Paneles / widgets del módulo Indicadores de ataque
Para acceder al panel de control haz clic en el menú superior Estado, panel lateral Seguridad.
Permisos requeridos
| Permisos | Acceso a widgets |
|---|---|
|
Visualizar detecciones y amenazas |
|
Todos los widgets excepto Servicio Threat Hunting, muestran unicamente la información generada por los equipos del parque informático sobre los que tiene visibilidad el rol asociado a la cuenta del administrador utilizada para acceder a la consola.
Advanced EPDR muestra en los distintos widgets las detecciones en estado Pendiente cuando registra actividad sospechosa en la red el cliente. Consulta Introducción a los conceptos de IOAs.
Para obtener información sobre las estrategias de agrupación de detecciones de IOAs que implementa Advanced EPDR consulta Agrupación de detecciones generadas por IOAs.
Servicio Threat Hunting
Muestra datos sobre la información recogida de los equipos del cliente que la plataforma Cytomic utiliza como base para determinar si existen intentos de intrusión en los equipos protegidos.
Significado de las series
| Serie | Descripción |
|---|---|
|
Eventos |
Número de acciones ejecutadas por los programas instalados en los equipos protegidos de todo el parque informático del cliente, y monitorizados por Advanced EPDR. Estos eventos son recibidos como parte del flujo de telemetría y se almacenan en la plataforma Cytomicen busca de patrones sospechosos. En este contador se incluyen todas las detecciones del cliente, sin importar la visibilidad de la cuenta que accede a la consola de Advanced EPDR. |
|
Indicios |
Número de patrones sospechosos detectados en el flujo de eventos recibidos. En este contador se incluyen todas las detecciones del cliente, sin importar la visibilidad de la cuenta que accede a la consola de Advanced EPDR. |
|
Inidcadores de ataque (IOA) |
Número de patrones sospechosos con una alta probabilidad de pertenecer a la CKC de un ataque informático. |
|
Equipos en modo contención de ataque RDP |
Número de equipos que han recibido un ataque por el protocolo RDP y han sido configurados en modo contención de ataque RDP. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas enZonas activas del panel Servicio Threat Hunting para abrir el listado con los filtros preestablecidos mostrados a continuación:
| Zona activa | Listado | Filtro |
|---|---|---|
|
(1) |
Indicadores de ataque (IOA) |
Sin filtros |
|
(2) |
Estado de protección de los equipos |
Modo “Contención de ataque RDP” = Sí |
Evolución de las detecciones
Muestra en un gráfico de lineas y barras la evolución de los indicios, detecciones de IOAs pendientes y detecciones de IOAs archivados registrados en los equipos de la red.
Para representar las diferentes escalas en un mismo diagrama, el gráfico tiene dos ejes Xs:
-
El eje X de la izquierda se refiere a las detecciones archivados y pendientes detectados.
-
El eje X de la derecha se refiere a los indicios detectados.
Significado de las series
| Series | Descripción |
|---|---|
|
Indicios |
Evolución del número de patrones sospechosos detectados en el flujo de eventos recibidos. |
|
IOA pendiente |
Evolución del número de patrones sospechosos con una alta probabilidad de pertenecer a la CKC de un ataque informático, y que el administrador tiene pendiente su estudio o resolución. |
|
IOA archivado |
Evolución del número de patrones sospechosos con una alta probabilidad de pertenecer a la CKC de un ataque informático, y que el administrador ya ha estudiado y resuelto, si no se trató de un falso positivo. |
Haz clic en las zonas indicadas enZonas activas del panel Evolución de las detecciones para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Ninguno |
|
(2) |
Estado = Pendiente |
|
(3) |
Estado = Archivado |
Indicadores de ataque situados en la matriz de MITRE ATT&CK
Muestra en una matriz la distribución de indicadores de ataque detectados en el intervalo elegido y ordenados por táctica y técnica.
Al pasar el ratón por encima de las casillas, se muestra:
-
Nombre y código de la táctica/técnica
-
Número de detecciones totales
-
Número de detecciones pendientes
Una detección de IOA tiene al menos una táctica y una técnica asociadas; en cuanto a las subtécnicas, pueden tener más de una asociada, si bien no todos los IOAs las tienen.
Para ver las subtécnicas de las detecciones de IOAs, haz clic en el enlace Mostrar subtécnicas.
Significado de las series
| Series | Descripción |
|---|---|
|
Número Rojo |
Número de detecciones registradas en estado pendiente que utilizan la táctica, técnica y subtécnica indicadas para el intervalo elegido. |
|
Número Negro |
Número total (pendientes + archivados) de detecciones registradas que utilizan la táctica, técnica y subtécnicas indicadas para el intervalo elegido. |
|
Enlace Mostrar subtécnicas |
Desplegable con las subtécnicas. Por cada subtécnica se indica el número total de detecciones pendientes (número rojo) o pendientes + archivadas (número negro) que tienen esa subtécnica asociada. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en la figura Zonas activas del panel Indicadores de ataque situados en la matriz de MITRE ATT&CK para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Táctica = táctica elegida en el widget |
|
(2) |
|
|
(3) |
Subtécnica = subtécnica elegida en el widget |
Indicadores de ataque (IOA) detectados
Muestra la distribución de detecciones de IOAs según su tipo registrados en el intervalo elegido. Cuanto mayor sea comparativamente el número de detecciones de un tipo concreto con respecto al resto, mayor sera la superficie del polígono representado en el widget.
Significado de las series
| Serie | Descripción |
|---|---|
|
Número Rojo |
Número de detecciones del tipo indicado en el intervalo elegido y en estado pendiente. |
|
Número Blanco |
Número total (pendientes + archivados) de detecciones del tipo indicado en el intervalo elegido. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas enPanel de control Indicadores de ataque (IOA) detectados para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:
| Zona Activa | Filtro |
|---|---|
|
(1) |
Indicador de ataque = Indicador de ataque elegido en el widget |
|
(2) |
|
Indicadores de ataque (IOA) por equipo
Muestra la distribución de detecciones registradas por cada equipo de la red en el intervalo elegido. Cuanto mayor sea comparativamente el número de detecciones en un mismo equipo con respecto al resto, mayor sera la superficie del polígono representado en el widget.
Significado de las series
| Series | Descripción |
|---|---|
|
Número Rojo |
Número de detecciones en estado pendiente registradas en el equipo indicado para el intervalo elegido. |
|
Número Blanco |
Número total de detecciones (pendientes + archivados) registradas en el equipo indicado para el intervalo elegido. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en Panel de control Indicadores de ataque (IOA) por equipo para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Equipo |
|
(2) |
|