Eventos de Indicadores de Ataque (IOA)

Se aplica a: WatchGuard EPDR, WatchGuard EDR

WatchGuard EPDR y EDR monitorizan los procesos que se ejecutan en las computadoras de los clientes y envían a WatchGuard Cloud los datos de telemetría generados. Los cazadores de amenazas especializados utilizan estos datos para detectar Indicadores de Ataque (IOA) en los recursos de TI del cliente.

Los datos de telemetría se almacenan en eventos que constan de varios campos. La información sobre el evento que desencadenó el IOA está disponible en formato JSON en la página de detalles del IOA, así como en los gráficos de ataque. Dependiendo del IOA, algunos de los campos se muestran en la sección Otros Detalles de la página de detalles del IOA y en los nodos y flechas del gráfico de ataque. Para más información, consulte Detalles del Indicador de Ataque y Acerca de los Gráficos de Ataque.

Eventos

Un evento es un registro que consta de campos que describen una acción realizada por un proceso en una computadora. Cada tipo de evento incluye un número específico de campos. Esta tabla proporciona las descripciones, los tipos de datos y los posibles valores de los campos en los eventos.

Campo Descripción Tipo de Campo

accesstype

Máscara de acceso a archivos:

  • (54) WMI_CREATEPROC: Local WMI

Para todas las demás operaciones:

Máscara de bits

accnube

El agente instalado en la computadora del cliente puede acceder a WatchGuard Cloud.

Booleano

action

Tipo de acción realizada por el agente de WatchGuard EDR o WatchGuard EPDR, por el usuario o por el proceso afectado:

  • 0 (Allow) — El agente permitió que se ejecutara el proceso.
  • 1 (Block) — El agente bloqueó la ejecución del proceso.
  • 2 (BlockTimeout) — El agente mostró un mensaje emergente al usuario, pero el usuario no respondió a tiempo.
  • 3 (AllowWL) — El agente permitió que se ejecutara el proceso porque está en la lista de permitidos de goodware local.
  • 4 (BlockBL) — El agente bloqueó la ejecución del proceso porque está en la lista de bloqueados de malware local.
  • 5 (Desinfect) — El agente desinfectó el proceso.
  • 6 (Delete) — El agente clasificó el proceso como malware y lo eliminó porque no se pudo desinfectar.
  • 7 (Quarantine) — El agente clasificó el proceso como malware y lo movió a la carpeta de cuarentena en la computadora.
  • 8 (AllowByUser) — El agente mostró un mensaje emergente al usuario y el usuario respondió con “Permitir ejecución”.
  • 9 (Informed) — El agente mostró un mensaje emergente al usuario.
  • 10 (Unquarantine) — El agente eliminó el archivo de la carpeta de cuarentena.
  • 11 (Rename) — El agente cambió el nombre del archivo. Esta acción se usa solo para pruebas.

  • 12 (BlockURL) — El agente bloqueó la URL.

  • 13 (KillProcess) — El agente cerró el proceso.

  • 14 (BlockExploit) — El agente detuvo un intento de explotar un proceso vulnerable.

  • 15 (ExploitAllowByUser) — El usuario no permitió que se cerrara el proceso explotado.

  • 16 (RebootNeeded) — El agente requiere que la computadora se reinicie para bloquear el intento de exploit.

  • 17 (ExploitInformed) — El agente mostró un mensaje emergente al usuario en el que informa un intento de explotar un proceso vulnerable.

  • 18 (AllowSonGWInstaller) — El agente permitió que el proceso se ejecutara porque pertenece a un paquete de instalación clasificado como goodware.

  • 19 (EmbebedInformed) — El agente envió información operativa interna a la nube para mejorar las rutinas de detección.

  • 21 (SuspendProcess) — El proceso monitorizado intentó suspender el servicio antivirus.

  • 22 (ModifyDiskResource) — El proceso monitorizado intentó modificar un recurso protegido por el escudo del agente.

  • 23 (ModifyRegistry) — El proceso monitorizado intentó modificar una clave de registro protegida por el escudo del agente.

  • 24 (RenameRegistry) — El proceso monitorizado intentó cambiar el nombre de una clave de registro protegida por el escudo del agente.

  • 25 (ModifyMarkFile) — El proceso monitorizado intentó modificar un archivo protegido por el escudo del agente.

  • 26 (Undefined) — Error al monitorizar la operación del proceso.

  • 28 (AllowFGW) — El agente permitió la operación realizada por el proceso monitorizado porque está en la lista de permitidos local de goodware.

  • 29 (AllowSWAuthorized) — El agente permitió la operación realizada por el proceso monitorizado porque el administrador marcó el archivo como software autorizado.

  • 31 (ExploitAllowByAdmin) — El agente permitió la operación realizada por el proceso monitorizado porque el administrador de red excluyó el exploit.

  • 32 (IPBlocked) — El agente bloqueó las direcciones IP para mitigar un ataque RDP (Protocolo de Escritorio Remoto).

