Eventos de Indicadores de Ataque (IOA)

accesstype

Máscara de acceso a archivos:

• (54) WMI_CREATEPROC: Local WMI

Para todas las demás operaciones:

• https://docs.microsoft.com/en-us/windows/win32/ secauthz/access-mask
• https://docs.microsoft.com/en-us/windows/win32/fileio/ file-access-rights-constants
• https://docs.microsoft.com/en-us/windows/win32/fileio/ file-security-and-access-rights

accnube

El agente instalado en la computadora del cliente puede acceder a WatchGuard Cloud.

action

Tipo de acción realizada por el agente WatchGuard Endpoint Agent, por el usuario o por el proceso afectado:

• 0 (Allow) — El agente permitió que se ejecutara el proceso.
• 1 (Block) — El agente bloqueó la ejecución del proceso.
• 2 (BlockTimeout) — El agente mostró un mensaje emergente al usuario, pero el usuario no respondió a tiempo.
• 3 (AllowWL) — El agente permitió que se ejecutara el proceso porque está en la lista de permitidos de goodware local.
• 1 (Block) — El agente bloqueó la ejecución del proceso porque está en la lista de bloqueados de malware local.
• 5 (Desinfect) — El agente desinfectó el proceso.
• 6 (Delete) — El agente clasificó el proceso como malware y lo eliminó porque no se pudo desinfectar.
• 7 (Quarantine) — El agente clasificó el proceso como malware y lo movió a la carpeta de cuarentena en la computadora.
• 8 (AllowByUser) — El agente mostró un mensaje emergente al usuario y el usuario respondió con “Permitir ejecución”.

• 9 (Informed) — El agente mostró un mensaje emergente al usuario.
• 10 (Unquarantine) — El agente eliminó el archivo de la carpeta de cuarentena.
• 11 (Rename) — El agente cambió el nombre del archivo. Esta acción se usa solo para pruebas.

• 12 (BlockURL) — El agente bloqueó la URL.

• 13 (KillProcess) — El agente cerró el proceso.

• 14 (BlockExploit) — El agente detuvo un intento de explotar un proceso vulnerable.

• 15 (ExploitAllowByUser) — El usuario no permitió que se cerrara el proceso explotado.

• 16 (RebootNeeded) — El agente requiere que la computadora se reinicie para bloquear el intento de exploit.

• 9 (Informed) — El agente mostró un mensaje emergente al usuario en el que informa un intento de explotar un proceso vulnerable.

• 18 (AllowSonGWInstaller) — El agente permitió que el proceso se ejecutara porque pertenece a un paquete de instalación clasificado como goodware.

• 19 (EmbebedInformed) — El agente envió información operativa interna a la nube para mejorar las rutinas de detección.

• 21 (SuspendProcess) — El proceso monitorizado intentó suspender el servicio antivirus.

• 22 (ModifyDiskResource) — El proceso monitorizado intentó modificar un recurso protegido por el escudo del agente.

• 23 (ModifyRegistry) — El proceso monitorizado intentó modificar una clave de registro protegida por el escudo del agente.

• 24 (RenameRegistry) — El proceso monitorizado intentó cambiar el nombre de una clave de registro protegida por el escudo del agente.

• 25 (ModifyMarkFile) — El proceso monitorizado intentó modificar un archivo protegido por el escudo del agente.

• 26 (Undefined) — Error al monitorizar la operación del proceso.

• 28 (AllowFGW) — El agente permitió la operación realizada por el proceso monitorizado porque está en la lista de permitidos local de goodware.

• 29 (AllowSWAuthorized): El agente permitió la operación realizada por el proceso monitorizado porque el administrador marcó el archivo como software autorizado.

• 30 (InformNewPE) — El agente informó la aparición de un nuevo archivo en la computadora porque la función Arrastrar y Soltar está activada en Data Control.

• 31 (ExploitAllowByAdmin) — El agente permitió la operación realizada por el proceso monitorizado porque el administrador de red excluyó el exploit.

