Aplica A: WatchGuard Advanced Reporting Tool y Data Control
WatchGuard Advanced EPDR, EPDR, and EDR (WatchGuard Endpoint Security) envían datos a Advanced Visualization Tool, que los organiza en tablas de datos que son fáciles de leer.
Su rol de operador determina lo que puede ver y hacer en WatchGuard Cloud. Su rol debe tener el permiso Acceder a Información de Acceso a Archivos para ver o configurar esta función. Para más información, vaya a Administrar Operadores y Roles de WatchGuard Cloud.
Cada línea de una tabla de datos es un evento monitorizado por WatchGuard Endpoint Security. Los datos se conservan durante un máximo de un año. En Advanced Visualization Tool, puede buscar, examinar y analizar la información de sus tablas de datos.
- Para ver la lista de tablas de datos disponibles, en el panel izquierdo, seleccione Búsquedas de Datos.
La columna Subtipo muestra la lista de tablas.
Cuando abra una tabla de datos, aparecerá un acceso directo en el panel izquierdo, debajo de Búsquedas de Datos. Seleccione el acceso directo para abrir rápidamente la tabla de datos.
Los Finders agrupan y organizan las etiquetas aplicadas a los datos en cuatro niveles — Tecnología, Marca, Tipo y Subtipo.
Tablas Específicas de los Datos de WatchGuard Advanced Reporting Tool
Estas tablas de datos están disponibles de forma predeterminada con la etiqueta Subtipo. Para obtener información sobre los campos de cada tabla de datos, vaya a Advanced Reporting Tool — Campos de Datos.
alert
Esta tabla de datos incluye información sobre incidentes que se muestran en el mosaico Actividad en el panel de control de WatchGuard Endpoint Security. Contiene una línea para cada amenaza detectada en la red con información como la computadora involucrada, el tipo de incidente, la marca de tiempo y el resultado.
Puede utilizar varios campos de la tabla de Alertas para extraer información valiosa sobre los ataques:
- Eventdate — Agrupe por este campo para ver la cantidad de ataques diarios y determinar si hay un ataque en curso.
- dwellTimeSecs — Proporciona la ventana de detección de las amenazas recibidas. Es el tiempo transcurrido desde que la amenaza se vio por primera vez en la red hasta su clasificación.
- itemHash — Dado que el nombre de la amenaza varía en función del proveedor de seguridad, puede utilizar el campo hash para agrupar amenazas en lugar del itemName. Esto también ayuda a distinguir el malware etiquetado con el mismo nombre.
install
Esta tabla de datos registra información sobre la instalación del agente de endpoint en las computadoras
monitoredopen
Esta tabla de datos registra los archivos de datos a los que acceden aplicaciones que no suelen acceder a ese tipo de archivo de datos.
monitoredregistry
Esta tabla de datos registra cada intento de modificar el registro, así como también cuando el software accede a los permisos, contraseñas, almacenes de certificados e información similar del registro.
notblocked
Esta tabla de datos registra los elementos que WatchGuard Endpoint Security no escaneó debido a situaciones excepcionales, como tiempo de espera del servicio al inicio o cambios de configuración.
ops
Esta tabla de datos registra todas las operaciones realizadas por los procesos vistos en la red.
processnetbytes
Esta tabla de datos registra el uso de datos de los procesos vistos en la red. ART genera un registro para cada proceso aproximadamente cada cuatro horas con la cantidad de datos transferidos desde que se envió el último registro.
Utilice esta tabla para ver qué programas de las computadoras de la red utilizan más datos. Esta tabla no diferencia entre el uso de datos internos y externos. La cantidad total de datos que utiliza un proceso puede ser una mezcla de datos solicitados a través de Internet y datos obtenidos de sus servidores internos (como servidores de correo, servidores web de Intranet, archivos compartidos entre estaciones de trabajo).
registry
Esta tabla de datos registra todas las operaciones realizadas en las ramas del registro utilizadas por programas maliciosos para volverse persistentes y sobrevivir a los reinicios de la computadora.
Esta tabla registra cuándo los procesos acceden al registro y afectan las ramas que se leen cuando se inicia el sistema durante el proceso de arranque del sistema operativo. El malware modifica estas ramas para asegurarse de que se ejecuta en cada arranque.
Muchas ramas del registro permiten que un programa se ejecute al iniciarse, pero las que los troyanos y otros tipos de amenazas más utilizan son:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
socket
Esta tabla de datos registra todas las conexiones de red establecidas por los procesos vistos en la red.
toastblocked
Esta tabla de datos contiene un registro para cada proceso bloqueado porque WatchGuard Endpoint Security aún no ha devuelto la clasificación relevante.
URLdownload
Esta tabla de datos contiene información sobre las descargas HTTP realizadas por procesos vistos en la red (como URL, datos de archivos descargados, computadoras que descargaron datos).
Esta tabla muestra todas las descargas que los usuarios realizaron en la red, independientemente de si se trata de malware o goodware. Puede filtrar por información de descarga y ver un gráfico que muestra los dominios que reciben más solicitudes de descarga.
vulnerableappsfound
Esta tabla de datos registra todas las aplicaciones vulnerables encontradas en cada computadora de la red. A diferencia de la tabla Ops, cuyos campos ocsExec, ocsName y ocsVer muestran las aplicaciones vulnerables que se ejecutaron en la red, esta tabla muestra todas las aplicaciones vulnerables que residen en las computadoras. WatchGuard Endpoint Security envía un registro diario para cada aplicación detectada. Cuando WatchGuard Endpoint Security detecta una aplicación, el agente de endpoint deja de enviar el evento correspondiente.
Utilice esta tabla para determinar qué computadoras de la red tienen aplicaciones más vulnerables.
Tablas Especificas de Datos de WatchGuard Data Control
Cuando un proceso accede a archivos con Información de Identificación Personal (PII), la información se envía al servidor de WatchGuard Data Control, donde se organiza en una tabla de fácil lectura.
Cada línea de la tabla es un evento monitorizado por Data Control, y proporciona información como cuándo se produjo el evento, la computadora donde ocurrió, su dirección IP, etc. Para obtener información sobre los campos de cada tabla de datos, vaya a Visualización de Data Control — Campos de Datos.
Estas tablas de datos están disponibles en la Advanced Visualization Tool de forma predeterminada con la etiqueta Subtipo:
ops
Esta tabla de datos almacena toda la información relacionada con el seguimiento de archivos con PII.
usrrules
Esta tabla de datos almacena toda la información recopilada de los archivos especificados en las reglas definidas por el administrador.
usrrulesmail
Esta tabla de datos almacena toda la información recopilada de los mensajes de correo electrónico que contienen archivos monitorizados según lo especificado en las reglas definidas por el administrador.
Esta tabla de datos almacena toda la información recogida de los mensajes de correo electrónico que contienen archivos clasificados como PII, así como las características de los archivos con datos personales.
Crear una Consulta de Búsqueda
Ejemplo de Texto de Consulta SQL