Enumeración

actiontype

Indica el tipo de sesión:

  • 0 (Login) — Inicio de sesión en la computadora del cliente.
  • 1 (Logout) — Cierre de sesión en la computadora del cliente.
  • -1 (Unkown) — No se puede determinar el tipo de sesión.

Enumeración

age

Fecha de la última modificación del archivo.

Fecha

blockreason

Motivo del mensaje emergente que se muestra en la computadora:

  • 0 — El archivo se bloqueó porque se desconoce, y el modo de protección avanzada de WatchGuard EPDR o WatchGuard EDR está configurado en Endurecimiento o Bloqueo.
  • 1 — El archivo fue bloqueado por las reglas locales.
  • 2 — El archivo se bloqueó porque el origen no es de confianza.
  • 3 — El archivo fue bloqueado por una regla de contexto.
  • 4 — El archivo se bloqueó porque es un exploit.
  • 5 — El archivo se bloqueó después de pedirle al usuario que cerrara el proceso.

Enumeración

bytesreceived

Bytes totales recibidos por el proceso monitorizado.

Valor numérico

bytessent

Bytes totales enviados por el proceso monitorizado.

Valor numérico

callstack/sonsize

Tamaño en bytes del archivo secundario.

Valor numérico

childattributes

Atributos del proceso secundario:

  • 0x0000000000000001 (ISINSTALLER) — Archivo autoextraíble (SFX)
  • 0x0000000000000002 (ISDRIVER) — Archivo de tipo controlador
  • 0x0000000000000008 (ISRESOURCESDLL) — Archivo de tipo DLL de recursos
  • 0x0000000000000010 (EXTERNAL) — Archivo desde fuera de la computadora

  • 0x0000000000000020 (ISFRESHUNK) — Archivo agregado recientemente a la base de consulta de WatchGuard

  • 0x0000000000000040 (ISDISSINFECTABLE) — Archivo para el que existe una acción de desinfección recomendada

  • 0x0000000000000080 (DETEVENT_DISCARD) — La tecnología de detección de contexto basada en eventos no detectó nada sospechoso

  • 0x0000000000000100 (WAITED_FOR_VINDEX) — Ejecución de un archivo cuya creación no había sido registrada

  • 0x0000000000000200 (ISACTIONSEND) — El agente cliente no detectó malware en el archivo y se envió a WatchGuard para su clasificación

  • 0x0000000000000400 (ISLANSHARED) — Archivo almacenado en una unidad de red.

  • 0x0000000000000800 (USERALLOWUNK) — Archivo con permiso para importar archivos DLL desconocidos

  • 0x0000000000001000 (ISSESIONREMOTE) — Evento que se originó en una sesión remota

  • 0x0000000000002000 (LOADLIB_TIMEOUT) — El tiempo transcurrido entre el momento en que la protección interceptó la carga de la biblioteca y el momento en que se escaneó superó 1 segundo. Como resultado, el escaneo cambió de síncrono a asíncrono para evitar afectar el rendimiento.

  • 0x0000000000004000 (ISPE) — Archivo ejecutable

  • 0x0000000000008000 (ISNOPE) — Archivo no ejecutable

  • 0x0000000000020000 (NOSHELL) — El agente no detectó la ejecución de un comando de shell en el sistema

  • 0x0000000000080000 (ISNETNATIVE) — Archivo nativo NET

  • 0x0000000000100000 (ISSERIALIZER) — Archivo serializador

  • 0x0000000000400000 (SONOFGWINSTALLER) — Archivo creado por un instalador clasificado como goodware

  • 0x0000000000800000 (PROCESS_EXCLUDED) — Archivo no escaneado debido a las exclusiones de WatchGuard EPDR

  • 0x0000000001000000 (INTERCEPTION_TXF) — La operación interceptada fue originada por un ejecutable cuya imagen en el disco se está modificando

  • 0x0000000002000000 (HASMACROS) — Documento de Microsoft Office con macros

  • 0x0000000008000000 (ISPEARM) — Archivo ejecutable para microprocesadores ARM

  • 0x0000000010000000 (ISDYNFILjected) — Se permitió el archivo en la computadora porque no hay tecnologías para clasificarlo

  • 0x0000000020000000 (ISDISINFECTED) — El archivo se desinfectó

  • 0x0000000040000000 (PROCESSLOST) — La operación no se registró

  • 0x0000000080000000 (OPERATION_LOST) — Operación con un informe previo al escaneo para el cual aún no se ha recibido el informe posterior al escaneo

Enumeración

childblake

Firma Blake2 del archivo secundario.

Cadena de caracteres

childclassification

Clasificación del proceso secundario que realizó la acción registrada.

  • 0 (Unknown) — Archivo en proceso de clasificación
  • 1 (Goodware) — Archivo clasificado como goodware
  • 2 (Malware) — Archivo clasificado como malware
  • 3 (Suspect) — El archivo está en proceso de clasificación y es muy probable que sea malware
  • 4 (Compromised) — Proceso en riesgo por un ataque de exploit
  • 5 (GWNotConfirmed) — El archivo está en proceso de clasificación y es muy probable que sea malware
  • 6 (Pup) — Archivo clasificado como programa indeseado
  • 7 (GwUnwanted) — Equivalente a PUP
  • 8 (GwRanked) — Proceso clasificado como goodware
  • -1 (Unknown) — Desconocido

Enumeración

childfiletime

Fecha del archivo secundario registrado por el agente.

