Temas Relacionados
Administrar los Indicadores de TDR
En Threat Detection and Response, indicadores son eventos recibidos de los Host Sensor y Firebox en su red, y son calificados por el motor de análisis de ThreatSync. En la página Indicadores, los Operadores pueden ver todos los indicadores en el sistema, crear rápidamente gráficos de barras y circulares, y completar acciones manuales a través de los hosts.
Ver los Indicadores
En la página Panel de Control en la UI web de TDR, puede ver un resumen de los indicadores, y acceder rápidamente a una vista filtrada de la página Indicadores. Para obtener más información, consulte Panel de Control de TDR. También puede ir directamente a la página Indicadores y ver todos los indicadores.
- Seleccione ThreatSync > Indicadores.
De forma predeterminada, la página Indicadores muestra los indicadores con una puntuación de 6 o más, vistos por última vez en las últimas 24 horas.
- Para buscar indicadores, en el cuadro de texto Buscar ingrese una palabra o valor para buscar. La búsqueda puede coincidir con el texto en un nombre de archivo, valor MD5, dirección IP, nombre DNS o URL asociados con un indicador.
- Use los encabezados de las columnas para cambiar o borrar los filtros.
- Para borrar todos los filtros, haga clic en .
- Para aplicar un filtro, seleccione los controles en los encabezados de las columnas.
La lista Indicadores muestra una lista de indicadores con información de estado y acciones solicitadas. Para cada indicador, puede ver esta información:
- Puntuación — La puntuación de amenaza para este indicador. De forma predeterminada, esta columna se filtra para mostrar puntuaciones de 6 o más.
Para obtener más información, consulte Acerca de las Puntuaciones de Amenaza de TDR. - Fuente — La fuente del indicador: Host Sensor () o Firebox ().
- Indicador — Los detalles del indicador. Puede filtrar esta columna por tipo de indicador, tal como se describe en la siguiente sección. Para ver más detalles, haga clic en Información Adicional.
- Última Vez Visto — La última vez que se recibió el indicador del Host Sensor. De forma predeterminada, esta columna se filtra para mostrar los indicadores vistos por última vez en las últimas 24 horas.
- Estado del Sensor — El estado del Host Sensor.
Para obtener más información, consulte Administrar Hosts y Host Sensors de TDR. - Host/IP — El nombre de host o la dirección IP del sistema host.
- Acción Solicitada — La acción recomendada por Threat Detection and Response para un indicador de un Host Sensor.
- Resultado — Indica el estado de la acción incluida en la columna Acción Solicitada.
- Sin Política indica que no hay una política para tomar acciones sobre esta amenaza.
- Exitoso indica que la acción fue exitosa y la amenaza fue remediada.
- Falla indica que la acción falló debido a un problema de permisos o porque la amenaza fue remediada por otra acción.
- Usuario — Indica qué usuario completó una acción de remediación. Si Threat Detection and Response completa una acción, el usuario es Sistema.
- Fecha de Acción — La fecha y la hora en que ocurrió la acción de remediación.
- Puntuación Anterior — Muestra la puntuación anterior asignada a un indicador antes de que se completara una acción de remediación. Esta columna no es visible de manera predeterminada.
- Para Más Investigación — Contiene enlaces en los que puede hacer clic para buscar el MD5 en Google, VirusTotal y MetaScan.
No todas las columnas son visibles de manera predeterminada. Para seleccionar qué columnas son visibles, haga clic en Elegir Columnas.
Filtrar Indicadores por Fecha
Para filtrar los indicadores con base en la fecha Ultima Vez Visto o la Fecha de Acción:
- En el encabezado de la columna, haga clic en .
Aparece un cuadro de diálogo de selección de fecha. El filtro de rango de fecha seleccionado, si lo hubiera, aparece en la parte superior.
- Seleccione la fecha de inicio y finalización en el calendario, o bien seleccione un acceso directo de rango de fechas. Los accesos disponibles son:
- Últimas 24 horas
- Últimos 3 días
- Últimos 7 días
- Últimos 30 días
- Para aplicar el filtro del rango de fechas seleccionado, haga clic en Aplicar.
- Para borrar el filtro del rango de fechas, haga clic en Borrar.
Tipos de Indicadores
Puede aplicar un filtro a la columna Indicador para ver los indicadores por el tipo de indicador.
- Archivo — un archivo sospechoso o malicioso
- Proceso — un proceso sospechoso o malicioso
- Registro — una entrada de registro sospechosa o maliciosa en un host de Windows
- Host Ransomware Prevention — procesos y archivos con las características de ransomware
- Sitios Bloqueados por Botnet
- Sitios Bloqueados por FQDN
- Sitios Bloqueados por IP
- Coincidencia de Preguntas de DNS
- HTTP Bloqueado por APT
- HTTP Detectado por APT
- Mala Reputación de HTTP
- Categoría de Solicitud de HTTP
- Virus Encontrado en HTTP
- SMTP Bloqueado por APT
- SMPT Detectado por APT
- Virus Encontrado en SMTP
También puede ver el mensaje de registro completo generado por Firebox para cada evento de red en la página Eventos de Red. Para los indicadores de red, cada indicador corresponde a un tipo de evento diferente. Para obtener más información, consulte Ver Eventos de Red en TDR.
