Paneles / widgets del módulo Indicadores de ataque
Para acceder al panel de control haz clic en el menú superior Estado, panel lateral Seguridad.
Permisos requeridos
| Permisos | Acceso a widgets |
|---|---|
|
Visualizar detecciones y amenazas |
|
Todos los widgets excepto Servicio Threat Hunting, muestran unicamente la información generada por los equipos del parque informático sobre los que tiene visibilidad el rol asociado a la cuenta del administrador utilizada para acceder a la consola.
El widget Servicio Threat Hunting muestra los datos siguientes:
-
Eventos: datos de todo el parque informático del cliente, sin importar la visibilidad de la cuenta.
-
Indicios: datos de todo el parque informático del cliente, sin importar la visibilidad de la cuenta.
-
Indicadores de ataque IOA: datos de los equipos visibles según el rol de la cuenta del administrador.
Advanced EPDR muestra en los distintos widgets IOAs cuando detecta actividad sospechosa en la red el cliente.
Para obtener información sobre las estrategias de agrupación de IOAs que implementa Advanced EPDR consulta Agrupación de indicadores de ataque.
Servicio Threat Hunting
Muestra datos sobre la información recogida de los equipos del cliente que la plataforma Cytomic utiliza como base para determinar si existen intentos de intrusión en los equipos protegidos.
Significado de las series
| Serie | Descripción |
|---|---|
|
Eventos |
Número de acciones ejecutadas por los programas instalados en los equipos protegidos de todo el parque informático del cliente, y monitorizados por Advanced EPDR. Estos eventos son recibidos como parte del flujo de telemetría y se almacenan en la plataforma Cytomicen busca de patrones sospechosos. |
|
Indicios |
Número de patrones sospechosos detectados en el flujo de eventos recibidos. |
|
Inidcadores de ataque (IOA) |
Número de patrones sospechosos con una alta probabilidad de pertenecer a la CKC de un ataque informático. |
|
Equipos en modo contención de ataque RDP |
Número de equipos que han recibido un ataque por el protocolo RDP y han sido configurados en modo contención de ataque RDP. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas enZonas activas del panel Servicio Threat Huntingpara abrir el listado con los filtros preestablecidos mostrados a continuación:
| Zona activa | Listado | Filtro |
|---|---|---|
|
(1) |
Indicadores de ataque (IOA) |
Sin filtros |
|
(2) |
Estado de protección de los equipos |
Modo “Contención de ataque RDP” = Sí |
Evolución de las detecciones
Muestra en un gráfico de lineas y barras la evolución de los indicios, IOAs pendientes e IOAs archivados detectados en los equipos de la red.
Para representar las diferentes escalas en un mismo diagrama, el gráfico tiene dos ejes Xs:
-
El eje X de la izquierda se refiere a los IOAs archivados y pendientes detectados.
-
El eje X de la derecha se refiere a los indicios detectados.
Significado de las series
| Series | Descripción |
|---|---|
|
Indicios |
Evolución del número de patrones sospechosos detectados en el flujo de eventos recibidos. |
|
IOA pendiente |
Evolución del número de patrones sospechosos con una alta probabilidad de pertenecer a la CKC de un ataque informático, y que el administrador tiene pendiente su estudio o resolución. |
|
IOA archivado |
Evolución del número de patrones sospechosos con una alta probabilidad de pertenecer a la CKC de un ataque informático, y que el administrador ya ha estudiado y resuelto, si no se trató de un falso positivo. |
Haz clic en las zonas indicadas enZonas activas del panel Evolución de las detecciones para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Ninguno |
|
(2) |
Estado = Pendiente |
|
(3) |
Estado = Archivado |
Indicadores de ataque situados en la matriz de MITRE ATT&CK
Muestra en una matriz la distribución de indicadores de ataque detectados en el intervalo elegido y ordenados por táctica y técnica.
Al pasar el ratón por encima de las casillas, se muestra:
-
Nombre y código de la táctica/técnica
-
Número de detecciones totales
-
Número de detecciones pendientes
Un IOA tiene al menos una táctica y una técnica asociadas; en cuanto a las subtécnicas, pueden tener más de una asociada, si bien no todos los IOAs las tienen.
Para ver los IOAs detectados mediante subtécnicas, haz clic en el enlace Mostrar subtécnicas.
Significado de las series
| Series | Descripción |
|---|---|
|
Número Rojo |
Número de indicadores de ataque detectados en estado pendiente que utilizan la táctica, técnica y subtécnica indicadas para el intervalo elegido. |
|
Número Negro |
Número total (pendientes + archivados) de indicadores de ataque detectados que utilizan la táctica, técnica y subtécnicas indicadas para el intervalo elegido. |
|
Enlace Mostrar subtécnicas |
Desplegable con las subtécnicas. Por cada subtécnica se indica el número total de detecciones pendientes (número rojo) o pendientes + archivadas (número negro) que tienen esa subtécnica asociada. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en la figura Zonas activas del panel Indicadores de ataque situados en la matriz de MITRE ATT&CK para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Táctica = táctica elegida en el widget |
|
(2) |
|
|
(3) |
Subtécnica = subtécnica elegida en el widget |
Indicadores de ataque (IOA) detectados
Muestra la distribución de indicadores de ataque segun su tipo detectados en el intervalo elegido. Cuanto mayor sea comparativamente el número de IOAs detectados de un tipo concreto con respecto al resto, mayor sera la superficie del polígono representado en el widget.
Significado de las series
| Serie | Descripción |
|---|---|
|
Número Rojo |
Número de indicadores de ataque detectados del tipo indicado en el intervalo elegido y en estado pendiente. |
|
Número Blanco |
Número total (pendientes + archivados) de indicadores de ataque detectados del tipo indicado en el intervalo elegido. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas enPanel de control Indicadores de ataque (IOA) detectados para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:
| Zona Activa | Filtro |
|---|---|
|
(1) |
Indicador de ataque = Indicador de ataque elegido en el widget |
|
(2) |
|
Indicadores de ataque (IOA) por equipo
Muestra la distribución de indicadores de ataque por cada equipo de la red en el intervalo elegido. Cuanto mayor sea comparativamente el número de IOAs detectados de un mismo equipo con respecto al resto, mayor sera la superficie del polígono representado en el widget.
Significado de las series
| Series | Descripción |
|---|---|
|
Número Rojo |
Número de indicadores de ataque en estado pendiente detectados en el equipo indicado para el intervalo elegido. |
|
Número Blanco |
Número total de indicadores de ataque (pendientes + archivados) detectados en el equipo indicado para el intervalo elegido. |
Filtros preestablecidos desde el panel
Haz clic en las zonas indicadas en Panel de control Indicadores de ataque (IOA) por equipo para abrir el listado Indicadores de ataque (IOA) con los filtros preestablecidos mostrados a continuación:
| Zona activa | Filtro |
|---|---|
|
(1) |
Equipo |
|
(2) |
|