accountid

accesstype

Máscara de acceso al fichero:

• (54) WMI_CREATEPROC: WMI Local.

Para el resto de operaciones:

• https://docs.microsoft.com/en-us/windows/win32/secauthz/access-mask

• https://docs.microsoft.com/en-us/windows/win32/fileio/file-access-rights-constants

• https://docs.microsoft.com/en-us/windows/win32/fileio/file-security-and-access-rights

accnube

El agente instalado en el equipo del cliente tiene acceso a la nube de Cytomic.

action

Tipo de acción realizada por el agente Cytomic EDR o Cytomic EPDR, por el usuario o por el proceso afectado:

• 0 (Allow): el agente permite la ejecución del proceso.

• 1 (Block): el agente bloquea la ejecución del proceso.

• 2 (BlockTimeout): el agente muestra un mensaje emergente al usuario, pero éste no contesta a tiempo.

• 3 (AllowWL): el agente permite la ejecución del proceso por encontrarse en la lista blanca de goodware local.

• 4 (BlockBL): el agente bloquea la ejecución del proceso por encontrarse en la lista negra de malware local.

• 5 (Disinfect): el agente desinfecta el proceso.

• 6 (Delete): el agente clasifica el proceso como malware y lo borra por no poderse desinfectar.

• 7 (Quarantine): el agente clasifica el proceso como malware y lo mueve a la cuarentena del equipo.

• 8 (AllowByUser): el agente muestra un mensaje emergente al usuario y éste responde con “permitir ejecución”.

• 9 (Informed): el agente muestra un mensaje emergente al usuario.

• 10 (Unquarantine): el agente saca el fichero de la cuarentena.

• 11 (Rename): el agente renombra el fichero (acción solo para tests).

• 12 (BlockURL): el agente bloquea la URL.

• 13 (KillProcess): el agente cierra el proceso.

• 14 (BlockExploit): el agente detiene un intento de explotación de proceso vulnerable.

• 15 (ExploitAllowByUser): el usuario no permite cerrar el proceso explotado.

• 16 (RebootNeeded): el agente requiere un reinicio del equipo para bloquear el intento de explotación.

• 17 (ExploitInformed): el agente muestra un mensaje emergente al usuario, informando de un intento de explotación de proceso vulnerable.

• 18 (AllowSonGWInstaller): el agente permite ejecutar el proceso por pertenecer a un paquete de instalación clasificado como goodware.

• 19 (EmbebedInformed): el agente envía a la nube información interna de su funcionamiento para mejorar las rutinas de detección.

• 21 (SuspendProcess): el proceso monitorizado intenta suspender el servicio del antivirus.

• 22 (ModifyDiskResource): el proceso monitorizado intenta modificar un recurso protegido por el escudo del agente.

• 23 (ModifyRegistry): el proceso monitorizado intenta modificar una clave de registro protegida por el escudo del agente.

• 24 (RenameRegistry): el proceso monitorizado intenta renombrar una clave de registro protegida por el escudo del agente.

• 25 (ModifyMarkFile): el proceso monitorizado intenta modificar un fichero protegido por el escudo del agente.

• 26 (UncertainAction): error al monitorizar la operación del proceso.

• 28 (AllowFGW): el agente permite la operación del proceso monitorizado por estar en la lista local de goodware.

• 29 (AllowSWAuthorized): el agente permite la operación del proceso monitorizado porque el administrador marcó el fichero como software autorizado.

• 30 (InformNewPE): el agente informa de la aparición de un nuevo fichero en el equipo cuando está activada la funcionalidad de Drag&Drop en Cytomic Data Watch.

• 31 (ExploitAllowByAdmin): el agente permite la operación del proceso monitorizado porque el administrador del parque excluyó el exploit.

• 32 (IPBlocked): el agente bloquea IPs para mitigar un ataque por RDP (Remote Desktop Protocolo).

• 33 (AllowSonMsiGW): se permite la ejecución por ser un fichero de un instalador firmado.

• 34 (IsolateHost): aísla un equipo por orden de la consola de administración.

• 35 (RDPOff): finaliza el estado de aislamiento por iniciado por un ataque RDP.

• 36 (UnisolateHost): finaliza el aislamiento por orden de la consola de administración.

• 37 (Allowed by Global Audit): el elemento se permite porque el software de seguridad está configurado en modo auditoria.

• 38 (AllowByConfig): se detectó un elemento pero no se bloqueó porque la tecnología asociada está en modo audit.

• 39 (AllowByZT): la tecnología local implementada en el software de seguridad que evita bloqueos innecesarios clasificó al elemento como goodware.

• 40 (UserLogOff): el usuario cerró la sesión.

actiontype

Indica el tipo de sesión:

• 0 (Login): inicia la sesión en el equipo del cliente.

• 1 (Logout): finaliza la sesión en el equipo del cliente.

• -1 (Desconocido): no se pudo determinar el tipo de sesión.

administrators

Lista de usuarios que pueden gestionar el grupo sin necesidad de ser root. Disponible en sistemas operativos Linux.

advancedrulesconf

Configuración de las políticas de seguridad avanzada de Cytomic EDR o Cytomic EPDR.

age

Fecha de última modificación del fichero.

Fecha UTC del momento en que se produjo el evento en el equipo del cliente que genera el indicio. Incluye información horaria. Consulta pandatimestatus para interpretar correctamente este campo.

allowedexecutor

Propietario del fichero en sistemas operativos Linux.

alprotocoldetected

Protocolo del nivel aplicación detectado en la conexión o uno de los valores siguientes :

• 0 (NNS_AL_PROTOCOL_UNKNOWN): no se puede establecer el protocolo.

• 1 (NNS_AL_PROTOCOL_PENDING): el protocolo de aplicación se está analizando para determinar su tipo.

alprotocolexpected

Protocolo del nivel aplicación esperado según el puerto utilizado en la conexión o uno de los valores siguientes:

• 0 (NNS_AL_PROTOCOL_UNKNOWN): no se puede establecer el protocolo.

• 1 (NNS_AL_PROTOCOL_PENDING): el protocolo de aplicación se está analizando para determinar su tipo.

analysistime

Tiempo transcurrido para analizar el fichero.

analyzeerr

Código devuelto cuando se termina el análisis de un elemento.

• 0: el análisis terminado con éxito

• 2147484170: el análisis terminó con error

attackerDeviceId

Identificador del dispositivo que se conecta a un equipo protegido con Control de acceso a endpoints.

blockreason

Motivo de la aparición del mensaje emergente en el equipo:

• 0: bloqueo por fichero desconocido en el modo de protección avanzada (hardening o lock) de Cytomic EPDR o Cytomic EDR.

• 1: bloqueo por reglas locales.

• 2: bloqueo por regla de origen del fichero no fiable.

• 3: bloqueo por regla de contexto.

• 4: bloqueo por exploit.

• 5: bloqueo por petición al usuario para cerrar el proceso.

• 6: bloqueo de malware en Linux / macOS.

bytesreceived

Total de bytes recibidos por el proceso monitorizado.

bytessent

Total de bytes enviados por el proceso monitorizado.

callstack

Consulta childfilesize .

childattributes

Atributos del proceso hijo:

• 0x0000000000000001 (ISINSTALLER): fichero de tipo SFX (SelfExtractor).

• 0x0000000000000002 (ISDRIVER): fichero de tipo Driver.

• 0x0000000000000008 (ISRESOURCESDLL): fichero de tipo DLL de recursos.

• 0x0000000000000010 (EXTERNAL): fichero procedente de fuera del equipo.

• 0x0000000000000020 (ISFRESHUNK): fichero añadido recientemente al conocimiento de Cytomic.

• 0x0000000000000040 (ISDISSINFECTABLE): fichero con acción recomendada de desinfección.

• 0x0000000000000080 (DETEVENT_DISCARD): la tecnología de detección de contexto por eventos no ha realizado ninguna detección.

• 0x0000000000000100 (WAITED_FOR_VINDEX): fichero ejecutado sin haberse monitorizado su creación.

• 0x0000000000000200 (ISACTIONSEND): las tecnologías locales no detectan malware en el fichero y éste se envía a Cytomic para su clasificación.

• 0x0000000000000400 (ISLANSHARED): fichero almacenado en una unidad de red.

• 0x0000000000000800 (USERALLOWUNK): fichero con permiso para importar DLL desconocidos.

• 0x0000000000001000 (ISSESIONREMOTE): evento originado en una sesión remota.

