Listados del módulo Indicadores de ataque (IOA)

Acceso a los listados

Accede a los listados siguiendo dos rutas:

  • En el menú superior Estado, haz clic en el panel de la izquierda Indicadores de ataque y en el widget relacionado.

O bien:

  • En el menú superior Estado, haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana emergente con los listados disponibles.

  • En la sección Seguridad, selecciona el listado Indicadores de ataque (IOA) para ver su plantilla asociada. Modifícala y haz clic en Guardar. El listado se añadirá al panel lateral.

Permisos requeridos

Permiso Acceso a listados

Visualizar detecciones y amenazas

  • Indicadores de ataque (IOA)

Permisos requeridos para acceder a los listados de Indicadores de ataque (IOA)

Indicadores de ataque (IOA)

Muestra el detalle de los IOAs detectados por Advanced EPDR en los equipos de usuario y servidores. La generación de IOAs cumple las reglas siguientes:

  • Cada IOA hace referencia a un único equipo y a un tipo de IOA. Si se produce la misma cadena de eventos sospechosos en varios equipos, se genera un IOA independiente para cada equipo.

  • Si la tripla patrón - equipo - tipo se detecta varias veces durante una hora, se generarán dos IOAs: uno inicial cuando se detecta el primero, y otro cada hora indicando el número de repeticiones en el campo Ocurrencias a lo largo de esa hora.

Campo Comentario Valores

Equipo

Nombre del equipo con el IOA detectado.

Cadena de caracteres

Grupo

Carpeta dentro del árbol de carpetas de Advanced EPDR a la que pertenece el equipo.

Cadena de caracteres

Indicador de ataque

Nombre de la regla interna que detecta el patrón de eventos que genera el IOA.

Cadena de caracteres

Ocurrencias

Número de veces que se repite el IOA durante 1 hora.

Número

Riesgo

Importancia del impacto del IOA detectado:

  • Crítico

  • Alto

  • Medio

  • Bajo

  • Desconocido

Enumeración

Acción

Tipo de acción ejecutada por Advanced EPDR en los IOAs Ataque por fuerza bruta al RDP:

  • Informado

  • Ataque bloqueado

Consulta Respuesta automática para ataques RDP.

Enumeración

Estado

  • Archivado: el IOA ya no requiere atención por parte del administrador al tratarse de un falso positivo o por haberse completado las tareas de resolución.

  • Pendiente: el IOA no ha sido investigado por el administrador.

Consulta Indicadores de ataque (IOA).

Enumeración

Fecha

Fecha y hora en la que se detectó por última vez el IOA.

Fecha

Campos del listado Indicadores de ataque (IOA)
Campos mostrados en fichero exportado
Campo Comentario Valores

Indicador de ataque

Nombre de la regla que detecta el patrón de eventos que genera el IOA.

Cadena de caracteres

Ocurrencias

Número de veces que se repite el IOA durante 1 hora.

Número

Riesgo

Importancia del impacto del IOA detectado:

  • Crítico

  • Alto

  • Medio

  • Bajo

  • Desconocido

Enumeración

Acción

Tipo de acción ejecutada por Advanced EPDR:

  • Informado

  • Ataque bloqueado

Consulta Respuesta automática para ataques RDP.

Enumeración

Estado

  • Archivado: el IOA ya no requiere atención por parte del administrador al tratarse de un falso positivo o por haberse completado las tareas de resolución.

  • Pendiente: el IOA no ha sido investigado por el administrador.

Consulta Indicadores de ataque (IOA).

Enumeración

Fecha

Fecha y hora en la que se detectó por última vez el IOA.

Fecha

Fecha de archivado

Fecha de la última vez que se archivó el IOA

Fecha

Tiempo hasta el archivado

Tiempo que ha transcurrido desde que se detectó el IOA hasta que el administrador pudo verificar su validez y desarrollar las labores de resolución en caso de ser necesarias.

Fecha

Grupo

Carpeta dentro del árbol de carpetas de Advanced EPDR a la que pertenece el equipo.

