Aplica A: ThreatSync+ NDR
ThreatSync+ NDR utiliza la inteligencia artificial (IA) para consolidar datos relacionados con un gran volumen de tráfico de red en Smart Alerts. Las Smart Alerts indican que podría estar en progreso un posible ataque a su red y guían a los operadores para que se enfoquen en las amenazas emergentes que suponen el mayor riesgo y el mayor impacto para la organización.
La página Smart Alerts está disponible con una licencia de ThreatSync+ NDR. Para más información, vaya a Acerca de las Licencias de ThreatSync+ NDR.
Cuando ThreatSync+ NDR detecta amenazas en su red o actividad anómala en la red, las Smart Alerts le notifica para que revise la actividad y responda. Las Smart Alerts explican la actividad, cómo se ha detectado y por qué se considera una amenaza.
Cuando se detectan por primera vez, las Smart Alerts se encuentran en estado Nuevo. Si ThreatSync+ NDR detecta actividad adicional relacionada con la alerta, la Smart Alert pasa al estado Actualizada. Después de revisar y remediar la amenaza, puede mover la Smart Alert al estado Cerrado.
Cuando ThreatSync+ NDR genera una Smart Alert, esta se muestra en la página Monitorizar > ThreatSync+ > Smart Alerts. También puede configurar notificaciones para recibir un correo electrónico cuando ThreatSync+ NDR genere o actualice Smart Alerts. Para más información, vaya a Configurar Alertas y Reglas de Notificación de ThreatSync+.
La página Smart Alerts muestra una lista de Smart Alerts y estos detalles:
- Smart Alert — El nombre de la Smart Alert.
- Seguridad — Indica qué tan seguro está ThreatSync+ NDR de que la Smart Alert es una amenaza. Los niveles de seguridad pueden ser Muy Baja, Baja, Media, Alta o Muy Alta.
- Inicio — La fecha y la hora en que se inició la actividad.
- Fin — La fecha y la hora en que finalizó la actividad.
- Actores Principales — El nombre, la dirección IP o la dirección de correo electrónico del usuario o la entidad asociada a un dispositivo que puede llevar a cabo actividades maliciosas. Los actores principales pueden ser el dispositivo responsable de la amenaza o el dispositivo en riesgo.
- Estado — El estado de la Smart Alert. El estado puede ser Nuevo, Actualizado o Cerrado.
- Motivo del Cierre — El motivo por el que un usuario cerró la Smart Alert.
- Cerrado Por — El nombre del usuario que cerró la Smart Alert.
- Cerrado Similar — Indica si el operador solicitó que las Smart Alerts similares futuras se cierren automáticamente.
- Comentarios — Muestra los comentarios agregados a la Smart Alert.
Tipos y Comportamientos de Smart Alerts
El tipo de Smart Alert y si se trata de una amenaza Muy Bajo, Bajo, Medio, Alto o Muy Alto determina la acción que se debe tomar para proteger su red. Por ejemplo, las Smart Alerts de Exfiltración o de Comando y Control podrían indicar que un atacante está activo en su red. Las Smart Alerts de Sondeo y Reconocimiento pueden indicar que un nuevo atacante comenzó a atacar su red.
Le recomendamos que primero aborde los comportamientos que se producen más adelante en el proceso de ciberataque, como la exfiltración, pero también es importante abordar las amenazas anteriores, ya que la mejor manera de proteger su organización es detectar a un atacante lo antes posible.
Una Smart Alert puede mostrar varios comportamientos maliciosos. Por ejemplo, Tunelización Sospechosa Más Escaneo de Puertos es una combinación de dos comportamientos maliciosos: un escaneo de puertos horizontal y una tunelización DNS sospechosa.
Los tipos de Smart Alerts incluyen:
- Actividad de Sondeo o Reconocimiento Interno a Externo
- Tunelización Sospechosa Más Exfiltración de Datos
- Tunelización DNS Sospechosa Más Escaneo de Puertos
- Tunelización Sospechosa Más Escaneo de Puertos
- Tunelización Sospechosa Más Exfiltración de Datos
- Actividad de Sondeo o Reconocimiento
- Sospecha de Actividad de Movimiento Lateral
Los comportamientos de Smart Alert incluyen:
- Comportamiento de Baliza Sospechosa a Través de la Interfaz de la Aplicación Web
- Escaneo de Puertos Horizontal Interno a Externo
- Escaneo de Puertos Vertical Interno a Externo
- Exfiltración Entre Pares
- Escaneo de Puertos Horizontal
- Gran Volumen Cruzando el Límite de la Red
- Tunelización DNS Sospechosa
- Tunelización ICMP Sospechosa
- Huella de Puerto Efímero Grande
- Visita de URL o Dominio Malicioso a Través de una IP de la Lista de Bloqueos
- Actividad de Tunelización RDP Sospechosa
- Actividad Sospechosa En un Activo
Para ver información detallada sobre una Smart Alert específica, y orientaciones para remediarla, haga clic en la Smart Alert. Para más información, vaya a Revisar los Detalles de una Smart Alert.