Aplica A: WatchGuard Advanced Reporting Tool
WatchGuard EPDR y WatchGuard EDR envían datos a Advanced Visualization Tool, que los organiza en tablas de datos que son fáciles de leer. Cada línea de una tabla de datos es un evento monitorizado por WatchGuard EPDR o WatchGuard EDR.
alert
Esta tabla de datos incluye información sobre incidentes que se muestran en el mosaico Actividad en el panel de control de WatchGuard EPDR o WatchGuard EDR.
| Nombre | Explicación | Valores | |||
|---|---|---|---|---|---|
eventdate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha | |||
machineIP | Dirección IP de la computadora del cliente que activó la alerta. | Dirección IP | |||
date | Fecha en la computadora del usuario cuando se generó el evento. Los datos se conservan durante un máximo de un año. | Fecha | |||
alertType | Categoría de la amenaza que desencadenó la alerta. | Malware PUP | |||
machineName | Nombre de la computadora. | Cadena | |||
executionStatus | Indica si la amenaza se ejecutó. | Executado No Executado | |||
dwellTimeSecs | Tiempo en segundos desde la primera vez que se vio la amenaza en la red. | Segundos | |||
itemHash | Hash de la amenaza detectada. | Cadena | |||
itemName | Nombre de la amenaza detectada. | Cadena | |||
itenPath | Ruta completa del archivo que contiene la amenaza. | Cadena | |||
sourceIP | Si el malware vino de fuera de la red, esto indica la IP de la computadora remota. | Dirección IP | |||
sourceMachineName | Si el malware vino de fuera de la red, esto indica el nombre de la computadora remota. | Cadena | |||
sourceUserName | Si el malware vino de fuera de la red, esto indica el usuario de la computadora remota. | Cadena | |||
urlList | Lista de las URL a las que se ha accedido si se detecta un exploit del navegador. | Cadena | |||
docList | Lista de documentos a los que se ha accedido si se detecta un exploit de archivos. | Cadena | |||
version | Contenido del atributo Versión de los metadatos del proceso. | Cadena | |||
vulnerable | Indica si la aplicación se considera vulnerable. | Booleano | |||
install
Esta tabla de datos registra toda la información generada durante la instalación de los agentes de endpoint en las computadoras.
| Campo | Descripción | Valores |
|---|---|---|
eventDate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
serverdate | Fecha y hora en que se registró el evento en la computadora del usuario (en formato UTC). | Fecha |
machine | Nombre de la computadora. | Cadena |
machineIP | Dirección IP del ordenador. | Dirección IP |
machineIP1 | Dirección IP de una tarjeta de red adicional si está instalada. | Dirección IP |
machineIP2 | Dirección IP de una tarjeta de red adicional si está instalada. | Dirección IP |
op | Operación realizada. | Instalar Desinstalar Actualizar |
osVersion | Versión del sistema operativo. | Cadena |
osServicePack | Versión del Service Pack. | Cadena |
osPlatform | Plataforma del sistema operativo instalado:
| Enumeración |
monitoredopen
Esta tabla de datos registra los intentos de acceso a los archivos de datos que se ejecutan en la computadora y los procesos que accedieron a los datos del usuario. Esta tabla registra los intentos de acceso a archivos en computadoras con Windows únicamente.
Un intento de acceso se clasifica como atípico cuando el proceso que interactúa con el archivo de datos no forma parte del conjunto de aplicaciones que suelen interactuar con ese tipo de archivo (por ejemplo, un archivo .DOC manipulado por un proceso distinto de word.exe).
Un intento de acceso también puede clasificarse como inusual cuando el proceso que accede al archivo no está almacenado en la carpeta establecida por defecto durante la instalación del programa, o cuando los archivos de datos están almacenados en carpetas temporales o inusuales.
Los archivos de datos que se monitorizan incluyen:
- Archivos a los que acceden aplicaciones atípicas
- Archivos a los que se accedió y que se encuentran en carpetas inusuales
- Archivos que se ejecutan automáticamente al iniciar el sistema operativo (claves del Registro de Windows Run o RunOnce, entre otras).