• 0x0000000000002000 (LOADLIB_TIMEOUT): el tiempo transcurrido entre la interceptación de la carga de la librería y su análisis es mayor a 1 segundo, con lo que el análisis pasa de síncrono a asíncrono para no penalizar el rendimiento.

• 0x0000000000004000 (ISPE): fichero ejecutable.

• 0x0000000000008000 (ISNOPE): fichero no ejecutable.

• 0x0000000000020000 (NOSHELL): el agente no detecta la ejecución de una shell en el sistema.

• 0x0000000000080000 (ISNETNATIVE): fichero de tipo Net Native.

• 0x0000000000100000 (ISSERIALIZER): fichero de tipo Serializer.

• 0x0000000000200000 (PANDEX): fichero incluido en la lista de procesos creados por Cytomic Patch.

• 0x0000000000400000 (SONOFGWINSTALLER): fichero creado por un instalador clasificado como goodware.

• 0x0000000000800000 (PROCESS_EXCLUDED): fichero no analizado por las exclusiones de Cytomic Orion.

• 0x0000000001000000 (INTERCEPTION_TXF): la operación interceptada tiene como origen un ejecutable cuya imagen en disco está siendo modificada.

• 0x0000000002000000 (HASMACROS): documento Microsoft Office con macros.

• 0x0000000008000000 (ISPEARM): fichero ejecutable para microprocesadores ARM.

• 0x0000000010000000 (ISDYNFILTERED): fichero permitido en el equipo al no haber tecnologías que lo clasifiquen.

• 0x0000000020000000 (ISDISINFECTED): fichero desinfectado.

• 0x0000000040000000 (PROCESSLOST): operación no registrada.

• 0x0000000080000000 (OPERATION_LOST): operación con pre-análisis, de la que no se ha recibido el post-análisis.

• 0x0000000100000000 - (ISINTERACTIVE): determina si el fichero se ejecuto de forma interactiva.

0x0000002000000000 (SAFE_BOOT_MODE): el equipo se inició en modo seguro.

• 0x0000004000000000 (PANDA_SIGNED): fichero firmado con la firma de Panda Security.

childattmask

childblake

Firma Blake2S del fichero hijo.

childclassification

Clasificación del proceso hijo que realiza la acción registrada.

• 0 (Unknown): fichero en proceso de clasificación.

• 1 (Goodware): fichero clasificado como goodware.

• 2 (Malware): fichero clasificado como malware.

• 3 (Suspect): fichero en proceso de clasificación con alta probabilidad de resultar malware.

• 4 (Compromised): proceso comprometido por un ataque de tipo exploit.

• 5 (GWNotConfirmed): fichero en proceso de clasificación con alta probabilidad de resultar malware.

• 6 (Pup): fichero clasificado como programa no deseado.

• 7 (GwUnwanted): equivalente a PUP.

• 8 (GwRanked): proceso clasificado como goodware.

• -1 (Unknown)

childdrive

Tipo de unidad donde se registró la operación:

• 0: unidad desconocida

• 1: unidad que existe, pero cuya ruta raíz no es válida. Ocurre al intentar acceder a una unidad que no está montada o con problemas de formato.

• 2: unidad que se puede extraer del equipo (memoria USB, tarjeta SD o disquete).

• 3: unidad que no se puede quitar fácilmente (disco duro interno HDD o SSD).

• 4: unidad de red conectada a través de la red (recurso compartido, carpeta de red o un servidor de archivos).

• 5: unidad de CD-ROM, DVD o Blu-ray.

• 6: unidad virtual creada en la memoria RAM del sistema.

childfilename

childfileowner

Propietario del fichero ejecutado.

childfilesize

Tamaño del fichero hijo registrado por el agente.

childfiletime

Fecha del fichero hijo registrado por el agente.

childfirstseen

Fecha en la que se ve el fichero por primera vez.

childmd5

Hash del fichero hijo.

childpath

Ruta del fichero hijo que realiza la operación registrada.

childpid

Identificador del proceso hijo.

childsha256

Firma SHA256 del proceso hijo de la operación.

childstatus

Estado del proceso hijo.

• 0 (StatusOk): estado OK.

• 1 (NotFound): elemento no encontrado.

• 2 (UnexpectedError): error desconocido.

• 3 (StaticFiltered): fichero identificado como malware mediante información estática contenida en la protección de Cytomic EDR o Cytomic EPDR.

• 4 (DynamicFiltered): fichero identificado como malware mediante tecnología local implementada en Cytomic EDR o Cytomic EPDR.

• 5 (FileIsTooBig): fichero demasiado grande.

• 6 (PEUploadNotAllowed): el envío de ficheros está desactivado.

• 11 (FileWasUploaded): fichero enviado a la nube para su analisis.

• 12 (FiletypeFiltered): fichero de tipo DLL de recursos, Net Native o Serializer.

• 13 (NotUploadGWLocal): fichero goodware no guardado en la nube.

• 14 (NotUploadMWdisinfect): fichero malware desinfectado no guardado en la nube.

childfileowner

Cuenta de usuario propietaria del fichero ejecutado.

childurl

Url de descarga del fichero.

ciphertype

Análisis del protocolo SSL/TLS y sus características en HTTPS (por ejemplo TLS_RSA_WITH_AES_128_GCM_SHA256).

classname

Tipo del dispositivo donde reside el proceso. Se corresponde con la clase indicada en el fichero .inf asociado al dispositivo.

commandline

eventtype 65 (Users)

Programa que se ejecuta al iniciar sesión, generalmente un intérprete de comandos (por ejemplo, /bin/bash) en sistemas operativos Linux.

eventtype 66(SysOps)

Linea de comandos que ejecuta la tarea en sistemas operativos Linux.

eventtype 68 (XDG)

Linea de comandos que se ejecuta cuando el fichero .desktop es interpretado en sistemas operativos Linux.

eventtype 69 (Udev)

Comando o script que se ejecuta cuando se activa la regla udev al conectar / desconectar un dispositivo.

eventtype 1 (ProcessOps)

eventtype 31 (ScriptOps)

eventtype 45 (SystemOps)

eventtype 99 (Action)

eventtype 199 (HiddenAction)

Línea de comandos configurada como tarea para ser ejecutada a través de WMI en sistemas operativos Windows.

confadvancedrules

Consulta advancedrulesconf.

configservicelevel

Configuración del modo de ejecución del agente. Puede diferir temporalmente del modo de ejecución en curso.

Consulta servicelevel

configstring

Consulta extendedinfo.

connectionstate

Estado de la conexión notificada.

• 0 (E_NNS_CONNECTION_STATE_UNKNOWN): estado de la conexión desconocido.

• 1 (E_NNS_CONNECTION_STATE_ESTABLISHED): conexión establecida.

• 2 (E_NNS_CONNECTION_STATE_FAILED): intento de conexión fallido.

• 3 (E_NNS_CONNECTION_STATE_DENIED_BY_FW): conexión denegada por el cortafuegos u otra tecnología del software de seguridad.

contentencoding

Codificación empleada en el contenido de la conexión HTTP.

Consulta https://www.iana.org/assignments/http-parameters/http-parameters.xml

copy

Nombre del servicio que desencadena el evento.

datacontanier

Nombre único del objeto dentro de la jerarquía WMI.

Fecha UTC del momento en que se produjo el evento en el equipo del cliente. No incluye información horaria. Consulta pandatimestatus para interpretar correctamente este campo.

Fecha UTC del momento en que se produjo el evento en el equipo del cliente. Incluye información horaria. Consulta pandatimestatus para interpretar correctamente este campo.

description

Consulta extendedinfo.

destinationip

Dirección IP del equipo destino en una conexión de red analizada por Network Attack Protection.

destinationport

Puerto del equipo destino en una conexión de red analizada por Network Attack Protection.

details

Resumen en forma de agrupación de campos relevantes del evento.

eventtype 1 (ProcessOps)

Contiene el campo commandline.

eventtype 14 (Download)

Contiene el campo url.

eventtype 22 (NetworkOps)

Contiene los campos direction, ipv4status, protocol y remoteport.

eventtype 27 (RegistryOps)

Contiene el campo valuedata

eventtype 31 (ScriptLaunch)

Contiene el campo commandline.

eventtype 46 (DnsOps)

Contiene el campo domainlist.

eventtype 47 (DeviceOps)

Contiene el campo devicetype.

eventtype 50 (UserNotification)

Contiene el campo parentfilename.

eventtype 52 (LoginOutOp)

Contiene los campos eventtype, sessiontype, loggeduser, remotemachinename y remoteip

eventtype 99 (RemediationOps)

Contiene los campos remoteip, remotemachinename, commandline y detectionid

eventtype 555 (IOA)

Contiene el campo extendedinfo

detectionid

eventtype 1(ProcessOps) y operation=43 (Heuhooks) y winningtech=14(AntiExploit) y detectionid<=65

Nombre de la API o del grupo de APIs de Windows ejecutada por el proceso.

