Diagramas de grafos

Acceso al diagrama de grafos Si el IOA tiene asociado un diagrama de grafos, se mostrará el botón Ver gráfica del ataque en la ventana de detalle del IOA. Para ver el detalle de un IOA, accede al listado Indicadores de ataque (IOA). Consulta Acceso a los listados.

Estructura de un diagrama de grafos

A continuación se muestran los paneles de información y herramientas de un diagrama de grafos.

• Panel informativo del elemento seleccionado (1): muestra información del nodo o de la linea seleccionada. Para obtener el significado de los campos incluidos, consulta Formato de los eventos utilizados en los indicadores de ataque (IOA).

• Línea de tiempo (2): muestra un histograma de barras de color verde para representar el número de eventos registrados en cada momento. Permite ampliar o reducir el intervalo al que pertenecen los eventos mostrados. Para obtener información sobre cómo utilizar este recurso, consulta Línea de tiempo.

• Barra de herramientas del grafo (3): permite modificar la forma en la que se visualiza el diagrama en la pantalla. Consulta Configuración del diagrama de grafos.

• Diagrama (4): representación gráfica de un conjunto de eventos, que utiliza nodos y flechas para mostrar entidades y sus relaciones. Se indica mediante un número en cada flecha el orden en el que se ha registrado la creación de los eventos incluidos en el grafo.

• Controles de la línea de tiempo (5): oculta, muestra o restaura la línea de tiempo. Consulta Línea de tiempo.

Configuración del diagrama de grafos

Para cambiar el aspecto del diagrama y acomodarlo a tus necesidades, utiliza la barra de

herramientas del diagrama de grafos, y el ratón sobre los nodos representados. De forma

predeterminada, el diagrama se muestra con orientación horizontal y con un nivel de zoom suficiente

como para que todos los nodos sean visibles sin necesidad de desplazar la pantalla.

Barra de herramientas del diagrama de grafos

• Para deshacer la última acción ejecutada sobre el diagrama, haz clic en el icono (1).

• Para rehacer la última acción deshechada del diagrama, haz clic en el icono (2).

• Para ampliar el diagrama haz clic en el icono (3).

• Para alejar el diagrama haz clic en el icono (4).

• Para restaurar la configuración del nivel de zoom al establecido inicialmente, haz clic en el icono (5).

• Para cambiar la orientación del diagrama a horizontal, haz clic en el icono (6).

• Para cambiar la orientación del diagrama a vertical, haz clic en el icono (7).

• Para mostrar u ocultar las distintas capas de información incluidas en el grafo (8) consulta Ocultar y mostrar capas.

Ocultar y mostrar capas

Para ocultar parte de la información incluida en el grafo y mostrar sus características más relevantes del grafo, haz clic en el icono (8). Se mostrará un menú desplegable con las opciones:

• Secuencia de ejecución: oculta o muestra la numeración de los eventos que determina el orden de ejecución en el equipo del usuario. Consulta Estilos de las flechas.

• Nombres de la relaciones: oculta o muestra el nombre de los eventos. Consulta Formato de los eventos utilizados en los indicadores de ataque (IOA).

• Nombres de las entidades.

Seleccionar nodos del diagrama

• Para seleccionar un único nodo del diagrama: haz clic sobre el nodo con el botón izquierdo del ratón.

• Para seleccionar varios nodos dispersos del diagrama: mantén presionada la tecla Control o Mayúsculas y haz clic sobre los nodos con el botón izquierdo del ratón.

• Para seleccionar varios nodos contiguos del diagrama: mantén presionada la tecla Control o Mayúsculas, haz clic en una zona libre del diagrama y arrastra el ratón hasta abarcar los nodos a seleccionar.

Al seleccionar varios nodos del diagrama y hacer clic con el botón derecho del ratón, se muestran únicamente las opciones del menú de contexto comunes a todos los nodos seleccionados.

Mover y borrar nodos del diagrama

• Para mover todos los nodos y líneas del diagrama: haz clic en un espacio libre y arrastra el ratón en la dirección apropiada.

• Para mover un único nodo: selecciona el nodo y arrástralo en la dirección apropiada. Todas las líneas que conectan al nodo con sus vecinos se ajustarán a su nueva posición.

• Para eliminar un nodo con el teclado:

  • Selecciona el nodo deseado y presiona la tecla Supr. Se mostrará un mensaje indicando el número total de nodos que se eliminarán del grafo: el propio nodo y todos sus descendientes.

  • Haz clic en el botón Aceptar.

• Para eliminar un nodo con el ratón:

  • Haz clic con el botón derecho del ratón sobre el nodo a borrar. Se mostrará el menú de contexto.

  • Selecciona la opción Borrar (x). Se mostrará un mensaje indicando el número total de nodos que se eliminarán del grafo: el propio nodo y todos sus descendientes.

  • Haz clic en el botón Aceptar.

• Para borrar varios nodos:

  • Selecciona los nodos a borrar y haz clic en cualquiera de ellos con el botón derecho del ratón. Se mostrará el menú de contexto.

  • Selecciona la opción Borrar (x). Se mostrará un mensaje indicando el número total de nodos que se eliminarán del grafo: los nodos seleccionados y todos sus descendientes.

  • Haz clic en el botón Aceptar.

Línea de tiempo

La línea de tiempo permite atenuar los nodos y las relaciones que se registraron fuera del intervalo definido por el analista. De esta manera, los eventos del océano de datos que no resultan de interés pasan a un segundo plano en el diagrama, y permiten al analista centrarse en los más relevantes.

La línea de tiempo utiliza un histograma de barras de color verde situado en su parte inferior (2) para representar el número de eventos registrados en cada momento. Al pasar el puntero del ratón sobre las barras, se muestra una etiqueta que indica el número de eventos y la fecha en la que se registraron.

