Listados del módulo Indicadores de ataque (IOA)

Acceso a los listados

Accede a los listados siguiendo dos rutas:

  • En el menú superior Estado, haz clic en el panel de la izquierda Indicadores de ataque y en el widget relacionado.

O bien:

  • En el menú superior Estado, haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana emergente con los listados disponibles.

  • En la sección Seguridad, selecciona el listado Indicadores de ataque (IOA) para ver su plantilla asociada. Modifícala y haz clic en Guardar. El listado se añadirá al panel lateral.

Permisos requeridos

Permiso Acceso a listados

Visualizar detecciones y amenazas

  • Indicadores de ataque (IOA)

Permisos requeridos para acceder a los listados de Indicadores de ataque (IOA)

Indicadores de ataque (IOA)

Muestra el detalle de los IOAs detectados por Advanced EPDR en los equipos de usuario y servidores. La generación de detecciones cumple las reglas siguientes:

  • Cada detección hace referencia a un único equipo y a un tipo de IOA. Si se produce la misma cadena de eventos sospechosos en varios equipos, se genera una detección independiente para cada equipo.

  • Si la tripla patrón - equipo - tipo se detecta varias veces, las detecciones se agruparán, indicando el número de repeticiones en el campo Ocurrencias. Para obtener más información sobre el algoritmo de agrupación consulta Agrupación de detecciones generadas por IOAs.

Campo Comentario Valores

Equipo

Nombre del equipo con el IOA detectado.

Cadena de caracteres

Grupo

Carpeta dentro del árbol de carpetas de Advanced EPDR a la que pertenece el equipo.

Cadena de caracteres

Indicador de ataque

Nombre de la regla interna que detecta el patrón de eventos que genera la detección.

Cadena de caracteres

Ocurrencias

Número de veces que se repite la detección. Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones generadas por IOAs.

Número

Riesgo

Importancia del impacto del IOA detectado:

  • Crítico

  • Alto

  • Medio

  • Bajo

  • Desconocido

Enumeración

Acción

Tipo de acción ejecutada por Advanced EPDR en los IOAs Ataque por fuerza bruta al RDP:

  • Informado

  • Ataque bloqueado

Consulta Respuesta automática para ataques RDP.

Enumeración

Estado

  • Archivado: la detección ya no requiere atención por parte del administrador al tratarse de un falso positivo o por haberse completado las tareas de resolución.

  • Pendiente: la detección no ha sido investigada por el administrador.

  • Borrado: la detección fue borrada por el administrador.

  • Borrado: la detección fue borrada por el administrador o por una regla de eliminación automática.

Consulta Indicadores de ataque (IOA).

Enumeración

Fecha

Fecha y hora en la que se detectó por última vez el IOA.

Fecha

Campos del listado Indicadores de ataque (IOA)

Campos mostrados en fichero exportado

Campo Comentario Valores

Indicador de ataque

Nombre de la regla que detecta el patrón de eventos que genera la detección.

Cadena de caracteres

Ocurrencias

Número de veces que se repite la detección. Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones generadas por IOAs.

Número

Riesgo

Importancia del impacto del IOA detectado:

  • Crítico

  • Alto

  • Medio

  • Bajo

  • Desconocido

Enumeración

Acción

Tipo de acción ejecutada por Advanced EPDR:

  • Informado

  • Ataque bloqueado

Consulta Respuesta automática para ataques RDP.

Enumeración

Estado

  • Archivado: la detección ya no requiere atención por parte del administrador al tratarse de un falso positivo o por haberse completado las tareas de resolución.

  • Pendiente: la detección no ha sido investigado por el administrador.

  • Borrado: la detección fue borrada por el administrador.

  • Borrado: la detección fue borrada por el administrador o por una regla de eliminación automática.

Consulta Indicadores de ataque (IOA).

Enumeración

Fecha

Fecha y hora en la que se detectó por última vez el IOA.

Fecha

Fecha de archivado

Fecha de la última vez que se archivó la detección.

Fecha

Tiempo hasta el archivado

Tiempo que ha transcurrido desde que se detectó el IOA hasta que el administrador pudo verificar su validez y desarrollar las labores de resolución en caso de ser necesarias.

Fecha

Grupo

Carpeta dentro del árbol de carpetas de Advanced EPDR a la que pertenece el equipo.

Cadena de caracteres

Dirección IP

Dirección IP principal del equipo.

Cadena de caracteres

Dominio

Dominio Windows al que pertenece el equipo.