• 0: Unknown

• 1: GetNativeSystemInfo

• 2: GetTcpTable2

• 3: CredEnumerate

• 4: ConvertSidToStringSid

• 5: RtlGetNtProductType

• 6: RtlGetVersion

• 7: GetKeyState

• 9: SetWindowsHookEx

• 10: SystemNetworkConfigurationDiscovery

• 11: FindNextFile

• 12: GetLogicalDriveStrings

• 13: GetComputerNameEx

• 14: GetDriveType

• 15: NetUserGetGroups

• 16: NetUserGetLocalGroups

• 17: GetUserNameEx

• 18: AdjustTokenPrivileges

• 19: GetAsyncKeyState

• 20: CreateProcessWithToken

• 21: CreateToolhelp32Snapshot

• 22: CryptUnprotectData

• 23: GetKeyboardLayout

• 24: WindowDiscovery

• 25: RpcStringBindingCompose

• 26: Icmp6CreateFile

• 27: Icmp6ParseReplies

• 28: Icmp6SendEcho2

• 29: IcmpCloseHandle

• 30: IcmpCreateFile

• 31: IcmpParseReplies

• 32: IcmpSendEcho

• 33: IcmpSendEcho2

• 34: IcmpSendEcho2Ex

• 35: ProcessInjection

• 36: RpcServerListen

• 37: TokenImpersonationTheft

• 38: CreateProcessWithPolicy

• 39: OpenProcessLsass

• 40: LoadResource

• 41: ThreadHijacking

• 42: NetUserEnum

• 43: OperationNamedPipe

• 44: StartService

• 45: InternalDefacement

• 46: CreateFile_Drive

• 47: GetLocaleInfo

• 48: TimeBasedEvasion

• 49: ServiceStop

• 50: SystemServiceDiscovery

• 51: WindowsService

• 52: RemoteSystemDiscovery

• 53: SystemLanguageDiscovery

• 54: NetworkShareDiscovery

• 55: ShowWindow

• 56: DebuggerEvasion

Resto de casos

Nombre del malware o ataque detectado.

deviceid

Consulta attackerDeviceId.

devicetype

Tipo de unidad donde reside el proceso o fichero que desencadenó la operación registrada.

• 0 (UNKNOWN): desconocida.

• 1 (CD_DVD): unidad de CD o DVD.

• 2 (USB_STORAGE): dispositivo de almacenamiento USB.

• 3 (IMAGE): fichero de tipo imagen.

• 4 (BLUETOOTH): dispositivo Bluetooth.

• 5 (MODEM): módem.

• 6 (USB_PRINTER): impresora USB.

• 7 (PHONE): telefonía móvil.

• 8 (KEYBOARD): teclado.

• 9 (HID): ratón.

direction

eventtype 22 (NetworkOps):

Sentido de la conexión de red.

• 0 (UnKnown): desconocido.

• 1 (Incoming): conexión establecida desde el exterior hacia un equipo de la red del cliente.

• 2 (Outgoing): conexión establecida desde un equipo de la red del cliente hacia el exterior.

• 3 (Bidirectional): bidireccional.

eventtype 99 (RemediationOps) - napdirection

Sentido de la conexión de red.

• 0 (UnKnown): desconocido.

• 1 (Incoming): conexión establecida desde el exterior hacia un equipo de la red del cliente.

• 2 (Outgoing): conexión establecida desde un equipo de la red del cliente hacia el exterior.

• 3 (Bidirectional): bidireccional.

domainlist

Consulta list.

entropy

Entropía del contenido del mensaje POST para categorizar la probabilidad de robo y extracción de datos.

entropia

Consulta entropy.

errorcode

Código de error suministrado por el sistema operativo ante un inicio de sesión fallido.

• 3221225572 (Invalid username): el nombre de usuario no existe.

• 3221225566 (Login server is unavailable): el servidor necesario para validar el inicio de sesión no está disponible.

• 3221225578 (Invalid password): el usuario es correcto pero la contraseña es incorrecta.

• 3221225581 (Invalid username or authentication info): el usuario o la información de autenticación es errónea.

• 3221225582 (Invalid username or password): nombre desconocido o contraseña errónea.

• 3221226036 (Account blocked): acceso bloqueado.

• 3221225586 (Account disabled):cuenta deshabilitada.

• 3221225583 (User account day restriction): intento de inicio de sesión en horario restringido.

• 3221225584 (Invalid workstation for login): intento de inicio de sesión desde un equipo no autorizado.

• 3221225692 (Sam server is invalid): error en el servidor de validación. No se puede realizar la operación.

• 3221225875 (Account expired): cuenta caducada.

• 3221225585 (Password expired): contraseña caducada.

• 3221225679 (Clock difference is too big): los relojes de los equipos conectados tienen un desfase demasiado grande.

• 3221225920 (Password change required on reboot): requiere que el usuario cambie la contraseña en el siguiente reinicio.

• 3221225921 (Windows error (no risk)): error de Windows que no implica riesgo.

• 3221225868 (Domains trust failed): la solicitud de inicio de sesión falló porque la relación de confianza entre el dominio primario y el dominio confiable falló.

• 3221225874 (Netlogon not initialized): intento de inicio de sesión, pero el servicio Netlogon no inicia.

• 3221226222 (Session start error): error durante el inicio de sesión.

• 3221226515 (Firewall protected): el equipo en el que se está iniciando sesión está protegido por un firewall de autenticación. La cuenta especificada no puede autenticarse en el equipo.

• 3221225919 (Invalid permission): el usuario no tiene permisos para ese tipo de inicio de sesión.

• 2148074277 (Invalid certificate): el certificado fue emitido por una entidad en la que no se confía.

errorevent

Consulta extendedinfo.

errorstring

Consulta extendedinfo.

eventtype

Tipo de evento registrado por el agente.

• 0 (SvcStatus): el software de protección envía un evento cada vez que el equipo de usuario cambia su estado (machinestartmode y machinestate), y de forma automática cada 6 horas.

• 1 (ProcessOps): proceso que realiza operaciones con el disco duro del equipo.

• 14 (Download): descarga de datos ejecutada por el proceso.

• 15 HostsFileModification: modificación del fichero Hosts en sistemas Windows.

• 22 (NetworkOps): operación de red ejecutada por el proceso.

• 25 EventNotBlocked: el elemento no se bloqueó por estar el equipo en el proceso de inicio.

• 26 (DataAccess): operación ejecutada por el proceso, que corresponde a un acceso a ficheros de datos alojados en dispositivos internos de almacenamiento masivo.

• 27 (RegistryOps): el proceso accede al registro de Windows.

• 30 (ScriptOps): operación ejecutada por un proceso de tipo script.

• 31 (ScriptOps): operación ejecutada por un proceso de tipo script.

• 40 (Detection): detección realizada por las protecciones activadas de Cytomic EDR.

• 42 (BandwidthUsage): volumen de información manejada en cada operación de transferencia de datos ejecutada por el proceso.

• 45 (SystemOps): operación ejecutada por el motor WMI del sistema operativo Windows.

• 46 (DnsOps): acceso al servidor de nombres DNS ejecutado por el proceso.

• 47 (DeviceOps): el proceso ejecuta un acceso a un dispositivo externo.

• 50 (UserNotification): notificación que se le presenta al usuario junto a su respuesta si la hubiera.

• 52 (LoginOutOps): operación de inicio o cierre de sesión efectuado por el usuario.

• 65 (Users): operación que crea, modifica o borra cuentas de usuario en sistemas operativos Linux.

• 66 (SysOps): operación que modifica la configuración del sistema operativo Linux.

• 99 (RemediationOps): eventos de detección, bloqueo y desinfección del agente Cytomic EDR o Cytomic EPDR.

• 100 (HeaderEvent): evento administrativo con información de la configuración del software de protección, su versión e información del equipo y del cliente.

