Paneles / widgets del módulo Indicadores de ataque

Para acceder al panel de control haz clic en el menú superior Estado, panel lateral Seguridad.

Permisos requeridos

Permisos Acceso a widgets

Visualizar detecciones y amenazas

  • Servicio Threat Hunting

  • Evolución de las detecciones

  • Indicadores de ataque situados en la matriz de MITRE ATT&CK

  • Indicadores de ataque (IOA) detectados

  • Indicadores de ataque (IOA) por equipo

Permisos requeridos para el acceso a los widgets de Programas bloqueados

Todos los widgets excepto Servicio Threat Hunting, muestran unicamente la información generada por los equipos del parque informático sobre los que tiene visibilidad el rol asociado a la cuenta del administrador utilizada para acceder a la consola.

Advanced EPDR muestra en los distintos widgets las detecciones en estado Pendiente cuando registra actividad sospechosa en la red el cliente. Consulta Introducción a los conceptos de IOAs.

Para obtener información sobre las estrategias de agrupación de detecciones de IOAs que implementa Advanced EPDR consulta Agrupación de detecciones generadas por IOAs.

Servicio Threat Hunting

Muestra datos sobre la información recogida de los equipos del cliente que la plataforma Cytomic utiliza como base para determinar si existen intentos de intrusión en los equipos protegidos.

Panel de control Servicio Threat Hunting

Significado de las series
Serie Descripción

Eventos

Número de acciones ejecutadas por los programas instalados en los equipos protegidos de todo el parque informático del cliente, y monitorizados por Advanced EPDR. Estos eventos son recibidos como parte del flujo de telemetría y se almacenan en la plataforma Cytomicen busca de patrones sospechosos.

En este contador se incluyen todas las detecciones del cliente, sin importar la visibilidad de la cuenta que accede a la consola de Advanced EPDR.

Indicios

Número de patrones sospechosos detectados en el flujo de eventos recibidos.

En este contador se incluyen todas las detecciones del cliente, sin importar la visibilidad de la cuenta que accede a la consola de Advanced EPDR.

Inidcadores de ataque (IOA)

Número de patrones sospechosos con una alta probabilidad de pertenecer a la CKC de un ataque informático.

Equipos en modo contención de ataque RDP

Número de equipos que han recibido un ataque por el protocolo RDP y han sido configurados en modo contención de ataque RDP.

Descripción de las series de Servicio Threat Hunting

Filtros preestablecidos desde el panel

Zonas activas del panel Servicio Threat Hunting

Haz clic en las zonas indicadas enZonas activas del panel Servicio Threat Hunting para abrir el listado con los filtros preestablecidos mostrados a continuación:

Zona activa Listado Filtro

(1)

Indicadores de ataque (IOA)

Sin filtros

(2)

Estado de protección de los equipos

Modo “Contención de ataque RDP” = Sí

Definición de filtros del panel de control Servicio Threat Hunting

Evolución de las detecciones

Muestra en un gráfico de lineas y barras la evolución de los indicios, detecciones de IOAs pendientes y detecciones de IOAs archivados registrados en los equipos de la red.

Panel de control Evolución de las detecciones

Para representar las diferentes escalas en un mismo diagrama, el gráfico tiene dos ejes Xs:

  • El eje X de la izquierda se refiere a las detecciones archivados y pendientes detectados.

  • El eje X de la derecha se refiere a los indicios detectados.

Significado de las series
Series Descripción

Indicios

Evolución del número de patrones sospechosos detectados en el flujo de eventos recibidos.

IOA pendiente

Evolución del número de patrones sospechosos con una alta probabilidad de pertenecer a la CKC de un ataque informático, y que el administrador tiene pendiente su estudio o resolución.

IOA archivado

Evolución del número de patrones sospechosos con una alta probabilidad de pertenecer a la CKC de un ataque informático, y que el administrador ya ha estudiado y resuelto, si no se trató de un falso positivo.

Descripción de las series de Evolución de las detecciones

Zonas activas del panel Evolución de las detecciones

Haz clic en las zonas indicadas enZonas activas del panel Evolución de las detecciones para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:

Zona activa Filtro

(1)

Ninguno

(2)

Estado = Pendiente

(3)

Estado = Archivado

Definición de filtros del listado Indicadores de ataque (IOA)

Indicadores de ataque situados en la matriz de MITRE ATT&CK

Muestra en una matriz la distribución de indicadores de ataque detectados en el intervalo elegido y ordenados por táctica y técnica.