Cadena de caracteres

Descripción

Descripción breve de las estrategias empleadas por el atacante.

Cadena de caracteres
 

Campos del fichero exportado Indicadores de ataque (IOA)

Herramienta de filtrado

Campo Descripción Valores

Buscar equipo

Nombre del equipo.

Cadena de caracteres

Riesgo

Importancia del impacto del IOA detectado:

  • Crítico

  • Alto

  • Medio

  • Bajo

  • Desconocido

Enumeración

Acción

Tipo de acción ejecutada por Advanced EPDR:

  • Informado

  • Ataque bloqueado

Consulta Respuesta automática para ataques RDP.

Enumeración

Táctica

Categoría de la táctica de ataque que generó la detección, mapeado según la especificación MITRE.

Para localizar rápidamente una táctica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona la táctica por la que quieres filtrar.

Cadena de caracteres

Fechas

Intervalo de fechas en el que se ha producido la detección.

  • Últimas 24 horas

  • Últimos 7 días

  • Último mes

Estado

Indica el estado en el que se encuentra la detección.

  • Pendiente

  • Archivado

Indicador de ataque

Nombre del IOA que generó las detecciones a buscar.

Para localizar rápidamente detecciones generadas por un IOA concreto, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona el IOA por el que quieres filtrar.

Cadena de caracteres

Técnica

Categoría de la técnica o subtécnica de ataque que generó el IOA, mapeado según la especificación MITRE.

  • Al filtrar por una técnica, se muestran las detecciones generadas por los IOAs que tienen esa técnica asociada o alguna de sus subtécnicas.

  • Al filtrar por una subtécnica, se muestran las detecciones generadas por los IOAs que tienen asociada esa subtécnica en concreto .

Las técnicas se identifican por una cadena de caracteres con el formato TXXXX.

Las subtécnicas se identifican por una cadena de caracteres con el formato TXXXX.YYY.

Para localizar rápidamente una técnica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona la técnica por la que quieres filtrar.

Cadena de caracteres
 

Campos de filtrado para el listado Indicadores de ataque (IOA)

Ventana de detalle

Haz clic en uno de los elementos del listado para mostrar la ventana de detalle. Incluye una descripción detallada del cuándo y dónde se produjo la detección, así como el detalle del patrón de eventos registrado que motivó su aparición.

Campo Comentario Valores

Estado

Estado de la detección y fecha de la asignación del estado.

  • Pendiente

  • Archivado

Fecha de detección

Fecha y hora en la que se detectó por última vez el IOA.

Fecha

Indicador de ataque (IOA)

Nombre de la regla que detecta el patrón de eventos que genera la detección.

Cadena de caracteres

Riesgo

Importancia del impacto del IOA detectado:

  • Crítico

  • Alto

  • Medio

  • Bajo

  • Desconocido

Enumeración

Descripción

Detalle de la cadena de eventos detectada en el equipo del cliente, y de las consecuencias que puede tener en el caso de que el ataque cumpla sus objetivos.

Cadena de caracteres

Investigación avanzada del ataque

Informe con el detalle completo del IOA que generó la detección:

  • Identificador del equipo y fecha.

  • Nombre del tipo de IOA detectado.

  • Descripción detallada del funcionamiento interno del IOA que generó la detección, con el mapeo a la táctica y técnica MITRE utilizadas.

  • Herramientas del sistema operativo utilizadas en el ataque.

  • Detalle del equipo.

  • Criticidad del ataque.

  • Estado del equipo con respecto al ataque.

  • Estado de la evolución del ataque.

  • Usuarios logueados en el momento del ataque.

  • IPs / URLs accedidas.

  • Historial de repeticiones diarias del ataque.

  • Grafo de ejecución de la cadena de procesos involucrados en el ataque.

  • Consejos para mitigar o resolver el ataque.

Los informes tienen una duración de un mes desde la generación de la detección, transcurrido el cual dejarán de estar accesibles. A su vez, un informe muestra los eventos que forman parte del ataque en el intervalo de los 30 días anteriores a la detección del IOA.

Botón

Ver gráfica del ataque

Grafo interactivo con la secuencia de procesos que generó la detección. Consulta Diagramas de grafos .

Botón

Acción

Tipo de acción ejecutada por Advanced EPDR:

  • Informado

  • Ataque bloqueado

Consulta Respuesta automática para ataques RDP.

Enumeración

Recomendaciones

Acciones de resolución recomendadas por Cytomic para el administrador de la red.

