Listados del módulo Indicadores de ataque (IOA)

Acceso a los listados

Accede a los listados siguiendo dos rutas:

En el menú superior Estado, haz clic en el panel de la izquierda Indicadores de ataque y en el widget relacionado.

O bien:

En el menú superior Estado, haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana emergente con los listados disponibles.
En la sección Seguridad, selecciona el listado Indicadores de ataque (IOA) para ver su plantilla asociada. Modifícala y haz clic en Guardar. El listado se añadirá al panel lateral.

Permisos requeridos

Permiso	Acceso a listados
Visualizar detecciones y amenazas	Indicadores de ataque (IOA)
Permisos requeridos para acceder a los listados de Indicadores de ataque (IOA)

Indicadores de ataque (IOA)

Muestra el detalle de los IOAs detectados por Advanced EPDR en los equipos de usuario y servidores. La generación de detecciones cumple las reglas siguientes:

Cada detección hace referencia a un único equipo y a un tipo de IOA. Si se produce la misma cadena de eventos sospechosos en varios equipos, se genera una detección independiente para cada equipo.
Si la tripla patrón - equipo - tipo se detecta varias veces, las detecciones se agruparán, indicando el número de repeticiones en el campo Ocurrencias. Para obtener más información sobre el algoritmo de agrupación consulta Agrupación de detecciones generadas por IOAs.

Campo	Comentario	Valores
Equipo	Nombre del equipo con el IOA detectado.	Cadena de caracteres
Grupo	Carpeta dentro del árbol de carpetas de Advanced EPDR a la que pertenece el equipo.	Cadena de caracteres
Indicador de ataque	Nombre de la regla interna que detecta el patrón de eventos que genera la detección.	Cadena de caracteres
Ocurrencias	Número de veces que se repite la detección. Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones generadas por IOAs.	Número
Riesgo	Importancia del impacto del IOA detectado: Crítico Alto Medio Bajo Desconocido	Enumeración
Acción	Tipo de acción ejecutada por Advanced EPDR en los IOAs Ataque por fuerza bruta al RDP: Informado Ataque bloqueado Consulta Respuesta automática para ataques RDP.	Enumeración
Estado	Archivado: la detección ya no requiere atención por parte del administrador al tratarse de un falso positivo o por haberse completado las tareas de resolución. Pendiente: la detección no ha sido investigada por el administrador. Consulta Indicadores de ataque (IOA).	Enumeración
Fecha	Fecha y hora en la que se detectó por última vez el IOA.	Fecha
Campos del listado Indicadores de ataque (IOA)

Campos mostrados en fichero exportado

Campo	Comentario	Valores
Indicador de ataque	Nombre de la regla que detecta el patrón de eventos que genera la detección.	Cadena de caracteres
Ocurrencias	Número de veces que se repite la detección. Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones generadas por IOAs.	Número
Riesgo	Importancia del impacto del IOA detectado: Crítico Alto Medio Bajo Desconocido	Enumeración
Acción	Tipo de acción ejecutada por Advanced EPDR: Informado Ataque bloqueado Consulta Respuesta automática para ataques RDP.	Enumeración
Estado	Archivado: la detección ya no requiere atención por parte del administrador al tratarse de un falso positivo o por haberse completado las tareas de resolución. Pendiente: la detección no ha sido investigado por el administrador. Consulta Indicadores de ataque (IOA).	Enumeración
Fecha	Fecha y hora en la que se detectó por última vez el IOA.	Fecha
Fecha de archivado	Fecha de la última vez que se archivó la detección.	Fecha
Tiempo hasta el archivado	Tiempo que ha transcurrido desde que se detectó el IOA hasta que el administrador pudo verificar su validez y desarrollar las labores de resolución en caso de ser necesarias.	Fecha
Grupo	Carpeta dentro del árbol de carpetas de Advanced EPDR a la que pertenece el equipo.	Cadena de caracteres
Dirección IP	Dirección IP principal del equipo.	Cadena de caracteres
Dominio	Dominio Windows al que pertenece el equipo.	Cadena de caracteres
Descripción	Descripción breve de las estrategias empleadas por el atacante.	Cadena de caracteres
Campos del fichero exportado Indicadores de ataque (IOA)

