Configuración de Indicadores de ataque (IOA)

Acceso a la configuración

Selecciona el menú superior Configuración, menú lateral Indicadores de ataque (IOA).
Haz clic en el botón Añadir. Se muestra la ventana Añadir configuración.

Las configuraciones de Indicadores de ataque (IOA) se pueden asignar a puestos de trabajo o servidores Windows, Linux y macOS.

Permisos requeridos

Permiso	Tipo de accesos
Configurar indicadores de ataque (IOA)	Crear, modificar, borrar, copiar o asignar las configuraciones de Indicadores de ataque (IOA).
Ver configuración de indicadores de ataque (IOA)	Visualizar las configuraciones de Indicadores de ataque (IOA).
Permisos requeridos para acceder a la configuración Indicadores de ataque (IOA)

Opciones de configuración de Indicadores de ataque (IOA)

Para activar o desactivar los IOAs que quieres monitorizar, usa el control deslizante correspondiente:

Campo	Descripción
Ataque por fuerza bruta al RDP Credenciales comprometidas tras ataque por fuerza bruta al RDP	Detecta volúmenes grandes de intentos de inicio de sesión remota a través del protocolo RDP.
Resto de IOAs	Cytomicactualiza de forma periódica la lista de indicadores de ataque para reflejar las estrategias de nueva aparición empleadas por los ciberdelincuentes.
Indicadores de ataque avanzados	Lista de los indicadores de ataque avanzados seleccionados para su búsqueda en los equipos de usuario y servidores. Disponible solo para equipos Windows.
Tipos de indicios disponibles en una configuración de Indicadores de ataque (IOA)

Activar y desactivar la tecnología de IOAs avanzados

La generación de IOAs avanzados emplea tecnologías nuevas y recopila una mayor cantidad de telemetría de los dispositivos. En servidores con múltiples usuarios y en situaciones específicas, puede afectar el rendimiento del dispositivo. Para desactivar esta tecnología por completo, utiliza el control deslizante IOAs avanzados.

Desactivar IOAs avanzados de forma individual no desactiva la tecnología y no mejora sustancialmente el rendimiento.

Información asociada al IOA

En la lista de Indicadores de ataque y comportamiento, haz clic en el icono situado junto al nombre de cada elemento. Se mostrará información sobre el IOA (nombre, riesgo, descripción, recomendaciones, MITRE...). Para más información, consulta Campos de la ventana Detalle del IOA .

Respuesta automática para ataques RDP

Campo	Descripción
Respuesta en estaciones	Informar y bloquear ataques RDP: genera un IOA y bloquea los ataques RDP. Consulta Detección y protección frente ataques RDP. Solo informar: genera un IOAs.
Respuesta en servidores	Informar y bloquear ataques RDP: genera un IOAs y bloquea los ataques RDP. Consulta Detección y protección frente ataques RDP. Solo informar: genera un IOAs.
Acciones de respuesta automática para IOAs de tipo RDP

IPs de confianza

Escribe la lista de IPs de los equipos que consideras seguros. Las conexiones RDP cuyo origen figura en la lista, no son bloqueadas, pero generan indicios en los paneles de control de Indicadores de ataque (IOA). Utiliza comas para separar IPs individuales y guiones para separar rangos de IPs.