Fecha

childfilesize

Tamaño del archivo secundario registrado por el agente.

Valor numérico

childmd5

Hash del archivo secundario.

Cadena de caracteres

childpath

Ruta del archivo secundario que realizó la operación registrada.

Cadena de caracteres

ChildPID

ID del proceso secundario.

Valor numérico

childurl

URL de descarga de archivos.

Cadena de caracteres

childstatus

Estado del proceso secundario:

  • 0 (StatusOk) — Estado correcto
  • 1 (NotFound) — Elemento no encontrado
  • 2 (UnexpectedError) — Error desconocido
  • 3 (StaticFiltered) — Archivo identificado como malware utilizando información estática contenida en la protección WatchGuard EDR o WatchGuard EPDR
  • 4 (DynamicFiltered) — Archivo identificado como malware utilizando tecnología local implementada en WatchGuard EDR o WatchGuard EPDR
  • 5 (FileIsTooBig) — Archivo demasiado grande
  • 6 (PEUploadNotAllowed) — El envío de archivos estaba deshabilitado
  • 11 (FileWasUploaded) — Archivo enviado a la nube para su análisis
  • 12 (FiletypeFiltered) — Archivo de tipo DLL, NET Native o Serializador de recursos
  • 13 (NotUploadGWLocal) — Archivo de Goodware no guardado en WatchGuard Cloud
  • 14 (NotUploadMWdisinfect) — Archivo de malware desinfectado no guardado en WatchGuard Cloud

Enumeración

classname

Tipo de dispositivo donde reside el proceso. Corresponde a la clase especificada en el archivo .INF asociado con el dispositivo.

Cadena de caracteres

configstring

Versión del archivo MVMF.xml en uso.

Cadena de caracteres

commandline

Línea de comando configurada como una tarea para ejecutar a través de WMI.

Cadena de caracteres

confadvancedrules

Ajustes de la política de seguridad avanzada de WatchGuard EDR o WatchGuard EPDR.

Cadena de caracteres

copy

Nombre del servicio que desencadenó el evento.

Cadena de caracteres

details

Resumen en forma de un grupo de campos relevantes del evento.

Cadena de caracteres

description

Descripción del dispositivo USB que realizó la operación.

Cadena de caracteres

detectionid

Identificador único de la detección.

Valor numérico

devicetype

Tipo de unidad donde reside el proceso o archivo que desencadenó la operación registrada:

  • 0 (UNKNOWN) — Desconocido
  • 1 (CD_DVD) — Unidad de CD o DVD
  • 2 (USB_STORAGE) — Dispositivo de almacenamiento USB
  • 3 (IMAGE) — Archivo de imagen
  • 4 (BLUETOOTH) — Dispositivo Bluetooth
  • 5 (MODEM) — Módem
  • 6 (USB_PRINTER) — Impresora USB
  • 7 (PHONE) — Teléfono móvil
  • 8 (KEYBOARD) — Teclado
  • 9 (HID) — Mouse

Enumeración

direction

Dirección de conexión a la red.

  • 0 (UnKnown) — Desconocido
  • 1 (Incoming) — Conexión establecida desde fuera de la red a una computadora en la red del cliente
  • 2 (Outgoing) — Conexión establecida desde una computadora en la red del cliente a una computadora fuera de la red
  • 3 (Bidirectional) — Bidireccional

Enumeración

domainlist

Lista de dominios enviados por el proceso al servidor DNS para su resolución y número de resoluciones por dominio.

{domain_name,n umber#domain_ name,number}

domainname

Nombre del dominio al que el proceso intenta acceder / resolver.

Cadena de caracteres

errorcode

Código de error devuelto por el sistema operativo cuando hay un intento fallido de inicio de sesión:

  • 1073740781 (Protegido por firewall) — La computadora en la que está iniciando sesión está protegida por un firewall de autenticación. La cuenta especificada no tiene permitido autenticarse en la máquina
  • 1073741074 (Error de inicio de sesión) — Ocurrió un error durante el inicio de sesión
  • 1073741260 (Cuenta bloqueada) — Acceso bloqueado
  • 1073741275 (Error de Windows [sin riesgo]) — Es un error en Windows y no es un riesgo
  • 1073741276 (Se requiere cambio de contraseña al reiniciar) — La contraseña de usuario debe cambiarse en el próximo inicio
  • 1073741477 (Permiso no válido) — El usuario ha solicitado un tipo de inicio de sesión que no se ha concedido
  • 1073741421 (Cuenta expirada) — La cuenta ha expirado
  • 1073741422 (Netlogon no inicializado) — Se intentó iniciar sesión, pero el servicio Netlogon no se inició
  • 1073741428 (Error de confianza de dominios) — La solicitud de inicio de sesión falló porque falló la relación de confianza entre el dominio principal y el dominio de confianza
  • 1073741517 (La diferencia de reloj es demasiado grande) — Los relojes de las computadoras conectadas están demasiado desincronizados
  • 1073741604 (El servidor Sam no es válido) — El servidor de validación ha fallado. No se puede realizar la operación.
  • 1073741710 (Cuenta deshabilitada) — Cuenta deshabilitada
  • 1073741711 (Contraseña expirada) — La contraseña ha expirado
  • 1073741712 (Estación de trabajo no válida para iniciar sesión) — Se intentó iniciar sesión desde una computadora no autorizada
  • 1073741713 (Restricción del día de la cuenta de usuario) — Se intentó iniciar sesión a una hora restringida
  • 1073741714 (Nombre de usuario o contraseña no válidos) — Nombre de usuario desconocido o contraseña incorrecta
  • 1073741715 (Nombre de usuario o información de autenticación no válidos) — El nombre de usuario o la información de autenticación son incorrectos
  • 1073741718 (Contraseña no válida) — El nombre de usuario es correcto, pero la contraseña es incorrecta
  • 1073741724 (Nombre de usuario no válido) — El nombre de usuario no existe
  • 1073741730 (El servidor de inicio de sesión no está disponible) — El servidor necesario para validar el inicio de sesión no está disponible

Enumeración

errorstring

Cadena de caracteres con información de depuración sobre los ajustes del producto de seguridad.

Cadena de caracteres

eventtype

Tipo de evento registrado por el agente:

  • 1 (ProcessOps) — El proceso realizó operaciones en el disco duro de la computadora
  • 14 (Download) — El proceso descargó datos
  • 22 (NetworkOps) — El proceso realizó operaciones de red
  • 26 (DataAccess) — El proceso accedió a archivos de datos alojados en dispositivos de almacenamiento masivo internos
  • 27 (RegistryOps) — El proceso accedió al Registro de Windows
  • 30 (ScriptOps) — Operación realizada por un proceso de tipo script
  • 31 (ScriptOps) — Operación realizada por un proceso de tipo script
  • 40 (Detection) — Detección realizada por las protecciones activas de WatchGuard EDR
  • 42 (BandwidthUsage) — Volumen de información manejada en cada operación de transferencia de datos realizada por el proceso
  • 45 (SystemOps) — Operación realizada por el motor WMI del sistema operativo Windows
  • 46 (DnsOps) — El proceso accedió al servidor de nombres DNS
  • 47 (DeviceOps) — El proceso accedió a un dispositivo externo
  • 50 (UserNotification) — Notificación que se muestra al usuario y respuesta (si corresponde)
  • 52 (LoginOutOps) — Operación de inicio de sesión o cierre de sesión realizada por el usuario
  • 99 (RemediationOps) — Eventos de detección, bloqueo y desinfección del agente WatchGuard EDR o WatchGuard EPDR
  • 100 (HeaderEvent) — Evento administrativo con información sobre los ajustes y la versión del software de protección, así como información sobre la computadora y el cliente
  • 199 (HiddenAction) — Evento de detección que no desencadenó una alerta

Enumeración

exploitorigin

Origen del intento de exploit del proceso:

  • 1 (URL) — Dirección URL
  • 2 (FILE) — Archivo

Enumeración

extendedinfo

Información adicional sobre eventos de Tipo:

  • 0 (Creación de eventos de línea de comando) — Vacío
  • 1 (Creación de eventos de script activos) — Nombre del archivo de script
  • 2 (Consumidor de eventos para filtrar consumidor) — Vacío
  • 3 (Consumidor de eventos para filtrar la consulta) — Vacío
  • 4 (Crear Usuario) — Vacío
  • 5 (Eliminar Usuario) — Vacío
  • 6 (Agregar grupo de usuarios) — Grupo SID
  • 7 (Eliminar grupo de usuarios) — Grupo SID
  • 8 (Administrador de grupo de usuarios) — SID de grupo
  • 9 (rdp de grupo de usuarios) — Grupo SID

Cadena de caracteres

failedqueries

Número de solicitudes de resolución de DNS fallidas enviadas por el proceso en la última hora.

Valor numérico

friendlyname

Un nombre de dispositivo fácil de identificar.

Cadena de caracteres

firstseen

Fecha en que se vio el archivo por primera vez.

Fecha

hostname

Nombre de la computadora que ejecutó el proceso.

Cadena de caracteres

infodiscard

Información interna del archivo en cuarentena.

Cadena de caracteres

ipv4status

Tipo de dirección IP:

  • 0 (Privada)
  • 1 (Pública)

Enumeración

isdenied

Indica si se denegó la acción reportada.

Valor binario

islocal

Indica si la tarea se creó en la computadora local o en una computadora remota.

Valor binario

Interactivo

Indica si el inicio de sesión es interactivo.

Valor binario

idname

Nombre del dispositivo.

Cadena de caracteres

key

Ramal o clave de registro afectada.