- Archivos ejecutados desde el programador de tareas
- Archivos que contienen certificados
- Archivos que contienen contraseñas
| Campo | Descripción | Valores | |||||
|---|---|---|---|---|---|---|---|
eventdate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha | |||||
serverdate | Fecha y hora en que se registró el evento en la computadora del usuario (en formato UTC). | Fecha | |||||
date | Fecha en la computadora del usuario cuando se generó el evento. | Fecha | |||||
machine | Nombre de la computadora del cliente. | Cadena | |||||
machineIP | Dirección IP de la computadora del cliente. | Dirección IP | |||||
user | Nombre del usuario del proceso. | Cadena | |||||
muid | ID interno de la computadora del cliente. | Cadena en este formato: xxxxxxxx-xxxx-xxxx- xxxxxxxxxxxxxxx | |||||
parentHash | Resumen o hash del archivo que accedió a los datos. | Cadena | |||||
parentPath | Ruta del proceso que accedió a los datos. | Cadena | |||||
parentValidSig | Proceso firmado digitalmente que accedió a los datos. | Booleano | |||||
parentCompany | Contenido del atributo Company de los metadatos del archivo que accedió a los datos. | Cadena | |||||
parentCat | Categoría del archivo que accedió a los datos. | Goodware Malware PUP Desconocido Monitorización | |||||
parentMWName | Nombre del malware si el archivo que accedió a los datos está clasificado como amenaza. | Cadena Nulo si el elemento no es malware | |||||
childPath | Nombre del archivo de datos al que accede el proceso. De forma predeterminada, solo se indica la extensión del archivo para preservar la privacidad de los datos del cliente. | Cadena | |||||
loggedUser | Usuario conectado a la computadora en el momento del acceso al archivo. | Cadena | |||||
firstParentCat | Clasificación inicial del archivo principal que realizó la operación registrada. | Goodware Malware PUP Desconocido Monitorización Nulo | |||||
monitoredregistry
Esta tabla de datos registra cada intento de modificar el registro, así como también cuando el software accede a los permisos, contraseñas, almacenes de certificados e información similar del registro.
| Nombre | Explicación | Valores |
|---|---|---|
eventdate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
date | Fecha en la computadora del usuario cuando se generó el evento. Los datos se conservan durante un máximo de un año. | Fecha |
machine | Nombre de la computadora. | Cadena |
machineIP | Dirección IP del ordenador. | Dirección IP |
user | Nombre de usuario del proceso que accedió al registro o lo modificó. | Cadena |
muid | ID interno de la computadora del cliente. | Cadena en el siguiente formato xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx |
parentHash | Resumen o hash del proceso que accedió o modificó el registro. | Cadena |
parentPath | Ruta del ejecutable que accedió al registro o lo modificó. | Cadena |
parentValidSig | Proceso firmado digitalmente que accedió al registro. | Booleano |
parentCompany | Contenido del atributo Company de los metadatos del proceso que accedió al registro. | Cadena |
parentCat | Categoría del proceso. | Goodware Malware PUP Desconocido Monitorización |
parentMwName | Nombre del malware si el proceso se clasifica como una amenaza. | Cadena Nulo si el elemento no es malware |
regAction | Operación realizada en el registro de la computadora. | CreateKey CreateValue ModifyValue |
key | Ramal o clave de registro afectada. | Cadena |
value | Nombre del valor afectado en la clave del registro. | Cadena |
valueData | Contenido de valor. | Cadena |
loggedUser | Usuario conectado a la computadora en el momento del acceso al registro. | Cadena |
firstParentCat | Clasificación inicial del archivo principal que realizó la operación registrada. | Goodware Malware PUP Desconocido Monitorización Nulo |
notblocked
Esta tabla de datos registra los elementos que WatchGuard EPDR o WatchGuard EDR no escanearon debido a situaciones excepcionales, como tiempo de espera del servicio al inicio o cambios de configuración.
| Nombre | Descripción | Valores | |||
|---|---|---|---|---|---|
eventdate | Fecha en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. | Fecha | |||
date | Fecha en la computadora del usuario cuando se generó el evento. | Fecha | |||
machine | Nombre de la computadora. | Cadena | |||
machineIP | Dirección IP del ordenador. | Dirección IP | |||
user | Nombre del usuario del proceso. | Cadena | |||
muid | Identificación interna de la computadora. | Cadena en el siguiente formato xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx | |||
parentHash | Resumen o hash del archivo principal. | Cadena | |||
parentPath | Ruta del proceso principal. | Cadena | |||
parentValidSig | Proceso principal firmado digitalmente. | Booleano | |||
parentCompany | Contenido del atributo Company de los metadatos del proceso principal. | Cadena | |||
parentCat | Categoría del archivo principal. | Goodware Malware PUP Desconocido Monitorización | |||
ParentmwName | Nombre del malware si el archivo principal está clasificado como amenaza. | Cadena Nulo si el elemento no es malware | |||
childHash | Resumen o hash del archivo secundario. | Cadena | |||
childPath | Ruta del proceso secundario. | Cadena | |||
childValidSig | Proceso secundario firmado digitalmente. | Booleano | |||
childCompany | Contenido del atributo company de los metadatos del proceso secundario. | Cadena | |||
childCat | Categoría de proceso secundario. | Goodware Malware PUP Desconocido Monitorización | |||
childMWName | Nombre del malware si el archivo secundario se clasifica como amenaza. | Cadena Nulo si el elemento no es malware | |||
firstParentCat | Clasificación inicial del archivo principal que realizó la operación registrada. | Goodware Malware PUP Desconocido Monitorización Nulo | |||
firstChildCat | Clasificación inicial del archivo secundario que realizó la operación registrada. | Goodware Malware PUP Desconocido Monitorización Nulo | |||
ops
Esta tabla de datos registra todas las operaciones realizadas por los procesos vistos en la red.