Para definir un intervalo mediante la línea de tiempo:

• Haz clic en (1) y arrástralo hacia izquierda y derecha. El histograma se ampliará o reducirá para adaptarse al nuevo intervalo definido.

• Se atenuarán los nodos y relaciones del diagrama de grafos que queden fuera del nuevo intervalo definido.

Para ocultar / mostrar la línea de tiempo:

• Para eliminar el panel haz clic en Ocultar línea de tiempo.

• Para volver a visualizar el panel haz clic en Mostrar línea de tiempo.

• Haz clic en Reiniciar la línea de tiempo para restaurar la línea de tiempo a su configuración original.

Información contenida en diagramas de grafos

Los diagramas de grafos representan de forma gráfica el árbol de ejecución de un IOA, donde los nodos representan las entidades que participan en una operación (procesos, ficheros o destino de una comunicación u operación) y las flechas la operación propiamente dicha. Para ello se utilizan códigos de color, paneles y otros recursos que aportan información sobre las entidades representadas y sus relaciones.

Los recursos utilizados para reflejar la información son:

• Colores de los nodos: indican la clasificación del elemento.

• Iconos de los nodos: indican el tipo de elemento.

• Iconos de estado: indican la acción que se ejecutó sobre el elemento.

• Colores de las flechas: indican si el elemento fue bloqueado.

• Estilos de las flechas: indican el número y el sentido de las acciones ejecutadas entre los dos nodos.

• Etiquetas de las flechas: al hacer clic en ellas, muestran información en el panel de la derecha sobre la acción ejecutada por el proceso.

• Etiquetas del nodo: al hacer clic en ellas, muestra información en el panel de la derecha sobre la entidad.

Colores de los nodos

Color	Descripción
	Elemento clasificado como malware.
	Elemento clasificado como PUP. Elemento clasificado como sospechoso. Elemento sin clasificar.
(Color Original)	Elemento clasificado como goodware.
Códigos de color utilizados en los nodos de un grafo

Iconos de los nodos

Icono	Descripción	Icono	Descripción
	Proceso. Si pertenece a un paquete de software conocido, se mostrará su icono.		Archivo comprimido
	Hilo remoto		Archivo ejecutable
	Librería		Archivo de tipo script
	Protección		Valor de la rama del registro Windows
	Carpeta		URL en una comunicación
	Archivo no ejecutable		Dirección IP en una comunicación
Códigos de color utilizados en los nodos de un grafo

Iconos de estado

Icono	Descripción	Icono	Descripción
	Fichero borrado		Fichero en cuarentena
	Fichero desinfectado		Proceso eliminado
Iconos utilizados para indicar el estado del nodo

Etiquetas de los nodos

Indican el nombre de la entidad. Al hacer clic sobre ellas, se muestra el panel derecho con los campos que las describen.

Colores de las flechas

Indican si Advanced EDR o Advanced EPDR bloquearon la ejecución de la acción por haber clasificado al proceso como una amenaza.

• Rojo: la acción fue bloqueada.

• Negro: la acción fue permitida.

Estilos de las flechas

• Grosor de la flecha: representa el número de acciones de un mismo tipo ejecutadas entre un par de nodos. Cuanto mayor sea el número de acciones agrupadas, mayor será el grosor de la flecha dibujada. Al hacer clic en la flecha, el panel informativo mostrará la fecha en la que se ha producido la primera y la última acción de la agrupación.

• Sentido de la flecha: refleja el sentido de la acción.

• Numeración: cada flecha incluye un número que refleja el orden en el que se registró el evento al que representa.

Etiquetas utilizadas en las flechas

Indican el nombre de la acción ejecutada por el proceso. Al hacer clic en ellas, se muestra el panel derecho con los campos del evento registrado.

Niveles representados por defecto

Inicialmente se muestra como centro del diagrama el nodo que desencadenó la generación del IOA, junto a un subconjunto de nodos vecinos que lo rodean, de todos los registrados en el IOA:

• 3 niveles superiores de nodos: se muestran los nodos padres, abuelos y bisabuelos del nodo principal.

• 1 nivel inferior de nodos: se muestran los nodos hijos del nodo principal.

El número máximo de nodos del mismo nivel que se muestran es 25. Por encima de este número no se representarán nodos, para evitar la generación de gráficos muy sobrecargados.

Mostrar los nodos hijos

Si un nodo del grafo tiene nodos hijos ocultos, se indica con el icono en su parte inferior derecha. Para mostrar sus nodos hijos, haz clic sobre el nodo con el botón derecho del ratón. Se mostrará un menú de contexto. Dependiendo del tipo de nodo se mostrarán las siguientes opciones:

• Mostrar padre: muestra los nodos padre del nodo seleccionado.

• Mostrar toda su actividad (número): muestra todos los nodos hijos del nodo seleccionado, sin importar su tipo. El número máximo de nodos mostrados es 25. Se indica el número total de eventos que relacionan el nodo padre con sus hijos.

• Mostrar hijos: muestra un desplegable con el tipo de nodos hijo a mostrar y el número de nodos de cada tipo:

  • Archivos de datos: ficheros que contienen información de tipo no identificado.

  • Archivos de script: ficheros con secuencias de comandos.

  • DNS: dominios que fallaron al resolver su IP.

  • Entradas del registro de Windows

  • Ficheros comprimidos

  • Ficheros PE: ficheros ejecutables.

  • Hilos remotos

  • IPs: dirección IP del extremo de la comunicación.

  • Librerías

  • Procesos

  • Protección: acción del antivirus.

Al seleccionar varios nodos del diagrama y hacer clic con el botón derecho del ratón se mostrarán únicamente las opciones del menú de contexto comunes a todos los nodos seleccionados.