Se aplica a: WatchGuard EPDR, WatchGuard EDR
Si el Indicador de Ataque (IOA) tiene un gráfico asociado en la página de detalles del ataque, haz clic en Ver Gráfico de Ataque para ver un diagrama interactivo de la secuencia de eventos que llevaron a la generación del IOA. Puedes utilizar el gráfico para identificar la causa raíz del ataque.
De forma predeterminada, el gráfico se muestra horizontalmente con el nodo que activó el IOA en el centro del gráfico. Está rodeado por un subconjunto de nodos relacionados con el IOA. El gráfico muestra tres niveles de nodo por encima del nodo principal, así como un nivel de nodo por debajo del nodo principal.
Los nodos representan entidades que participan en una operación (como procesos, archivos u objetivos de comunicación y operación). Las flechas representan operaciones. Para modificar el gráfico según tus necesidades, usa las opciones de la barra de herramientas y selecciona nodos específicos. Puedes usar la línea de tiempo debajo del gráfico si deseas aumentar o reducir el plazo para el que se muestran eventos.
El panel de información de la derecha muestra información de eventos para el nodo o flecha seleccionados. Para obtener más información, consulta Eventos de Indicadores de Ataque (IOA).
Barra de herramientas
La barra de herramientas te permite cambiar el aspecto del gráfico. Estos botones están disponibles en la barra de herramientas:
| Botón | Nombre | Descripción |
|---|---|---|
|
Deshacer | Deshacer la última acción realizada en el gráfico |
| Rehacer | Rehacer la última acción realizada en el gráfico | |
| Ampliar | Ampliar la vista en el gráfico | |
| Alejar | Alejar la vista en el gráfico | |
| Restablecer la vista | Volver a los ajustes de vista predeterminados | |
| Gráfico horizontal | Cambiar la orientación del gráfico a horizontal | |
| Gráfico vertical | Cambiar la orientación del gráfico a vertical | |
| Mostrar / Ocultar Capas | Mostrar u ocultar capas de información en el gráfico |
Para mostrar u ocultar capas en un gráfico de ataque:
- En la barra de herramientas, haz clic en
. - En el menú que se abre, selecciona los elementos del gráfico que deseas mostrar u ocultar:
- Secuencia de Ejecución — Oculta o muestra números en los eventos para determinar el orden en que ocurrieron.
- Nombre de las Relaciones — Oculta o muestra los nombres de los eventos. Para obtener más información, consulta Eventos de Indicadores de Ataque (IOA).
- Nombre de Entidades — Oculta o muestra los nombres de entidades (como procesos, archivos u objetivos de comunicación y operación).
Flechas y Nodos de Gráficos
El gráfico ilustra un conjunto de eventos con nodos y flechas para mostrar entidades y la relación entre ellas. El nodo que activó el IOA está en el centro del gráfico, rodeado por un subconjunto de nodos relacionados con el IOA. El gráfico muestra tres niveles de nodos por encima del nodo principal, así como los nodos que están un nivel por debajo del nodo principal.
Los nodos representan las entidades que participan en una operación (procesos, archivos u objetivos de comunicación y operación), mientras que las flechas representan operaciones. Los números de la flecha indican el orden en que los eventos se registraron. Cuando seleccionas un nodo, el panel de información muestra detalles de los eventos que ocurrieron. Para obtener más información, consulta Eventos de Indicadores de Ataque (IOA).
- Para seleccionar un solo nodo en el gráfico, haz clic en el nodo.
- Para seleccionar varios nodos no contiguos en el gráfico, mantén presionada la tecla Ctrl o Mayús y haz clic en los nodos que deseas seleccionar.
- Para seleccionar varios nodos contiguos en el gráfico, mantén presionada la tecla Ctrl o Mayús y haz clic en un área vacía del gráfico. Arrastra el mouse para dibujar un cuadro de selección que cubra todos los nodos que deseas seleccionar.
Cuando seleccionas y haces clic con el botón derecho en varios nodos del gráfico, las opciones que se aplican a todos los nodos seleccionados se muestran en el menú de acceso directo.
Iconos de Estado y Nodo
El color de un nodo indica si el elemento está clasificado como malware (rojo), sospechoso o no clasificado (naranja) o goodware (verde). Estos iconos de nodo se utilizan para representar diferentes entidades en una operación.
| Icono | Descripción |
|---|---|
|
Procesar Si pertenece a un paquete de software conocido, se muestra el icono. |
|
Cadena remota |
|
Biblioteca |
|
Protección |
|
Carpeta |
|
Archivo no ejecutable |
|
Archivo comprimido |
|
Archivo ejecutable |
|
Archivo de script |
|
Valor de ramal del registro de Windows |
|
URL utilizada en una comunicación |
|
Dirección IP en una comunicación |
Los iconos de estado indican la acción realizada en el nodo.
| Icono | Acción |
|---|---|
|
Archivo borrado |
|
Archivo desinfectado |
|
Archivo en cuarentena |
|
Proceso borrado |
Mostrar Nodos Hijo
El gráfico puede mostrar hasta un máximo de 25 nodos en el mismo nivel. Cuando hay más de 25 nodos, el gráfico no muestra ningún nodo. Un icono en la esquina inferior izquierda de un nodo indica que el nodo tiene nodos hijo ocultos.
