Detalle de los programas bloqueados

Advanced EPDR muestra el detalle extendido de los programas cuando son bloqueados por alguna de las tecnologías de detección avanzada soportadas:

Detección del malware y PUP

Acceso a la ventana Detalle del malware y Detalle de PUP

  • Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana con los listados disponibles.

  • Haz clic en e listado Actividad del malware o PUPs

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como malware o PUP.

  • Haz clic en un elemento. Se mostrará la ventana Detección de malware o Detección de PUP.

O bien:

  • Haz clic en el menú superior Estado, panel lateral Seguridad. Se mostrarán los widgets asociados a los módulos de seguridad.

  • Haz clic en los widgets Actividad de malware o Actividad de PUP.

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como malware o PUP.

  • Haz clic en un elemento. Se mostrará la ventana Detección de malware o Detección de PUP.

La ventana de detalle se divide en varias secciones:

  • Información general.

  • Equipo afectado.

  • Impacto de la amenaza en el equipo.

  • Origen de la infección.

  • Apariciones en otros equipos.

Información general

Campo Descripción Valores

Amenaza

Nombre de la amenaza y hash que la identifica.

  • Tipo y nombre de la amenaza

  • Hash

Acción

Tipo de acción que Advanced EPDR ha ejecutado sobre el elemento.

  • Movido a Cuarentena: el fichero que se ha movido a cuarentena.

  • Bloqueado: el proceso fue bloqueado antes de su ejecución.

  • Desinfectado: el fichero ha sido desinfectado y una copia del original se ha guardado en la cuarentena.

  • Eliminado: el fichero se ha eliminado.

  • Detectado: el proceso fue detectado pero no bloqueado por estar la protección avanzada configurada en modo Audit.

  • Permitido (modo auditoría): se informó al usuario de que el malware había realizado acciones sospechosas. Al estar el modo auditoría activado, las amenazas se detectan pero no se bloquean ni eliminan. Consulta Modo auditoría

Enumeración

Consulta Permitir y volver a impedir la ejecución de elementos para obtener información de como gestionar los bloqueos de la amenazas detectadas.

Consulta Restaurar elementos de cuarentena.

Campos de la sección Información general en Detección de malware

Equipo afectado

Consulta Gestión de amenazas, elementos en clasificación y cuarentena para obtener información sobre las acciones que el administrador puede ejecutar sobre los elementos encontrados.

Campo Descripción

Equipo

Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.

Visualizar parches disponibles

Si el módulo Cytomic Patch está activado muestra los parches y actualizaciones pendientes de instalar en el equipo.

Usuario logueado

Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.

Ruta de detección

Ruta del sistema de ficheros donde reside la amenaza.

Campos de la sección Equipo afectado en Detección de malware, PUP y programas bloqueados en clasificación

Impacto de la amenaza en el equipo

Campo Descripción

Amenaza

Nombre de la amenaza detectada y cadena resumen de identificación del archivo (hash). Haz clic en los dos botones para ampliar información en Internet mediante el buscador Google y la web de Virustotal. Si la amenaza es de reciente aparición se mostrará la leyenda Nueva amenaza.

Actividad

Resumen de las acciones más importantes ejecutadas por el malware:

  • Se ha ejecutado

  • Ha accedido a datos

  • Ha intercambiado datos con otros equipos

  • Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones.

  • Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución.

Fecha de detección

Fecha en la que Advanced EPDR detectó la amenaza en la red del cliente.

Tiempo de exposición

Tiempo que la amenaza ha permanecido sin clasificar en la red del cliente.

Campos de la sección Impacto de la amenaza en el equipo en Detección de malware, PUP y programas bloqueados en clasificación

Origen de la infección

Campo Descripción

Equipo origen de la amenaza

Si el intento de infección viene de un equipo de la red del cliente, indica el nombre del equipo.

IP origen de la amenaza

Si el intento de infección viene de un equipo de la red del cliente, indica la dirección IP del equipo.

Usuario origen de la amenaza

Usuario conectado en la máquina origen de la infección.

Campos de la sección Origen de la infección en Detección de malware, PUP y programas bloqueados en clasificación

Apariciones en otros equipos

Muestra todos los equipos de la red donde fue visto el malware detectado.

Campos Descripción

Equipo

Nombre del equipo.

Ruta del archivo

Ruta y nombre del fichero que contiene el malware.

Fecha primera aparición

Fecha en la que la amenaza fue detectada por primera vez en ese equipo.

Campos de la sección Apariciones en otros equipos en Detección de malware, PUP y programas bloqueados en clasificación

Detección exploit

Acceso a la ventana Detalle del exploit

  • Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana con los listados accesibles.

  • Haz clic en el listado Actividad de exploits.

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como exploits.

  • Haz clic en un elemento. Se mostrará la ventana Detección de exploit.

O bien:

  • Selecciona el menú superior Estado, panel lateral Seguridad. Se mostrarán los widgets asociados a los módulos de seguridad.

  • Haz clic en el widget Actividad de exploits.

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como exploits.

  • Haz clic en un elemento. Se mostrará la ventana Detalle de exploit.

