importancia del impacto del IOA detectado:
|
Enumeración |
Acción |
Tipo de acción ejecutada por Advanced EPDR en los IOAs Ataque por fuerza bruta al RDP:
Consulta Respuesta automática para ataques RDP. |
Enumeración |
Estado |
Consulta Indicadores de ataque (IOA). |
Enumeración |
Fecha |
Fecha y hora en la que se detectó por última vez el IOA. |
Fecha |
Campos mostrados en fichero exportado
Campo | Comentario | Valores |
---|---|---|
Indicador de ataque |
Nombre de la regla que detecta el patrón de eventos que genera la detección. |
Cadena de caracteres |
Ocurrencias |
Número de veces que se repite la detección. Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones generadas por IOAs. |
Número |
Riesgo |
Importancia del impacto del IOA detectado:
|
Enumeración |
Acción |
Tipo de acción ejecutada por Advanced EPDR:
Consulta Respuesta automática para ataques RDP. |
Enumeración |
Estado |
Consulta Indicadores de ataque (IOA). |
Enumeración |
Fecha |
Fecha y hora en la que se detectó por última vez el IOA. |
Fecha |
Fecha de archivado |
Fecha de la última vez que se archivó la detección. |
Fecha |
Tiempo hasta el archivado |
Tiempo que ha transcurrido desde que se detectó el IOA hasta que el administrador pudo verificar su validez y desarrollar las labores de resolución en caso de ser necesarias. |
Fecha |
Grupo |
Carpeta dentro del árbol de carpetas de Advanced EPDR a la que pertenece el equipo. |
Cadena de caracteres |
Dirección IP |
Dirección IP principal del equipo. |
Cadena de caracteres |
Dominio |
Dominio Windows al que pertenece el equipo. |
Cadena de caracteres |
Descripción |
Descripción breve de las estrategias empleadas por el atacante. |
Cadena de caracteres |
Herramienta de filtrado
Campo | Descripción | Valores |
---|---|---|
Buscar equipo |
Nombre del equipo. |
Cadena de caracteres |
Riesgo |
Importancia del impacto del IOA detectado:
|
Enumeración |
Acción |
Tipo de acción ejecutada por Advanced EPDR:
Consulta Respuesta automática para ataques RDP. |
Enumeración |
Táctica |
Categoría de la táctica de ataque que generó la detección, mapeado según la especificación MITRE. Para localizar rápidamente una táctica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono |
Cadena de caracteres |
Fechas |
Intervalo de fechas en el que se ha producido la detección. |
|
Estado |
Indica el estado en el que se encuentra la detección. |
|
Indicador de ataque |
Nombre del IOA que generó las detecciones a buscar. Para localizar rápidamente detecciones generadas por un IOA concreto, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono |
Cadena de caracteres |
Técnica |
Categoría de la técnica o subtécnica de ataque que generó el IOA, mapeado según la especificación MITRE.
Las técnicas se identifican por una cadena de caracteres con el formato TXXXX. Las subtécnicas se identifican por una cadena de caracteres con el formato TXXXX.YYY. Para localizar rápidamente una técnica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono |
Cadena de caracteres |
Ventana de detalle
Haz clic en uno de los elementos del listado para mostrar la ventana de detalle. Incluye una descripción detallada del cuándo y dónde se produjo la detección, así como el detalle del patrón de eventos registrado que motivó su aparición.
En los IOAs Avanzados se añade la pestaña Actividad donde se muestran todos los eventos que forman parte del posible ataque.
