Aplica A: WatchGuard Advanced EPDR
La ventana del gráfico de investigación utiliza colores, paneles de información y otros recursos para proporcionar información sobre las entidades y la relación entre ellas. Endpoint Security utiliza la plantilla Árbol de Procesos para presentar esta información en gráficos. Esta plantilla es una representación gráfica del árbol de ejecución de un proceso específico, donde los nodos son entidades que participan en una operación (como procesos, archivos u objetivos de comunicación u operación) y las flechas son operaciones.
Estas son las diferentes propiedades de un gráfico:
- Colores e Iconos de los Nodos — Clasifica un nodo en función de las entidades de amenaza que participan en una operación y la acción realizada sobre el elemento.
- Colores y Estilos de Flechas — Indica si el elemento se bloqueó o no, el número y la dirección de las acciones ejecutadas entre los nodos y la información sobre el proceso.
Colores e Iconos de los Nodos
La etiqueta de un nodo indica el nombre de la entidad. Al hacer clic en una entidad, se abre un panel de información a la derecha con información sobre la entidad. El color del nodo indica el tipo de amenaza.
| Color | Descripción |
|---|---|
|
|
Elemento clasificado como malware. |
|
|
Elemento clasificado como PUP, sospechoso o sin clasificar. |
|
(Color original) |
Elemento clasificado como goodware. |
Los iconos de nodo representan las diferentes entidades que participaron en una operación.
| Ícono | Descripción | Ícono | Descripción |
|---|---|---|---|
|
|
Proceso. Si pertenece a un paquete de software conocido, se muestra el icono de proceso. |
|
Archivo comprimido |
|
|
Cadena remota |
|
Archivo ejecutable |
|
|
Biblioteca |
|
Archivo de script |
|
|
Protección |
|
Valor de ramal del registro de Windows |
|
|
Carpeta |
|
URL utilizada en una comunicación |
|
|
Archivo no ejecutable |
|
Dirección IP en una comunicación |
Los iconos de estado indican la acción realizada en el elemento.
| Ícono | Descripción | Ícono | Descripción |
|---|---|---|---|
|
|
Archivo eliminado |
|
Archivo en cuarentena |
|
|
Archivo desinfectado |
|
Proceso eliminado |
Colores y Estilos de Flechas
La etiqueta de una flecha indica el nombre de la acción que realiza el proceso. Al hacer clic en la etiqueta, aparece un panel informativo que describe el evento que se produjo.
El color de las flechas indica si Endpoint Security bloqueó o permitió la acción.
- Rojo — La acción fue clasificada como una amenaza y bloqueada por el software de protección.
- Bloquear
- BlockTimeout
- BlockExploit
- BlockBL
- Desinfectar
- Eliminar
- Poner en cuarentena
- KillProcess
- IPBlocked
- Negro — Se permitió la acción.
Estilos de Flecha
-
Grosor de la Flecha — Representa el número de veces que se ejecutó el mismo tipo de acción entre dos nodos. Cuanto mayor sea el número de acciones, más gruesa será la flecha. Cuando hace clic en una flecha, el panel de información muestra las fechas en las que ocurrieron la primera y la última acción en el grupo.
-
Dirección de la Flecha — Indica la dirección de la acción.
Visualización Predeterminada
De forma predeterminada, el gráfico se muestra horizontalmente con el nodo seleccionado en el centro del gráfico. Está rodeado por un subconjunto de nodos relacionados con ese nodo:
- El gráfico muestra tres niveles de nodos por encima del nodo principal.
- El gráfico muestra los nodos un nivel por debajo del nodo principal.
El gráfico puede mostrar hasta un máximo de 25 nodos en el mismo nivel. Cuando hay más de 25 nodos, el gráfico no muestra ningún nodo.
Mostrar Nodos Secundarios
EL icono M en la esquina inferior izquierda de un nodo indica que el nodo tiene nodos secundarios ocultos. Para mostrar los nodos secundarios, haga clic con el botón derecho en el nodo. En el menú que se abre, seleccione una de estas opciones:
- Mostrar Principal — Muestra los nodos principales para el nodo seleccionado.
- Mostrar Toda la Actividad (Número) — Muestra todos los nodos secundarios del nodo, independientemente de su tipo. El número máximo de nodos que pueden mostrarse es 25. También se muestra el número total de eventos que vinculan el nodo principal con el nodo secundario.
- Mostrar Secundarios — Abre una lista desplegable. Seleccione el tipo de nodos secundarios que desea mostrar y seleccione la cantidad de nodos para cada tipo. Los tipos de nodos son los siguientes:
- Archivos de Datos — Archivos con información no identificada.
- Archivos de Script — Archivos con secuencias de comandos.
- Descargas — Archivos de datos descargados de Internet o de la red.
- DNS — Dominios que no pudieron resolver la dirección IP.
- Entradas del Registro de Windows — Entradas del registro realizadas en Windows.
- Archivos Comprimidos — Archivos de datos comprimidos.
- Archivos PE — Archivos ejecutables.
- Cadenas Remotas — Cadenas remotas.
- IP — Direcciones IP para cualquier extremo de la comunicación.
- Bibliotecas — Bibliotecas.
- Procesos — Procesos.
- Protección — Medidas tomadas por la protección antivirus.
Cuando selecciona y hace clic con el botón derecho en varios nodos del gráfico, solo se muestran en el menú las opciones que se aplican a todos los nodos seleccionados.