• 32 (IPBlocked) — El agente bloqueó las direcciones IP para mitigar un ataque RDP (Protocolo de Escritorio Remoto).

actiontype

Indica el tipo de sesión:

• 0 (Login) — Inicio de sesión en la computadora del cliente.
• 1 (Logout) — Cierre de sesión en la computadora del cliente.
• -1 (Unkown) — No se puede determinar el tipo de sesión.

age

Fecha de la última modificación del archivo.

blockreason

Motivo del mensaje emergente que se muestra en la computadora:

• 0 — El archivo se bloqueó porque se desconoce, y el modo de protección avanzada de WatchGuard Advanced EPDR, EPDR o EDR está configurado en Hardening o Bloquear.
• 1 — El archivo fue bloqueado por las reglas locales.
• 2 — El archivo se bloqueó porque el origen no es de confianza.
• 3 — El archivo fue bloqueado por una regla de contexto.
• 4 — El archivo se bloqueó porque es un exploit.
• 5 — El archivo se bloqueó después de pedirle al usuario que cerrara el proceso.

bytesreceived

Bytes totales recibidos por el proceso monitorizado.

bytessent

Bytes totales enviados por el proceso monitorizado.

callstack/sonsize

Tamaño en bytes del archivo secundario.

childattributes

Atributos del proceso secundario:

• 0x0000000000000001 (ISINSTALLER) — Archivo autoextraíble (SFX)
• 0x0000000000000002 (ISDRIVER) — Archivo de tipo controlador
• 0x0000000000000008 (ISRESOURCESDLL) — Archivo de tipo DLL de recursos
• 0x0000000000000010 (EXTERNAL) — Archivo desde fuera de la computadora

• 0x0000000000000020 (ISFRESHUNK) — Archivo agregado recientemente a la base de consulta de WatchGuard

• 0x0000000000000040 (ISDISSINFECTABLE) — Archivo para el que existe una acción de desinfección recomendada

• 0x0000000000000080 (DETEVENT_DISCARD) — La tecnología de detección de contexto basada en eventos no detectó nada sospechoso

• 0x0000000000000100 (WAITED_FOR_VINDEX) — Ejecución de un archivo cuya creación no había sido registrada

• 0x0000000000000200 (ISACTIONSEND) — El agente de endpoint no detectó malware en el archivo y se envió a WatchGuard para su clasificación

• 0x0000000000000400 (ISLANSHARED) — Archivo almacenado en una unidad de red.

• 0x0000000000000800 (USERALLOWUNK) — Archivo con permiso para importar archivos DLL desconocidos

• 0x0000000000001000 (ISSESIONREMOTE) — Evento que se originó en una sesión remota

• 0x0000000000002000 (LOADLIB_TIMEOUT) — El tiempo transcurrido entre el momento en que la protección interceptó la carga de la biblioteca y el momento en que se escaneó superó 1 segundo.Como resultado, el escaneo cambió de síncrono a asíncrono para evitar afectar el rendimiento.

• 0x0000000000004000 (ISPE) — Archivo ejecutable

• 0x0000000000008000 (ISNOPE) — Archivo no ejecutable

• 0x0000000000020000 (NOSHELL) — El agente no detectó la ejecución de un comando de shell en el sistema

• 0x0000000000080000 (ISNETNATIVE) — Archivo nativo NET

• 0x0000000000100000 (ISSERIALIZER) — Archivo serializador

• 0x0000000000200000 (PANDEX) — Archivo incluido en la lista de procesos creados por Patch Management

• 0x0000000000400000 (SONOFGWINSTALLER) — Archivo creado por un instalador clasificado como goodware

• 0x0000000000800000 (PROCESS_EXCLUDED) — Archivo no escaneado debido a las exclusiones de WatchGuard EPDR

• 0x0000000001000000 (INTERCEPTION_TXF) — La operación interceptada fue originada por un ejecutable cuya imagen en el disco se está modificando

• 0x0000000002000000 (HASMACROS) — Documento de Microsoft Office con macros

• 0x0000000008000000 (ISPEARM) — Archivo ejecutable para microprocesadores ARM

• 0x0000000010000000 (ISDYNFILTERED) — Se permitió el archivo en la computadora porque no hay tecnologías para clasificarlo

• 0x0000000020000000 (ISDISINFECTED) — El archivo se desinfectó

• 0x0000000040000000 (PROCESSLOST) — La operación no se registró

• 0x0000000080000000 (OPERATION_LOST) — Operación con un informe previo al escaneo para el cual aún no se ha recibido el informe posterior al escaneo

childblake

Firma Blake2 del archivo secundario.

childclassification

Clasificación del proceso secundario que realizó la acción registrada.

• 0 (Unknown) — Archivo en proceso de clasificación
• 1 (Goodware) — Archivo clasificado como goodware
• 2 (Malware) — Archivo clasificado como malware
• 3 (Suspect) — El archivo está en proceso de clasificación y es muy probable que sea malware
• 4 (Compromised) — Proceso en riesgo por un ataque de exploit
• 5 (GWNotConfirmed) — El archivo está en proceso de clasificación y es muy probable que sea malware
• 6 (Pup) — Archivo clasificado como programa indeseado
• 7 (GwUnwanted) — Equivalente a PUP
• 8 (GwRanked) — Proceso clasificado como goodware
• -1 (Unknown) — Desconocido

childfiletime

Fecha del archivo secundario registrado por el agente.

childfilesize

Tamaño del archivo secundario registrado por el agente.

childmd5

Hash del archivo secundario.

childpath

Ruta del archivo secundario que realizó la operación registrada.

