Eventos de Indicadores de Ataque (IOA)

Se aplica a: WatchGuard EPDR, WatchGuard EDR

WatchGuard EPDR y EDR monitorizan los procesos que se ejecutan en los equipos de los clientes y envían a WatchGuard Cloud los datos de telemetría generados. Los cazadores de amenazas especializados utilizan estos datos para detectar Indicadores de Ataque (IOA) en los recursos de TI del cliente.

Los datos de telemetría se almacenan en eventos que constan de varios campos. La información sobre el evento que desencadenó el IOA está disponible en formato JSON en la página de detalles del IOA, así como en los gráficos de ataque. Según el IOA, algunos de los campos se muestran en la sección Otros Detalles de la página de detalles del IOA y en los nodos y flechas del gráfico de ataque. Para obtener más información, consulta Detalles del Indicador de Ataque y Acerca de los Gráficos de Ataque.

Eventos

Un evento es un registro con campos que describen una acción realizada por un proceso en un equipo. Cada tipo de evento incluye un número específico de campos. Esta tabla proporciona las descripciones, los tipos de datos y los posibles valores de los campos en los eventos.

Campo Descripción Tipo de Campo

accesstype

Máscara de acceso a archivos:

  • (54) WMI_CREATEPROC: Local WMI

Para todas las demás operaciones:

Máscara de bits

accnube

El agente instalado en el equipo del cliente puede acceder a WatchGuard Cloud.

Booleano

action

Tipo de acción realizada por el agente de WatchGuard EDR o WatchGuard EPDR, el usuario o el proceso afectado:

  • 0 (Allow) — El agente permitió que se ejecutara el proceso.
  • 1 (Block) — El agente bloqueó la ejecución del proceso.
  • 2 (BlockTimeout) — El agente mostró un mensaje emergente al usuario, pero el usuario no respondió a tiempo.
  • 3 (AllowWL) — El agente permitió que se ejecutara el proceso porque está en la lista de permitidos de goodware local.
  • 4 (BlockBL) — El agente bloqueó la ejecución del proceso porque está en la lista de bloqueados de malware local.
  • 5 (Desinfect) — El agente desinfectó el proceso.
  • 6 (Delete) — El agente clasificó el proceso como malware y lo borró porque no se pudo desinfectar.
  • 7 (Quarantine) — El agente clasificó el proceso como malware y lo movió a la carpeta de cuarentena en el equipo.
  • 8 (AllowByUser) — El agente mostró un mensaje emergente al usuario y el usuario respondió con “Permitir ejecución”.
  • 9 (Informed) — El agente mostró un mensaje emergente al usuario.
  • 10 (Unquarantine) — El agente eliminó el archivo de la carpeta de cuarentena.
  • 11 (Rename) — El agente renombró el archivo. Esta acción se usa solo para pruebas.

  • 12 (BlockURL) — El agente bloqueó la URL.

  • 13 (KillProcess) — El agente cerró el proceso.

  • 14 (BlockExploit) — El agente detuvo un intento de explotar un proceso vulnerable.

  • 15 (ExploitAllowByUser) — El usuario no permitió que se cerrara el proceso explotado.

  • 16 (RebootNeeded) — El agente requiere que el equipo se reinicie para bloquear el intento de exploit.

  • 17 (ExploitInformed) — El agente mostró un mensaje emergente al usuario en el que informa un intento de explotar un proceso vulnerable.

  • 18 (AllowSonGWInstaller) — El agente permitió que el proceso se ejecutara porque pertenece a un paquete de instalación clasificado como goodware.

  • 19 (EmbebedInformed) — El agente envió información operativa interna a la nube para mejorar las rutinas de detección.

  • 21 (SuspendProcess) — El proceso monitorizado intentó suspender el servicio antivirus.

  • 22 (ModifyDiskResource) — El proceso monitorizado intentó modificar un recurso protegido por el escudo del agente.

  • 23 (ModifyRegistry) — El proceso monitorizado intentó modificar una clave del registro protegida por el escudo del agente.

  • 24 (RenameRegistry) — El proceso monitorizado intentó renombrar una clave del registro protegida por el escudo del agente.

  • 25 (ModifyMarkFile) — El proceso monitorizado intentó modificar un archivo protegido por el escudo del agente.

  • 26 (Undefined) — Error al monitorizar la operación del proceso.

  • 28 (AllowFGW) — El agente permitió la operación realizada por el proceso monitorizado porque está en la lista de permitidos local de goodware.

  • 29 (AllowSWAuthorized) — El agente permitió la operación realizada por el proceso monitorizado porque el administrador marcó el archivo como software autorizado.

  • 31 (ExploitAllowByAdmin) — El agente permitió la operación realizada por el proceso monitorizado porque el administrador de red excluyó el exploit.

  • 32 (IPBlocked) — El agente bloqueó las direcciones IP para mitigar un ataque RDP (Protocolo de Escritorio Remoto).