Cadena de caracteres

Dirección IP

Dirección IP principal del equipo.

Cadena de caracteres

Dominio

Dominio Windows al que pertenece el equipo.

Cadena de caracteres

Descripción

Descripción breve de las estrategias empleadas por el atacante.

Cadena de caracteres
 

Campos del fichero exportado Indicadores de ataque (IOA)
Herramienta de filtrado
Campo Descripción Valores

Buscar equipo

Nombre del equipo.

Cadena de caracteres

Riesgo

Importancia del impacto del IOA detectado:

  • Crítico

  • Alto

  • Medio

  • Bajo

  • Desconocido

Enumeración

Acción

Tipo de acción ejecutada por Advanced EPDR:

  • Informado

  • Ataque bloqueado

Consulta Respuesta automática para ataques RDP.

Enumeración

Táctica

Categoría de la táctica de ataque que generó el IOA, mapeado según la especificación MITRE.

Para localizar rápidamente una táctica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona la táctica por la que quieres filtrar.

Cadena de caracteres

Fechas

Intervalo de fechas en el que se ha producido el IOA.

  • Últimas 24 horas

  • Últimos 7 días

  • Último mes

Estado

Indica el estado en el que se encuentra el IOA.

  • Pendiente

  • Archivado

Indicador de ataque

Nombre del IOA a buscar.

Para localizar rápidamente un IOA concreto, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona el IOA por el que quieres filtrar.

Cadena de caracteres

Técnica

Categoría de la técnica o subtécnica de ataque que generó el IOA, mapeado según la especificación MITRE.

  • Al filtrar por una técnica, se muestran los IOAs que tienen esa técnica asociada o alguna de sus subtécnicas.

  • Al filtrar por una subtécnica, se muestran los IOAs que tienen asociada esa subtécnica en concreto .

Las técnicas se identifican por una cadena de caracteres con el formato TXXXX.

Las subtécnicas se identifican por una cadena de caracteres con el formato TXXXX.YYY.

Para localizar rápidamente una técnica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona la técnica por la que quieres filtrar.

Cadena de caracteres
 

Campos de filtrado para el listado Indicadores de ataque (IOA)
Ventana de detalle

Haz clic en uno de los elementos del listado para mostrar la ventana de detalle. Incluye una descripción detallada del cuándo y dónde se produjo el IOA, así como el detalle del patrón de eventos registrado que motivó su aparición.

En los IOAs Avanzados se añade la pestaña Actividad donde se muestran todos los eventos que forman parte del posible ataque.

Campo Comentario Valores

Fecha de detección

  • Fecha y hora en la que se detectó por última vez el IOA.

  • Fecha en la que se archivó el IOA si está en este estado.

  • Botón para archivar el IOA o para marcarlo como pendiente de investigación.

  

Indicador de ataque (IOA)

Nombre de la regla que detecta el patrón de eventos que genera el IOA.

Cadena de caracteres

Riesgo

Importancia del impacto del IOA detectado:

  • Crítico

  • Alto

  • Medio

  • Bajo

  • Desconocido

Enumeración

Descripción

Detalle de la cadena de eventos detectada en el equipo del cliente, y de las consecuencias que puede tener en el caso de que el ataque cumpla sus objetivos.

Cadena de caracteres

Investigación avanzada del ataque

Informe con el detalle completo del IOA:

  • Identificador del equipo y fecha.

  • Nombre del tipo de IOA detectado.

  • Descripción detallada del funcionamiento interno del IOA, con el mapeo a la táctica y técnica MITRE utilizadas.

  • Herramientas del sistema operativo utilizadas en el ataque.

  • Detalle del equipo.

  • Criticidad del ataque.

  • Estado del equipo con respecto al ataque.

  • Estado de la evolución del ataque.

  • Usuarios logueados en el momento del ataque.

  • IPs / URLs accedidas.

  • Historial de repeticiones diarias del ataque.

  • Grafo de ejecución de la cadena de procesos involucrados en el ataque.

  • Consejos para mitigar o resolver el ataque.

