Eventos de Indicadores de Ataque (IOA)
Se aplica a: WatchGuard EPDR, WatchGuard EDR
WatchGuard EPDR y EDR monitorizan los procesos que se ejecutan en las computadoras de los clientes y envían a WatchGuard Cloud los datos de telemetría generados. Los cazadores de amenazas especializados utilizan estos datos para detectar Indicadores de Ataque (IOA) en los recursos de TI del cliente.
Los datos de telemetría se almacenan en eventos que constan de varios campos. La información sobre el evento que desencadenó el IOA está disponible en formato JSON en la página de detalles del IOA, así como en los gráficos de ataque. Dependiendo del IOA, algunos de los campos se muestran en la sección Otros Detalles de la página de detalles del IOA y en los nodos y flechas del gráfico de ataque. Para más información, consulte Detalles del Indicador de Ataque y Acerca de los Gráficos de Ataque.
Eventos
Un evento es un registro que consta de campos que describen una acción realizada por un proceso en una computadora. Cada tipo de evento incluye un número específico de campos. Esta tabla proporciona las descripciones, los tipos de datos y los posibles valores de los campos en los eventos.
Campo | Descripción | Tipo de Campo |
---|---|---|
accesstype |
Máscara de acceso a archivos:
Para todas las demás operaciones: |
Máscara de bits |
accnube |
El agente instalado en la computadora del cliente puede acceder a WatchGuard Cloud. |
Booleano |
action |
Tipo de acción realizada por el agente de WatchGuard EDR o WatchGuard EPDR, por el usuario o por el proceso afectado:
|
Enumeración |
actiontype |
Indica el tipo de sesión:
|
Enumeración |
age |
Fecha de la última modificación del archivo. |
Fecha |
blockreason |
Motivo del mensaje emergente que se muestra en la computadora:
|
Enumeración |
bytesreceived |
Bytes totales recibidos por el proceso monitorizado. |
Valor numérico |
bytessent |
Bytes totales enviados por el proceso monitorizado. |
Valor numérico |
callstack/sonsize |
Tamaño en bytes del archivo secundario. |
Valor numérico |
childattributes |
Atributos del proceso secundario:
|
Enumeración |
childblake |
Firma Blake2 del archivo secundario. |
Cadena de caracteres |
childclassification |
Clasificación del proceso secundario que realizó la acción registrada.
|
Enumeración |
childfiletime |
Fecha del archivo secundario registrado por el agente. |
Fecha |
childfilesize |
Tamaño del archivo secundario registrado por el agente. |
Valor numérico |
childmd5 |
Hash del archivo secundario. |
Cadena de caracteres |
childpath |
Ruta del archivo secundario que realizó la operación registrada. |
Cadena de caracteres |
ChildPID |
ID del proceso secundario. |
Valor numérico |
childurl |
URL de descarga de archivos. |
Cadena de caracteres |
childstatus |
Estado del proceso secundario:
|
Enumeración |
classname |
Tipo de dispositivo donde reside el proceso. Corresponde a la clase especificada en el archivo .INF asociado con el dispositivo. |
Cadena de caracteres |
configstring |
Versión del archivo MVMF.xml en uso. |
Cadena de caracteres |
commandline |
Línea de comando configurada como una tarea para ejecutar a través de WMI. |
Cadena de caracteres |
confadvancedrules |
Ajustes de la política de seguridad avanzada de WatchGuard EDR o WatchGuard EPDR. |
Cadena de caracteres |
copy |
Nombre del servicio que desencadenó el evento. |
Cadena de caracteres |
details |
Resumen en forma de un grupo de campos relevantes del evento. |
Cadena de caracteres |
description |
Descripción del dispositivo USB que realizó la operación. |
Cadena de caracteres |
detectionid |
Identificador único de la detección. |
Valor numérico |
devicetype |
Tipo de unidad donde reside el proceso o archivo que desencadenó la operación registrada:
|
Enumeración |
direction |
Dirección de conexión a la red.