Campo | Comentario | Valores |
---|---|---|
Estado |
Estado de la detección y fecha de la asignación del estado. |
|
Fecha de detección |
Fecha y hora en la que se detectó por última vez el IOA. |
Fecha |
Indicador de ataque (IOA) |
Nombre de la regla que detecta el patrón de eventos que genera la detección. |
Cadena de caracteres |
Riesgo |
Importancia del impacto del IOA detectado:
|
Enumeración |
Descripción |
Detalle de la cadena de eventos detectada en el equipo del cliente, y de las consecuencias que puede tener en el caso de que el ataque cumpla sus objetivos. |
Cadena de caracteres |
Investigación avanzada del ataque (no disponible en IOAs avanzados) |
Informe con el detalle completo del IOA que generó la detección:
Los informes tienen una duración de un mes desde la generación de la detección, transcurrido el cual dejarán de estar accesibles. A su vez, un informe muestra los eventos que forman parte del ataque en el intervalo de los 30 días anteriores a la detección del IOA. |
Botón |
Ver gráfica del ataque (no disponible en IOAs avanzados) |
Grafo interactivo con la secuencia de procesos que generó la detección. Consulta Diagramas de grafos . |
Botón |
Acción |
Tipo de acción ejecutada por Advanced EPDR:
Consulta Respuesta automática para ataques RDP. |
Enumeración |
Recomendaciones |
Acciones de resolución recomendadas por Cytomic para el administrador de la red. |
Cadena de caracteres |
Pestaña detalles
Campo | Comentario | Valores |
---|---|---|
Equipo |
Nombre y grupo del equipo afectado. Si el equipo se encuentra en modo contención, se añade el botón Finalizar modo “Contención de ataque RDP”. Consulta Finalizar manualmente el estado de Contención de ataque RDP. |
Cadena de caracteres |
Ocurrencias detectadas |
Número de veces que se repite el IOA . Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones generadas por IOAs. |
Número |
Último evento |
Fecha en la que se ha producido el evento que desencadenó el IOA en el equipo. |
Fecha |
Ver detalle de actividad completo |
Disponible en IOAs avanzados. Consulta Pestaña Actividad. |
|
Ver investigación del equipo |
Consulta Pestaña Investigación. |
|
Otros detalles |
JSON con los campos relevantes del evento que desencadenó la generación del IOA. Consulta Formato de los eventos recogidos en la telemetría. |
Cadena de caracteres |
Táctica |
Categoría de la táctica del ataque que generó el IOA, mapeado según la especificación MITRE. |
Cadena de caracteres |
Técnica |
Categoría de la técnica del ataque que generó el IOA, mapeado según la especificación MITRE. Se identifican por una cadena de caracteres con el formato TXXXX. |
Cadena de caracteres |
Subtécnica |
Categoría de la subtécnica del ataque que generó el IOA, mapeado según la especificación MITRE. Se identifican por una cadena de caracteres con el formato TXXXX.YYY. |
Cadena de caracteres |
Plataforma |
Sistemas operativos y entornos donde MITRE ha registrado el tipo de ataque. |
Cadena de caracteres |
Descripción |
Detalle de la táctica y técnica empleadas por el IOA detectado, según la matriz de MITRE. |
Cadena de caracteres |
Pestaña Actividad
La ventana de detalle de un IOA Avanzado tiene una pestaña adicional Actividad donde se muestra un listado con todos los eventos que desencadenaron la detección. De esta forma, el administrador puede comprobar la secuencia de pasos ejecutada por el software malicioso y confirmar o desestimar el ataque.
Campo | Comentario | Valores |
---|---|---|
Buscar |
Filtra el listado buscando por el contenido de los campos Fecha y Acción. Soporta búsquedas parciales de cadenas de caracteres. |
|
Fecha |
Fecha en la que se registro el evento. |
Fecha |
Acción |
Resumen de los detalles del evento. Para obtener toda la información haz clic en el evento. |
Cadena de caracteres |
Exportar ![]() |
Exporta en un fichero Excel el listado de eventos mostrado en la consola. |
|
Al hacer clic en un evento se desplegará el panel lateral Detalles del evento con dos pestañas:
-
Detalles: muestra los campos del evento y su contenido. Para conocer el significado de cada campo consulta Formato de los eventos recogidos en la telemetría.
-
MITRE: muestra la táctica, técnica y subtécnica asociada al evento, así como su descripción. Si el IOA Avanzado está asociado a más de una técnica, el panel MITRE agrupa la información en varios desplegables, uno por cada técnica. Toda la información de la pestaña MITRE se recoge de la fuente oficial accesible en la dirección webhttps://attack.mitre.org/matrices/enterprise/.