Herramienta de filtrado

Campo	Descripción	Valores
Buscar equipo	Nombre del equipo.	Cadena de caracteres
Riesgo	Importancia del impacto del IOA detectado: Crítico Alto Medio Bajo Desconocido	Enumeración
Acción	Tipo de acción ejecutada por Advanced EPDR: Informado Ataque bloqueado Consulta Respuesta automática para ataques RDP.	Enumeración
Táctica	Categoría de la táctica de ataque que generó la detección, mapeado según la especificación MITRE. Para localizar rápidamente una táctica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona la táctica por la que quieres filtrar.	Cadena de caracteres
Fechas	Intervalo de fechas en el que se ha producido la detección.	Últimas 24 horas Últimos 7 días Último mes
Estado	Indica el estado en el que se encuentra la detección.	Pendiente Archivado
Indicador de ataque	Nombre del IOA que generó las detecciones a buscar. Para localizar rápidamente detecciones generadas por un IOA concreto, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona el IOA por el que quieres filtrar.	Cadena de caracteres
Técnica	Categoría de la técnica o subtécnica de ataque que generó el IOA, mapeado según la especificación MITRE. Al filtrar por una técnica, se muestran las detecciones generadas por los IOAs que tienen esa técnica asociada o alguna de sus subtécnicas. Al filtrar por una subtécnica, se muestran las detecciones generadas por los IOAs que tienen asociada esa subtécnica en concreto . Las técnicas se identifican por una cadena de caracteres con el formato TXXXX. Las subtécnicas se identifican por una cadena de caracteres con el formato TXXXX.YYY. Para localizar rápidamente una técnica concreta, escribe los términos a buscar en la caja de texto situada bajo el desplegable. Haz clic en el icono y selecciona la técnica por la que quieres filtrar.	Cadena de caracteres
Campos de filtrado para el listado Indicadores de ataque (IOA)

Ventana de detalle

Haz clic en uno de los elementos del listado para mostrar la ventana de detalle. Incluye una descripción detallada del cuándo y dónde se produjo la detección, así como el detalle del patrón de eventos registrado que motivó su aparición.

En los IOAs Avanzados se añade la pestaña Actividad donde se muestran todos los eventos que forman parte del posible ataque.

Campo	Comentario	Valores
Estado	Estado de la detección y fecha de la asignación del estado.	Pendiente Archivado
Fecha de detección	Fecha y hora en la que se detectó por última vez el IOA.	Fecha
Indicador de ataque (IOA)	Nombre de la regla que detecta el patrón de eventos que genera la detección.	Cadena de caracteres
Riesgo	Importancia del impacto del IOA detectado: Crítico Alto Medio Bajo Desconocido	Enumeración
Descripción	Detalle de la cadena de eventos detectada en el equipo del cliente, y de las consecuencias que puede tener en el caso de que el ataque cumpla sus objetivos.	Cadena de caracteres
Investigación avanzada del ataque (no disponible en IOAs avanzados)	Informe con el detalle completo del IOA que generó la detección: Identificador del equipo y fecha. Nombre del tipo de IOA detectado. Descripción detallada del funcionamiento interno del IOA que generó la detección, con el mapeo a la táctica y técnica MITRE utilizadas. Herramientas del sistema operativo utilizadas en el ataque. Detalle del equipo. Criticidad del ataque. Estado del equipo con respecto al ataque. Estado de la evolución del ataque. Usuarios logueados en el momento del ataque. IPs / URLs accedidas. Historial de repeticiones diarias del ataque. Grafo de ejecución de la cadena de procesos involucrados en el ataque. Consejos para mitigar o resolver el ataque. Los informes tienen una duración de un mes desde la generación de la detección, transcurrido el cual dejarán de estar accesibles. A su vez, un informe muestra los eventos que forman parte del ataque en el intervalo de los 30 días anteriores a la detección del IOA.	Botón
Ver gráfica del ataque (no disponible en IOAs avanzados)	Grafo interactivo con la secuencia de procesos que generó la detección. Consulta Diagramas de grafos .	Botón
Acción	Tipo de acción ejecutada por Advanced EPDR: Informado Ataque bloqueado Consulta Respuesta automática para ataques RDP.	Enumeración
Recomendaciones	Acciones de resolución recomendadas por Cytomic para el administrador de la red.	Cadena de caracteres
Campos de la ventana Detalle del IOA