Enumeración

actiontype

Indica el tipo de sesión:

  • 0 (Login) — Inicio de sesión en el equipo del cliente.
  • 1 (Logout) — Cierre de sesión en el equipo del cliente.
  • -1 (Unknown) — No se puede determinar el tipo de sesión.

Enumeración

age

Fecha de la última modificación del archivo.

Fecha

blockreason

Motivo del mensaje emergente que se muestra en el equipo:

  • 0 — El archivo se bloqueó porque se desconoce y el modo de protección avanzada de WatchGuard EPDR o WatchGuard EDR está configurado en Refuerzo o Bloqueo.
  • 1 — El archivo fue bloqueado por las reglas locales.
  • 2 — El archivo se bloqueó porque el origen no es de confianza.
  • 3 — El archivo fue bloqueado por una regla de contexto.
  • 4 — El archivo se bloqueó porque es un exploit.
  • 5 — El archivo se bloqueó después de pedirle al usuario que cerrara el proceso.

Enumeración

bytesreceived

Bytes totales recibidos por el proceso monitorizado.

Valor numérico

bytessent

Bytes totales enviados por el proceso monitorizado.

Valor numérico

callstack/sonsize

Tamaño en bytes del archivo secundario.

Valor numérico

childattributes

Atributos del proceso secundario:

  • 0x0000000000000001 (ISINSTALLER) — Archivo autoextraíble (SFX)
  • 0x0000000000000002 (ISDRIVER) — Archivo de tipo controlador
  • 0x0000000000000008 (ISRESOURCESDLL) — Archivo de tipo DLL de recursos
  • 0x0000000000000010 (EXTERNAL) — Archivo desde fuera del equipo

  • 0x0000000000000020 (ISFRESHUNK) — Archivo añadido recientemente a la base de conocimientos de WatchGuard

  • 0x0000000000000040 (ISDISSINFECTABLE) — Archivo para el que existe una acción de desinfección recomendada

  • 0x0000000000000080 (DETEVENT_DISCARD) — La tecnología de detección de contexto basada en eventos no detectó nada sospechoso

  • 0x0000000000000100 (WAITED_FOR_VINDEX) — Ejecución de un archivo cuya creación no había sido registrada

  • 0x0000000000000200 (ISACTIONSEND) — El agente cliente no detectó malware en el archivo y se envió a WatchGuard para su clasificación

  • 0x0000000000000400 (ISLANSHARED) — Archivo almacenado en una unidad de red.

  • 0x0000000000000800 (USERALLOWUNK) — Archivo con permiso para importar archivos DLL desconocidos

  • 0x0000000000001000 (ISSESIONREMOTE) — Evento que se originó en una sesión remota

  • 0x0000000000002000 (LOADLIB_TIMEOUT) — El tiempo transcurrido entre el momento en que la protección interceptó la carga de la biblioteca y el momento en que se analizó superó 1 segundo. Como resultado, el análisis cambió de síncrono a asíncrono para no afectar el rendimiento.

  • 0x0000000000004000 (ISPE) — Archivo ejecutable

  • 0x0000000000008000 (ISNOPE) — Archivo no ejecutable

  • 0x0000000000020000 (NOSHELL) — El agente no detectó la ejecución de un comando de shell en el sistema

  • 0x0000000000080000 (ISNETNATIVE) — Archivo nativo NET

  • 0x0000000000100000 (ISSERIALIZER) — Archivo serializador

  • 0x0000000000400000 (SONOFGWINSTALLER) — Archivo creado por un instalador clasificado como goodware

  • 0x0000000000800000 (PROCESS_EXCLUDED) — Archivo no analizado debido a las exclusiones de WatchGuard EPDR

  • 0x0000000001000000 (INTERCEPTION_TXF) — La operación interceptada fue originada por un ejecutable cuya imagen en el disco se está modificando

  • 0x0000000002000000 (HASMACROS) — Documento de Microsoft Office con macros

  • 0x0000000008000000 (ISPEARM) — Archivo ejecutable para microprocesadores ARM

  • 0x0000000010000000 (ISDYNFILjected) — Se permitió el archivo en el equipo porque no hay tecnologías para clasificarlo

  • 0x0000000020000000 (ISDISINFECTED) — El archivo se desinfectó

  • 0x0000000040000000 (PROCESSLOST) — La operación no se registró

  • 0x0000000080000000 (OPERATION_LOST) — Operación con un informe previo al análisis para el cual aún no se ha recibido el informe posterior al análisis

Enumeración

childblake

Firma Blake2 del archivo secundario.

Cadena de caracteres

childclassification

Clasificación del proceso secundario que realizó la acción registrada.