Botón

Ver gráfica del ataque

Grafo interactivo con la secuencia de procesos que generó el IOA. Consulta Diagramas de grafos .

Botón

Acción

Tipo de acción ejecutada por Advanced EPDR:

  • Informado

  • Ataque bloqueado

Consulta Respuesta automática para ataques RDP.

Enumeración

Recomendaciones

Acciones de resolución recomendadas por Cytomicpara el administrador de la red.

Cadena de caracteres

Equipo

Nombre y grupo del equipo afectado. Si el equipo se encuentra en modo contención, se añade el botón Finalizar modo “Contención de ataque RDP”. Consulta Finalizar manualmente el estado de Contención de ataque RDP.

Cadena de caracteres

Ocurrencias detectadas

Número de veces que se repite el IOA . Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de indicadores de ataque.

Número

Último evento

Fecha en la que se ha producido el evento que desencadenó el IOA en el equipo.

Fecha

Otros detalles

JSON con los campos relevantes del evento que desencadenó la generación del IOA. Consulta Formato de los eventos recogidos en la telemetría.

Cadena de caracteres

Táctica

Categoría de la táctica del ataque que generó el IOA, mapeado según la especificación MITRE.

Cadena de caracteres

Técnica

Categoría de la técnica del ataque que generó el IOA, mapeado según la especificación MITRE. Sse identifican por una cadena de caracteres con el formato TXXXX.

Cadena de caracteres

Subtécnica

Categoría de la subtécnica del ataque que generó el IOA, mapeado según la especificación MITRE. Se identifican por una cadena de caracteres con el formato TXXXX.YYY.

Cadena de caracteres

Plataforma

Sistemas operativos y entornos donde MITRE ha registrado el tipo de ataque.

Cadena de caracteres

Descripción

Detalle de la táctica y técnica empleadas por el IOA detectado, según la matriz de MITRE.

Cadena de caracteres

Campos de la ventana Detalle del IOA

Pestaña Actividad

La ventana de detalle de un IOA Avanzado tiene una pestaña adicional Actividad donde se muestran todos los eventos que desencadenaron la detección. De esta forma el administrador puede comprobar la secuencia de pasos ejecutada por el software malicioso y confirmar o desestimar el ataque.

Campo Comentario Valores

Buscar

Filtra el listado buscando por el contenido de los campos Fecha y Acción. Soporta búsquedas parciales de cadenas de caracteres.

  

Fecha

Fecha en la que se registro el evento.

Fecha

Acción

Resumen de los detalles del evento. Para obtener toda la información haz clic en el evento.

Cadena de caracteres

Campos de la pestaña Actividad
Detalles de evento

Al hacer clic en un evento se desplegará el panel lateral con dos pestañas:

  • Detalles: muestra los campos del evento y su contenido. Para conocer el significado de cada campo consulta Formato de los eventos recogidos en la telemetría.

  • MITRE: muestra la táctica, técnica y subtécnica asociada al evento, así como su descripción. Si el IOA Avanzado está asociado a más de una técnica, el panel MITRE agrupa la información en varios desplegables, uno por cada técnica. Toda la información de la pestaña MITRE se recoge de la fuente oficial accesible en la dirección webhttps://attack.mitre.org/matrices/enterprise/.

Campo Descripción

Táctica

Nombre de la táctica de la matriz MITRE relacionada con el IOA avanzado. Las tácticas vienen identificadas por una cadena de caracteres con el formato TAXXXX.

Técnica

Nombre de la técnica de la matriz MITRE relacionada con IOA avanzado. Las técnicas se identifican por una cadena de caracteres con el formato TXXXX.

Subtécnica

Nombre de la subtécnica de la matriz MITRE relacionada con IOA avanzado. Las subtécnicas se identifican por una cadena de caracteres con el formato TXXXX.YYY.

Plataforma

Sistemas operativos afectados por la técnica & táctica.

Permisos necesarios

Permisos que requiere el atacante para desarrollar el ataque descrito en la técnica & táctica.

Descripción

Descripción de la técnica & táctica según los datos publicados por MITRE.

Campos de la pestaña MITRE