Puntuaciones de Indicadores
El análisis de ThreatSync asigna a cada indicador una puntuación basada en la gravedad de la amenaza. 10 es el nivel de amenaza más alto, y 2 es el más bajo. ThreatSync asigna una puntuación de 1 si un indicador se corrigió con éxito, y una puntuación de 0 si un indicador está en la Lista Blanca.
Para obtener más información sobre las puntuaciones de amenazas de indicadores, consulte Acerca de las Puntuaciones de Amenaza de TDR.
Para obtener más información sobre acciones de remediación y puntuaciones de amenazas, consulte Acciones de Remediación y Puntuaciones de Amenaza de TDR
Acciones
Cada indicador está asociado con un host. Los indicadores pueden estar relacionados con archivos o procesos en un host, ser detectados por un Host Sensor () o eventos de red para tráfico hacia o desde un host, o ser detectados por un Firebox (). Para los indicadores reportados por un Firebox, las acciones de remediación son completadas por el Firebox, basándose en los ajustes de la configuración del Firebox. Por ejemplo, APT Blocker, IPS o Gateway AV podrían bloquear el acceso a un archivo, o WebBlocker podría bloquear el acceso a un sitio web. Para los indicadores reportados por un Host Sensor, la acción de remediación puede ser tomada automáticamente por el Host Sensor, basándose en las políticas de TDR configuradas, o usted puede tomar la acción solicitada para remediar la amenaza de la página Indicadores.
Registro de Acción e Historial de Remediación
Para cada indicador, el Registro de Acción muestra una lista de acciones para ese indicador. Para un indicador remediado, el Registro de Acción también incluye el Historial de Remediación, que muestra la puntuación original del indicador antes de que fuera remediado con éxito
Para ver el Registro de Acción de un indicador
- En la página Indicadores, busque el indicador correspondiente.
- En la columna Resultado para el indicador, haga clic en .
- Haga clic en Cerrar para cerrar el Registro de acción.
Detalles de Indicadores
Para ver más información sobre un indicador:
- Seleccione ThreatSync > Indicadores.
- En la columna Indicador, haga clic en Información Adicional.
Aparece el cuadro de diálogo Información Adicional.
La información adicional que se muestra depende de si la fuente del indicador fue un Host Sensor o un Firebox.
Indicadores de un Host Sensor —
Para un indicador reportado por un Host Sensor, el cuadro de diálogo Información Adicional muestra información sobre cómo el análisis de ThreatSync calculó la puntuación del indicador. Muestra información sobre tres componentes de la puntuación: Fuente de Amenaza, Servicio de Verificación de Malware y Heurística. Se resalta el estado de cada indicador.
Opciones de estado de Fuente de Amenaza:
- No Coincidencia — El archivo o proceso no es igual a nada en la Fuente de Amenaza
- Coincidencia — El archivo o proceso es igual a algo en la Fuente de Amenaza
Opciones de Estado del Servicio de Verificación de Malware (MVS):
- Benigno — MVS identificó que el archivo o proceso no es una amenaza
- No Visto — MVS no tiene información sobre el archivo o proceso
- Potencial — MVS identificó que el archivo o proceso es una amenaza potencial
- Malicioso — MVS identificó que el archivo o proceso es una amenaza conocida
Opciones de estado de Heurística:
- Por Debajo del Umbral — El comportamiento observado de este archivo o proceso no se reconoce como sospechoso
- Sospechoso — El comportamiento observado de este archivo o proceso es sospechoso. Si se utilizó el aprendizaje automático para determinar el estado, aparece (ML) junto a la etiqueta Sospechoso.
Para obtener más información sobre el evento sospechoso, haga clic en Detalles.
Si el hash para este indicador se encontró en otros hosts, la esquina superior derecha del cuadro de diálogo Información Adicional muestra el número de otros Host Sensors que identificaron este indicador. Para ver una lista de todos los hosts que identifican este indicador, haga clic en Hash encontrado en otro(s) host(s).
Si el Host Sensor solicita la acción Poner Archivo en la Caja de Arena, el cuadro de diálogo Información Adicional también incluye información sobre el estado de Análisis de Caja de Arena por parte de APT Blocker.
Para obtener más información, consulte Análisis de Caja de Arena de TDR por APT Blocker.
Indicadores de un Firebox —
Para un indicador reportado por un Firebox, el cuadro de diálogo Información Adicional muestra información sobre la amenaza reportada por el Firebox.
Puede ver más detalles sobre los eventos de red identificados por un Firebox en la página Eventos de Red. Para obtener más información, consulte Ver Eventos de Red en TDR.
