Detección exploit

Acceso a la ventana Detalle del exploit

  • Selecciona el menú superior Estado y haz clic en el enlace Añadir del panel lateral. Se mostrará una ventana con los listados accesibles.

  • Haz clic en el listado Actividad de exploits.

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como exploits.

  • Haz clic en un elemento. Se mostrará la ventana Detección de exploit.

O bien:

  • Selecciona el menú superior Estado, panel lateral Seguridad. Se mostrarán los widgets asociados a los módulos de seguridad.

  • Haz clic en el widget Actividad de exploits.

  • Configura los filtros y haz clic en el botón Buscar. Se mostrará un listado de elementos clasificados como exploits.

  • Haz clic en un elemento. Se mostrará la ventana Detalle de exploit.

  • La ventana de detalle se divide en varias secciones:

  • Información general.

  • Equipo afectado.

  • Impacto de la amenaza en el equipo.

Información general

Campo Descripción Valores

Programa comprometido

Nombre del programa que recibió el intento de explotación de una vulnerabilidad y hash que lo identifica.

  • Ruta: ruta del programa afectado por el exploit.

  • Versión: versión del programa afectado por el exploit.

  • Hash: hash del programa afectado por el exploit.

Técnica

Identificador de la técnica utilizara para explotar las vulnerabilidades de los programas.

Enlace a la descripción de la técnica utilizada por el exploit.

Acción

Muestra el tipo de acción que Advanced EPDR ha ejecutado sobre el programa afectado por el exploit.

  • Permitido: la protección anti-exploit está configurada en modo Audit. El exploit se ejecutó.

  • Bloqueado: el exploit fue bloqueado antes de su ejecución.

  • Permitido por el usuario: se preguntó al usuario del equipo si finalizar el proceso comprometido y el usuario decidió permitir que el exploit continúe ejecutándose.

  • Proceso finalizado: el exploit fue eliminado, pero se llegó a ejecutar parcialmente.

  • Pendiente de reinicio: se informó al usuario del equipo de la necesidad de reiniciar el equipo para eliminar completamente el exploit. Mientras tanto el exploit se seguirá ejecutando.

Enumeración

 

Consulta Permitir y volver a impedir la ejecución de elementos para obtener información de como gestionar los bloqueos de la amenazas detectadas.

Campos de la sección Información general en Detección exploit

Equipo afectado

Campo Descripción

Equipo

Nombre del equipo donde se detectó la amenaza, dirección IP y carpeta a la que pertenece en el árbol de grupos.

Usuario logueado

Usuario del sistema operativo bajo el cual se cargó y ejecutó o la amenaza.

Ruta del programa comprometido

Ruta del programa que recibió el intento de explotación de una vulnerabilidad.

Campos de la sección Equipo afectado en Detección exploit

Impacto del exploit en el equipo

Campo Descripción

Programa comprometido

Ruta y nombre del programa que recibió el intento de explotación. Si Advanced EPDR detectó que el programa no está actualizado a la última versión publicada por el proveedor, mostrará el aviso Programa vulnerable.

Actividad

  • Se ha ejecutado : el exploit se llegó a ejecutar antes de ser detectado por Advanced EPDR.

  • Ver detalle de actividad completo: al hacer clic se muestra la pestaña Actividad tratada en Tablas de acciones.

  • Ver gráfica de actividad: al hacer clic se muestra la gráfica de Actividad tratada en Grafos de ejecución

Fecha de detección

Fecha en la que Advanced EPDR detectó el exploit en la red del cliente.

Posible origen del exploit

Ruta y nombre del programa que posiblemente inició el exploit.

Campos de la sección Impacto del exploit en el equipo en Detección exploit