| Campo | Descripción | Valores |
|---|---|---|
eventdate
| Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha
|
serverdate | Fecha y hora en que se registró el evento en la computadora del usuario (en formato UTC). | Fecha |
machine | Nombre de la computadora. | Cadena |
machineIP | Dirección IP del ordenador. | Dirección IP |
user | Nombre del usuario del proceso. | Cadena |
op | Operación realizada. | CreateDir Exec CreatePE DeletePE LoadLib OpenCmp RenamePE CreateCmp |
muid | Identificación única de la computadora. | Cadena en este formato: xxxxxxxxxxxx-xxxx-xxxx- xxxxxxxxxxxx |
parentHash | Resumen o hash del archivo principal. | Cadena |
parentDriveType | Tipo de unidad donde reside el proceso principal. | Fija Remoto Extraíble |
parentPath | Ruta del proceso principal. | Cadena |
parentValidSig | Proceso principal firmado digitalmente. | Booleano |
parentCompany | Contenido del atributo Company de los metadatos del archivo principal. | Cadena |
parentCat | Categoría del archivo principal. | Goodware Malware PUP Desconocido Monitorización |
parentMWName | Nombre del malware encontrado en el archivo principal. | Cadena Nulo si el elemento no es malware |
childHash | Resumen o hash del archivo secundario. | Cadena |
childDriveType | Tipo de unidad donde reside el proceso secundario. | Fija Remoto Extraíble |
childPath | Ruta del proceso secundario. | Cadena |
childValidSig | Proceso secundario firmado digitalmente. | Booleano |
childCompany | Contenido del atributo Company de los metadatos del archivo secundario. | Cadena |
childCat | Categoría del archivo secundario. | Goodware Malware PUP Desconocido Monitorización |
childMWName | Nombre del malware encontrado en el archivo secundario. | Cadena Nulo si el elemento no es malware |
Ocs_Exec | Indica si se ejecutó el software considerado vulnerable. | Booleano |
Ocs_Name | Nombre del software considerado vulnerable. | Cadena |
OcsVer | Versión del software considerada vulnerable. | Cadena |
action | Acción realizada. | Permitir Bloquear BlockTimeout |
serviceLevel | Modo agente:
| Enumeración |
params | Parámetros de ejecución de la línea de comandos del proceso ejecutado. | Character string |
firstParenCat | Clasificación inicial del archivo principal que realizó la operación registrada. | Goodware Malware PUP Desconocido Monitorización Nulo |
processnetbytes
Esta tabla de datos registra el uso de datos de los procesos vistos en la red. ART genera un registro para cada proceso aproximadamente cada cuatro horas con la cantidad de datos transferidos desde que se envió el último registro.
| Campo | Descripción | Valores |
|---|---|---|
eventdate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
serverdate | Fecha y hora en que se registró el evento en la computadora del usuario (en formato UTC). | Fecha |
machineName | Nombre de la computadora. | Cadena |
machineIP | Dirección IP del ordenador. | Dirección IP |
version | Versión del WatchGuard Endpoint Agent. | Cadena |
user | Nombre del usuario del proceso. | Cadena |
muid | Identificación interna de la computadora. | Cadena en este formato: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx |
hash | Resumen o hash del proceso. | Cadena |
path | Nombre y ruta del programa. | Cadena |
bytesSent | Cantidad de bytes que envía el proceso desde que se generó el último evento. | Numeric |
bytesReceived
| Cantidad de bytes que recibió el proceso desde que se generó el último evento. | Numeric |
registry
Esta tabla de datos registra todas las operaciones realizadas en las ramas del registro utilizadas por programas maliciosos para volverse persistentes y sobrevivir a los reinicios de la computadora.