Pestaña detalles

Campo	Comentario	Valores
Equipo	Nombre y grupo del equipo afectado. Si el equipo se encuentra en modo contención, se añade el botón Finalizar modo “Contención de ataque RDP”. Consulta Finalizar manualmente el estado de Contención de ataque RDP.	Cadena de caracteres
Ocurrencias detectadas	Número de veces que se repite el IOA . Para conocer el algoritmo de agrupación que aplica en cada caso consulta Agrupación de detecciones generadas por IOAs.	Número
Último evento	Fecha en la que se ha producido el evento que desencadenó el IOA en el equipo.	Fecha
Ver detalle de actividad completo	Disponible en IOAs avanzados. Consulta Pestaña Actividad.
Ver investigación del equipo	Consulta Pestaña Investigación.
Otros detalles	JSON con los campos relevantes del evento que desencadenó la generación del IOA. Consulta Formato de los eventos recogidos en la telemetría.	Cadena de caracteres
Táctica	Categoría de la táctica del ataque que generó el IOA, mapeado según la especificación MITRE.	Cadena de caracteres
Técnica	Categoría de la técnica del ataque que generó el IOA, mapeado según la especificación MITRE. Se identifican por una cadena de caracteres con el formato TXXXX.	Cadena de caracteres
Subtécnica	Categoría de la subtécnica del ataque que generó el IOA, mapeado según la especificación MITRE. Se identifican por una cadena de caracteres con el formato TXXXX.YYY.	Cadena de caracteres
Plataforma	Sistemas operativos y entornos donde MITRE ha registrado el tipo de ataque.	Cadena de caracteres
Descripción	Detalle de la táctica y técnica empleadas por el IOA detectado, según la matriz de MITRE.	Cadena de caracteres
Campos de la ventana Detalle del IOA

Pestaña Actividad

La ventana de detalle de un IOA Avanzado tiene una pestaña adicional Actividad donde se muestra un listado con todos los eventos que desencadenaron la detección. De esta forma, el administrador puede comprobar la secuencia de pasos ejecutada por el software malicioso y confirmar o desestimar el ataque.

Campo	Comentario	Valores
Buscar	Filtra el listado buscando por el contenido de los campos Fecha y Acción. Soporta búsquedas parciales de cadenas de caracteres.
Fecha	Fecha en la que se registro el evento.	Fecha
Acción	Resumen de los detalles del evento. Para obtener toda la información haz clic en el evento.	Cadena de caracteres
Exportar	Exporta en un fichero Excel el listado de eventos mostrado en la consola.
Campos de la pestaña Actividad

Al hacer clic en un evento se desplegará el panel lateral Detalles del evento con dos pestañas:

Detalles: muestra los campos del evento y su contenido. Para conocer el significado de cada campo consulta Formato de los eventos recogidos en la telemetría.
MITRE: muestra la táctica, técnica y subtécnica asociada al evento, así como su descripción. Si el IOA Avanzado está asociado a más de una técnica, el panel MITRE agrupa la información en varios desplegables, uno por cada técnica. Toda la información de la pestaña MITRE se recoge de la fuente oficial accesible en la dirección webhttps://attack.mitre.org/matrices/enterprise/.