Cadena de caracteres

Campos de la ventana Detalle del IOA

Pestaña detalles
Campo Comentario Valores

Equipo

Nombre y grupo del equipo afectado. Si el equipo se encuentra en modo contención, se añade el botón Finalizar modo “Contención de ataque RDP”. Consulta Finalizar manualmente el estado de Contención de ataque RDP.

Cadena de caracteres

Ocurrencias detectadas

Número de veces que se repite el IOA . Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones generadas por IOAs.

Número

Último evento

Fecha en la que se ha producido el evento que desencadenó el IOA en el equipo.

Fecha

Ver investigación del equipo

Consulta Pestaña Investigación.

  

Otros detalles

JSON con los campos relevantes del evento que desencadenó la generación del IOA. Consulta Formato de los eventos recogidos en la telemetría.

Cadena de caracteres

Táctica

Categoría de la táctica del ataque que generó el IOA, mapeado según la especificación MITRE.

Cadena de caracteres

Técnica

Categoría de la técnica del ataque que generó el IOA, mapeado según la especificación MITRE. Se identifican por una cadena de caracteres con el formato TXXXX.

Cadena de caracteres

Subtécnica

Categoría de la subtécnica del ataque que generó el IOA, mapeado según la especificación MITRE. Se identifican por una cadena de caracteres con el formato TXXXX.YYY.

Cadena de caracteres

Plataforma

Sistemas operativos y entornos donde MITRE ha registrado el tipo de ataque.

Cadena de caracteres

Descripción

Detalle de la táctica y técnica empleadas por el IOA detectado, según la matriz de MITRE.

Cadena de caracteres

Campos de la ventana Detalle del IOA

Pestaña Investigación

El acceso a esta pestaña requiere que la cuenta de usuario que utilizas para acceder a la consola tenga asignado el permiso Acceso avanzado a la Telemetría. Consulta Descripción de los permisos implementados.

Todos los tipos de IOAs incorporan la posibilidad de abrir una consola de investigación en Cytomic Orion que muestra la telemetría completa registrada en el equipo y permite realizar una investigación. La consola se posiciona en el último evento que generó la detección del IOA para facilitar el análisis al administrador, y le permite retroceder hasta 5 días en el tiempo para acceder al contexto del equipo en el que se produjo la detección, y un día posterior para poder calibrar los efectos del ataque en el equipo.

Para obtener más información sobre la consola de investigación consulta Sección Investigación (5).

Agrupación de detecciones generadas por IOAs

Para evitar mostrar un excesivo número de registros en la consola del cliente, Advanced EPDR puede agrupar dos o más detecciones de un mismo IOA, e indica el número de repeticiones en el campo Ocurrencias del listado de IOAs u Ocurrencias detectadas en su detalle. Para agrupar dos o más detecciones es necesario que se cumplan las condiciones siguientes:

  • Que las detecciones se hayan creado a partir del mismo IOA

  • Que se detecten en el mismo equipo

  • Que se detecten en un intervalo de tiempo próximo

El algoritmo de agrupación empleado varía dependiendo del tipo de IOA y de si el equipo está en modo auditoría o no (para activar o desactivar el modo auditoría consulta Modo auditoría).

Algoritmo de agrupación de detecciones para IOAs

  • La primera detección se registra de forma normal con el campo Ocurrencias detectadas a 1.

  • Se agrupan todas las detecciones repetidas en intervalo de 6 horas. Se envía una detección al final de cada intervalo y se indica en el campo Ocurrencias detectadasel acumulado de detecciones registradas hasta el momento.

  • Si no se registran detecciones iguales en un intervalo de 6 horas no se envía una detección para ese intervalo.

  • Pasados 4 intervalos (24 horas) se vuelve a iniciar el proceso.

Algoritmo de agrupación de detecciones para IOAs de tipo Ataques RDP

Para obtener más información sobre el algoritmo de detección de ataques de red consulta Detección y protección frente ataques RDP.

Advanced EPDR muestra como máximo 50 detecciones iguales cada 24 horas del IOA Ataques de red por cada equipo. Se considera que dos detecciones de tipo Ataques de red son iguales cuando:

  • El equipo destino del ataque es el mismo.

  • El proceso involucrado en el equipo del usuario atacado es el mismo. Dependiendo de la etapa del ataque de red, este proceso será el que atiende a las peticiones RDP del sistema operativo, o bien cualquier otro proceso que se ejecuta de forma remota en el equipo tras un inicio de sesión exitoso si está precedido de varios intentos de inicio de sesión erróneos.