| Campo | Descripción | Valores | |||||||
|---|---|---|---|---|---|---|---|---|---|
eventdate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha | |||||||
serverdate | Fecha y hora en que se registró el evento en la computadora del usuario (en formato UTC). | Fecha | |||||||
machine | Nombre de la computadora. | Cadena | |||||||
machineIP | Dirección IP del ordenador. | Dirección IP | |||||||
user | Nombre de usuario del proceso que modificó el registro. | Cadena | |||||||
op | Operación realizada en el registro de la computadora. | ModifyExeKey CreateExeKey | |||||||
hash | Resumen/hash del proceso que modificó el registro. | Cadena | |||||||
muid | Identificación única de la computadora. | Cadena en el siguiente formato xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx | |||||||
targetPath | Ruta del ejecutable al que apunta la clave del registro. | Tipo de unidad donde reside el proceso que accedió al registro. | |||||||
regKey | Clave de registro. | Cadena | |||||||
driveType | Tipo de unidad donde reside el proceso que accedió al registro. | Cadena | |||||||
path | Ruta del proceso que modificó el registro. | Cadena | |||||||
validSig | Clave de registro. | Booleano | |||||||
company | Clave de registro. | Cadena | |||||||
Cat
| Categoría del proceso. | Goodware Malware PUP Desconocido Monitorización | |||||||
mwName | Nombre del malware si el proceso está clasificado como amenaza | Cadena Nulo si el elemento no es malware. | |||||||
firstCat | Categoría del proceso la primera vez que se clasificó | Goodware Malware PUP Desconocido Monitorización | |||||||
socket
Esta tabla de datos registra todas las conexiones de red establecidas por los procesos vistos en la red.
| Campo | Descripción | Valores |
|---|---|---|
eventdate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
serverdate | Fecha y hora en que se registró el evento en la computadora del usuario (en formato UTC). | Fecha |
machine | Nombre de la computadora. | Cadena |
machineIP | Dirección IP del ordenador. | Dirección IP |
user | Nombre del usuario del proceso. | Cadena |
hash | Resumen o hash del proceso que estableció la conexión. | Cadena |
driveType | Tipo de unidad donde reside el proceso que estableció la conexión. | Fija Remoto Extraíble |
path | Ruta del proceso que estableció la conexión. | Cadena |
protocol | Protocolo de comunicaciones utilizado por el proceso. | TCP UDP ICMP ICMPv6 IGMP RF |
remotePort | Puerto de destino con el que se comunica el proceso. | 0-65535 |
direction | Dirección de comunicación. | Cargar Descargar Bidireccional Desconocido |
remoteIP | Dirección IP de destino. | Dirección IP |
localPort | Dirección IP de origen. | 0-65535 |
localIP | Dirección de destino IPv6. | Dirección IP |
validSig | Archivo firmado digitalmente que estableció la conexión. | Booleano |
company | Contenido del atributo Company de los metadatos del archivo que estableció la conexión. | Cadena |
categoría | Categoría actual del proceso que estableció la conexión. | Goodware Malware PUP Desconocido Monitorización |
mwName | Nombre del malware si el proceso que estableció la conexión está clasificado como amenaza. | Cadena Nulo si el elemento no es malware |
firstCategory | Categoría del proceso la primera vez que se clasificó. | Goodware Malware PUP Desconocido Monitorización |
times | Cantidad de veces que se produjo el mismo evento de comunicación en la última hora. Para que dos eventos de comunicación se consideren iguales, estos parámetros más la dirección de la comunicación deben ser los mismos:
La primera vez que se detecta una comunicación, se envía un evento con el campo horas establecido en 1. Posteriormente, por cada hora que pasa después del primer evento, el campo horas indica la cantidad de eventos de comunicación iguales que se produjeron en ese lapso de tiempo menos 1, junto con la fecha del último evento registrado. | Numeric |
toastblocked
Esta tabla de datos contiene un registro para cada proceso bloqueado porque WatchGuard EPDR o WatchGuard EDR aún no ha devuelto la clasificación relevante.