Cadena de caracteres

lastquery

Última consulta enviada a la nube por el agente de WatchGuard EDR o WatchGuard EPDR.

Fecha

localip

Dirección IP local del proceso.

Dirección IP

localport

Depende del campo de dirección:

  • Saliente — El puerto del proceso que se ejecuta en la computadora protegida con WatchGuard EDR y WatchGuard EPDR.
  • Entrante — El puerto del proceso que se ejecuta en la computadora remota.

Valor numérico

localdatetime

La fecha de la computadora (en formato UTC) en el momento en que ocurrió el evento registrado. Esta fecha depende de los ajustes de la computadora. Como resultado, puede ser incorrecto.

Fecha

loggeduser

El usuario que inició sesión en la computadora en el momento en que se generó el evento.

Cadena de caracteres

machinename

Nombre de la computadora que ejecutó el proceso.

Cadena de caracteres

manufacturer

Fabricante del dispositivo.

Cadena de caracteres

MUID

ID interno de la computadora del cliente.

Cadena de caracteres

objectname

Nombre único del objeto dentro de la jerarquía de WMI.

Cadena de caracteres

opentstamp

Fecha de la notificación WMI para eventos WMI_CREATEPROC (54).

Máscara de bits

operation

Tipo de operación realizada por el proceso:

  • 0 (CreateProc) — Proceso creado
  • 1 (PECreat) — Programa ejecutable creado
  • 2 (PEModif) — Programa ejecutable modificado
  • 3 (LibraryLoad) — Biblioteca cargada
  • 4 (SvcInst) — Servicio instalado
  • 5 (PEMapWrite) — Programa ejecutable mapeado para acceso de escritura
  • 6 (PEDelet) — Programa ejecutable eliminado
  • 7 (PERenam) — Programa ejecutable renombrado
  • 8 (DirCreate) — Carpeta creada
  • 9 (CMPCreat) — Archivo comprimido creado
  • 10 (CMOpened) — Archivo comprimido abierto
  • 11 (RegKExeCreat) — Se creó un ramal del registro que apunta a un archivo ejecutable
  • 12 (RegKExeModif) — Se modificó un ramal del registro, que ahora apunta a un archivo ejecutable
  • 15 (PENeverSeen) — Programa ejecutable nunca antes visto por WatchGuard EPDR
  • 17 (RemoteThreadCreated) — Cadena remota creada
  • 18 (ProcessKilled) — Proceso detenido
  • 25 (SamAccess) — Acceso a la SAM de la computadora
  • 30 (ExploitSniffer) — Técnica de exploit de rastreo detectada
  • 31 (ExploitWSAStartup) — Técnica de exploit de WSAStartup detectada
  • 32 (ExploitInternetReadFile) — Técnica de exploit de InternetReadFile detectada
  • 34 (ExploitCMD) — Técnica de exploit de CMD detectada

  • 39 (CargaDeFicheroD16bitsPorNtvdm.exe) — Archivo de 16 bits cargado por ntvdm.exe

  • 43 (Heuhooks) — Tecnología anti-exploit detectada

  • 54 (Create process por WMI) — Proceso creado por un WMI modificado

  • 55 (AttackProduct) — Ataque detectado en el servicio del agente, un archivo o una clave de registro

  • 61 (OpenProcess LSASS) — Proceso LSASS abierto

Enumeración

operationflags/ integrityLevel

Indica el nivel de integridad asignado por Windows al artículo:

  • 0x0000 Nivel no confiable
  • 0x1000 Nivel de integridad bajo
  • 0x2000 Nivel de integridad medio
  • 0x3000 Nivel de integridad alto
  • 0x4000 Nivel de integridad del sistema
  • 0x5000 Protegido

Enumeración

operationstatus

Indica si el evento debe enviarse a la Advanced Reporting Tool:

  • 0 — Enviar
  • 1 — Filtrado por el agente
  • 2 — No enviar

Valor numérico

origusername

Usuario de la computadora que realizó la operación.

Cadena de caracteres

pandaid

Identificación del cliente.

Valor numérico

pandaorionstatus

Indica el estado de los ajustes de la hora de la computadora del cliente en comparación con el reloj en WatchGuard Cloud:

  • 0 (Version not supported) — La computadora del cliente no admite la sincronización de sus ajustes de hora con los ajustes de WatchGuard.
  • 1 (Recalculated WatchGuard Time) — El cliente ha fijado y sincronizado los ajustes de la hora de la computadora con los ajustes de WatchGuard
  • 2 (WatchGuard Time OK) — Los ajustes de la hora de la computadora del cliente son correctos
  • 3 (WatchGuard Time Calculation Error) — Error al corregir los ajustes de la hora de la computadora

Enumeración

pandatimestatus

Contenido de los campos DateTime, Date y LocalDateTime.

