Se aplica a: WatchGuard EPDR, WatchGuard EDR
Si el Indicador de Ataque (IOA) tiene un gráfico asociado en la página de detalles del ataque, haga clic en Ver Gráfico de Ataque para ver un diagrama interactivo de la secuencia de eventos que llevaron a la generación del IOA. Puede utilizar el gráfico para ayudar a identificar la causa raíz del ataque.
De forma predeterminada, el gráfico se muestra horizontalmente con el nodo que activó el IOA en el centro del gráfico. Está rodeado por un subconjunto de nodos relacionados con el IOA. El gráfico muestra tres niveles de nodo por encima del nodo principal, así como un nivel de nodo por debajo del nodo principal.
Los nodos representan entidades que participan en una operación (como procesos, archivos u objetivos de comunicación u operación). Las flechas representan operaciones. Para modificar el gráfico según sus necesidades, use las opciones de la barra de herramientas y seleccione nodos específicos. Puede usar la línea de tiempo debajo del gráfico a fin de aumentar o reducir el plazo para el que se muestran eventos.
El panel de información de la derecha muestra información de eventos para el nodo o flecha seleccionados. Para obtener más información, consulte Eventos de Indicadores de Ataque (IOA).
Barra de herramientas
La barra de herramientas le permite cambiar el aspecto del gráfico. Estos botones están disponibles en la barra de herramientas:
| Botón | Nombre | Descripción |
|---|---|---|
|
Deshacer | Deshacer la última acción realizada en el gráfico |
| Rehacer | Rehacer la última acción realizada en el gráfico | |
| Ampliar | Ampliar la vista en el gráfico | |
| Alejar | Alejar la vista en el gráfico | |
| Restablecer la vista | Volver a los ajustes de vista predeterminados | |
| Gráfico horizontal | Cambiar la orientación del gráfico a horizontal | |
| Gráfico vertical | Cambiar la orientación del gráfico a vertical | |
| Mostrar / Ocultar Capas | Mostrar u ocultar capas de información en el gráfico |
Para mostrar u ocultar capas en un gráfico de ataque:
- En la barra de herramientas, haga clic en
. - En el menú que se abre, seleccione los elementos del gráfico que desea mostrar u ocultar:
- Secuencia de Ejecución — Oculta o muestra números en los eventos para determinar el orden en que ocurrieron.
- Nombre de las Relaciones — Oculta o muestra los nombres de los eventos. Para obtener más información, consulte Eventos de Indicadores de Ataque (IOA).
- Nombre de Entidades — Oculta o muestra los nombres de entidades (como procesos, archivos u objetivos de comunicación u operación).
Flechas y Nodos de Gráficos
El gráfico ilustra un conjunto de eventos con nodos y flechas para mostrar entidades y la relación entre ellas. El nodo que activó el IOA está en el centro del gráfico, rodeado por un subconjunto de nodos relacionados con el IOA. El gráfico muestra tres niveles de nodos por encima del nodo principal, así como los nodos que están un nivel por debajo del nodo principal.
Los nodos representan las entidades que participan en una operación (procesos, archivos u objetivos de comunicación u operación), y las flechas representan operaciones. Los números de la flecha indican el orden en que los eventos se registraron. Cuando selecciona un nodo, el panel de información muestra detalles de los eventos que ocurrieron. Para obtener más información, consulte Eventos de Indicadores de Ataque (IOA).
- Para seleccionar un solo nodo en el gráfico, haga clic en el nodo.
- Para seleccionar varios nodos no contiguos en el gráfico, presione y mantenga presionada la tecla Ctrl o Mayús y haga clic en los nodos que desea seleccionar.
- Para seleccionar varios nodos contiguos en el gráfico, mantenga presionada la tecla Ctrl o Mayús y haga clic en un área vacía del gráfico. Arrastre el mouse para dibujar un cuadro de selección que cubra todos los nodos que desea seleccionar.
Cuando selecciona y hace clic con el botón derecho en varios nodos del gráfico, las opciones que se aplican a todos los nodos seleccionados se muestran en el menú de acceso directo.
Iconos de Estado y Nodo
El color de un nodo indica si el elemento está clasificado como malware (rojo), sospechoso o no clasificado (naranja) o goodware (verde). Estos iconos de nodo se utilizan para representar diferentes entidades en una operación.
| Ícono | Descripción |
|---|---|
|
Procesar Si pertenece a un paquete de software conocido, se muestra el icono. |
|
Cadena remota |
|
Biblioteca |
|
Protección |
|
Carpeta |
|
Archivo no ejecutable |
|
Archivo comprimido |
|
Archivo ejecutable |
|
Archivo de script |
|
Valor de ramal del registro de Windows |
|
URL utilizada en una comunicación |
|
Dirección IP en una comunicación |
Los iconos de estado indican la acción realizada en el nodo.
| Ícono | Acción |
|---|---|
|
Archivo eliminado |
|
Archivo desinfectado |
|
Archivo en cuarentena |
|
Proceso eliminado |
Mostrar Nodos Secundarios
El gráfico puede mostrar hasta un máximo de 25 nodos en el mismo nivel. Cuando hay más de 25 nodos, el gráfico no muestra ningún nodo. Un icono en la esquina inferior izquierda de un nodo indica que el nodo tiene nodos secundarios ocultos.