Para mostrar los nodos hijo, sigue estos pasos:
- Haz clic con el botón derecho en un nodo.
Se abre un menú de acceso directo. - Selecciona una de las opciones disponibles:
- Mostrar Principal — Muestra los nodos principales del nodo seleccionado.
- Mostrar Toda la Actividad (número) — Muestra todos los nodos hijo del nodo, independientemente del tipo. El número máximo de nodos que se muestra es 25. Se muestra el número total de eventos que vinculan el nodo principal con el nodo hijo.
- Mostrar Secundarios — Abre una lista desplegable. Selecciona el tipo de nodos hijo que se mostrarán y el número de nodos para cada tipo. Los tipos de nodos son los siguientes:
- Archivos de datos (archivos con información no identificada)
- Archivos de script (archivos con secuencias de comandos)
- DNS (dominios que no pudieron resolver la IP)
- Entradas de registro de Windows
- Archivos comprimidos
- Archivos PE (archivos ejecutables)
- Cadenas remotas
- IP (direcciones IP para cualquier extremo de la comunicación)
- Bibliotecas
- Procesos
- Protección (acción tomada por el antivirus)
Mover y BorrarNodos
Mueve y borra nodos para centrar el gráfico en la información que deseas ver.
Para mover un solo nodo, selecciona el nodo y arrástralo a una nueva ubicación.
Todas las líneas que conectan el nodo con sus vecinos se mueven y ajustan a la nueva ubicación del nodo.
Para mover el gráfico a fin de ver otros nodos:
- Haz clic en un área vacía del gráfico.
- Arrastra el gráfico en la dirección apropiada.
Para borrar un solo nodo:
- Haz clic con el botón derecho en el nodo que deseas borrar.
Se abre el menú contextual. - Selecciona Borrar (x).
Se abre un cuadro de diálogo que muestra el número total de nodos que se borrarán del gráfico. Esto incluye el nodo seleccionado y sus nodos hijo. - Haz clic en Aceptar.
Para borrar varios nodos:
- Mantén presionada la tecla Ctrl.
- Haz clic en los nodos que deseas borrar.
- Haz clic con el botón derecho en uno de los nodos.
Se abre el menú de acceso directo. - Selecciona Borrar (x).
Se abre un cuadro de diálogo que muestra el número total de nodos que se borrarán del gráfico. Esto incluye los nodos seleccionados y sus nodos hijo. - Haz clic en Aceptar.
Flechas
El color de las flechas indica si WatchGuard EPDR o WatchGuard EDR bloquearon o permitieron la acción.
- Rojo — La acción se clasificó como amenaza y se bloqueó.
- Negro — Se permitió la acción.
El grosor de la flecha representa el número de veces que se ejecutó el mismo tipo de acción entre dos nodos. Cuanto mayor sea el número de acciones, más gruesa será la flecha.
Cuando haces clic en una flecha, el panel de información muestra las fechas en las que ocurrieron la primera y la última acción en el grupo. La dirección de la flecha indica la dirección de la acción.
Los números de la flecha indican el orden en que se registró el evento. Cuando haces clic en la etiqueta de una flecha, el panel de información muestra los eventos que ocurrieron. Para obtener más información, consulta Eventos de Indicadores de Ataque (IOA).
Línea de Tiempo
La línea de tiempo se encuentra debajo del gráfico. Incluye un histograma con barras verdes que representan los eventos realizados por una amenaza. Señala las barras para mostrar un cuadro de información sobre el número de eventos y la fecha en que se registraron.
Controles de la Línea de Tiempo
Puedes difuminar los nodos y las relaciones que ocurrieron fuera de un intervalo de tiempo seleccionado. Los controles en la parte inferior de la línea de tiempo te permiten colocar la vista en el momento preciso en que la amenaza realizó una acción, así como recuperar información ampliada que puede ayudarte a completar un análisis forense.
- Para seleccionar un intervalo específico en la línea de tiempo, arrastra los selectores de intervalo gris hacia la izquierda o hacia la derecha. El gráfico muestra los eventos y nodos que ocurrieron dentro del intervalo. Otros eventos y nodos están difuminados.
- Para ver la ruta de acceso completa de la línea de tiempo, selecciona Primer Nodo y luego haz clic en Iniciar.
- Para configurar la velocidad de desplazamiento, haz clic en 1x y selecciona una opción de velocidad.
Estos controles están disponibles debajo de la línea de tiempo.
- Iniciar — Inicia la línea de tiempo a una velocidad constante de 1x. Aparecen los gráficos y líneas que representan las acciones mientras se muestran a medida que avanza la línea de tiempo.
- 1x — Establece la velocidad de la línea de tiempo.
- Detener — Detiene el progreso de la línea de tiempo.
- + y – — Acerca y aleja la línea de tiempo.
- < y > — Selecciona el nodo anterior o posterior.
- Zoom inicial — Restaura el nivel de zoom inicial si se acercó o alejó con los botones + y –.
- Seleccionar todos los nodos — Mueve los selectores de tiempo para cubrir toda la línea de tiempo.
- Primer nodo — Establece el intervalo de tiempo al inicio de la línea de tiempo.