• 199 (HiddenAction): evento de detección que no genera alerta.

executinggroup

Especifica el grupo que se utilizará para ejecutar el proceso registrado en el evento. disponible en sistemas operativos Linux.

executinguser

Especifica el usuario que se utilizará para ejecutar el proceso registrado en el evento. Disponible en sistemas operativos Linux.

exploitorigin

Origen del intento de explotación del proceso.

• 1 (URL): dirección URL.

• 2 (FILE): fichero.

extendedinfo

eventtype 0 (SvcStatus):

Estado en el que se encuentra el agente del producto de seguridad:

• Running: el agente se está ejecutando.

• Starting Agent: el agente del software de seguridad se está iniciando.

• Stopping Agent: el agente del software de seguridad se está deteniendo.

eventtype 1 (ProcessOps) - errorstrings:

Cadena de caracteres con información de depuración sobre la configuración del producto de seguridad.

Para los eventos con el campo operation establecido en DirCreate, CMOpened, o CMPCreat, el campo errorstring actúa como un contador de agrupación de eventos:

Dentro de una misma hora, los 50 primeros eventos se registran individualmente. Una vez alcanzado el límite de 50 eventos en una hora, los eventos adicionales del mismo tipo se agrupan y no se envían hasta que se registra el primer evento del mismo tipo en una nueva hora. En este momento se envía el evento agrupuado con el campo errorstring incluyendo tanto los eventos agrupados como los 50 primeros eventos, y se reinicia el contador.

eventtype 26 (DataAccess):

• Versión del fichero MVMF.xml en uso (M0, M1, M2 etc.)

eventtype 27 (RegistryOps):

• Versión del fichero PSNMVMF.dat en uso (M0, M1, M2 etc.)

eventtype 40 (Detection) - infodiscard:

Información interna del fichero de cuarentena.

eventtype 45 (SystemOps):

Información adicional sobre los eventos con Type:

• 1 (Active script event creation): Nombre y ruta del script que se ejecuta.

• 6 (Add user group): SID del grupo.

• 7 (Delete user group): SID del grupo.

• 8 (User group admin): SID del grupo.

• 9 (User group rdp): SID del grupo.

• 14 (Login attemp): campo Logon Process del visor de sucesos de Windows.

• 15 (Scheduler tasks): cadena con información sobre la tarea creada (LogonProcess, LogonType, LogonAuthType, TaskOperationType)

• 16 (Special privileges): campo LogonType del visor de sucesos de Windows.

• 18 (WFP filter operation): nombre del filtro.

eventtype 47 (DeviceOps) - description

• Descripción del tipo de dispositivo USB que realiza la operación.

eventtype 61 (ErrorEvents):

• Contenido en bruto del evento mal formado cuando no es posible parsearlo.

eventtype 99 (RemediationOps) - remediationdata:

Cadena de caracteres con los siguientes campos separados por *:

• Path: ruta y nombre del proceso cerrado por el software de seguridad o enviado a cuarentena.

• InfoDiscard: información interna del fichero de cuarentena.

eventtype 555 (IOA):

Información de los procesos que generaron el IOA.

failedqueries

Número de peticiones de resolución DNS fallidas producidas por el proceso en la última hora.

fingerprint

JSON en base64 con los fingerprints detectados en la conexión TLS:

• FingerprintsCount: número de secuencia del fingerprint.

• signatureType: tipo de fingerprint:

• 0 - JA4 (cliente)

• 1 - JA4S (servidor)

• fingerprint: huella digital que identifica al cliente o servidor que participa en la conexión TLS.

firstseen

Consulta childfirstseen

friendlyname

Nombre legible del dispositivo.

guidrule

Consulta ruleid.

groupid

Identificador de grupo al que pertenece la cuenta de usuario involucrada en el evento en sistemas operativos Linux. Si es 0, el grupo es root.

groupmembers

Lista de usuarios separados por coma que pertenecen al grupo en sistemas operativos Linux.

headerhttp

Volcado de la cabecera HTTP cuando se detecta una comunicación por un túnel HTTP.

Este campo solo incluye información si el modo auditoría del software de protección está activado.

hostname

Consulta remotemachinename

huntingruleid

Consulta ruleid.

huntingrulemitre

TTPs asociados a la Hunting rule.

huntingrulemode

Indica si la regla está activada o no en el Threat Engine para generar indicios.

huntingrulename

Nombre de la regla del Radar de ciberataques que detectó el indicio.

huntingruleseverity

Importancia del impacto del indicio generado por la Hunting rule:

• 0: Sin establecer.

• 1: Critica.

• 2: Alta.

• 3: Media.

• 4: Baja.

• 1000: Desconocida.

huntingruletype

Tipo de Hunting rule:

• 1: regla ejecutada en el Threat engine.

• 2: regla de detección de ataques RDP.

• 3: IOC aplicado de forma retrospectiva a la telemetría almacenada.

• 4: IOC que aplica al flujo de telemetría en tiempo real.

• 5: regla que se ejecuta en el equipo del usuario.

idname

Nombre del dispositivo.

indicatortimestamp

Consulta ioatimestamp

infodiscard

Consulta extendedinfo

initialdomain

Consulta url.

insertiondatetime

Fecha en formato UTC del momento en el que Cytomic Orion registró en sus servidores el evento enviado por el equipo. Esta fecha siempre será algo posterior al resto de fechas ya que los eventos se encolan para ser procesados.

interactive

Indica si es un inicio de sesión de usuario interactiva.

IOAId

IOAIds

Cuando una secuencia de eventos sigue un patrón descrito en la matriz MITRE, Cytomic Orion crea un indicio (IOA) y añade su identificador a todos los eventos que lo forman.

ioatimestamp

Fecha UTC en formato epoch (número de segundos transcurridos desde el 1 de enero de 1970) del momento en que se produjo el último evento que desencadenó la creación del indicio.

ipv4status

Tipo de direccionamiento IP:

• 0 (Private)

• 1 (Public)

isdenied

Indica si se ha denegado la acción reportada sobre el dispositivo.

islocal

Indica si la tarea se ha creado en el equipo local o en uno remoto.

islocalipv6

Indica si la IP es v6 o v4.

isremoteipv6

Indica si la IP es v6 o v4.

issessioninteractive

Consulta interactive.

key

Rama o clave del registro afectado.

lastquery

Última consulta del agente Cytomic EDR o Cytomic EPDR a la nube.

list

eventtype 46 (DnsOps) - DomainList:

• Lista de dominios enviados por el proceso al servidor DNS para su resolución y número de resoluciones por cada dominio en formato {nombre_dominio,numero#nombre_dominio,numero}.

eventtype 99 (RemediationOps) - url:

• Lista de 10 URLs obtenidas del monitor de procesos en caso de detección de exploit.

localdatetime

Fecha en formato UTC que tiene el equipo en el momento en que se produce el evento registrado. Esta fecha depende de la configuración del equipo y por lo tanto puede ser errónea.

localip

eventtype 22 (NetworkOps) - localip

Contiene la dirección IP del equipo donde se registra el evento, independientemente de la dirección de la conexión (campo direction). Consulta remoteip y direction.

eventtype 99 (RemediationOps) - naporiginip:

Dirección IP del equipo origen en una conexión de red analizada por Network Attack Protection.

localport

eventtype 22 (NetworkOps) - localport

Contiene el puerto del equipo donde se registra el evento o del otro extremo de la conexión dependiente del campo direction:

• direction = 1 (conexión entrante) contiene el puerto del otro extremo de la conexión.

• direction = 2 (conexión saliente) contiene el puerto del equipo donde se registra el evento.

Consulta direction.

eventtype 99 (RemediationOps) - naporiginport:

Puerto del equipo origen en una conexión de red analizada por Network Attack Protection.

loggeduser

Usuario logueado en el equipo en el momento de la generación del evento.

machinename

Nombre del equipo que ejecuta el proceso.

machinestartmode

Modo de inicio del equipo:

• 0 (Normal): el equipo se inició de forma normal.

• 1 (FailSafe): el equipo se inició en modo seguro.

• 2 (FailSafeWithNetwork): el equipo se inició en modo seguro con funciones de red.

machinestate

Estado del equipo:

• 0 (None): el equipo se ejecuta de forma normal.

• 1 (SystemShutdown): el equipo se esta apagando.

• 2 (SystemBoot): el equipo se está iniciando.

• 3 (Sleep): el equipo entró en modo suspendido.

• 4 (ResumeFromSleep): el equipo salió del modo suspendido.

• 5 (Hibernate): el equipo entró en modo hibernación.