  • 0 (Unknown) — Archivo en proceso de clasificación
  • 1 (Goodware) — Archivo clasificado como goodware
  • 2 (Malware) — Archivo clasificado como malware
  • 3 (Suspect) — El archivo está en proceso de clasificación y es muy probable que sea malware
  • 4 (Compromised) — Proceso en riesgo por un ataque de exploit
  • 5 (GWNotConfirmed) — El archivo está en proceso de clasificación y es muy probable que sea malware
  • 6 (Pup) — Archivo clasificado como programa no deseado
  • 7 (GwUnwanted) — Equivalente a PUP
  • 8 (GwRanked) — Proceso clasificado como goodware
  • -1 (Unknown) — Desconocido

Enumeración

childfiletime

Fecha del archivo secundario registrado por el agente.

Fecha

childfilesize

Tamaño del archivo secundario registrado por el agente.

Valor numérico

childmd5

Hash del archivo secundario.

Cadena de caracteres

childpath

Ruta de acceso del archivo secundario que realizó la operación registrada.

Cadena de caracteres

ChildPID

ID del proceso secundario.

Valor numérico

childurl

URL de descarga de archivos.

Cadena de caracteres

childstatus

Estado del proceso secundario:

  • 0 (StatusOk) — Estado correcto
  • 1 (NotFound) — Elemento no encontrado
  • 2 (UnexpectedError) — Error desconocido
  • 3 (StaticFiltered) — Archivo identificado como malware utilizando información fija contenida en la protección WatchGuard EDR o WatchGuard EPDR
  • 4 (DynamicFiltered) — Archivo identificado como malware utilizando tecnología local implementada en WatchGuard EDR o WatchGuard EPDR
  • 5 (FileIsTooBig) — Archivo demasiado grande
  • 6 (PEUploadNotAllowed) — El envío de archivos estaba deshabilitado
  • 11 (FileWasUploaded) — Archivo enviado a la nube para su análisis
  • 12 (FiletypeFiltered) — Archivo de tipo DLL, NET Native o Serializador de recursos
  • 13 (NotUploadGWLocal) — Archivo de Goodware no guardado en WatchGuard Cloud
  • 14 (NotUploadMWdisinfect) — Archivo de malware desinfectado no guardado en WatchGuard Cloud

Enumeración

classname

Tipo de dispositivo donde reside el proceso. Corresponde a la clase especificada en el archivo .INF asociado con el dispositivo.

Cadena de caracteres

configstring

Versión del archivo MVMF.xml en uso.

Cadena de caracteres

commandline

Línea de comando configurada como una tarea que se debe ejecutar a través de WMI.

Cadena de caracteres

confadvancedrules

Ajustes de la política de seguridad avanzada de WatchGuard EDR o WatchGuard EPDR.

Cadena de caracteres

copy

Nombre del servicio que desencadenó el evento.

Cadena de caracteres

details

Resumen en forma de un grupo de campos relevantes del evento.

Cadena de caracteres

descripción

Descripción del dispositivo USB que realizó la operación.

Cadena de caracteres

detectionid

Identificador único de la detección.

Valor numérico

devicetype

Tipo de unidad donde reside el proceso o archivo que desencadenó la operación registrada:

  • 0 (UNKNOWN) — Desconocido
  • 1 (CD_DVD) — Unidad de CD o DVD
  • 2 (USB_STORAGE) — Dispositivo de almacenamiento USB
  • 3 (IMAGE) — Archivo de imagen
  • 4 (BLUETOOTH) — Dispositivo Bluetooth
  • 5 (MODEM) — Módem
  • 6 (USB_PRINTER) — Impresora USB
  • 7 (PHONE) — Teléfono móvil
  • 8 (KEYBOARD) — Teclado
  • 9 (HID) — Mouse

Enumeración

direction

Dirección de conexión a la red.

  • 0 (UnKnown) — Desconocido
  • 1 (Incoming) — Conexión establecida desde fuera de la red a un equipo en la red del cliente
  • 2 (Outgoing) — Conexión establecida desde un equipo en la red del cliente a un equipo fuera de la red
  • 3 (Bidirectional) — Bidireccional

Enumeración

domainlist

Lista de dominios enviados por el proceso al servidor DNS para su resolución y número de resoluciones por dominio.

{domain_name,n umber#domain_ name,number}

domainname

Nombre del dominio al que el proceso intenta acceder / resolver.

Cadena de caracteres

errorcode

Código de error devuelto por el sistema operativo cuando hay un intento fallido de inicio de sesión:

  • 1073740781 (Firewall protected) — El equipo en el que está iniciando sesión está protegido por un firewall de autenticación. La cuenta especificada no tiene permitido autenticarse en la máquina
  • 1073741074 (Session start error) — Ocurrió un error durante el inicio de sesión
  • 1073741260 (Account blocked) — Acceso bloqueado
  • 1073741275 (Windows error (no risk)) — Es un error en Windows y no es un riesgo
  • 1073741276 (Password change required on reboot) — La contraseña de usuario debe cambiarse en el próximo inicio
  • 1073741477 (Invalid permission) — El usuario ha solicitado un tipo de inicio de sesión que no se ha concedido
  • 1073741421 (Account expired) — La cuenta ha caducado
  • 1073741422 (Netlogon not initialized) — Se intentó iniciar sesión, pero el servicio Netlogon no se inició
  • 1073741428 (Domains trust failed) — La solicitud de inicio de sesión falló porque falló la relación de confianza entre el dominio principal y el dominio de confianza
  • 1073741517 (Clock difference is too big) — Los relojes de los equipos conectadas están demasiado desincronizados
  • 1073741604 (Sam server is invalid) — El servidor de validación ha fallado. No se puede realizar la operación.
  • 1073741710 (Account disabled) — Cuenta deshabilitada
  • 1073741711 (Password expired) — La contraseña ha caducado
  • 1073741712 (Invalid workstation for login) — Se intentó iniciar sesión desde un equipo no autorizado
  • 1073741713 (User account day restriction) — Se intentó iniciar sesión a una hora restringida
  • 1073741714 (Invalid username or password) — Nombre de usuario desconocido o contraseña incorrecta
  • 1073741715 (Invalid username or authentication info) — El nombre de usuario o la información de autenticación son incorrectos
  • 1073741718 (Invalid password) — El nombre de usuario es correcto, pero la contraseña es incorrecta
  • 1073741724 (Invalid username) — El nombre de usuario no existe
  • 1073741730 (Login server is unavailable) — El servidor necesario para validar el inicio de sesión no está disponible

Enumeración

errorstring

Cadena de caracteres con información de depuración sobre los ajustes del producto de seguridad.

Cadena de caracteres

eventtype

Tipo de evento registrado por el agente:

  • 1 (ProcessOps) — El proceso realizó operaciones en el disco duro del equipo
  • 14 (Download) — El proceso descargó datos
  • 22 (NetworkOps) — El proceso realizó operaciones de red
  • 26 (DataAccess) — El proceso accedió a archivos de datos alojados en dispositivos de almacenamiento masivo internos
  • 27 (RegistryOps) — El proceso accedió al Registro de Windows
  • 30 (ScriptOps) — Operación realizada por un proceso de tipo script
  • 31 (ScriptOps) — Operación realizada por un proceso de tipo script
  • 40 (Detection) — Detección realizada por las protecciones activas de WatchGuard EDR
  • 42 (BandwidthUsage) — Volumen de información manejada en cada operación de transferencia de datos realizada por el proceso
  • 45 (SystemOps) — Operación realizada por el motor WMI del sistema operativo Windows
  • 46 (DnsOps) — El proceso accedió al servidor de nombres DNS
  • 47 (DeviceOps) — El proceso accedió a un dispositivo externo
  • 50 (UserNotification) — Notificación que se muestra al usuario y respuesta (si corresponde)
  • 52 (LoginOutOps) — Operación de inicio de sesión o cierre de sesión realizada por el usuario
  • 99 (RemediationOps) — Eventos de detección, bloqueo y desinfección del agente WatchGuard EDR o WatchGuard EPDR
  • 100 (HeaderEvent) — Evento administrativo con información sobre los ajustes y la versión del software de protección, así como información sobre el equipo y el cliente
  • 199 (HiddenAction) — Evento de detección que no desencadenó una alerta

Enumeración

exploitorigin

Origen del intento de exploit del proceso:

  • 1 (URL) — Dirección URL
  • 2 (FILE) — Archivo

Enumeración

extendedinfo

Información adicional sobre eventos de Tipo:

  • 0 (Command line event creation) — Vacío
  • 1 (Active script event creation) — Nombre del archivo de script
  • 2 (Event consumer to filter consumer) — Vacío
  • 3 (Event consumer to filter query) — Vacío
  • 4 (Create User) — Vacío
  • 5 (Delete User) — Vacío
  • 6 (Add user group) — Grupo SID
  • 7 (Delete user group) — Grupo SID
  • 8 (User group admin) — SID de grupo
  • 9 (User group rdp) — Grupo SID

Cadena de caracteres

failedqueries

Número de solicitudes de resolución de DNS fallidas enviadas por el proceso en la última hora.

Valor numérico

friendlyname

Un nombre de dispositivo fácil de identificar.

Cadena de caracteres

firstseen

Fecha en que se vio el archivo por primera vez.

Fecha

hostname

Nombre del equipo que ejecutó el proceso.

Cadena de caracteres

infodiscard

Información interna del archivo en cuarentena.

Cadena de caracteres

ipv4status

Tipo de dirección IP:

  • 0 (Privada)
  • 1 (Pública)

Enumeración

isdenied

Indica si se denegó la acción informada.

Valor binario

islocal

Indica si la tarea se creó en el equipo local o un equipo remoto.

Valor binario

Interactivo

Indica si el inicio de sesión es interactivo.

Valor binario

idname

Nombre del dispositivo.

Cadena de caracteres

key

Ramal o clave del registro afectados.

Cadena de caracteres

lastquery

Última consulta enviada a la nube por el agente de WatchGuard EDR o WatchGuard EPDR.