ChildPID

ID del proceso secundario.

childurl

URL de descarga de archivos.

childstatus

Estado del proceso secundario:

• 0 (StatusOk) — Estado correcto
• 1 (NotFound) — Elemento no encontrado
• 2 (UnexpectedError) — Error desconocido
• 3 (StaticFiltered) — Archivo identificado como malware utilizando información estática contenida en la protección de Advanced EPDR, EPDR o EDR
• 4 (DynamicFiltered) — Archivo identificado como malware utilizando tecnología local implementada en Advanced EPDR, EPDR o EDR
• 5 (FileIsTooBig) — Archivo demasiado grande
• 6 (PEUploadNotAllowed) — El envío de archivos estaba deshabilitado
• 11 (FileWasUploaded) — Archivo enviado a la nube para su análisis
• 12 (FiletypeFiltered) — Archivo de tipo DLL, NET Native o Serializador de recursos
• 13 (NotUploadGWLocal) — Archivo de Goodware no guardado en WatchGuard Cloud
• 14 (NotUploadMWdisinfect) — Archivo de malware desinfectado no guardado en la nube

classname

Tipo de dispositivo donde reside el proceso. Corresponde a la clase especificada en el archivo .INF asociado con el dispositivo.

configstring

Versión del archivo MVMF.xml en uso.

commandline

Línea de comando configurada como una tarea para ejecutar a través de WMI.

confadvancedrules

Ajustes de la política de seguridad avanzada de WatchGuard EDR, EPDR o Advanced EPDR.

copy

Nombre del servicio que desencadenó el evento.

details

Resumen en forma de un grupo de campos relevantes del evento.

description

Descripción del dispositivo USB que realizó la operación.

detectionid

Identificador único de la detección.

devicetype

Tipo de unidad donde reside el proceso o archivo que desencadenó la operación registrada:

• 0 (UNKNOWN) — Desconocido
• 1 (CD_DVD) — Unidad de CD o DVD
• 2 (USB_STORAGE) — Dispositivo de almacenamiento USB
• 3 (IMAGE) — Archivo de imagen
• 4 (BLUETOOTH) — Dispositivo Bluetooth
• 5 (MODEM) — Módem
• 6 (USB_PRINTER) — Impresora USB
• 7 (PHONE) — Teléfono móvil
• 8 (KEYBOARD) — Teclado
• 9 (HID) — Mouse

direction

Dirección de conexión a la red.

• 0 (UnKnown) — Desconocido
• 1 (Incoming) — Conexión establecida desde fuera de la red a una computadora en la red del cliente
• 2 (Outgoing) — Conexión establecida desde una computadora en la red del cliente a una computadora fuera de la red
• 3 (Bidirectional) — Bidireccional

domainlist

Lista de dominios enviados por el proceso al servidor DNS para su resolución y número de resoluciones por dominio.

domainname

Nombre del dominio al que el proceso intenta acceder / resolver.

errorcode

Código de error devuelto por el sistema operativo cuando hay un intento fallido de inicio de sesión:

• 1073740781 (Protegido por firewall) — La computadora en la que está iniciando sesión está protegida por un firewall de autenticación. La cuenta especificada no tiene permitido autenticarse en la máquina
• 1073741074 (Error de inicio de sesión) — Ocurrió un error durante el inicio de sesión
• 1073741260 (Cuenta bloqueada) — Acceso bloqueado
• 1073741275 (Error de Windows [sin riesgo]) — Es un error en Windows y no es un riesgo
• 1073741276 (Se requiere cambio de contraseña al reiniciar) — La contraseña de usuario debe cambiarse en el próximo inicio
• 1073741477 (Permiso no válido) — El usuario ha solicitado un tipo de inicio de sesión que no se ha concedido
• 1073741421 (Cuenta expirada) — La cuenta ha expirado
• 1073741422 (Netlogon no inicializado) — Se intentó iniciar sesión, pero el servicio Netlogon no se inició
• 1073741428 (Error de confianza de dominios) — La solicitud de inicio de sesión falló porque falló la relación de confianza entre el dominio principal y el dominio de confianza
• 1073741517 (La diferencia de reloj es demasiado grande) — Los relojes de las computadoras conectadas están demasiado desincronizados
• 1073741604 (El servidor Sam no es válido) — El servidor de validación ha fallado.No se puede realizar la operación.
• 1073741710 (Cuenta deshabilitada) — Cuenta deshabilitada
• 1073741711 (Contraseña expirada) — La contraseña ha expirado
• 1073741712 (Estación de trabajo no válida para iniciar sesión) — Se intentó iniciar sesión desde una computadora no autorizada
• 1073741713 (Restricción del día de la cuenta de usuario) — Se intentó iniciar sesión a una hora restringida
• 1073741714 (Nombre de usuario o contraseña no válidos) — Nombre de usuario desconocido o contraseña incorrecta
• 1073741715 (Nombre de usuario o información de autenticación no válidos) — El nombre de usuario o la información de autenticación son incorrectos
• 1073741718 (Contraseña no válida) — El nombre de usuario es correcto, pero la contraseña es incorrecta
• 1073741724 (Nombre de usuario no válido) — El nombre de usuario no existe
• 1073741730 (El servidor de inicio de sesión no está disponible) — El servidor necesario para validar el inicio de sesión no está disponible

errorstring

Cadena de caracteres con información de depuración sobre los ajustes del producto de seguridad.

eventtype

Tipo de evento registrado por el agente:

• 1 (ProcessOps) — El proceso realizó operaciones en el disco duro de la computadora
• 14 (Download) — El proceso descargó datos
• 22 (NetworkOps) — El proceso realizó operaciones de red
• 26 (DataAccess) — El proceso accedió a archivos de datos alojados en dispositivos de almacenamiento masivo internos
• 27 (RegistryOps) — El proceso accedió al Registro de Windows
• 30 (ScriptOps) — Operación realizada por un proceso de tipo script
• 31 (ScriptOps) — Operación realizada por un proceso de tipo script
• 40 (Detection) — Detección realizada por las protecciones activas de WatchGuard Endpoint Security
• 42 (BandwidthUsage) — Volumen de información manejada en cada operación de transferencia de datos realizada por el proceso
• 45 (SystemOps) — Operación realizada por el motor WMI del sistema operativo Windows
• 46 (DnsOps) — El proceso accedió al servidor de nombres DNS
• 47 (DeviceOps) — El proceso accedió a un dispositivo externo
• 50 (UserNotification) — Notificación que se muestra al usuario y respuesta (si corresponde)
• 52 (LoginOutOps) — Operación de inicio de sesión o cierre de sesión realizada por el usuario
• 99 (RemediationOps) — Eventos de detección, bloqueo y desinfección del agente WatchGuard Endpoint Agent
• 100 (HeaderEvent) — Evento administrativo con información sobre los ajustes y la versión del software de protección, así como información sobre la computadora y el cliente
• 199 (HiddenAction) — Evento de detección que no desencadenó una alerta

exploitorigin

Origen del intento de exploit del proceso:

• 1 (URL) — Dirección URL
• 2 (FILE) — Archivo

extendedinfo

Información adicional sobre eventos de Tipo:

• 0 (Creación de eventos de línea de comando) — Vacío
• 1 (Creación de eventos de script activos) — Nombre del archivo de script
• 2 (Consumidor de eventos para filtrar consumidor) — Vacío
• 3 (Consumidor de eventos para filtrar la consulta) — Vacío
• 4 (Crear Usuario) — Vacío
• 5 (Eliminar Usuario) — Vacío
• 6 (Agregar grupo de usuarios) — Grupo SID
• 7 (Eliminar grupo de usuarios) — Grupo SID
• 8 (Administrador de grupo de usuarios) — SID de grupo
• 9 (rdp de grupo de usuarios) — Grupo SID

failedqueries

Número de solicitudes de resolución de DNS fallidas enviadas por el proceso en la última hora.

friendlyname

Un nombre de dispositivo fácil de identificar.

firstseen

Fecha en que se vio el archivo por primera vez.

hostname

Nombre de la computadora que ejecutó el proceso.

infodiscard

Información interna del archivo en cuarentena.

ipv4status

Tipo de dirección IP:

• 0 (Privada)
• 1 (Pública)

isdenied

Indica si se denegó la acción reportada.

islocal

Indica si la tarea se creó en la computadora local o en una computadora remota.