• 6 (ResumeFromHibernate): el equipo salió del modo hibernación.

manufacturer

Fabricante del dispositivo.

method

Método de la conexión HTTP cuando se detecta una comunicación a través de un túnel HTTP.

• 1 - GET

• 2 - POST

Este campo solo incluye información si el modo auditoria del software de protección está activado.

MUID

Identificador interno del equipo del cliente.

napattack

Dirección del ataque de red.

• 1: los campos naporiginip y naporiginport contienen la dirección IP y el puerto del equipo atacante.

• 2: los campos napdestinationip y napdestinationport contienen la dirección IP y el puerto del equipo atacante.

napdestinationip

Consulta destinationip.

napdestinationport

Consulta destinationport.

napdirection

Consulta direction.

napoccurrences

naporiginip

Consulta localip.

naporiginport

Consulta localport

notificationtype

Uso interno.

numcacheclassifiedelements

Número de elementos cuya clasificación está cacheada en el software de seguridad.

objectname

Consulta datacontanier.

occurrences

Número de indicios agrupados. Consulta Agrupación de indicios

opstatus

• 0: enviar a Advanced Reporting Tools.

• 2: no enviar a Advanced Reporting Tools.

opentstamp

Fecha de la notificación WMI cuando el evento es de tipo WMI_CREATEPROC (54).

opentstamp

operation

Tipo de operación ejecutada por el proceso.

eventtype 1 (ProcessOps)

Operación genérica con elementos del sistema operativo.

• 0 (CreateProc): proceso creado.

• 1 (PECreat): programa ejecutable creado.

• 2 (PEModif): programa ejecutable modificado.

• 3 (LibraryLoad): librería cargada.

• 4 (SvcInst): servicio instalado.

• 5 (PEMapWrite): programa ejecutable mapeado para escritura.

• 6 (PEDelet): programa ejecutable borrado.

• 7 (PERenam): programa ejecutable renombrado.

• 8 (DirCreate): carpeta creada.

• 9 (CMPCreat): fichero comprimido creado.

• 10 (CMOpened): fichero comprimido abierto.

• 11 (RegKExeCreat): creada una rama del registro que apunta a un fichero ejecutable.

• 12 (RegKExeModif): modificada una rama del registro que apunta a un fichero ejecutable.

• 15 (PENeverSeen): programa ejecutable nunca visto en Cytomic Orion.

• 17 (RemoteThreadCreated): hilo remoto creado.

• 18 (ProcessKilled): proceso destruido.

• 25 (SamAccess): acceso a la SAM del equipo.

• 30 (ExploitSniffer): técnica Sniffer de explotación detectada.

• 31 (ExploitWSAStartup): técnica WSAStartup de explotación detectada.

• 32 (ExploitInternetReadFile): técnica InternetReadFile de explotación detectada.

• 34 (ExploitCMD): técnica CMD de explotación detectada.

• 38 (EndProcess): proceso que no fue clasificado como Goodware termina su ejecución.

• 39 (Load16bitsFilesByNtvm.exe): carga de fichero de 16bits por ntvdm.exe.

• 43 (Heuhooks): tecnología de antiexploit detectada.

• 54 (Create process by WMI): proceso creado por WMI modificado.

• 55 (AttackProduct): ataque detectado al servicio, a un fichero o a una clave de registro del agente.

• 61 (OpenProcess LSASS): apertura del proceso LSASS.

• 89 (LoadDrvVulnerable): carga de driver vulnerable por un proceso después de iniciarse el sistema operativo.

• 200 (MitreReadComplete): evento de MITRE que indica la lectura de un fichero.

• 201 (MitreCreateFile): evento de MITRE que indica la creación de un fichero.

• 202 (MitreModifyFile): evento de MITRE que indica la modificación de un fichero.

• 207 (LoadDriver): evento de MITRE que indica la carga de un driver .

• 208 (NoPEDeleted): evento de MITRE que indica el borrado de un fichero no ejecutable.

• 210 (DirDelete): evento de MITRE que indica el borrado de una carpeta.

eventtype 26 (DataAccess)

Tipo de operación ejecutada sobre el fichero

• 0 (OpenFile): abre un fichero de datos.

• 1(CreateFile): crea un nuevo fichero de datos.

• 2 (ModifyFile): modifica un fichero de datos.

• 3 (DeleteFile): borra un fichero de datos.

• 255 (EventTypeLast):

eventtype 45 (SystemOps)

Tipo de operación WMI ejecutada por el proceso.

• 0 (Command line event creation): WMI lanza una línea de comandos como respuesta a un cambio en la base de datos.

• 1 (Active script event creation): se ejecuta un script como respuesta a la recepción de un evento.

• 2 (Event consumer to filter consumer): evento que se genera cada vez que un proceso se subscribe para recibir notificaciones. Se recibe el nombre del filtro creado.

• 3 (Event consumer to filter query): evento que se genera cada vez que un proceso se subscribe para recibir notificaciones. Se recibe la consulta que ha ejecutado para suscribirse.

• 4 (Create User): se añade una cuenta de usuario al sistema operativo.

• 5 (Delete User): se borra una cuenta de usuario del sistema operativo.

• 6 (Add user group): se añade un grupo al sistema operativo.

• 7 (Delete user group): se borra un grupo del sistema operativo.

• 8 (User group admin): se añade un usuario al grupo admin.

• 9 (User group rdp): se añade un usuario al grupo rdp.

• 13 (WMI query): petición WMI que se esta realizando en el equipo.

• 14 (Login attemp): intento de inicio de sesión en otro equipo.

• 15 (Scheduler tasks): operación registrada en el programador de tareas.

• 16 (Special privileges): escalado de privilegios en un inicio de sesi´n.
  

• 17 (AMSI buffer scan request): petición de análisis AMSI de un buffer de memoria que contiene un script.

• 18 (WFP filter operation): se crea o se elimina un filtro WFP (Windows Filtering Platform).

• 19 CMD: se lanza un comando desde la linea de comandos cmd.exe.

eventtype 65 (Users)

Tipo de operación con las cuentas de usuario en sistemas operativos Linux.

• 0 (User creation): crea un usuario.

• 1 (User modification): modifica un usuario.

• 2 (User deletion): borra un usuario.

eventtype 66 (SysOps)

Tipo de modificación en la configuración de sistemas operativos Linux.

• 5 (Creating User Password Policy): crea una política para definir las contraseñas de las cuentas de usuario.

• 6 (Modifying User Password Policy): modifica una política para definir las contraseñas de las cuentas de usuario.

• 7 (Deleting User Password Policy): borra una política para definir las contraseñas de las cuentas de usuario.

• 20 (Group Creation): crea un grupo.

• 21 (Group Modification): modifica un grupo.

• 22 (Group Deletion): borra un grupo.

• 23 (Creating User Permissions): asigna permisos de usuario a un fichero o carpeta.

• 24 (Modifying permissions in the user): modifica permisos de usuario de un fichero o carpeta.

• 25 (Deleting Permissions on User): borra permisos de usuario de un fichero o carpeta.

• 29 (Creating Group Password Policy): crea una política de grupo para definir las contraseñas de las cuentas de usuario.

• 30 (Modifying Group Password Policy): modifica una política de grupo para definir las contraseñas de las cuentas de usuario.

• 31 (Deleting Group Password Policy): borra una política de grupo para definir las contraseñas de las cuentas de usuario.

operationflags/ integrityLevel

eventtype 1 (ProcessOps) - operationflags

Indica el nivel de integridad asignado por Windows al elemento. Consulta https://learn.microsoft.com/en-us/windows/win32/secauthz/mandatory-integrity-control.

• 0x0000 Untrusted level

• 0x1000 Low integrity level

• 0x2000 Medium integrity level

• 0x3000 High integrity level

• 0x4000 System integrity level

• 0x5000 Protected

eventtype 22 (NetworkOps) - SocketOpFlags

Indica el algoritmo de agrupación utilizado para minimizar el registro de conexiones de red que tienen las mismas direcciones IP y puertos de origen y destino. Las agrupaciones se producen por periodos de tiempo, registrándose una única conexión del grupo cuando termina el periodo. El periodo de tiempo varia en función del número de conexiones registradas:

• 0x00000001 (Flag realtime): indica que el evento se registró en el momento en que se ha producido. Solo lo llevan los eventos que no se agrupan.