Fecha

localip

Dirección IP local del proceso.

Dirección IP

localport

Depende del campo de dirección:

  • Saliente — El puerto del proceso que se ejecuta en el equipo protegido con WatchGuard EDR y WatchGuard EPDR.
  • Entrante — El puerto del proceso que se ejecuta en el equipo remoto.

Valor numérico

localdatetime

La fecha del equipo (en formato UTC) en el momento en que ocurrió el evento registrado. Esta fecha depende de los ajustes del equipo. Como resultado, puede ser incorrecto.

Fecha

loggeduser

El usuario que inició sesión en el equipo en el momento en que se generó el evento.

Cadena de caracteres

machinename

Nombre del equipo que ejecutó el proceso.

Cadena de caracteres

manufacturer

Fabricante del dispositivo.

Cadena de caracteres

MUID

ID interno del equipo del cliente.

Cadena de caracteres

objectname

Nombre único del objeto dentro de la jerarquía de WMI.

Cadena de caracteres

opentstamp

Fecha de la notificación WMI para eventos WMI_CREATEPROC (54).

Máscara de bits

operation

Tipo de operación realizada por el proceso:

  • 0 (CreateProc) — Proceso creado
  • 1 (PECreat) — Programa ejecutable creado
  • 2 (PEModif) — Programa ejecutable modificado
  • 3 (LibraryLoad) — Biblioteca cargada
  • 4 (SvcInst) — Servicio instalado
  • 5 (PEMapWrite) — Programa ejecutable asignado para acceso de escritura
  • 6 (PEDelet) — Programa ejecutable borrado
  • 7 (PERenam) — Programa ejecutable renombrado
  • 8 (DirCreate) — Carpeta creada
  • 9 (CMPCreat) — Archivo comprimido creado
  • 10 (CMOpened) — Archivo comprimido abierto
  • 11 (RegKExeCreat) — Se creó un ramal del registro que apunta a un archivo ejecutable
  • 12 (RegKExeModif) — Se modificó un ramal del registro, que ahora apunta a un archivo ejecutable
  • 15 (PENeverSeen) — Programa ejecutable nunca antes visto por WatchGuard EPDR
  • 17 (RemoteThreadCreated) — Cadena remota creada
  • 18 (ProcessKilled) — Proceso detenido
  • 25 (SamAccess) — Acceso a la SAM del equipo
  • 30 (ExploitSniffer) — Técnica de exploit de rastreo detectada
  • 31 (ExploitWSAStartup) — Técnica de exploit de WSAStartup detectada
  • 32 (ExploitInternetReadFile) — Técnica de exploit de InternetReadFile detectada
  • 34 (ExploitCMD) — Técnica de exploit de CMD detectada

  • 39 (CargaDeFicheroD16bitsPorNtvdm.exe) — Archivo de 16 bits cargado por ntvdm.exe

  • 43 (Heuhooks) — Tecnología anti-exploit detectada

  • 54 (Create process por WMI) — Proceso creado por un WMI modificado

  • 55 (AttackProduct) — Ataque detectado en el servicio del agente, un archivo o una clave del registro

  • 61 (OpenProcess LSASS) — Proceso LSASS abierto

Enumeración

operationflags/ integrityLevel

Indica el nivel de integridad asignado por Windows al artículo:

  • 0x0000 Nivel de no confianza
  • 0x1000 Nivel de integridad bajo
  • 0x2000 Nivel de integridad medio
  • 0x3000 Nivel de integridad alto
  • 0x4000 Nivel de integridad del sistema
  • 0x5000 Protegido

Enumeración

operationstatus

Indica si el evento debe enviarse a la Advanced Reporting Tool:

  • 0 — Enviar
  • 1 — Filtrado por el agente
  • 2 — No enviar

Valor numérico

origusername

Usuario del equipo que realizó la operación.

Cadena de caracteres

pandaid

ID de cliente.

Valor numérico

pandaorionstatus

Indica el estado de los ajustes de la hora del equipo cliente en comparación con el reloj en WatchGuard Cloud:

  • 0 (Version not supported) — El equipo cliente no admite la sincronización de sus ajustes de hora con los ajustes de WatchGuard.
  • 1 (Recalculated WatchGuard Time) — El cliente ha fijado y sincronizado los ajustes de la hora del equipo con los ajustes de WatchGuard
  • 2 (WatchGuard Time OK) — Los ajustes de la hora del equipo cliente son correctos
  • 3 (WatchGuard Time Calculation Error) — Error al corregir los ajustes de la hora del equipo

Enumeración

pandatimestatus

Contenido de los campos DateTime, Date y LocalDateTime.