La ventana de detalle se divide en varias secciones:

  • Información general.

  • Equipo afectado.

  • Impacto del exploit en el equipo.

Información general

Campo Descripción Valores

Programa comprometido

Nombre del programa que recibió el intento de explotación de una vulnerabilidad y hash que lo identifica.

  • Ruta: ruta del programa afectado por el exploit.

  • Versión: versión del programa afectado por el exploit.

  • Hash: hash del programa afectado por el exploit.

Técnica

Identificador de la técnica utilizara para explotar las vulnerabilidades de los programas.

Enlace a la descripción de la técnica utilizada por el exploit.

Acción

Muestra el tipo de acción que Advanced EPDR ha ejecutado sobre el programa afectado por el exploit.

  • Permitido: la protección anti-exploit está configurada en modo Audit. El exploit se ejecutó.

  • Bloqueado: el exploit fue bloqueado antes de su ejecución.

  • Permitido por el usuario: se preguntó al usuario del equipo si finalizar el proceso comprometido y el usuario decidió permitir que el exploit continúe ejecutándose.

  • Proceso finalizado: el exploit fue eliminado, pero se llegó a ejecutar parcialmente.

  • Pendiente de reinicio: se informó al usuario del equipo de la necesidad de reiniciar el equipo para eliminar completamente el exploit. Mientras tanto el exploit se seguirá ejecutando.

  • Permitido (modo auditoría): se informó al usuario de que el exploit ha realizado acciones sospechosas. Al estar el modo auditoría activado, las amenazas se detectan pero no se bloquean ni eliminan. Consulta Modo auditoría

Enumeración

Consulta Permitir y volver a impedir la ejecución de elementos para obtener información de como gestionar los bloqueos de las amenazas detectadas.

Campos de la sección Información general en Detección exploit

Equipo afectado

Campo Descripción

Equipo

Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.

Usuario logueado

Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.

Ruta del programa comprometido

Ruta del programa que recibió el intento de explotación de una vulnerabilidad.

Campos de la sección Equipo afectado en Detección exploit

Impacto del exploit en el equipo

Campo Descripción

Programa comprometido

Ruta y nombre del programa que recibió el intento de explotación. Si Advanced EPDR detectó que el programa no está actualizado a la última versión publicada por el proveedor, mostrará el aviso Programa vulnerable.

Actividad

  • Se ha ejecutado : el exploit se llegó a ejecutar antes de ser detectado por Advanced EPDR.

  • Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones.

  • Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución

Fecha de detección

Fecha en la que Advanced EPDR detectó el exploit en la red del cliente.

Posible origen del exploit

Ruta y nombre del programa que posiblemente inició el exploit.

Campos de la sección Impacto del exploit en el equipo en Detección exploit

Detalles del driver

Acceso a la ventana Detalles del driver

Para acceder a la ventana Detalles del driver, sigue los pasos indicados en Detección exploit y selecciona en el listado Actividad de exploit un elemento cuya técnica de exploit sea Driver vulnerable.

La ventana de detalle se divide en varias secciones:

  • Información general.

  • Equipo afectado.

  • Driver vulnerable

Información general

Campo Descripción Valores

Driver vulnerable

Nombre del driver cuya carga fue bloqueada.

  • Nombre del programa comprometido.

  • Ruta: driver cuya carga fue bloqueada por la protección.

  • MD5:código MD5 del driver.

Técnica

Identificador de la técnica utilizada para explotar las vulnerabilidades de los programas.

Driver vulnerables

Acción

Muestra el tipo de acción que Advanced EPDR ha ejecutado sobre el exploit:

  • Bloqueado: el exploit fue bloqueado antes de su ejecución.

  • Permitido por el usuario: se preguntó al usuario del equipo si finalizar el proceso comprometido y el usuario decidió permitir que el exploit continúe ejecutándose.

  • Permitido (modo auditoría): se informó al usuario de que el exploit ha realizado acciones sospechosas. Al estar el modo auditoría activado, las amenazas se detectan pero no se bloquean ni eliminan. Consulta Modo auditoría

Enumeración.

Consulta Permitir y volver a impedir la ejecución de elementos para obtener información de como gestionar los bloqueos de las amenazas detectadas.

Campos de la sección Información general en Detalles del driver

Equipo afectado

Campo Descripción

Equipo

Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.

Usuario logueado

Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.

Ruta del driver

Ruta del driver cuya carga fue bloqueada por la protección.

Campos de la sección Equipo afectado en Detalles del driver

Driver vulnerable

Campo Descripción

Nombre

Nombre del driver cuya carga fue bloqueada por la protección.

Actividad

  • Se ha ejecutado : el exploit se llegó a ejecutar antes de ser detectado por Advanced EPDR.

  • Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones.

  • Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución

Fecha de detección

Fecha en la que Advanced EPDR detectó el exploit en la red del cliente.

MD5

Código MD5 del driver bloqueado.

SHA-256

Código SHA-256 del driver bloqueado.

Campos de la sección Driver vulnerable

Bloqueo por política avanzada de seguridad

Acceso a la ventana Bloqueo por política avanzada de seguridad

  • Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana con los listados accesibles.