• 0x00000002 (Agrupación estándar): 15 minutos

• 0x00000004 (Agrupación L1): 500 conexiones 2 horas

• 0x00000008 (Agrupación L2): 1000 conexiones 6 horas

• 0x000000010 (Agrupación L3): 5000 conexiones 12 horas

• 0x000000020 (Agrupación L4): 10000 conexiones 24 horas

Cuando se registra el número de conexiones indicado en el nivel de agrupación actual se incrementa el nivel de agrupación. Cada hora se reevalúa el número de conexiones registradas para ajustar a la baja el nivel de agrupación, si es necesario.

operationmonitoredopen

Consulta operation.

operationstatus

Consulta opstatus.

operationsvc

Consulta operation.

operationsysops

Consulta operation.

operationudev

Consulta operation.

operationusers

Consulta operation.

operationxdg

Consulta operation.

opstatus

Indica si el evento debe ser enviado a Cytomic Insights o no:

• 0: Enviar.

• 1: Filtrado por el agente.

• 2: No enviar.

origusername

Usuario del equipo que realiza la operación.

pandaalertid

Identificador interno del indicio.

pandaid

Consulta accountid.

pandatimestatus

Indica el algoritmo utilizado para calcular las fechas de los campos Date, DateTime y TimeStamp:

• 0 (Version not supported): el equipo no soporta la sincronización de su configuración horaria con la de Cytomic.

• 1: (Recalculated Panda Time): el equipo ha corregido su configuración horaria con la establecida en Cytomic.

• 2: (Panda Time Ok): el equipo tiene establecida una configuración horaria correcta.

• 3: (Panda Time calculation error): error al establecer la configuración horaria corregida.

parentattributes

Atributos del proceso padre.

• 0x0000000000000001 (ISINSTALLER): fichero de tipo SFX (SelfExtractor).

• 0x0000000000000002 (ISDRIVER): fichero de tipo Driver.

• 0x0000000000000008 (ISRESOURCESDLL): fichero de tipo DLL de recursos.

• 0x0000000000000010 (EXTERNAL): fichero procedente de fuera del equipo.

• 0x0000000000000020 (ISFRESHUNK): fichero añadido recientemente al conocimiento de Cytomic.

• 0x0000000000000040 (ISDISSINFECTABLE): fichero con acción recomendada de desinfección.

• 0x0000000000000080 (DETEVENT_DISCARD): la tecnología de detección de contexto por eventos no ha realizado ninguna detección.

• 0x0000000000000100 (WAITED_FOR_VINDEX): fichero ejecutado sin haberse monitorizado su creación.

• 0x0000000000000200 (ISACTIONSEND): las tecnologías locales no detectan malware en el fichero y éste se envía a Cytomic para su clasificación.

• 0x0000000000000400 (ISLANSHARED): fichero almacenado en una unidad de red.

• 0x0000000000000800 (USERALLOWUNK): fichero con permiso para importar DLL desconocidos.

• 0x0000000000001000 (ISSESIONREMOTE): evento originado en una sesión remota.

• 0x0000000000002000 (LOADLIB_TIMEOUT): el tiempo transcurrido entre la interceptación de la carga de la librería y su análisis es mayor a 1 segundo, con lo que el análisis pasa de síncrono a asíncrono para no penalizar el rendimiento.

• 0x0000000000004000 (ISPE): fichero ejecutable.

• 0x0000000000008000 (ISNOPE): fichero de tipo no ejecutable.

• 0x0000000000020000 (NOSHELL): el agente no detecta la ejecución de una shell en el sistema.

• 0x0000000000080000 (ISNETNATIVE): fichero de tipo Net Native.

• 0x0000000000100000 (ISSERIALIZER): fichero de tipo Serializer.

• 0x0000000000200000 (PANDEX): fichero incluido en la lista de procesos creados por Cytomic Patch.

• 0x0000000000400000 (SONOFGWINSTALLER): fichero creado por un instalador clasificado como goodware.

• 0x0000000000800000 (PROCESS_EXCLUDED): fichero excluido por las exclusiones de Cytomic Orion.

• 0x0000000001000000 (INTERCEPTION_TXF): la operación interceptada tiene como origen un ejecutable cuya imagen en disco está siendo modificada.

• 0x0000000002000000 (HASMACROS): documento Microsoft Office con macros.

• 0x0000000008000000 (ISPEARM): fichero ejecutable para microprocesadores ARM.

• 0x0000000010000000 (ISDYNFILTERED): fichero permitido en el equipo al no haber tecnologías que lo clasifiquen.

• 0x0000000020000000 (ISDISINFECTED): fichero desinfectado.

• 0x0000000040000000 (PROCESSLOST): operación no registrada.

• 0x0000000080000000 (OPERATION_LOST): operación con pre-análisis, de la que no se ha recibido el post-análisis.

• 0x0000000100000000 - (ISINTERACTIVE): determina si el fichero se ejecuto de forma interactiva.

• 0x0000002000000000 (SAFE_BOOT_MODE): el equipo se inició en modo seguro.

• 0x0000004000000000 (PANDA_SIGNED): fichero firmado con la firma de Panda Security.

parentattmask

parentblake

Firma Blake2S del padre de la operación.

parentcount

Número de procesos con accesos DNS fallidos.

parentdrive

Tipo de unidad donde se registró la operación:

• 0: unidad desconocida

• 1: unidad que existe, pero cuya ruta raíz no es válida. Ocurre al intentar acceder a una unidad que no está montada o con problemas de formato.

• 2: unidad que se puede extraer del equipo (memoria USB, tarjeta SD o disquete).

• 3: unidad que no se puede quitar fácilmente (disco duro interno HDD o SSD).

• 4: unidad de red conectada a través de la red (recurso compartido, carpeta de red o un servidor de archivos).

• 5: unidad de CD-ROM, DVD o Blu-ray.

• 6: unidad virtual creada en la memoria RAM del sistema.

parentfilename

parentmd5

Hash del fichero padre.

parentpath

Ruta del fichero padre que realizó la operación registrada.

parentpid

Identificador del proceso padre.

parentstatus

• 0 (StatusOk): estado OK.

• 1 (NotFound): elemento no encontrado.

• 2 (UnexpectedError): error desconocido.

• 3 (StaticFiltered): fichero identificado como malware mediante información estática contenida en la protección de Cytomic EDR o Cytomic EPDR.

• 4 (DynamicFiltered): fichero identificado como malware mediante tecnología local implementada en Cytomic EDR o Cytomic EPDR.

• 5 (FileIsTooBig): fichero demasiado grande.

• 6 (PEUploadNotAllowed): el envío de ficheros está desactivado.

• 11 (FileWasUploaded): fichero enviado a la nube para su analisis.

• 12 (FiletypeFiltered): fichero de tipo DLL de recursos, Net Native o Serializer.

• 13 (NotUploadGWLocal): fichero goodware no guardado en la nube.

• 14 (NotUploadMWdisinfect): fichero malware desinfectado no guardado en la nube.

passwordstatus

Estado de la contraseña en sistemas operativos Linux.

• 0 (x): la contraseña está almacenada en /etc/shadow.

• 1(*): cuenta deshabilitada permanentemente.

• 2 (!): contraseña bloqueada temporalmente.

• 3 (vacío): sin contraseña, inicio de sesión sin autenticación. Solo en sistemas antiguos.

pecreationsource

Tipo de unidad donde fue creado el fichero:

• (0): el tipo de dispositivo no se puede determinar.

• (1): ruta del dispositivo inválida. Por ejemplo, un medio de almacenamiento externo que ha sido extraído.

• (2): medio de almacenamiento extraíble.

• (3): medio de almacenamiento interno.

• (4): medio de almacenamiento remoto (por ejemplo unidad de red).

• (5): unidad de CD-ROM.

• (6): unidad RAM Disk.

phonedescription

Descripción del teléfono si la operación involucró a un dispositivo de este tipo.

pid

Identificador del proceso que inicia la sesión.

processtreeid

Identificador de un árbol de procesos.

protocol

Protocolo de comunicaciones utilizado por el proceso.

• 6 (TCP)

• 12 (RDP)

• 17 (UDP)

proxyconnection

La conexión sale por un proxy.

querieddomaincount

Consulta times.

realservicelevel

Modo de funcionamiento del agente en curso (puede diferir temporalmente del modo asignado por configuración).

Consulta servicelevel .

redirection

Se ha detectado una redirección HTTP.

Este campo solo incluye información si el modo auditoría del software de protección está activado.

registryaction

Tipo de operación realizada en el registro del equipo.

• 0 (CreateKey): crea una nueva rama del registro.

• 1 (CreateValue): asigna un valor a una rama del registro.