Fecha

parentattributes

Atributos del proceso principal:

  • 0x0000000000000001 (ISINSTALLER) — Archivo autoextraíble (SFX)
  • 0x0000000000000002 (ISDRIVER) — Archivo de tipo controlador
  • 0x0000000000000008 (ISRESOURCESDLL) — Archivo de tipo DLL de recursos
  • 0x0000000000000010 (EXTERNAL) — Archivo desde fuera del equipo
  • 0x0000000000000020 (ISFRESHUNK) — Archivo añadido recientemente a la base de conocimientos
  • 0x0000000000000040 (ISDISSINFECTABLE) — Archivo para el que existe una acción de desinfección recomendada

  • 0x0000000000000080 (DETEVENT_DISCARD) — La tecnología de detección de contexto basada en eventos no detectó nada sospechoso

  • 0x0000000000000100 (WAITED_FOR_VINDEX) — Ejecución de un archivo cuya creación no había sido registrada

  • 0x0000000000000200 (ISACTIONSEND) — Las tecnologías locales no detectaron malware en el archivo y se envió a WatchGuard para su clasificación

  • 0x0000000000000400 (ISLANSHARED) — Archivo almacenado en una unidad de red

  • 0x0000000000000800 (USERALLOWUNK) — Archivo con permiso para importar archivos DLL desconocidos

  • 0x0000000000001000 (ISSESIONREMOTE) — Evento que se origina en una sesión remota

  • 0x0000000000002000 (LOADLIB_TIMEOUT) — El tiempo transcurrido entre el momento en que la protección interceptó la carga de la biblioteca y el momento en que se analizó superó 1 segundo. Como resultado, el análisis cambió de síncrono a asíncrono para no afectar el rendimiento.

  • 0x0000000000004000 (ISPE) — Archivo ejecutable

  • 0x0000000000008000 (ISNOPE) — Archivo no ejecutable

  • 0x0000000000020000 (NOSHELL) — El agente no detectó la ejecución de un comando de shell en el sistema

  • 0x0000000000080000 (ISNETNATIVE) — Archivo nativo NET

  • 0x0000000000100000 (ISSERIALIZER) — Archivo serializador

  • 0x0000000000400000 (SONOFGWINSTALLER) — Archivo creado por un instalador clasificado como goodware

  • 0x0000000001000000 (INTERCEPTION_TXF) — La operación interceptada fue originada por un ejecutable cuya imagen en el disco se está modificando

  • 0x0000000002000000 (HASMACROS) — Documento de Microsoft Office con macros

  • 0x0000000008000000 (ISPEARM) — Archivo ejecutable para microprocesadores ARM

  • 0x0000000010000000 (ISDYNFILjected) — Se permitió el archivo en el equipo porque no hay tecnologías para clasificarlo

  • 0x0000000020000000 (ISDISINFECTED) — El archivo se desinfectó

  • 0x0000000040000000 (PROCESSLOST) — La operación no se registró

  • 0x0000000080000000 (OPERATION_LOST) — Operación con un informe previo al análisis para el cual aún no se ha recibido el informe posterior al análisis

Enumeración

parentblake

Firma Blake2 del archivo principal que realizó la operación.

Cadena de caracteres

parentcount

Número de procesos con fallos de DNS.

Valor numérico

parentmd5

Hash del archivo principal.

Cadena de caracteres

parentpath

Ruta de acceso del archivo principal que realizó la operación registrada.

Cadena de caracteres

parentpid

ID del proceso principal.

Valor numérico

parentstatus

Estado del proceso principal:

  • 0 (StatusOk) — Estado correcto
  • 1 (NotFound) — Elemento no encontrado
  • 2 (UnexpectedError) — Error desconocido
  • 3 (StaticFiltered) — Archivo identificado como malware utilizando información fija contenida en la protección WatchGuard EDR o WatchGuard EPDR
  • 4 (DynamicFiltered) — Archivo identificado como malware utilizando tecnología local implementada en WatchGuard EDR o WatchGuard EPDR
  • 5 (FileIsTooBig) — Archivo demasiado grande
  • 6 (PEUploadNotAllowed) — El envío de archivos estaba deshabilitado
  • 11 (FileWasUploaded) — Archivo enviado a la nube
  • 12 (FiletypeFiltered) — Archivo de tipo DLL, NET Native o Serializador de recursos
  • 13 (NotUploadGWLocal) — Archivo de Goodware no guardado en la nube
  • 14 (NotUploadMWdisinfect) — Archivo de malware desinfectado no guardado en la nube

Enumeración

pecreationsource

Tipo de unidad donde se creó el proceso:

  • (0) Unknown — No se puede determinar el tipo de dispositivo
  • (1) No root dir — La ruta de acceso del dispositivo no es válida. Por ejemplo, el medio de almacenamiento externo se desconectó.
  • (2) Removable media — Medios de almacenamiento extraíbles
  • (3) Fixed media — Medios de almacenamiento internos
  • (4) Remote drive — Medios de almacenamiento remotos (por ejemplo, una unidad de red)
  • (5) CD-ROM drive
  • (6) RAM disk

Valor numérico

phonedescription

Descripción del teléfono si la operación involucró un dispositivo de este tipo.