Campo	Descripción
Táctica	Nombre de la táctica de la matriz MITRE relacionada con el IOA avanzado. Las tácticas vienen identificadas por una cadena de caracteres con el formato TAXXXX.
Técnica	Nombre de la técnica de la matriz MITRE relacionada con IOA avanzado. Las técnicas se identifican por una cadena de caracteres con el formato TXXXX.
Subtécnica	Nombre de la subtécnica de la matriz MITRE relacionada con IOA avanzado. Las subtécnicas se identifican por una cadena de caracteres con el formato TXXXX.YYY.
Plataforma	Sistemas operativos afectados por la técnica & táctica.
Permisos necesarios	Permisos que requiere el atacante para desarrollar el ataque descrito en la técnica & táctica.
Descripción	Descripción de la técnica & táctica según los datos publicados por MITRE.
Campos de la pestaña MITRE

Pestaña Investigación

Todos los tipos de IOAs incorporan la posibilidad de abrir una consola de investigación en Cytomic Orion que muestra la telemetría completa registrada en el equipo y permite realizar una investigación. La consola se posiciona en el último evento que generó la detección del IOA para facilitar el análisis al administrador, y le permite retroceder hasta 5 días en el tiempo para acceder al contexto del equipo en el que se produjo la detección, y un día posterior para poder calibrar los efectos del ataque en el equipo.

Para obtener más información sobre la consola de investigación consulta Sección Investigación (5).

Agrupación de detecciones generadas por IOAs

Para evitar mostrar un excesivo número de registros en la consola del cliente, Advanced EPDR puede agrupar dos o más detecciones de un mismo IOA, e indica el número de repeticiones en el campo Ocurrencias del listado de IOAs u Ocurrencias detectadas en su detalle. Para agrupar dos o más detecciones es necesario que se cumplan las condiciones siguientes:

Que las detecciones se hayan creado a partir del mismo IOA
Que se detecten en el mismo equipo
Que se detecten en un intervalo de tiempo próximo

El algoritmo de agrupación empleado varía dependiendo del tipo de IOA y de si el equipo está en modo auditoría o no (para activar o desactivar el modo auditoría consulta Modo auditoría).

Algoritmo de agrupación de detecciones para IOAs

La primera detección se registra de forma normal con el campo Ocurrencias detectadas a 1.
Se agrupan todas las detecciones repetidas en intervalo de 6 horas. Se envía una detección al final de cada intervalo y se indica en el campo Ocurrencias detectadasel acumulado de detecciones registradas hasta el momento.
Si no se registran detecciones iguales en un intervalo de 6 horas no se envía una detección para ese intervalo.
Pasados 4 intervalos (24 horas) se vuelve a iniciar el proceso.

Algoritmo de agrupación de detecciones para IOAs avanzados

La primera detección se registra de forma normal con el campo Ocurrencias detectadas a 1.
Se agrupan todas las detecciones repetidas en intervalo de 1 hora. Se envía una detección al final de cada intervalo y se indica en el campo Ocurrencias detectadasel acumulado de detecciones registradas hasta el momento.
Si no se registran detecciones iguales en un intervalo de 1 hora no se envía una detección para ese intervalo.
Pasadas 24 horas se vuelve a iniciar el proceso.

Algoritmo de agrupación de detecciones para IOAs avanzados con el modo de auditoria activado

En este modo no se agrupan detecciones. Cada detección se envía con el campo Ocurrencias detectadas a 1.

Algoritmo de agrupación de detecciones para IOAs de tipo Ataques RDP

Para obtener más información sobre el algoritmo de detección de ataques de red consulta Detección y protección frente ataques RDP.

Advanced EPDR muestra como máximo 50 detecciones iguales cada 24 horas del IOA Ataques de red por cada equipo. Se considera que dos detecciones de tipo Ataques de red son iguales cuando:

El equipo destino del ataque es el mismo.
El proceso involucrado en el equipo del usuario atacado es el mismo. Dependiendo de la etapa del ataque de red, este proceso será el que atiende a las peticiones RDP del sistema operativo, o bien cualquier otro proceso que se ejecuta de forma remota en el equipo tras un inicio de sesión exitoso si está precedido de varios intentos de inicio de sesión erróneos.