• 2 (ModifyValue): modifica un valor de una rama del registro.

• 3 (Query): lee a la vez una clave y un valor del registro.

• 4 (DeleteKey): borra una rama del registro.

• 5 (DeleteValue): borra un valor del registro.

remediationresult

Respuesta del usuario ante el mensaje emergente mostrado por Cytomic EPDR o Cytomic EDR.

• 0 (Ok): el cliente acepta el mensaje.

• 1 (Timeout): el mensaje emergente desaparece por la inacción del usuario.

• 2 (Angry): el usuario elige rechazar el bloqueo desde el mensaje emergente.

• 3 (Block): se produce un bloqueo porque el usuario no contesta al mensaje emergente.

• 4 (Allow): el usuario acepta la solución.

• -1 (Unknown)

remoteip

eventtype 1 (ProcessOps)

Dirección IP del equipo remoto que ejecutó la acción en el equipo monitorizado.

eventtype 22 (Networkops)

Contiene la dirección IP del otro extremo de la conexión, independientemente de la dirección de la conexión (campo direction). Consulta localip y direction.

eventtype 42 (BandwidthUsage)

Dirección IP del dispositivo al que se conecta el equipo monitorizado para descargar datos.

eventtype 45 (SystemOps)

Dirección IP del equipo que se conecta al equipo monitorizado para ejecutar una petición WMI.

remotemachinename

eventtype 1 (ProcessOps)

Nombre del equipo remoto que ejecutó la acción en el equipo monitorizado.

eventtype 22 (Networkops) - hostname

Nombre del equipo remoto.

eventtype 42 (BandwidthUsage)

Nombre del dispositivo al que se conecta el equipo monitorizado para descargar datos.

eventtype 45 (SystemOps)

Nombre del equipo que se conecta al equipo monitorizado para ejecutar una petición WMI.

eventtype 99 (RemediationOps)

Nombre del equipo remoto que inicia la conexión monitorizada por Endpoint Access Enforcement.

remoteport

eventtype 22 (Networkops)

Contiene el puerto del equipo donde se registra el evento o del otro extremo de la conexión dependiente del campo direction:

• direction = 1 (conexión entrante) contiene el puerto del equipo donde se registra el evento.

• direction = 2 (conexión saliente) contiene el puerto del otro extremo de la conexión.

Consulta localport y direction.

eventtype 42 (BandwidthUsage)

Puerto del dispositivo al que se conecta el equipo monitorizado para descargar datos.

remoteusername

Nombre del usuario remoto que realiza la operación en el equipo monitorizado.

responseclassification

Clasificación del proceso.

• 0 (Unknown): fichero en proceso de clasificación.

• 1 (Goodware): fichero clasificado como goodware.

• 2 (Malware): fichero clasificado como malware.

• 3 (Suspect): fichero en proceso de clasificación con alta probabilidad de resultar malware.

• 4 (Compromised): proceso comprometido por un ataque de tipo exploit.

• 5 (GWNotConfirmed): fichero en proceso de clasificación con alta probabilidad de resultar malware.

• 6 (Pup): fichero clasificado como programa no deseado.

• 7 (GwUnwanted): equivalente a PUP.

• 8 (GwRanked): proceso clasificado como goodware.

• -1 (Unknown)

risk

Estado del dispositivo que inicia la conexión con el equipo protegido que determinó el bloqueo o la monitorización de la conexión en la tecnología Control de acceso a Endpoints.

• 0 (E_NNS_MACHINE_PROTECTION_STATUS_UNKNOWN): el estado de la protección del equipo que se conecta es desconocido.

• 1 (E_NNS_MACHINE_PROTECTION_STATUS_PROTECTION_ENABLED): el estado de la protección del equipo que se conecta es activado.

• 2 (E_NNS_MACHINE_PROTECTION_STATUS_NON_MANAGED): el equipo que se conecta no tiene software de protección instalado o es de la competencia.

• 3 (E_NNS_MACHINE_PROTECTION_STATUS_DIFFERENT_ACCOUNT): el equipo que se conecta tiene instalado software de protección compatible pero esta gestionado por otra cuenta.

• 4 (E_NNS_MACHINE_PROTECTION_STATUS_PROTECTION_DISABLED): el equipo que se conecta tiene instalado software de protección compatible pero su protección esta desactivada.

• 5 (E_NNS_MACHINE_PROTECTION_STATUS_RISK_MEDIUM): el nivel de riesgo del equipo que se conecta es medio.

• 6 (E_NNS_MACHINE_PROTECTION_STATUS_RISK_HIGH): el nivel de riesgo del equipo que se conecta es alto.

• 7 (E_NNS_MACHINE_PROTECTION_STATUS_RISK_CRITICAL): el nivel de riesgo del equipo que se conecta es crítico.

riskdetected

Consulta risk.

ruleid

eventtype 555 (IOA) - huntingruleid:

Nombre de la regla del Radar de ciberataques que detectó el indicio.

eventtype 22 (IOA) - ruleid:

Regla de Snort que detectó la comunicación a través de un túnel HTTP. Este campo solo incluye información si el modo auditoria del software de protección está activado.

servicelevel

Modo de ejecución del agente.

• 0 (Learning): el agente no bloquea ningún programa pero monitoriza los procesos ejecutados.

• 1 (Hardening): el agente bloquea la ejecución de todos los programas sin clasificar cuyo origen no sea confiable, así como los programas clasificados como malware.

• 2 (Block): el agente bloquea todos los ejecutables sin clasificar y los clasificados como malware.

• -1 (N/A)

sessiondate

Fecha de inicio del servicio del antivirus por última vez, o desde la última actualización.

sessionid

Identificador de la sesión.

sessiontype

Tipo de creación o inicio de sesión:

• 0 (System Only): sesión iniciada con una cuenta de sistema.

• 2 (Local): sesión creada físicamente mediante un teclado o a través de KVM sobre IP.

• 3 (Remote): sesión creada remotamente en carpetas o impresoras compartidas. Este tipo de inicio de sesión tiene autenticación segura.

• 4 (Scheduled): sesión creada por el programador de tareas de Windows.

• 5 (Service): sesión creada cuando arranca un servicio que requiere ejecutarse en la sesión de usuario. La sesión es eliminada cuando el servicio se detiene.

• 7 (Blocked): un usuario intenta entrar en una sesión bloqueada previamente.

• 8 (Remote Unsecure): idéntico al tipo 3 pero la contraseña viaja en texto plano.

• 9 (RunAs): sesión creada cuando se usa el comando “RunAs” bajo una cuenta diferente a la utilizada para iniciar la sesión, y especificando el parámetro “/netonly”. Sin el parámetro “/netonly” se genera un tipo de sesión 2.

• 10 (TsClient): sesión creada cuando se accede mediante “Terminal Service”, “Remote desktop” o “Remote Assistance”. Identifica una conexión de usuario remota.

• 11 (Domain Cached): sesión de usuario creada con credenciales de dominio cacheadas en el equipo, pero sin conexión con el controlador de dominio.

• -1 (Unknown)

sha256

Consulta childsha256.

shash

Patrón de caracteres alfanuméricos que sigue el hash del proceso hijo.

socketopflags

telemetrytype

• 0: telemetría normal. El evento no pertenece a un indicio que siga un patrón descrito en la matriz MITRE.

• 1: evento reenviado. El evento se envió inicialmente como tipo 0 (telemetría normal), pero tiempo después se ha detectado que pertenece a un patrón de ataque escrito en la matriz MITRE. El evento se vuelve a enviar con los campos TTPs e IOAIds completados.

• 2: evento acumulado: para ahorrar recursos, parte de la telemetría generada en el cliente se retiene hasta que el software de seguridad detecta un patrón de ataque MITRE. En ese momento se envían todos los eventos acumulados.

threadid

Identificador de un hilo de un proceso.

timeout

El análisis en local tardó demasiado tiempo en completarse y el proceso se delega en otros mecanismos que no impacten en el rendimiento.

times

eventtype 22 (NetworkOps)

Número de veces que se ha repetido una conexión creada por el mismo proceso, en la misma ruta, con los mismos localIP, RemoteIP y RemotePort.

eventtype 45 (SystemOps)

Número de peticiones WMI por tabla y proceso agrupadas en el intervalo de 1 hora.

eventtype 46 (DnsOps) - querieddomaincount

Número de dominios diferentes con resolución fallida del proceso en la última hora.

eventtype 99 (RemediationOps) - napocurrences

Número de veces que se ha registrado el mismo tipo de ataque de red con destino una misma IP en el intervalo de una hora.

eventtype 99 (RemediationOps) - napocurrences, winningtech = 16, 17 o 18

Número de veces que se ha detectado el mismo tipo de política de seguridad en el intervalo de una hora. La primera detección se registra con el campo a 1.

timestamp

Fecha UTC en formato epoch (número de nanosegundos transcurridos desde el 1 de enero de 1970) del momento en que se produjo el evento en el equipo del cliente. Consulta pandatimestatus para interpretar correctamente este campo.

totalresolutiontime

Indica el tiempo que ha tardado la nube en responder, y si ha habido error en la consulta del código de error.