Interactivo

Indica si el inicio de sesión es interactivo.

idname

Nombre del dispositivo.

key

Ramal o clave de registro afectada.

lastquery

Última consulta que el WatchGuard Endpoint Agent envió a la nube.

localip

Dirección IP local del proceso.

localport

Depende del campo de dirección:

• Saliente — El puerto del proceso que se ejecuta en la computadora protegida con WatchGuard EDR, EDPR y Advanced EPDR.
• Entrante — El puerto del proceso que se ejecuta en la computadora remota.

localdatetime

La fecha de la computadora (en formato UTC) en el momento en que ocurrió el evento registrado. Esta fecha depende de los ajustes de la computadora.Como resultado, puede ser incorrecto.

loggeduser

El usuario que inició sesión en la computadora en el momento en que se generó el evento.

machinename

Nombre de la computadora que ejecutó el proceso.

manufacturer

Fabricante del dispositivo.

MUID

ID interno de la computadora del cliente.

objectname

Nombre único del objeto dentro de la jerarquía de WMI.

opentstamp

Fecha de la notificación WMI para eventos WMI_CREATEPROC (54).

operation

Tipo de operación realizada por el proceso:

• 0 (CreateProc) — Proceso creado
• 1 (PECreat) — Programa ejecutable creado
• 2 (PEModif) — Programa ejecutable modificado
• 3 (LibraryLoad) — Biblioteca cargada
• 4 (SvcInst) — Servicio instalado
• 5 (PEMapWrite) — Programa ejecutable mapeado para acceso de escritura
• 6 (PEDelet) — Programa ejecutable eliminado
• 7 (PERenam) — Programa ejecutable renombrado
• 8 (DirCreate) — Carpeta creada
• 9 (CMPCreat) — Archivo comprimido creado
• 10 (CMOpened) — Archivo comprimido abierto
• 11 (RegKExeCreat) — Se creó un ramal del registro que apunta a un archivo ejecutable
• 12 (RegKExeModif) — Se modificó un ramal del registro, que ahora apunta a un archivo ejecutable
• 15 (PENeverSeen) — Programa ejecutable nunca antes visto por WatchGuard EPDR
• 17 (RemoteThreadCreated) — Cadena remota creada
• 18 (ProcessKilled) — Proceso detenido
• 25 (SamAccess) — Acceso a la SAM de la computadora
• 30 (ExploitSniffer) — Técnica de exploit de rastreo detectada
• 31 (ExploitWSAStartup) — Técnica de exploit de WSAStartup detectada
• 32 (ExploitInternetReadFile) — Técnica de exploit de InternetReadFile detectada
• 34 (ExploitCMD) — Técnica de exploit de CMD detectada

• 39 (CargaDeFicheroD16bitsPorNtvdm.exe) — Archivo de 16 bits cargado por ntvdm.exe

• 43 (Heuhooks) — Tecnología anti-exploit detectada

• 54 (Create process por WMI) — Proceso creado por un WMI modificado

• 55 (AttackProduct) — Ataque detectado en el servicio del agente, un archivo o una clave de registro

• 61 (OpenProcess LSASS) — Proceso LSASS abierto

operationflags/ integrityLevel

Indica el nivel de integridad asignado por Windows al artículo:

• 0x0000 Nivel no confiable
• 0x1000 Nivel de integridad bajo
• 0x2000 Nivel de integridad medio
• 0x3000 Nivel de integridad alto
• 0x4000 Nivel de integridad del sistema
• 0x5000 Protegido

operationstatus

Indica si el evento debe enviarse a la Advanced Reporting Tool:

• 0 — Enviar
• 1 — Filtrado por el agente
• 2 — No enviar

origusername

Usuario de la computadora que realizó la operación.

pandaid

Identificación del cliente.

pandaorionstatus

Indica el estado de los ajustes de la hora de la computadora del cliente en comparación con el reloj en WatchGuard Cloud:

• 0 (Version not supported) — La computadora del cliente no admite la sincronización de sus ajustes de hora con los ajustes de WatchGuard.
• 1 (Recalculated WatchGuard Time) — El cliente ha fijado y sincronizado los ajustes de la hora de la computadora con los ajustes de WatchGuard
• 2 (WatchGuard Time OK) — Los ajustes de la hora de la computadora del cliente son correctos
• 3 (WatchGuard Time Calculation Error) — Error al corregir los ajustes de la hora de la computadora

pandatimestatus

Contenido de los campos DateTime, Date y LocalDateTime.

parentattributes

Atributos del proceso principal:

• 0x0000000000000001 (ISINSTALLER) — Archivo autoextraíble (SFX)
• 0x0000000000000002 (ISDRIVER) — Archivo de tipo controlador
• 0x0000000000000008 (ISRESOURCESDLL) — Archivo de tipo DLL de recursos
• 0x0000000000000010 (EXTERNAL) — Archivo desde fuera de la computadora
• 0x0000000000000020 (ISFRESHUNK) — Archivo agregado recientemente a la base de consulta
• 0x0000000000000040 (ISDISSINFECTABLE) — Archivo para el que existe una acción de desinfección recomendada

• 0x0000000000000080 (DETEVENT_DISCARD) — La tecnología de detección de contexto basada en eventos no detectó nada sospechoso

• 0x0000000000000100 (WAITED_FOR_VINDEX) — Ejecución de un archivo cuya creación no había sido registrada

• 0x0000000000000200 (ISACTIONSEND) — Las tecnologías locales no detectaron malware en el archivo y se envió a WatchGuard para su clasificación

• 0x0000000000000400 (ISLANSHARED) — Archivo almacenado en una unidad de red

• 0x0000000000000800 (USERALLOWUNK) — Archivo con permiso para importar archivos DLL desconocidos

• 0x0000000000001000 (ISSESIONREMOTE) — Evento que se origina en una sesión remota

• 0x0000000000002000 (LOADLIB_TIMEOUT) — El tiempo transcurrido entre el momento en que la protección interceptó la carga de la biblioteca y el momento en que se escaneó superó 1 segundo.Como resultado, el escaneo cambió de síncrono a asíncrono para evitar afectar el rendimiento.

• 0x0000000000004000 (ISPE) — Archivo ejecutable

• 0x0000000000008000 (ISNOPE) — Archivo no ejecutable

• 0x0000000000020000 (NOSHELL) — El agente no detectó la ejecución de un comando de shell en el sistema

• 0x0000000000080000 (ISNETNATIVE) — Archivo nativo NET

• 0x0000000000100000 (ISSERIALIZER) — Archivo serializador

• 0x0000000000400000 (SONOFGWINSTALLER) — Archivo creado por un instalador clasificado como goodware

• 0x0000000001000000 (INTERCEPTION_TXF) — La operación interceptada fue originada por un ejecutable cuya imagen en el disco se está modificando

• 0x0000000002000000 (HASMACROS) — Documento de Microsoft Office con macros

• 0x0000000008000000 (ISPEARM) — Archivo ejecutable para microprocesadores ARM

• 0x0000000010000000 (ISDYNFILTERED) — Se permitió el archivo en la computadora porque no hay tecnologías para clasificarlo

• 0x0000000020000000 (ISDISINFECTED) — El archivo se desinfectó

• 0x0000000040000000 (PROCESSLOST) — La operación no se registró

• 0x0000000080000000 (OPERATION_LOST) — Operación con un informe previo al escaneo para el cual aún no se ha recibido el informe posterior al escaneo

parentblake

Firma Blake2 del archivo principal que realizó la operación.

parentcount

Número de procesos con fallas de DNS.

parentmd5

Hash del archivo principal.

parentpath

Ruta del archivo principal que realizó la operación registrada.

parentpid

ID del proceso principal.

parentstatus

Estado del proceso principal:

• 0 (StatusOk) — Estado correcto
• 1 (NotFound) — Elemento no encontrado
• 2 (UnexpectedError) — Error desconocido
• 3 (StaticFiltered) — Archivo identificado como malware utilizando información estática contenida en WatchGuard Endpoint Security
• 4 (DynamicFiltered) — Archivo identificado como malware utilizando tecnología local implementada en WatchGuard EDR, EPDR o Advanced EPDR
• 5 (FileIsTooBig) — Archivo demasiado grande
• 6 (PEUploadNotAllowed) — El envío de archivos estaba deshabilitado
• 11 (FileWasUploaded) — Archivo enviado a la nube
• 12 (FiletypeFiltered) — Archivo de tipo DLL, NET Native o Serializador de recursos
• 13 (NotUploadGWLocal) — Archivo de Goodware no guardado en la nube
• 14 (NotUploadMWdisinfect) — Archivo de malware desinfectado no guardado en la nube

pecreationsource

Tipo de unidad donde se creó el proceso:

• (0) Desconocido — No se puede determinar el tipo de dispositivo
• (1) Sin directorio raíz — La ruta del dispositivo no es válida.Por ejemplo, el medio de almacenamiento externo se desconectó.
• (2) Medios extraíbles — Medios de almacenamiento extraíbles
• (3) Medios fijos — Medios de almacenamiento internos
• (4) Unidad remota — Medios de almacenamiento remotos (por ejemplo, una unidad de red)
• (5) Unidad de CD-ROM
• (6) Disco RAM

phonedescription

Descripción del teléfono si la operación involucró un dispositivo de este tipo.

