Casos de uso comunes

A continuación se indican, a modo de ejemplo, algunos casos de uso de filtros muy utilizados por los administradores de redes:

Equipos Windows según el procesador instalado (x86, x64, ARM64)

Lista los equipos que tienen instalado el sistema operativo Windows y su microprocesador pertenece a la familia ARM.

Este filtro se compone de dos condiciones unidas mediante el operador Y:

  • Condición 1:

    • Categoría: Equipo

    • Propiedad: Plataforma

    • Condición: Es igual a

    • Valor: Windows

  • Condición 2:

    • Categoría: Equipo

    • Propiedad: Arquitectura

    • Condición: Es igual a

    • Valor: {nombre de la arquitectura: ARM64, x86, x64}

Equipos sin parches instalados

Lista los equipos que no tienen un determinado parche instalado. Para obtener más información sobre Cytomic Patch,consulta Cytomic Patch(Actualización de programas vulnerables).

  • Categoría: Programas

  • Propiedad: Nombre del software

  • Condición: No contiene

  • Valor: {Nombre del parche}

Equipos sin conectar con la nube de Cytomic en X días

Lista los equipos que no conectaron con la nube de Cytomic en el intervalo configurado:

  • Categoría: Equipo

  • Propiedad: Última conexión

  • Condición: Antes de

  • Valor: {Fecha en formato dd/mm/aa}

Equipos que no conectan con los servicios de inteligencia de seguridad de Cytomic

Localiza todos los equipos que muestran problemas de conexión con alguno de los servicios de inteligencia de seguridad de Cytomic. Crea las reglas siguientes relacionadas con el operador O:

  • Regla:

    • Categoría: Seguridad

    • Propiedad: Conexión para envío de eventos

    • Condición: Es igual a

    • Valor: Con problemas

  • Regla:

    • Categoría: Seguridad

    • Propiedad: Conexión para inteligencia colectiva

    • Condición: Es igual a

    • Valor: Con problemas

  • Regla:

    • Categoría: Seguridad

    • Propiedad: Conexión para protección web.

    • Condición: Es igual a

    • Valor: Con problemas

Equipos aislados

Lista los equipos que han sido aislados de la red. Para más información, consulta Aislar un equipo.

  • Categoría: Equipo

  • Propiedad: Estado de aislamiento

  • Condición: Es igual

  • Valor: Aislado

Equipos en modo Contención de ataque RDP

Lista los equipos que han recibido un volumen alto de intentos de conexión por RDP, razón por la que Advanced EPDR ha comenzado a bloquearlos.

  • Categoría: Equipo

  • Propiedad: Modo “Contención de ataque por RDP”

  • Condición: Es igual

  • Valor: Verdadero

Integración con otras herramientas de gestión

Muestra los equipos que coinciden con alguno de los nombres de equipo especificados en un listado obtenido por una herramienta de terceros. Cada línea del listado deberá terminar con un retorno de carro y será considerada como un nombre de equipo.

  • Categoría: Equipo

  • Propiedad: Nombre

  • Condición: En

  • Valor: listado de nombres de equipo

Equipos no compatibles con firma de drivers SHA-256

  • Categoría: Equipo

  • Propiedad: Soporta drivers con firma SHA-256

  • Condición: Es igual a

  • Valor: Falso

Equipos con IP pública

Busca los equipos que accedieron a Internet a través de un dispositivo (router / proxy / extremo VPN) con la IP indicada.

  • Categoría: Equipo

  • Propiedad: Dirección IP pública

  • Condición: Es igual a (Para buscar los equipos que acceden a Internet a través de un dispositivo que tiene una IP concreta)