Cadena de caracteres

protocol

Protocolo de comunicaciones utilizado por el proceso:

  • 1 (ICMP)
  • 2 (IGMP)
  • 3 (RFCOMM)
  • 6 (TCP)
  • 12 (RDP)
  • 17 (UDP)
  • 58 (ICMPV6)
  • 113 (RM)

Enumeración

querieddomaincount

Número de dominios diferentes enviados por el proceso para los que hubo un fallo en la resolución de DNS en la última hora.

Valor numérico

regaction

Tipo de operación realizada en el registro de Windows del equipo:

  • 0 (CreateKey) — Se creó un nuevo ramal de registro
  • 1 (CreateValue) — Se asignó un valor a un ramal de registro
  • 2 (ModifyValue) — Se modificó un valor de ramal de registro

Enumeración

remediationresult

Respuesta del usuario al mensaje emergente mostrado por WatchGuard EPDR o EDR:

  • 0 (Ok) — El cliente aceptó el mensaje
  • 1 (Timeout) — El mensaje emergente desapareció debido a la inacción del usuario
  • 2 (Angry) — El usuario eligió la opción de no bloquear el elemento del mensaje emergente mostrado
  • 3 (Block) — El elemento se bloqueó porque el usuario no respondió al mensaje emergente
  • 4 (Allow) — El usuario aceptó la solución
  • -1 (Unknown) — Desconocido

Enumeración

remoteip

Dirección IP del equipo que inició la sesión remota.

Dirección IP

remotemachinename

Nombre del equipo que inició la sesión remota.

Cadena de caracteres

remoteport

Depende del campo de dirección:

  • Incoming — El puerto del proceso que se ejecuta en el equipo protegido con WatchGuard EDR o WatchGuard EPDR
  • Outcoming — El puerto del proceso que se ejecuta en el equipo remoto

Valor numérico

remoteusername

Nombre del equipo que inició la sesión remota.

Cadena de caracteres

sessiondate

La fecha en que se inició el servicio antivirus por última vez o la última vez que se inició desde la última actualización.

Fecha

sessiontype

Tipo de inicio de sesión:

  • 0 (System Only) — Sesión iniciada con una cuenta del sistema
  • 2 (Local) — Sesión creada físicamente a través de un teclado o mediante KVM por IP
  • 3 (Remote) — Sesión creada de forma remota en carpetas o impresoras compartidas. Este tipo de inicio de sesión utiliza autenticación segura.
  • 4 (Scheduled) — Sesión creada por el programador de tareas de Windows
  • -1 (Unknown) — Desconocido
  • 5 (Service) — Sesión creada cuando se inicia un servicio que debe ejecutarse en la sesión del usuario. La sesión se borra cuando el servicio se detiene.
  • 7 (Blocked) — Sesión creada cuando un usuario intenta unirse a una sesión previamente bloqueada
  • 8 (Remote Unsecure) — Igual que el tipo 3, pero la contraseña se envía en texto sin formato
  • 9 (RunAs) — Sesión creada cuando el comando “RunAs” se utiliza en una cuenta distinta a la utilizada para iniciar sesión y se especifica el parámetro “/netonly”. Si no se especifica el parámetro “/netonly”, se crea una sesión de tipo 2.
  • 10 (TsClient) — Sesión creada al acceder a través de “Servicio de Terminal”, “Escritorio Remoto” o “Asistencia Remota”. Identifica una conexión de usuario remoto.
  • 11 (Domain Cached) — Sesión de usuario creada con credenciales de dominio almacenadas en caché en la máquina, pero sin conexión al controlador de dominio

Enumeración

servicelevel

Modo de ejecución del agente:

  • 0 (Learning) — El agente no bloquea ningún elemento, pero supervisa todos los procesos en ejecución
  • 1 (Hardening) — El agente bloquea todos los programas no clasificados que provienen de un origen que no es de confianza y los elementos clasificados como malware
  • 2 (Block) — El agente bloquea todos los ejecutables sin clasificar y los elementos clasificados como malware
  • -1 (N/A)

Enumeración

timeout

El análisis local tardó demasiado en completarse y el proceso se delegó a otros mecanismos que no afectan el rendimiento.

Booleano

times

Número de veces que ocurrió el mismo evento de comunicación en la última hora.

Valor numérico

timestamp

Marca de tiempo de la acción detectada en el equipo del cliente que generó el indicador.