Fecha

parentattributes

Atributos del proceso principal:

  • 0x0000000000000001 (ISINSTALLER) — Archivo autoextraíble (SFX)
  • 0x0000000000000002 (ISDRIVER) — Archivo de tipo controlador
  • 0x0000000000000008 (ISRESOURCESDLL) — Archivo de tipo DLL de recursos
  • 0x0000000000000010 (EXTERNAL) — Archivo desde fuera de la computadora
  • 0x0000000000000020 (ISFRESHUNK) — Archivo agregado recientemente a la base de consulta
  • 0x0000000000000040 (ISDISSINFECTABLE) — Archivo para el que existe una acción de desinfección recomendada

  • 0x0000000000000080 (DETEVENT_DISCARD) — La tecnología de detección de contexto basada en eventos no detectó nada sospechoso

  • 0x0000000000000100 (WAITED_FOR_VINDEX) — Ejecución de un archivo cuya creación no había sido registrada

  • 0x0000000000000200 (ISACTIONSEND) — Las tecnologías locales no detectaron malware en el archivo y se envió a WatchGuard para su clasificación

  • 0x0000000000000400 (ISLANSHARED) — Archivo almacenado en una unidad de red

  • 0x0000000000000800 (USERALLOWUNK) — Archivo con permiso para importar archivos DLL desconocidos

  • 0x0000000000001000 (ISSESIONREMOTE) — Evento que se origina en una sesión remota

  • 0x0000000000002000 (LOADLIB_TIMEOUT) — El tiempo transcurrido entre el momento en que la protección interceptó la carga de la biblioteca y el momento en que se escaneó superó 1 segundo. Como resultado, el escaneo cambió de síncrono a asíncrono para evitar afectar el rendimiento.

  • 0x0000000000004000 (ISPE) — Archivo ejecutable

  • 0x0000000000008000 (ISNOPE) — Archivo no ejecutable

  • 0x0000000000020000 (NOSHELL) — El agente no detectó la ejecución de un comando de shell en el sistema

  • 0x0000000000080000 (ISNETNATIVE) — Archivo nativo NET

  • 0x0000000000100000 (ISSERIALIZER) — Archivo serializador

  • 0x0000000000400000 (SONOFGWINSTALLER) — Archivo creado por un instalador clasificado como goodware

  • 0x0000000001000000 (INTERCEPTION_TXF) — La operación interceptada fue originada por un ejecutable cuya imagen en el disco se está modificando

  • 0x0000000002000000 (HASMACROS) — Documento de Microsoft Office con macros

  • 0x0000000008000000 (ISPEARM) — Archivo ejecutable para microprocesadores ARM

  • 0x0000000010000000 (ISDYNFILjected) — Se permitió el archivo en la computadora porque no hay tecnologías para clasificarlo

  • 0x0000000020000000 (ISDISINFECTED) — El archivo se desinfectó

  • 0x0000000040000000 (PROCESSLOST) — La operación no se registró

  • 0x0000000080000000 (OPERATION_LOST) — Operación con un informe previo al escaneo para el cual aún no se ha recibido el informe posterior al escaneo

Enumeración

parentblake

Firma Blake2 del archivo principal que realizó la operación.

Cadena de caracteres

parentcount

Número de procesos con fallas de DNS.

Valor numérico

parentmd5

Hash del archivo principal.

Cadena de caracteres

parentpath

Ruta del archivo principal que realizó la operación registrada.

Cadena de caracteres

parentpid

ID del proceso principal.

Valor numérico

parentstatus

Estado del proceso principal:

  • 0 (StatusOk) — Estado correcto
  • 1 (NotFound) — Elemento no encontrado
  • 2 (UnexpectedError) — Error desconocido
  • 3 (StaticFiltered) — Archivo identificado como malware utilizando información estática contenida en la protección WatchGuard EDR o WatchGuard EPDR
  • 4 (DynamicFiltered) — Archivo identificado como malware utilizando tecnología local implementada en WatchGuard EDR o WatchGuard EPDR
  • 5 (FileIsTooBig) — Archivo demasiado grande
  • 6 (PEUploadNotAllowed) — El envío de archivos estaba deshabilitado
  • 11 (FileWasUploaded) — Archivo enviado a la nube
  • 12 (FiletypeFiltered) — Archivo de tipo DLL, NET Native o Serializador de recursos
  • 13 (NotUploadGWLocal) — Archivo de Goodware no guardado en la nube
  • 14 (NotUploadMWdisinfect) — Archivo de malware desinfectado no guardado en la nube

Enumeración

pecreationsource

Tipo de unidad donde se creó el proceso:

  • (0) Desconocido — No se puede determinar el tipo de dispositivo
  • (1) Sin directorio raíz — La ruta del dispositivo no es válida. Por ejemplo, el medio de almacenamiento externo se desconectó.
  • (2) Medios extraíbles — Medios de almacenamiento extraíbles
  • (3) Medios fijos — Medios de almacenamiento internos
  • (4) Unidad remota — Medios de almacenamiento remotos (por ejemplo, una unidad de red)
  • (5) Unidad de CD-ROM
  • (6) Disco RAM

Valor numérico

phonedescription

Descripción del teléfono si la operación involucró un dispositivo de este tipo.