Investigación Adicional
Para investigar más a fondo un indicador, puede buscar el valor MD5 del indicador en Google, VirusTotal o MetaScan.
Para buscar el valor MD5 para un indicador, en la Columna Para Investigación Adicional, haga clic en uno de estos enlaces:
- Buscar MD5 en Google
- Buscar MD5 en VirusTotal
- Buscar MD5 en MetaScan
Crear y Exportar Gráficos de Indicadores
Puede ver los indicadores como un gráfico de barras, gráfico circular o gráfico de series temporales apiladas. Puede exportar la gráfica a un archivo .PNG, .JPB, .GIF o .PDF.
Para crear un gráfico:
- Haga clic en el tipo de gráfico que desea generar:
- — Gráfico de Barras
- — Gráfico Circular
- — Gráfico de Barras Apiladas
Aparece el gráfico seleccionado
- Para cambiar el rango de fechas que se muestra en el gráfico, seleccione un rango de fechas en la parte superior.
- En la lista desplegable Agrupar Por, seleccione cómo agrupar los datos en el gráfico.
- En la lista desplegable Mostrar, seleccione cuántos indicadores mostrar en el gráfico.
- Para exportar el gráfico, haga clic en y seleccione el formato del archivo de exportación: .PNG, .JPG, .GIF o .PDF.
El archivo se descarga en el formato seleccionado.
Ejecutar una Acción Manual
Puede seleccionar manualmente acciones para remediar indicadores. La columna Acción Solicitada muestra la acción recomendada para remediar un indicador reportado por un Host Sensor. Cuando toma la acción solicitada, esto se clasifica como una remediación Manual en el widget Remediaciones en la página Panel de Control de TDR.
La lista desplegable Acciones le indica a cuántos de los indicadores seleccionados se puede aplicar cada acción. Puede seleccionar una de estas acciones:
Marcar como remediados externamente
Seleccione esta acción si ha remediado la amenaza en el sistema mismo. Por ejemplo, si manualmente ha eliminado el archivo o finalizado el proceso especificado en el indicador.
Lista Blanca
Seleccione esta acción para agregar este indicador a la Lista Blanca como un archivo o proceso seguro conocido. Cuando selecciona esta acción, se crea una anulación de firma de la lista blanca con el MD5 del indicador. Para obtener más información sobre de la Lista Blanca, consulte Configurar las Anulaciones de Firmas de TDR.
Detener proceso
Seleccione esta acción para que el Host Sensor finalice el proceso especificado en el indicador. Esta acción se aplica a los indicadores Coincidencia de URL, Proceso o Host Ransomware Prevention. Una vez que el Host Sensor identifica el puerto de comunicación, el Host Sensor finaliza el proceso que admite la comunicación al puerto de la red.
Poner archivo en cuarentena
Seleccione esta acción para que el Host Sensor ponga en cuarentena el archivo especificado en el indicador. Esta acción usa XOR para cifrar el contenido de un archivo para que el archivo no sea ejecutable. El archivo en cuarentena permanece en el host por el número de días especificado en la configuración Antigüedad Desactivada para Archivos en Cuarentena. Para obtener más información, consulte Configurar la Antigüedad Desactivada para Archivos en Cuarentena.
Si el Host Sensor pone un archivo en cuarentena, y luego usted decide que el archivo no es una amenaza, puede ir a la página Incidentes para retirar el archivo de la cuarentena. Para obtener más información, consulte Eliminar un Archivo de Cuarentena.
Eliminar el valor de registro
Seleccione esta acción para que el Host Sensor elimine el valor del registro para el archivo o el proceso especificados en el indicador. Esta acción elimina el valor de registro que hace referencia a un archivo malicioso.
Poner archivo en caja de arena
Seleccione esta acción para que el Host Sensor cargue el archivo sospechoso a la caja de arena para su análisis. Para obtener más información, consulte Análisis de Caja de Arena de TDR por APT Blocker.
Las acciones Detener Proceso, Poner Archivo en Cuarentena, Eliminar Valor de Registro y Poner Archivo en la Caja de Arena son las mismas acciones que puede configurar en una política. Cuando selecciona estas acciones en las páginas Indicadores o Incidentes, estas acciones se clasifican como acciones manuales.
Para los indicadores con una acción de Poner Archivo en Cuarentena completada con éxito, también puede seleccionar una acción para retirar el archivo de la cuarentena. Para obtener más información, consulte Eliminar un Archivo de Cuarentena.
Para ejecutar una acción manual:
- Seleccione la casilla de selección para uno o más indicadores.
- En la lista desplegable Acciones, seleccione la acción que desea completar.
Aparece un cuadro de diálogo de confirmación, con una lista de los indicadores a los que se aplica la acción seleccionada.
- Haga clic en Ejecutar Acción.
Después de que el Host Sensor ejecuta con éxito una acción de remediación, la puntuación del indicador se reduce a 1 y la columna Resultado en la página Indicadores muestra que la acción tuvo éxito.