• 0: No se ha consultado a nube.

• >0: Tiempo en ms que ha tardado la consulta a la nube.

• <0: Código de error de la consulta a la nube.

• -1 (ERROR)

• -2 (ERROR_INVALID_PARAMETER)

• -3 (ERROR_INVALID_STATE)

• -4 NOT_ENOUGH_MEMORY)

• -5 (ERROR_LOADING_COMPONENT)

• -6 (ERROR_READONLY_PROPERTY)

• -7 (ERROR_UNKNOWN_PROPERTY)

• -8 (ERROR_WRONG_CONFIGURATION)

• -9 (ERROR_EXCEPTION)

• -10 (ERROR_NOT_IMPLEMENTED)

• -11 (ERROR_CLOUD_DEVELOPMENT)

• -12 (ERROR_CLOUD_INVALID_PROPERTY)

• -13 (ERROR_CLOUD_LOADING_COMPONENT)

• -14 (ERROR_CLOUD_TIMEOUT)

• -15 (ERROR_CLOUD_CANCELLED)

• -16 (ERROR_CLOUD_OVERRIDE)

• -17 (ERROR_CLOUD_CLOSED)

• -18 (ERROR_CLOUD_OFFLINE)

• -19 (ERROR_CLOUD_NO_SESSION)

• -20 (ERROR_CLOUD_COM_GENERIC)

• -21 (ERROR_CLOUD_COM_NET)

• -22 (ERROR_CLOUD_COM_TIMEOUT)

• -23 (ERROR_CLOUD_COM_PROXY_AUTHENTICATION)

• -24 (ERROR_CLOUD_COM_PROXY_REQUIRED_AUTHENTICATION)

• -25 (ERROR_CLOUD_COM_SERVER_RESET)

• -26 (ERROR_CLOUD_COM_INTERNAL_SERVER)

• -27 (ERROR_CLOUD_COM_INVALID_TOKEN

triggertarget

Nombre de la unidad de systemd (fichero .service, .socket o .path) que se activará cuando el temporizador programado expire. Disponible en sistemas operativos Linux.

TTPs

Lista de las técnicas, tácticas y subtécnicas asociadas al evento MITRE.

type

Consulta operation.

uniqueid

Identificador único del dispositivo.

url

eventtype 14 (Download) - childurl

Url de descarga lanzada por el proceso que generó el evento registrado.

eventtype 22 (NetworkOps) - inicitaldomain

Dominio origen cuando se detecta una redirección HTTP.

Este campo solo incluye información si el modo auditoría del software de protección está activado.

eventtype 99 (RemediationOps)

Lista de 10 urls enviadas por el monitor de procesos separadas por * en el caso de detectar un exploit.

userid

Identificador de la cuenta de usuario involucrada en el evento en sistemas operativos Linux.

username

value

Rama y clave del registro.

valuedata

Tipo del dato del valor contenido en la clave del registro y valor que contiene:

• 00 (REG_NONE)

• 01 (REG_SZ)

• 02 (REG_EXPAND_SZ)

• 03 (REG_BINARY)

• 04 (REG_DWORD)

• 05 (REG_DWORD_BIG_ENDIAN)

• 06 (REG_LINK)

• 07 (REG_MULTI_SZ)

• 08 (REG_RESOURCE_LIST)

• 09 (REG_FULL_RESOURCE_DESCRIPTOR)

• 0A (REG_RESOURCE_REQUIREMENTS_LIST)

• 0B (REG_QWORD)

• 0C (REG_QWORD_LITTLE_ENDIAN)

valuedatalength

Tamaño del dato almacenado en el registro de Windows.

vantiexploit

Versión de las dlls PSNMVHookPlg32 y PSNAntiExploitPLG.dll

vbloomfilter

Versión del fichero bloomfilter que contiene la caché de goodware local.

vcontroller

vdeteventfilter

Versión del fichero de filtros para la tecnología de detección contextual (deteventfilter)

verbosemode

El equipo está configurado en modo detallado.

version

Versión del sistema operativo del equipo que ejecuta el software vulnerable.

versionagent

Versión del agente instalado.

versionantiexploit

Consulta vantiexploit.

versionbloomfilter

Consulta vbloomfilter.

versioncontroller

Versión de la dll psnmvctrl.dll.

versiondetectevent

Versión de la dll deteven.dll.

versiondetection

versiondetevenfilter

Consulta vdeteventfilter.

versionfilterantiexploit

Consulta vtfilterantiexploit.

versionhelper

Versión de la dll HELPER_XX.exe

versioninjectionplg

Versión de la dll PSNInyectorPLG.dll

versionioaplg

versionnopeanalysisfilter

Versión del filtro del modelo en el fichero nn.sig para analizar scripts.

versionproduct

Versión del producto de protección instalado.

versionramsomevent

Consulta vramsomevent.

versionsherlockplg

versiontabledetection

Consulta vtabledetevent.

versiontableramsom

Consulta vtableramsomevent.

versionttpplg

vioaplg

Versión de la dll PSNIOAPlg.dll.

vtabledetevent

Versión de la dll TblEven.dll.

vtableramsomevent

Versión de la dll TblRansomEven.dll.

vramsomevent

Versión de la dll RansomEvent.dll.

vsherlockplg

Versión de la dll PSNEVMGRAG.dll.

vtfilterantiexploit

Versión de la dll PSINJHOOKPLG32.dll.

vttpplg

Versión de la dll PSNMitrePlg.dll.

winningtech

Tecnología del agente Cytomic EPDR o Cytomic EDR que provoca el evento.

• 0 (Unknown)

• 1 (Cache): clasificación cacheada en local.

• 2 (Cloud): clasificación descarga de la nube.

• 3 (Context): regla de contexto local.

• 4 (Serializer): tipo de binario.

• 5 (User): premiso solicitado al usuario.

• 6 (LegacyUser): permiso solicitado al usuario.

• 7 (NetNative): tipo de binario.

• 8 (CertifUA): detección por certificados digitales.

• 9 (LocalSignature): firma local.

• 10 (ContextMinerva): regla de contexto en la nube.

• 11 (Blockmode): el agente estaba en modo hardening o lock cuando se bloqueó la ejecución del proceso.

• 12 (Metasploit): ataque generado con el framework metaExploit.

• 13 (DLP): tecnología Data Leak Prevention.

• 14 (AntiExploit): tecnología de identificación de intento de explotación de proceso vulnerable.

• 15 (GWFilter): tecnología de identificación de procesos goodware.

• 16 (Policy): políticas de seguridad avanzada de Cytomic EPDR.

• 17 (SecAppControl): tecnologías control aplicaciones de seguridad.

• 18 (ProdAppControl): tecnologías control aplicaciones de productividad.

• 19 (EVTContext): tecnología contextual de Linux.

• 20 (RDP): tecnología para detectar/bloquear ataques e intrusiones por RDP (Remote Desktop Protocol).

• 21 (AMSITech): tecnología para detectar malware en notificaciones AMSI.

• 22 (DecoyTech): tecnología de detección por archivos señuelo (decoy files).

• 23 (Deeplearning): tecnología deeplearning de detección de malware.

• 24 (ShadowCopy): el administrador activó la funcionalidad de shadow copies como método de resolución frente a modificaciones de ficheros no autorizadas.

• 25 (RemediationTech): tecnología de resolución de XDR.

• 26 (DeepInspection): tecnología de detección de ataques de red.

• 27 (EAC): tecnología de Endpoint Access Enforcement.

• 28 (BYOVD): tecnología de detección de drivers vulnerables (Bring Your Own Vulnerable Driver).

• 29 (ZeroTrust): tecnología local para la clasificación de goodware que evita bloqueos innecesarios.

• 30 (Scripting): tecnología para detectar / bloquear scripts.

• -1 (Unknown)