Cadena de caracteres

protocol

Protocolo de comunicaciones utilizado por el proceso:

  • 1 (ICMP)
  • 2 (IGMP)
  • 3 (RFCOMM)
  • 6 (TCP)
  • 12 (RDP)
  • 17 (UDP)
  • 58 (ICMPV6)
  • 113 (RM)

Enumeración

querieddomaincount

Número de dominios diferentes enviados por el proceso para los que hubo una falla en la resolución de DNS en la última hora.

Valor numérico

regaction

Tipo de operación realizada en el registro de Windows de la computadora:

  • 0 (CreateKey) — Se creó un nuevo ramal de registro
  • 1 (CreateValue) — Se asignó un valor a un ramal del registro
  • 2 (ModifyValue) — Se modificó un valor de ramal del registro

Enumeración

remediationresult

Respuesta del usuario al mensaje emergente mostrado por WatchGuard EPDR o EDR:

  • 0 (Ok) — El cliente aceptó el mensaje
  • 1 (Timeout) — El mensaje emergente desapareció debido a la inacción del usuario
  • 2 (Angry) — El usuario eligió la opción de no bloquear el elemento del mensaje emergente mostrado
  • 3 (Block) — El elemento se bloqueó porque el usuario no respondió al mensaje emergente
  • 4 (Allow) — El usuario aceptó la solución
  • -1 (Unknown) — Desconocido

Enumeración

remoteip

Dirección IP de la computadora que inició la sesión remota.

Dirección IP

remotemachinename

Nombre de la computadora que inició la sesión remota.

Cadena de caracteres

remoteport

Depende del campo de dirección:

  • Entrante — El puerto del proceso que se ejecuta en la computadora protegida con WatchGuard EDR o WatchGuard EPDR
  • Saliente — El puerto del proceso que se ejecuta en la computadora remota

Valor numérico

remoteusername

Nombre de la computadora que inició la sesión remota.

Cadena de caracteres

sessiondate

La fecha en que se inició el servicio antivirus por última vez o la última vez que se inició desde la última actualización.

Fecha

sessiontype

Tipo de inicio de sesión:

  • 0 (System Only) — Sesión iniciada con una cuenta del sistema
  • 2 (Local) — Sesión creada físicamente a través de un teclado o mediante KVM por IP
  • 3 (Remote) — Sesión creada de forma remota en carpetas o impresoras compartidas. Este tipo de inicio de sesión utiliza autenticación segura.
  • 4 (Scheduled) — Sesión creada por el programador de tareas de Windows
  • -1 (Unknown) — Desconocido
  • 5 (Service) — Sesión creada cuando se inicia un servicio que debe ejecutarse en la sesión del usuario. La sesión se elimina cuando el servicio se detiene.
  • 7 (Blocked) — Sesión creada cuando un usuario intenta unirse a una sesión previamente bloqueada
  • 8 (Remote Unsecure) — Igual que el tipo 3, pero la contraseña se envía en texto sin formato
  • 9 (RunAs) — Sesión creada cuando el comando “RunAs” se utiliza en una cuenta distinta a la utilizada para iniciar sesión y se especifica el parámetro “/netonly”. Si no se especifica el parámetro “/netonly”, se crea una sesión de tipo 2.
  • 10 (TsClient) — Sesión creada al acceder a través de “Servicio de Terminal”, “Escritorio Remoto” o “Asistencia Remota”. Identifica una conexión de usuario remoto.
  • 11 (Domain Cached) — Sesión de usuario creada con datos de usuario de dominio almacenados en caché en la máquina, pero sin conexión al controlador de dominio

Enumeración

servicelevel

Modo de ejecución del agente:

  • 0 (Learning) — El agente no bloquea ningún elemento, pero supervisa todos los procesos en ejecución
  • 1 (Hardening) — El agente bloquea todos los programas no clasificados que provienen de una fuente que no es de confianza y los elementos clasificados como malware
  • 2 (Block) — El agente bloquea todos los ejecutables sin clasificar y los elementos clasificados como malware
  • -1 (N/A)

Enumeración

timeout

El escaneo local tardó demasiado en completarse y el proceso se delegó a otros mecanismos que no afectan el rendimiento.

Booleano

times

Número de veces que ocurrió el mismo evento de comunicación en la última hora.

Valor numérico

timestamp

Marca de tiempo de la acción detectada en la computadora del cliente que generó el indicador.