Para mostrar los nodos secundarios, siga estos pasos:
- Haga clic con el botón derecho en un nodo.
Se abre un menú de acceso directo. - Seleccione una de las opciones disponibles:
- Mostrar Principal — Muestra los nodos principales del nodo seleccionado.
- Mostrar Toda la Actividad (número) — Muestra todos los nodos secundarios del nodo, independientemente del tipo. El número máximo de nodos que se muestra es 25. Se muestra el número total de eventos que vinculan el nodo principal con el nodo secundario.
- Mostrar Secundarios — Abre una lista desplegable. Seleccione el tipo de nodos secundarios que se mostrarán y seleccione el número de nodos para cada tipo. Los tipos de nodos son los siguientes:
- Archivos de datos (archivos con información no identificada)
- Archivos de script (archivos con secuencias de comandos)
- DNS (dominios que no pudieron resolver la IP)
- Entradas de registro de Windows
- Archivos comprimidos
- Archivos PE (archivos ejecutables)
- Cadenas remotas
- IP (direcciones IP para cualquier extremo de la comunicación)
- Bibliotecas
- Procesos
- Protección (acción tomada por el antivirus)
Mover y Eliminar Nodos
Mueva y elimine nodos para enfocar el gráfico en la información que desea ver.
Para mover un solo nodo, seleccione el nodo y arrástrelo a una nueva ubicación.
Todas las líneas que conectan el nodo con sus vecinos se mueven y se ajustan a la nueva ubicación del nodo.
Para mover el gráfico a fin de ver otros nodos:
- Haga clic en un área vacía del gráfico.
- Arrastre el gráfico en la dirección apropiada.
Para eliminar un solo nodo:
- Haga clic con el botón derecho en el nodo que desea eliminar.
Se abre el menú contextual. - Seleccione Eliminar (x).
Se abre un cuadro de diálogo que muestra el número total de nodos que se eliminarán del gráfico. Esto incluye el nodo seleccionado y sus nodos secundarios. - Haga clic en Aceptar.
Para eliminar varios nodos:
- Mantenga presionada la tecla Ctrl.
- Haga clic en los nodos que desea eliminar.
- Haga clic con el botón derecho en uno de los nodos.
Se abre el menú de acceso directo. - Seleccione Eliminar (x).
Se abre un cuadro de diálogo que muestra el número total de nodos que se eliminarán del gráfico. Esto incluye los nodos seleccionados y sus nodos secundarios. - Haga clic en Aceptar.
Flechas
El color de las flechas indica si WatchGuard EPDR o WatchGuard EDR bloquearon o permitieron la acción.
- Rojo — La acción se clasificó como amenaza y se bloqueó.
- Negro — Se permitió la acción.
El grosor de la flecha representa el número de veces que se ejecutó el mismo tipo de acción entre dos nodos. Cuanto mayor sea el número de acciones, más gruesa será la flecha.
Cuando hace clic en una flecha, el panel de información muestra las fechas en las que ocurrieron la primera y la última acción en el grupo. La dirección de la flecha indica la dirección de la acción.
Los números de la flecha indican el orden en que se registró el evento. Cuando hace clic en la etiqueta de una flecha, el panel de información muestra los eventos que ocurrieron. Para obtener más información, consulte Eventos de Indicadores de Ataque (IOA).
Línea de Tiempo
La línea de tiempo se encuentra debajo del gráfico. Incluye un histograma con barras verdes que representan los eventos realizados por una amenaza. Señale las barras para mostrar un cuadro de información sobre el número de eventos y la fecha en que se registraron.
Controles de la Línea de Tiempo
Puede difuminar los nodos y las relaciones que ocurrieron fuera de un rango de tiempo seleccionado. Los controles en la parte inferior de la línea de tiempo le permiten colocar la vista en el momento preciso en que la amenaza realizó una acción, y recuperar información ampliada que puede ayudarlo a completar un análisis forense.
- Para seleccionar un intervalo específico en la línea de tiempo, arrastre los selectores de intervalo gris hacia la izquierda o hacia la derecha. El gráfico muestra los eventos y nodos que ocurrieron dentro del intervalo. Otros eventos y nodos están difuminados.
- Para ver la ruta completa de la línea de tiempo, seleccione Primer Nodo y luego haga clic en Iniciar.
- Para configurar la velocidad de desplazamiento, haga clic en 1x y seleccione una opción de velocidad.
Estos controles están disponibles debajo de la línea de tiempo.
- Iniciar — Inicia la línea de tiempo a una velocidad constante de 1x. Aparecen los gráficos y líneas que representan las acciones mientras se muestran a medida que avanza la línea de tiempo.
- 1x — Establece la velocidad de la línea de tiempo.
- Detener — Detiene el progreso de la línea de tiempo.
- + y – — Acerca y aleja la línea de tiempo.
- < y > — Selecciona el nodo anterior o posterior.
- Zoom inicial — Restaura el nivel de zoom inicial si se acercó o alejó con los botones + y –.
- Seleccionar todos los nodos — Mueve los selectores de tiempo para cubrir toda la línea de tiempo.
- Primer nodo — Establece el intervalo de tiempo al inicio de la línea de tiempo.