Temas Relacionados
Acerca de las Puntuaciones de Amenaza de TDR
Cuando TDR recibe un evento reportado por un Host Sensor o Firebox, el motor de análisis de ThreatSync analiza el evento y asigna una Puntuación de Amenaza basándose en la gravedad del evento. Un evento reportado al que se le asigna una puntuación de amenaza se convierte en un indicador. Las puntuaciones más altas indican una mayor probabilidad de que el evento u objeto observado represente una amenaza.
Eventos de Host Sensor
El Host Sensor monitorea el host en busca de cambios en los archivos, procesos y entradas de registro. El Host Sensor monitorea estos tipos de eventos:
- Creación y eliminación de archivos — para archivos con un encabezado Ejecutable Portátil (PE)
- Creación y terminación de procesos
- Cambios en el registro
Cuando se reciben eventos de un Host Sensor, ThreatSync asigna puntuaciones de indicadores a los eventos con uno de estos métodos:
- Fuente de Amenaza — ThreatSync compara el MD5 de un archivo o proceso observado con el valor MD5 de las amenazas conocidas en la fuente de amenazas de Threat Detection and Response.
- Servicio de Verificación de Malware — ThreatSync puede enviar el MD5 de un archivo o proceso observado a un servicio basado en la nube de verificación de malware para determinar si se trata de una amenaza conocida.
- Heurística — El comportamiento observado o las características de un archivo o proceso pueden indicar que es sospechoso.
- Análisis de la Caja de Arena — El resultado del análisis de caja de arena puede hacer que TDR ajuste la puntuación de amenaza para un evento
Para obtener más información sobre el análisis de caja de arena, consulte Análisis de Caja de Arena de TDR por APT Blocker.
Eventos de Red
El Firebox envía un evento de red cuando se detecta una amenaza mediante Defensa de Reputación Activada, Gateway AntiVirus, APT Blocker, WebBlocker, Detección de Botnet, Sitios Bloqueados u otras opciones configuradas en el Firebox. Para que el Firebox identifique y envíe indicadores de red, usted debe configurar políticas y servicios de proxy en el Firebox, y debe habilitar la generación de registros para que el Firebox envíe a TDR un informe de la acción como un indicador. Para obtener información sobre la configuración recomendada para la política de proxy, consulte Configurar las Políticas Proxy para TDR.
ThreatSync asigna puntuaciones de indicador para eventos de red reportados por un Firebox solo si la dirección IP del host involucrado en el evento es la misma que la dirección IP de un host con un Host Sensor instalado.
Indicador de Puntuaciones de Amenaza
Los indicadores se califican en una escala de 0 a 10. Una puntuación de 10 indica la mayor amenaza.
| Puntuación | Descripción |
|---|---|
| 10 | Crítico — Puntuado basándose en la fuente de amenazas de indicadores del host, la confirmación del Servicio de Verificación de Malware, o ambas, y las alertas críticas de red. Esta puntuación también puede indicar que se activó Host Ransomware Prevention y que falló la acción del Host Sensor para evitarlo. |
| 9 | Crítico — Puntuado basándose en el resultado del análisis de caja de arena de APT Blocker. |
| 8 | Grave — Puntuado basándose en la fuente de amenazas de Indicadores del host, la confirmación del Servicio de Verificación de Malware, o la identificación heurística de múltiples comportamientos para el mismo objeto. A un indicador también se le puede asignar esta puntuación como resultado del análisis de caja de arena de APT Blocker. |
| 7 | Alto — Puntuado basándose en la actividad de red, identificación heurística de múltiples comportamientos para el mismo objeto, o actividad de red de un tercero. A un indicador también se le puede asignar esta puntuación como resultado del análisis de caja de arena de APT Blocker. |
| 6 | Alto — Puntuado basándose en la actividad de la red o identificación heurística de múltiples comportamientos para el mismo objeto. A un indicador de red también se le puede asignar esta puntuación cuando APT Blocker en un Firebox bloquea una amenaza conocida. |
| 5 | Investigación — Puntuado basándose en la identificación heurística de múltiples comportamientos potenciales de procesos maliciosos. A un indicador de red también se le puede asignar esta puntuación cuando APT Blocker en un Firebox bloquea una amenaza conocida. |
| 4 | Medio — Indicadores clasificados con prioridad media, incluyendo puntuaciones de proveedores externos, principalmente indicadores de actividad de red. A un indicador de red también se le puede asignar esta puntuación cuando APT Blocker en un Firebox bloquea una amenaza conocida. |
| 3 | Bajo — Indicadores clasificados con prioridad media, incluyendo puntuaciones de WatchGuard y de proveedores externos, principalmente indicadores de red. |
| 2 | Sospechoso — Heurística de archivos de baja fidelidad sin otra correlación. |
| 1 | Remediado — El indicador del host identificado se ha remediado en el host. |
| 0 | Bueno Conocido — El host no tiene ningún indicador detectado o el objeto está en la lista blanca. |
Para obtener más información sobre cómo TDR actualiza las Puntuaciones de Amenaza para los indicadores remediados, consulte Acciones de Remediación y Puntuaciones de Amenaza de TDR.
Para obtener más información sobre cómo TDR asigna Puntuaciones de Amenaza a los indicadores de Host Ransomware Prevention, consulte Acerca de Host Ransomware Prevention de TDR.
Para obtener más información sobre cómo TDR asigna Puntuaciones de Amenaza basándose en el resultado del análisis de caja de arena, consulte Análisis de Caja de Arena de TDR por APT Blocker.
Incidente de Puntuaciones de Amenaza
Un incidente es un grupo de indicadores activos en un extremo. ThreatSync correlaciona las puntuaciones de los indicadores en un host y asigna al incidente una puntuación general que refleja la gravedad general de las amenazas a ese host. La puntuación de amenaza para un incidente es una puntuación de amenaza basada en la correlación de múltiples indicadores en el incidente. En la página ThreatSync > Incidentes, en la lista de incidentes para un indicador, el símbolo 
se muestra junto a cada puntuación del indicador que se usa para calcular la puntuación de amenaza combinada para un incidente.
Para obtener más información sobre incidentes, consulte Administrar los Incidentes de TDR.