protocol

Protocolo de comunicaciones utilizado por el proceso:

• 1 (ICMP)
• 2 (IGMP)
• 3 (RFCOMM)
• 6 (TCP)
• 12 (RDP)
• 17 (UDP)
• 58 (ICMPV6)
• 113 (RM)

querieddomaincount

Número de dominios diferentes enviados por el proceso para los que hubo una falla en la resolución de DNS en la última hora.

regaction

Tipo de operación realizada en el registro de Windows de la computadora:

• 0 (CreateKey) — Se creó un nuevo ramal de registro
• 1 (CreateValue) — Se asignó un valor a un ramal del registro
• 2 (ModifyValue) — Se modificó un valor de ramal del registro

remediationresult

Respuesta del usuario al mensaje emergente mostrado WatchGuard Advanced EPDR, EPDR o EDR:

• 0 (Ok) — El cliente aceptó el mensaje
• 1 (Timeout) — El mensaje emergente desapareció debido a la inacción del usuario
• 2 (Angry) — El usuario eligió la opción de no bloquear el elemento del mensaje emergente mostrado
• 3 (Block) — El elemento se bloqueó porque el usuario no respondió al mensaje emergente
• 4 (Allow) — El usuario aceptó la solución
• -1 (Unknown) — Desconocido

remoteip

Dirección IP de la computadora que inició la sesión remota.

remotemachinename

Nombre de la computadora que inició la sesión remota.

remoteport

Depende del campo de dirección:

• Entrante — El puerto del proceso que se ejecuta en la computadora protegida por WatchGuard EDR, EPDR, o Advanced EPDR
• Saliente — El puerto del proceso que se ejecuta en la computadora remota

remoteusername

Nombre de la computadora que inició la sesión remota.

sessiondate

La fecha en que se inició el servicio antivirus por última vez o la última vez que se inició desde la última actualización.

sessiontype

Tipo de inicio de sesión:

• 0 (System Only) — Sesión iniciada con una cuenta del sistema
• 2 (Local) — Sesión creada físicamente a través de un teclado o mediante KVM por IP
• 3 (Remote) — Sesión creada de forma remota en carpetas o impresoras compartidas. Este tipo de inicio de sesión utiliza autenticación segura.
• 4 (Scheduled) — Sesión creada por el programador de tareas de Windows
• -1 (Unknown) — Desconocido
• 5 (Service) — Sesión creada cuando se inicia un servicio que debe ejecutarse en la sesión del usuario.La sesión se elimina cuando el servicio se detiene.
• 7 (Blocked) — Sesión creada cuando un usuario intenta unirse a una sesión previamente bloqueada
• 8 (Remote Unsecure) — Igual que el tipo 3, pero la contraseña se envía en texto sin formato
• 9 (RunAs) — Sesión creada cuando el comando “RunAs” se utiliza en una cuenta distinta a la utilizada para iniciar sesión y se especifica el parámetro “/netonly”. Si no se especifica el parámetro “/netonly”, se crea una sesión de tipo 2.
• 10 (TsClient) — Sesión creada al acceder a través de “Servicio de Terminal”, “Escritorio Remoto” o “Asistencia Remota”.Identifica una conexión de usuario remoto.
• 11 (Domain Cached) — Sesión de usuario creada con datos de usuario de dominio almacenados en caché en la máquina, pero sin conexión al controlador de dominio

servicelevel

Modo de ejecución del agente:

• 0 (Learning) — El agente no bloquea ningún elemento, pero supervisa todos los procesos en ejecución
• 1 (Hardening) — El agente bloquea todos los programas no clasificados que provienen de una fuente que no es de confianza y los elementos clasificados como malware
• 2 (Block) — El agente bloquea todos los ejecutables sin clasificar y los elementos clasificados como malware
• -1 (N/A)

timeout

El escaneo local tardó demasiado en completarse y el proceso se delegó a otros mecanismos que no afectan el rendimiento.

times

Número de veces que ocurrió el mismo evento de comunicación en la última hora.

timestamp

Marca de tiempo de la acción detectada en la computadora del cliente que generó el indicador.

totalresolutiontime

Indica el tiempo que tardó la nube en responder y si la consulta del código de error falló:

• 0 — La nube no se consultó
• >0 — Tiempo en milisegundos que tardó la nube en responder a la consulta
• <0 — Código de error de la consulta en la nube

type

Tipo de operación WMI realizada por el proceso:

• 0 (Creación de eventos de línea de comandos) — WMI lanzó una línea de comandos en respuesta a un cambio en la base de datos
• 1 (Creación de evento de script activo) — Se ejecutó un script en respuesta a la recepción de un evento
• 2 (Consumidor de evento para filtrar el consumidor) — Este evento se genera siempre que un proceso se suscribe para recibir notificaciones.Se recibe el nombre del filtro creado.
• 3 (Consumidor de evento para filtrar la consulta) — Este evento se genera siempre que se suscribe un proceso para recibir notificaciones.Se recibe la consulta ejecutada por el proceso de suscripción.
• 4 (Crear Usuario) — Se agregó una cuenta de usuario al sistema operativo
• 5 (Eliminar Usuario) — Se eliminó una cuenta de usuario del sistema operativo
• 6 (Agregar grupo de usuarios) — Se agregó un grupo al sistema operativo
• 7 (Eliminar grupo de usuarios) — Se eliminó un grupo del sistema operativo
• 8 (Administrador del grupo de usuarios) — Se agregó un usuario al grupo de administración
• 9 (Grupo de usuarios rdp) — Se agregó un usuario al grupo RDP

uniqueid

ID único del dispositivo.

url

Descarga la URL iniciada por el proceso que generó el evento registrado.

value

Tipo de operación realizada en el registro de Windows de la computadora:

• 0 (CreateKey) — Se creó un nuevo ramal de registro
• 1 (CreateValue) — Se asignó un valor a un ramal del registro
• 2 (ModifyValue) — Se modificó un valor de ramal del registro

valuedata

Tipo de dato del valor contenido en el ramal del registro:

• 00 (REG_NONE)
• 01 (REG_SZ)
• 02 (REG_EXPAND_SZ)
• 03 (REG_BINARY)
• 04 (REG_DWORD)
• 05 (REG_DWORD_BIG_ENDIAN)
• 06 (REG_LINK)
• 07 (REG_MULTI_SZ)
• 08 (REG_RESOURCE_LIST)
• 09 (REG_FULL_RESOURCE_DESCRIPTOR)
• 0A (REG_RESOURCE_REQUIREMENTS_LIST)
• 0B (REG_QWORD)
• 0C (REG_QWORD_LITTLE_ENDIAN)

vdetevent

Versión DLL de Deteven.dll.

version

Versión del sistema operativo de la computadora que ejecutó el software vulnerable.

versionagent

Versión de agente instalada.

versioncontroller

Versión DLL de Psnmvctrl.dll.

vtabledetevent

Versión DLL de TblEven.dll.

vtableramsomevent

Versión DLL de TblRansomEven.dll.

vramsomevent

Versión DLL de RansomEvent.dll.

vantiexploit

Versión con tecnología anti-exploit.

vtfilteraxtiexploit

Versión de filtro con tecnología anti-exploit.

versionproduct

Versión del producto de protección instalado.

winningtech

WatchGuard Endpoint Agent que generó el evento:

• 0 (Unknown) — Desconocido
• 1 (Cache) — Clasificación en caché local
• 2 (Cloud) — Clasificación descargada de la nube
• 3 (Context) — Regla de contexto local
• 4 (Serializer) — Tipo binario
• 5 (User) — Se le preguntó al usuario sobre la acción a realizar
• 6 (LegacyUser) — Se le preguntó al usuario sobre la acción a realizar
• 7 (NetNative) — Tipo binario
• 8 (CertifUA) — Detección por certificados digitales
• 9 (LocalSignature) — Firma local
• 10 (ContextMinerva) — Regla de contexto alojada en la nube
• 11 (Blockmode) — El agente estaba en modo de Endurecimiento o Bloqueo cuando la ejecución del proceso se bloqueó
• 12 (Metasploit) — Ataque creado con el Marco Metasploit
• 13 (DLP) — Tecnología de Prevención de Filtración de Datos
• 14 (AntiExploit) — Tecnología que identifica los intentos de explotar procesos vulnerables
• 15 (GWFilter) — Tecnología que identifica procesos de goodware
• 16 (Policy) — Políticas de seguridad avanzadas de WatchGuard EPDR
• 17 (SecAppControl) — Tecnologías de control de aplicaciones de seguridad
• 18 (ProdAppControl) — Tecnologías de control de aplicaciones de productividad
• 19 (EVTContext) — Tecnología contextual de Linux
• 20 (RDP) — Tecnología para detectar / bloquear intrusiones y ataques de RDP (Protocolo de Escritorio Remoto)
• 21 (AMSI) — Tecnología para detectar malware en notificaciones AMSI
• -1 (Unknown) — Desconocido