  • Haz clic en el listado Bloqueos por políticas avanzadas de seguridad.

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos bloqueados por política avanzada de seguridad.

  • Haz clic en un elemento. Se mostrará la ventana Bloqueo por política avanzada de seguridad.

O bien:

  • Selecciona el menú superior Estado y haz clic en el panel lateral Seguridad. Se mostrarán los widgets asociados a los módulos de seguridad.

  • Haz clic en el widget Detecciones mediante políticas avanzadas de seguridad.

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos bloqueados por política avanzada de seguridad.

  • Haz clic en un elemento. Se mostrará la ventana Bloqueo por política avanzada de seguridad.

La ventana de detalle se divide en varias secciones:

  • Información general.

  • Equipo.

  • Programa bloqueado.

Información general

Campo Descripción

Programa bloqueado

Nombre del programa bloqueado por el administrador.

Política aplicada

Nombre de la política avanzada de seguridad que bloqueó el programa. Consulta Políticas avanzadas de seguridad .

Acción

  • Bloqueado: el proceso fue bloqueado antes de su ejecución.

  • Detectado: el proceso fue detectado pero no bloqueado por estar configurada la política de seguridad en modo Audit.

  • Permitido (modo auditoría): se informó al usuario de que el proceso ha realizado acciones sospechosas. Al estar el modo auditoría activado, las amenazas se detectan pero no se bloquean ni eliminan. Consulta Modo auditoría

Campos de la sección Información general en Bloqueo por política avanzada de seguridad

Equipo

Campo Descripción

Equipo

Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.

Usuario logueado

Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.

Campos de la sección Equipo en Bloqueo por política avanzada de seguridad

Programa bloqueado

Campo Descripción

Nombre

Nombre del programa bloqueado.

MD5

Hash del fichero bloqueado.

Ruta

Dispositivo y carpeta donde se almacena el fichero bloqueado en el equipo del usuario.

Actividad

  • Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones.

  • Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución.

Fecha de detección

Fecha en la que Advanced EPDR bloqueó la ejecución del programa.

Campos de la sección Programa bloqueado en Bloqueo por política avanzada de seguridad

Bloqueo de programas desconocidos en clasificación e Historial de programas bloqueados

Acceso a la ventana Detalles del programa bloqueado

  • Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana con los listados accesibles.

  • Haz clic en el listado Programas actualmente bloqueados en clasificación.

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos desconocidos en clasificación.

  • Haz clic en un elemento. Se mostrará la ventana Detalles del programa bloqueado.

  • Para abrir el histórico de programas bloqueados por ser desconocidos haz clic en el enlace Ver historial de bloqueos.

O bien:

  • Selecciona el menú superior Estado y haz clic en el panel lateral Seguridad. Se mostrarán los widgets asociados a los módulos de seguridad.

  • Haz clic en el widget Programas actualmente bloqueados en clasificación.

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos desconocidos en clasificación.

  • Haz clic en un elemento. Se mostrará la ventana Detalles del programa bloqueado.

La ventana de detalle se divide en varias secciones:

  • Información general.

  • Equipo.

  • Actividad del programa en el equipo.

  • Origen.

Información general

Campo Descripción

Programa

Nombre del programa bloqueado.

Acción

Bloqueado

Probabilidad de que sea malicioso

  • Baja

  • Media

  • Alta

  • Muy Alta

Estado

Estado del proceso de clasificación y origen del error si no se ha podido iniciar el proceso de investigación.

Desbloquear

Permite la ejecución del programa antes de que sea clasificado.

Consulta Permitir y volver a impedir la ejecución de elementos para obtener información de como gestionar los bloqueos de las amenazas detectadas.

Campos de la sección Información general en Detalle del programa bloqueado

Equipo

Campo Descripción

Equipo

Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.

Usuario logueado

Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.

Modo de protección

Configuración de la protección avanzada en el momento de producirse el bloqueo (Audit, Hardening, Lock).

Ruta de detección

Ruta del programa bloqueado dentro del equipo del usuario o servidor.

Campos de la sección Equipo en Detalle del programa bloqueado

Actividad del programa en el equipo

Campo Descripción

Programa

Nombre del programa bloqueado.

Actividad

Resumen de las acciones más importantes ejecutadas por el malware:

  • Se ha ejecutado

  • Ha accedido a datos

  • Ha intercambiado datos con otros equipos

  • Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones.

  • Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución.

Fecha de detección

Fecha en la que Advanced EPDR bloqueó la ejecución del programa.

Tiempo de exposición

Tiempo que la amenaza ha permanecido sin clasificar en la red del cliente.

Campos de la sección Actividad del programa en el equipo en Detalle del programa bloqueado

Origen

Campo Descripción

Equipo origen

Si el fichero viene de un equipo de la red del cliente, indica el nombre del equipo.

IP origen

Si el fichero viene de un equipo de la red del cliente, indica la dirección IP del equipo.

Usuario origen

Usuario conectado en el equipo origen del fichero.

Campos de la sección Origen en Detalle del programa bloqueado