Configuración de Indicadores de ataque (IOA)
Acceso a la configuración
-
Selecciona el menú superior Configuración, menú lateral Indicadores de ataque (IOA).
-
Haz clic en el botón Añadir. Se muestra la ventana Añadir configuración.
Las configuraciones de Indicadores de ataque (IOA) se pueden asignar a puestos de trabajo o servidores Windows, Linux y macOS.
Permisos requeridos
Permiso | Tipo de accesos |
---|---|
Configurar indicadores de ataque (IOA) |
Crear, modificar, borrar, copiar o asignar las configuraciones de Indicadores de ataque (IOA). |
Ver configuración de indicadores de ataque (IOA) |
Visualizar las configuraciones de Indicadores de ataque (IOA). |
Activar y modificar la detección de IOAs
Por defecto, Advanced EPDR asigna una configuración de tipo Indicadores de ataque (IOA) a todos los equipos gestionados de la red, con todos los tipos de IOA activados por defecto. Para desactivar la detección de un tipo de IOA específico:
-
Selecciona el menú superior Configuración, menú lateral Indicadores de ataque (IOA).
-
Haz clic en el botón Añadir, se abrirá la ventana de configuración de Añadir configuración
-
Selecciona los IOAs que Advanced EPDR buscará en el flujo de telemetría generado por los equipos.
Para poder seleccionar indicadores de ataque avanzados concretos, es necesario activarlos todos. Para ello, desplaza el control deslizante.
-
Selecciona los equipos que recibirán la nueva configuración y haz clic en el botón Guardar
Para más información sobre cómo gestionar configuraciones, consulta Gestión de configuraciones.
Opciones de configuración de Indicadores de ataque (IOA)
Para activar o desactivar los IOAs que quieres monitorizar, usa el control deslizante correspondiente:
Campo | Descripción |
---|---|
Ataque por fuerza bruta al RDP Credenciales comprometidas tras ataque por fuerza bruta al RDP |
Detecta volúmenes grandes de intentos de inicio de sesión remota a través del protocolo RDP. |
Resto de IOAs |
Cytomic actualiza de forma periódica la lista de indicadores de ataque para reflejar las estrategias de nueva aparición empleadas por los ciberdelincuentes. |
Indicadores de ataque avanzados |
Lista de los indicadores de ataque avanzados seleccionados para su búsqueda en los equipos de usuario y servidores. Disponible solo para equipos Windows. |
Activar y desactivar la tecnología de IOAs avanzados
La generación de IOAs avanzados emplea tecnologías nuevas y recopila una mayor cantidad de telemetría de los dispositivos. En servidores con múltiples usuarios y en situaciones específicas, puede afectar el rendimiento del dispositivo. Para desactivar esta tecnología por completo, utiliza el control deslizante IOAs avanzados.
Desactivar IOAs avanzados de forma individual no desactiva la tecnología y no mejora sustancialmente el rendimiento.
Información asociada al IOA
En la lista de Indicadores de ataque y comportamiento, haz clic en el icono situado junto al nombre de cada elemento. Se mostrará información sobre el IOA (nombre, riesgo, descripción, recomendaciones, MITRE...). Para más información, consulta Campos de la ventana Detalle del IOA .
Respuesta automática para ataques RDP
Campo | Descripción |
---|---|
Respuesta en estaciones |
|
Respuesta en servidores |
|
IPs de confianza
Escribe la lista de IPs de los equipos que consideras seguros. Las conexiones RDP cuyo origen figura en la lista, no son bloqueadas, pero generan indicios en los paneles de control de Indicadores de ataque (IOA). Utiliza comas para separar IPs individuales y guiones para separar rangos de IPs.