Fecha

totalresolutiontime

Indica el tiempo que tardó la nube en responder y si la consulta del código de error falló:

  • 0 — La nube no se consultó
  • >0 — Tiempo en milisegundos que tardó la nube en responder a la consulta
  • <0 — Código de error de la consulta en Cloud

Valor numérico

type

Tipo de operación WMI realizada por el proceso:

  • 0 (Command line event creation) — WMI lanzó una línea de comandos en respuesta a un cambio en la base de datos
  • 1 (Active script event creation) — Se ejecutó un script en respuesta a la recepción de un evento
  • 2 (Event consumer to filter consumer) — Este evento se genera siempre que un proceso se suscribe para recibir notificaciones. Se recibe el nombre del filtro creado.
  • 3 (Event consumer to filter query) — Este evento se genera siempre que se suscribe un proceso para recibir notificaciones. Se recibe la consulta ejecutada por el proceso de suscripción.
  • 4 (Create User) — Se añadió una cuenta de usuarios al sistema operativo
  • 5 (Delete User) — Se borró una cuenta de usuarios del sistema operativo
  • 6 (Add user group) — Se añadió un grupo al sistema operativo
  • 7 (Delete user group) — Se borró un grupo del sistema operativo
  • 8 (User group admin) — Se añadió un usuario al grupo de administración
  • 9 (User group rdp) — Se añadió un usuario al grupo RDP

Enumeración

uniqueid

ID único del dispositivo.

Cadena de caracteres

url

Descarga la URL iniciada por el proceso que generó el evento registrado.

Cadena de caracteres

value

Tipo de operación realizada en el registro de Windows del equipo:

  • 0 (CreateKey) — Se creó un nuevo ramal de registro
  • 1 (CreateValue) — Se asignó un valor a un ramal de registro
  • 2 (ModifyValue) — Se modificó un valor de ramal de registro

Enumeración

valuedata

Tipo de dato del valor contenido en el ramal de registro:

  • 00 (REG_NONE)
  • 01 (REG_SZ)
  • 02 (REG_EXPAND_SZ)
  • 03 (REG_BINARY)
  • 04 (REG_DWORD)
  • 05 (REG_DWORD_BIG_ENDIAN)
  • 06 (REG_LINK)
  • 07 (REG_MULTI_SZ)
  • 08 (REG_RESOURCE_LIST)
  • 09 (REG_FULL_RESOURCE_DESCRIPTOR)
  • 0A (REG_RESOURCE_REQUIREMENTS_LIST)
  • 0B (REG_QWORD)
  • 0C (REG_QWORD_LITTLE_ENDIAN)

Enumeración

vdetevent

Versión DLL de Deteven.dll.

Cadena de caracteres

version

Versión del sistema operativo del equipo que ejecutó el software vulnerable.

Cadena de caracteres

versionagent

Versión de agente instalada.

Cadena de caracteres

versioncontroller

Versión DLL de Psnmvctrl.dll.

Cadena de caracteres

vtabledetevent

Versión DLL de TblEven.dll.

Cadena de caracteres

vtableramsomevent

Versión DLL de TblRansomEven.dll.

Cadena de caracteres

vramsomevent

Versión DLL de RansomEvent.dll.

Cadena de caracteres

vantiexploit

Versión con tecnología anti-exploit.

Cadena de caracteres

vtfilteraxtiexploit

Versión de filtro con tecnología anti-exploit.

Cadena de caracteres

versionproduct

Versión del producto de protección instalado.

Cadena de caracteres

winningtech

Tecnología del agente cliente de WatchGuard EPDR o WatchGuard EDR que informó del evento:

  • 0 (Unknown) — Desconocido
  • 1 (Cache) — Clasificación en caché local
  • 2 (Cloud) — Clasificación descargada de la nube
  • 3 (Context) — Regla de contexto local
  • 4 (Serializer) — Tipo binario
  • 5 (User) — Se le preguntó al usuario sobre la acción a realizar
  • 6 (LegacyUser) — Se le preguntó al usuario sobre la acción a realizar
  • 7 (NetNative) — Tipo binario
  • 8 (CertifUA) — Detección por certificados digitales
  • 9 (LocalSignature) — Firma local
  • 10 (ContextMinerva) — Regla de contexto alojada en Cloud
  • 11 (Blockmode) — El agente estaba en modo de Refuerzo o Bloqueo cuando la ejecución del proceso se bloqueó
  • 12 (Metasploit) — Ataque creado con el Marco Metasploit
  • 13 (DLP) — Tecnología de Prevención de Filtración de Datos
  • 14 (AntiExploit) — Tecnología que identifica los intentos de explotar procesos vulnerables
  • 15 (GWFilter) — Tecnología que identifica procesos de goodware
  • 16 (Policy) — Políticas de seguridad avanzadas de WatchGuard EPDR
  • 17 (SecAppControl) — Tecnologías de control de aplicaciones de seguridad
  • 18 (ProdAppControl) — Tecnologías de control de aplicaciones de productividad
  • 19 (EVTContext) — Tecnología contextual de Linux
  • 20 (RDP) — Tecnología para detectar / bloquear intrusiones y ataques RDP (Protocolo de Escritorio Remoto)
  • 21 (AMSI) — Tecnología para detectar malware en notificaciones AMSI
  • -1 (Unknown) — Desconocido

Enumeración

wsdocs

Lista codificada en Base-64 de todos los documentos que estaban abiertos cuando se produjo una detección de exploits.

Cadena de caracteres

Ver También

Acerca de los Gráficos de Ataque