Fecha

totalresolutiontime

Indica el tiempo que tardó la nube en responder y si la consulta del código de error falló:

  • 0 — La nube no se consultó
  • >0 — Tiempo en milisegundos que tardó la nube en responder a la consulta
  • <0 — Código de error de la consulta en la nube

Valor numérico

type

Tipo de operación WMI realizada por el proceso:

  • 0 (Creación de eventos de línea de comandos) — WMI lanzó una línea de comandos en respuesta a un cambio en la base de datos
  • 1 (Creación de evento de script activo) — Se ejecutó un script en respuesta a la recepción de un evento
  • 2 (Consumidor de evento para filtrar el consumidor) — Este evento se genera siempre que un proceso se suscribe para recibir notificaciones. Se recibe el nombre del filtro creado.
  • 3 (Consumidor de evento para filtrar la consulta) — Este evento se genera siempre que se suscribe un proceso para recibir notificaciones. Se recibe la consulta ejecutada por el proceso de suscripción.
  • 4 (Crear Usuario) — Se agregó una cuenta de usuario al sistema operativo
  • 5 (Eliminar Usuario) — Se eliminó una cuenta de usuario del sistema operativo
  • 6 (Agregar grupo de usuarios) — Se agregó un grupo al sistema operativo
  • 7 (Eliminar grupo de usuarios) — Se eliminó un grupo del sistema operativo
  • 8 (Administrador del grupo de usuarios) — Se agregó un usuario al grupo de administración
  • 9 (Grupo de usuarios rdp) — Se agregó un usuario al grupo RDP

Enumeración

uniqueid

ID único del dispositivo.

Cadena de caracteres

url

Descarga la URL iniciada por el proceso que generó el evento registrado.

Cadena de caracteres

value

Tipo de operación realizada en el registro de Windows de la computadora:

  • 0 (CreateKey) — Se creó un nuevo ramal de registro
  • 1 (CreateValue) — Se asignó un valor a un ramal del registro
  • 2 (ModifyValue) — Se modificó un valor de ramal del registro

Enumeración

valuedata

Tipo de dato del valor contenido en el ramal del registro:

  • 00 (REG_NONE)
  • 01 (REG_SZ)
  • 02 (REG_EXPAND_SZ)
  • 03 (REG_BINARY)
  • 04 (REG_DWORD)
  • 05 (REG_DWORD_BIG_ENDIAN)
  • 06 (REG_LINK)
  • 07 (REG_MULTI_SZ)
  • 08 (REG_RESOURCE_LIST)
  • 09 (REG_FULL_RESOURCE_DESCRIPTOR)
  • 0A (REG_RESOURCE_REQUIREMENTS_LIST)
  • 0B (REG_QWORD)
  • 0C (REG_QWORD_LITTLE_ENDIAN)

Enumeración

vdetevent

Versión DLL de Deteven.dll.

Cadena de caracteres

version

Versión del sistema operativo de la computadora que ejecutó el software vulnerable.

Cadena de caracteres

versionagent

Versión de agente instalada.

Cadena de caracteres

versioncontroller

Versión DLL de Psnmvctrl.dll.

Cadena de caracteres

vtabledetevent

Versión DLL de TblEven.dll.

Cadena de caracteres

vtableramsomevent

Versión DLL de TblRansomEven.dll.

Cadena de caracteres

vramsomevent

Versión DLL de RansomEvent.dll.

Cadena de caracteres

vantiexploit

Versión con tecnología anti-exploit.

Cadena de caracteres

vtfilteraxtiexploit

Versión de filtro con tecnología anti-exploit.

Cadena de caracteres

versionproduct

Versión del producto de protección instalado.

Cadena de caracteres

winningtech

Tecnología del agente cliente de WatchGuard EPDR o WatchGuard EDR que reportó el evento:

  • 0 (Unknown) — Desconocido
  • 1 (Cache) — Clasificación en caché local
  • 2 (Cloud) — Clasificación descargada de la nube
  • 3 (Context) — Regla de contexto local
  • 4 (Serializer) — Tipo binario
  • 5 (User) — Se le preguntó al usuario sobre la acción a realizar
  • 6 (LegacyUser) — Se le preguntó al usuario sobre la acción a realizar
  • 7 (NetNative) — Tipo binario
  • 8 (CertifUA) — Detección por certificados digitales
  • 9 (LocalSignature) — Firma local
  • 10 (ContextMinerva) — Regla de contexto alojada en la nube
  • 11 (Blockmode) — El agente estaba en modo de Endurecimiento o Bloqueo cuando la ejecución del proceso se bloqueó
  • 12 (Metasploit) — Ataque creado con el Marco Metasploit
  • 13 (DLP) — Tecnología de Prevención de Filtración de Datos
  • 14 (AntiExploit) — Tecnología que identifica los intentos de explotar procesos vulnerables
  • 15 (GWFilter) — Tecnología que identifica procesos de goodware
  • 16 (Policy) — Políticas de seguridad avanzadas de WatchGuard EPDR
  • 17 (SecAppControl) — Tecnologías de control de aplicaciones de seguridad
  • 18 (ProdAppControl) — Tecnologías de control de aplicaciones de productividad
  • 19 (EVTContext) — Tecnología contextual de Linux
  • 20 (RDP) — Tecnología para detectar / bloquear intrusiones y ataques de RDP (Protocolo de Escritorio Remoto)
  • 21 (AMSI) — Tecnología para detectar malware en notificaciones AMSI
  • -1 (Unknown) — Desconocido

Enumeración

wsdocs

Lista codificada en Base-64 de todos los documentos que estaban abiertos cuando se produjo una detección de exploits.

Cadena de caracteres

Ver También

Acerca de los Gráficos de Ataque