Campo | Descripción |
---|---|
Táctica |
Nombre de la táctica de la matriz MITRE relacionada con el IOA avanzado. Las tácticas vienen identificadas por una cadena de caracteres con el formato TAXXXX. |
Técnica |
Nombre de la técnica de la matriz MITRE relacionada con IOA avanzado. Las técnicas se identifican por una cadena de caracteres con el formato TXXXX. |
Subtécnica |
Nombre de la subtécnica de la matriz MITRE relacionada con IOA avanzado. Las subtécnicas se identifican por una cadena de caracteres con el formato TXXXX.YYY. |
Plataforma |
Sistemas operativos afectados por la técnica & táctica. |
Permisos necesarios |
Permisos que requiere el atacante para desarrollar el ataque descrito en la técnica & táctica. |
Descripción |
Descripción de la técnica & táctica según los datos publicados por MITRE. |
Pestaña Investigación
Todos los tipos de IOAs incorporan la posibilidad de abrir una consola de investigación en Cytomic Orion que muestra la telemetría completa registrada en el equipo y permite realizar una investigación. La consola se posiciona en el último evento que generó la detección del IOA para facilitar el análisis al administrador, y le permite retroceder hasta 5 días en el tiempo para acceder al contexto del equipo en el que se produjo la detección, y un día posterior para poder calibrar los efectos del ataque en el equipo.
Para obtener más información sobre la consola de investigación consulta Sección Investigación (5).
Agrupación de detecciones generadas por IOAs
Para evitar mostrar un excesivo número de registros en la consola del cliente, Advanced EPDR puede agrupar dos o más detecciones de un mismo IOA, e indica el número de repeticiones en el campo Ocurrencias del listado de IOAs u Ocurrencias detectadas en su detalle. Para agrupar dos o más detecciones es necesario que se cumplan las condiciones siguientes:
-
Que las detecciones se hayan creado a partir del mismo IOA
-
Que se detecten en el mismo equipo
-
Que se detecten en un intervalo de tiempo próximo
El algoritmo de agrupación empleado varía dependiendo del tipo de IOA y de si el equipo está en modo auditoría o no (para activar o desactivar el modo auditoría consulta Modo auditoría).
Algoritmo de agrupación de detecciones para IOAs
-
La primera detección se registra de forma normal con el campo Ocurrencias detectadas a 1.
-
Se agrupan todas las detecciones repetidas en intervalo de 6 horas. Se envía una detección al final de cada intervalo y se indica en el campo Ocurrencias detectadasel acumulado de detecciones registradas hasta el momento.
-
Si no se registran detecciones iguales en un intervalo de 6 horas no se envía una detección para ese intervalo.
-
Pasados 4 intervalos (24 horas) se vuelve a iniciar el proceso.
Algoritmo de agrupación de detecciones para IOAs avanzados
-
La primera detección se registra de forma normal con el campo Ocurrencias detectadas a 1.
-
Se agrupan todas las detecciones repetidas en intervalo de 1 hora. Se envía una detección al final de cada intervalo y se indica en el campo Ocurrencias detectadasel acumulado de detecciones registradas hasta el momento.
-
Si no se registran detecciones iguales en un intervalo de 1 hora no se envía una detección para ese intervalo.
-
Pasadas 24 horas se vuelve a iniciar el proceso.
Algoritmo de agrupación de detecciones para IOAs avanzados con el modo de auditoria activado
En este modo no se agrupan detecciones. Cada detección se envía con el campo Ocurrencias detectadas a 1.
Algoritmo de agrupación de detecciones para IOAs de tipo Ataques RDP
Para obtener más información sobre el algoritmo de detección de ataques de red consulta Detección y protección frente ataques RDP.
Advanced EPDR muestra como máximo 50 detecciones iguales cada 24 horas del IOA Ataques de red por cada equipo. Se considera que dos detecciones de tipo Ataques de red son iguales cuando:
-
El equipo destino del ataque es el mismo.
-
El proceso involucrado en el equipo del usuario atacado es el mismo. Dependiendo de la etapa del ataque de red, este proceso será el que atiende a las peticiones RDP del sistema operativo, o bien cualquier otro proceso que se ejecuta de forma remota en el equipo tras un inicio de sesión exitoso si está precedido de varios intentos de inicio de sesión erróneos.