| Campo | Descripción | Valores |
|---|---|---|
eventdate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
serverdate | Fecha y hora en que se registró el evento en la computadora del usuario (en formato UTC). | Fecha |
machineName | Nombre de la computadora. | Cadena |
machineIP | Dirección IP del ordenador. | Dirección IP |
user | Nombre de usuario del proceso bloqueado. | Cadena |
muid | Identificación única de la computadora. | Cadena en este formato: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx |
hash | Resumen o hash del proceso bloqueado. | Cadena |
path | Ruta del proceso bloqueado. | Cadena |
toastBlockReason | 0 OK: El usuario acepta el mensaje. 1 Timeout: El mensaje emergente desaparece por falta de acción del usuario. 2 Angry: El usuario rechaza la acción de bloqueo. 3 Block 4 Allow 5 BadCall | Enumerator |
toastResult | Resultado del mensaje emergente:
| Enumerator |
URLdownload
Esta tabla de datos contiene información sobre las descargas HTTP realizadas por procesos vistos en la red (como URL, datos de archivos descargados, computadoras que descargaron datos).
| Campo | Descripción | Valores |
|---|---|---|
eventdate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
serverdate | Fecha y hora en que se registró el evento en la computadora del usuario (en formato UTC). | Fecha |
Machine | Nombre de la computadora. | Cadena |
machineIP | Dirección IP del ordenador. | Dirección IP |
Usuario | Nombre del usuario del proceso. | Cadena |
muid | ID interno de la computadora del cliente. | Cadena en este formato: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx |
url | URL de descarga. | Tallo de la URL |
parentHash | Resumen o hash del proceso que descargó el archivo. | Cadena |
parentDriveType | Tipo de unidad donde reside el proceso que descargó el archivo. | Fija Remoto Extraíble |
parentPath | Ruta del proceso que descargó el archivo. | Cadena |
parentValidSig | Proceso firmado digitalmente que descargó el archivo. | Booleano |
parentCompany | Contenido del atributo Company de los metadatos del proceso que descargó el archivo. | Cadena |
parentCat | Categoría del proceso que descargó el archivo. | Goodware Malware PUP Desconocido Monitorización |
parentMwname | Nombre del malware si el proceso que descargó el archivo está clasificado como amenaza. | Cadena Nulo si el elemento no es malware |
childHash | Resumen o hash del archivo descargado. | Cadena |
childDriveType | Tipo de unidad donde reside el proceso que descargó el archivo. | Fija Remoto Extraíble |
childPath | Ruta del archivo descargado. | Cadena |
childValidSig | Archivo descargado firmado digitalmente. | Booleano |
childCompany | Contenido del atributo Company de los metadatos del archivo descargado. | Cadena |
childCat | Categoría del archivo descargado. | Goodware Malware PUP Desconocido Monitorización |
childMwname | Nombre del malware si el archivo descargado está clasificado como una amenaza. | Cadena Nulo si el elemento no es malware |
firstParentCat | Clasificación inicial del archivo principal que realizó la operación registrada. | Goodware Malware PUP Desconocido Monitorización Nulo |
firstChildCat | Clasificación inicial del archivo secundario que realizó la operación registrada. | Goodware Malware PUP Desconocido Monitorización Nulo |
vulnerableappsfound
Esta tabla de datos registra todas las aplicaciones vulnerables encontradas en cada computadora de la red.
| Campo | Descripción | Valores | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
eventdate | Fecha y hora en que se recibió el evento en el servidor de Advanced Reporting Tool. Los datos se conservan durante un máximo de un año. El valor de la UI de administración depende de la zona horaria configurada en la computadora. | Fecha | ||||||||
serverdate | Fecha y hora en que se registró el evento en la computadora del usuario (en formato UTC). | Fecha | ||||||||
muid | Identificación interna de la computadora. | Cadena en este formato: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | ||||||||
machineName | Nombre de la computadora. | Cadena | ||||||||
machineIP | Dirección IP del ordenador. | Dirección IP | ||||||||
criticalSoftEventType | Indica la existencia de un software vulnerable. | Present | ||||||||
itemHash | Resumen del programa vulnerable encontrado en la computadora. | Cadena | ||||||||
fileName | Nombre del archivo vulnerable. | Cadena | ||||||||
filePath | Ruta completa del archivo vulnerable. | Cadena | ||||||||
internalName | Contenido del atributo Name de los metadatos del archivo vulnerable. | Cadena | ||||||||
companyName | Contenido del atributo Company de los metadatos del archivo vulnerable. | Cadena | ||||||||
fileVersion | Contenido del atributo Version de los metadatos del archivo vulnerable. | Cadena | ||||||||
productVersion | Contenido del atributo ProductVersion de los metadatos del archivo vulnerable. | Cadena | ||||||||