Al pasar el ratón por encima de las casillas, se muestra:

  • Nombre y código de la táctica/técnica

  • Número de detecciones totales

  • Número de detecciones pendientes

Una detección de IOA tiene al menos una táctica y una técnica asociadas; en cuanto a las subtécnicas, pueden tener más de una asociada, si bien no todos los IOAs las tienen.

Para ver las subtécnicas de las detecciones de IOAs, haz clic en el enlace Mostrar subtécnicas.

Panel de control Indicadores de ataque situados en la matriz de MITRE ATT&CK

Significado de las series
Series Descripción

Número Rojo

Número de detecciones registradas en estado pendiente que utilizan la táctica, técnica y subtécnica indicadas para el intervalo elegido.

Número Negro

Número total (pendientes + archivados) de detecciones registradas que utilizan la táctica, técnica y subtécnicas indicadas para el intervalo elegido.

Enlace Mostrar subtécnicas

Desplegable con las subtécnicas. Por cada subtécnica se indica el número total de detecciones pendientes (número rojo) o pendientes + archivadas (número negro) que tienen esa subtécnica asociada.

Descripción de las series de Indicadores de ataque situados en la matriz de MITRE ATT&CK

Filtros preestablecidos desde el panel

Zonas activas del panel Indicadores de ataque situados en la matriz de MITRE ATT&CK

Haz clic en las zonas indicadas en la figura Zonas activas del panel Indicadores de ataque situados en la matriz de MITRE ATT&CK para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:

Zona activa Filtro

(1)

Táctica = táctica elegida en el widget

(2)

  • Táctica = táctica elegida en el widget

  • Técnica = técnica elegida en el widget

(3)

Subtécnica = subtécnica elegida en el widget

Definición de filtros del listado Indicadores de ataque (IOA)

Indicadores de ataque (IOA) detectados

Muestra la distribución de detecciones de IOAs según su tipo registrados en el intervalo elegido. Cuanto mayor sea comparativamente el número de detecciones de un tipo concreto con respecto al resto, mayor sera la superficie del polígono representado en el widget.

Panel de control Indicadores de ataque (IOA) detectados

Significado de las series
Serie Descripción

Número Rojo

Número de detecciones del tipo indicado en el intervalo elegido y en estado pendiente.

Número Blanco

Número total (pendientes + archivados) de detecciones del tipo indicado en el intervalo elegido.

Descripción de las series de Indicadores de ataque (IOA) detectados

Filtros preestablecidos desde el panel

Panel de control Indicadores de ataque (IOA) detectados

Haz clic en las zonas indicadas enPanel de control Indicadores de ataque (IOA) detectados para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:

Zona Activa Filtro

(1)

Indicador de ataque = Indicador de ataque elegido en el widget

(2)

  • Indicador de ataque = Indicador de ataque elegido en el widget

  • Estado = Pendiente

Definición de filtros del listado Indicadores de ataque (IOA)

Indicadores de ataque (IOA) por equipo

Muestra la distribución de detecciones registradas por cada equipo de la red en el intervalo elegido. Cuanto mayor sea comparativamente el número de detecciones en un mismo equipo con respecto al resto, mayor sera la superficie del polígono representado en el widget.

Panel de control Indicadores de ataque (IOA) por equipo

Significado de las series
Series Descripción

Número Rojo

Número de detecciones en estado pendiente registradas en el equipo indicado para el intervalo elegido.

Número Blanco

Número total de detecciones (pendientes + archivados) registradas en el equipo indicado para el intervalo elegido.

Descripción de las series de Indicadores de ataque (IOA) por equipo

Filtros preestablecidos desde el panel

Panel de control Indicadores de ataque (IOA) por equipo

Haz clic en las zonas indicadas en Panel de control Indicadores de ataque (IOA) por equipo para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:

Zona activa Filtro

(1)

Equipo

(2)

  • Equipo

  • Estado = Pendiente

Definición de filtros del listado Indicadores de ataque (IOA)