|
Enumeración |
domainlist |
Lista de dominios enviados por el proceso al servidor DNS para su resolución y número de resoluciones por dominio. |
{domain_name,n umber#domain_ name,number} |
domainname |
Nombre del dominio al que el proceso intenta acceder / resolver. |
Cadena de caracteres |
errorcode |
Código de error devuelto por el sistema operativo cuando hay un intento fallido de inicio de sesión:
|
Enumeración |
errorstring |
Cadena de caracteres con información de depuración sobre los ajustes del producto de seguridad. |
Cadena de caracteres |
eventtype |
Tipo de evento registrado por el agente:
|
Enumeración |
exploitorigin |
Origen del intento de exploit del proceso:
|
Enumeración |
extendedinfo |
Información adicional sobre eventos de Tipo:
|
Cadena de caracteres |
failedqueries |
Número de solicitudes de resolución de DNS fallidas enviadas por el proceso en la última hora. |
Valor numérico |
friendlyname |
Un nombre de dispositivo fácil de identificar. |
Cadena de caracteres |
firstseen |
Fecha en que se vio el archivo por primera vez. |
Fecha |
hostname |
Nombre de la computadora que ejecutó el proceso. |
Cadena de caracteres |
infodiscard |
Información interna del archivo en cuarentena. |
Cadena de caracteres |
ipv4status |
Tipo de dirección IP:
|
Enumeración |
isdenied |
Indica si se denegó la acción reportada. |
Valor binario |
islocal |
Indica si la tarea se creó en la computadora local o en una computadora remota. |
Valor binario |
Interactivo |
Indica si el inicio de sesión es interactivo. |
Valor binario |
idname |
Nombre del dispositivo. |
Cadena de caracteres |
key |
Ramal o clave de registro afectada. |
Cadena de caracteres |
lastquery |
Última consulta enviada a la nube por el agente de WatchGuard EDR o WatchGuard EPDR. |
Fecha |
localip |
Dirección IP local del proceso. |
Dirección IP |
localport |
Depende del campo de dirección:
|
Valor numérico |
localdatetime |
La fecha de la computadora (en formato UTC) en el momento en que ocurrió el evento registrado. Esta fecha depende de los ajustes de la computadora. Como resultado, puede ser incorrecto. |
Fecha |
loggeduser |
El usuario que inició sesión en la computadora en el momento en que se generó el evento. |
Cadena de caracteres |
machinename |
Nombre de la computadora que ejecutó el proceso. |
Cadena de caracteres |
manufacturer |
Fabricante del dispositivo. |
Cadena de caracteres |
MUID |
ID interno de la computadora del cliente. |
Cadena de caracteres |
objectname |
Nombre único del objeto dentro de la jerarquía de WMI. |
Cadena de caracteres |
opentstamp |
Fecha de la notificación WMI para eventos WMI_CREATEPROC (54). |
Máscara de bits |
operation |
Tipo de operación realizada por el proceso:
|
Enumeración |
operationflags/ integrityLevel |
Indica el nivel de integridad asignado por Windows al artículo:
|
Enumeración |
operationstatus |
Indica si el evento debe enviarse a la Advanced Reporting Tool:
|
Valor numérico |
origusername |
Usuario de la computadora que realizó la operación. |
Cadena de caracteres |
pandaid |
Identificación del cliente. |
Valor numérico |
pandaorionstatus |
Indica el estado de los ajustes de la hora de la computadora del cliente en comparación con el reloj en WatchGuard Cloud:
|
Enumeración |
pandatimestatus |
Contenido de los campos DateTime, Date y LocalDateTime. |
Fecha |
parentattributes |
Atributos del proceso principal:
|
Enumeración |
parentblake |
Firma Blake2 del archivo principal que realizó la operación. |
Cadena de caracteres |
parentcount |
Número de procesos con fallas de DNS. |
Valor numérico |
parentmd5 |
Hash del archivo principal. |
Cadena de caracteres |
parentpath |
Ruta del archivo principal que realizó la operación registrada. |
Cadena de caracteres |
parentpid |
ID del proceso principal. |
Valor numérico |
parentstatus |
Estado del proceso principal:
|
Enumeración |
pecreationsource |
Tipo de unidad donde se creó el proceso:
|
Valor numérico |
phonedescription |
Descripción del teléfono si la operación involucró un dispositivo de este tipo. |
Cadena de caracteres |
protocol |
Protocolo de comunicaciones utilizado por el proceso:
|
Enumeración |
querieddomaincount |
Número de dominios diferentes enviados por el proceso para los que hubo una falla en la resolución de DNS en la última hora. |
Valor numérico |
regaction |
Tipo de operación realizada en el registro de Windows de la computadora:
|
Enumeración |
remediationresult |
Respuesta del usuario al mensaje emergente mostrado por WatchGuard EPDR o EDR:
|
Enumeración |
remoteip |
Dirección IP de la computadora que inició la sesión remota. |
Dirección IP |
remotemachinename |
Nombre de la computadora que inició la sesión remota. |
Cadena de caracteres |
remoteport |
Depende del campo de dirección:
|
Valor numérico |
remoteusername |
Nombre de la computadora que inició la sesión remota. |
Cadena de caracteres |
sessiondate |
La fecha en que se inició el servicio antivirus por última vez o la última vez que se inició desde la última actualización. |
Fecha |
sessiontype |
Tipo de inicio de sesión:
|
Enumeración |
servicelevel |
Modo de ejecución del agente:
|
Enumeración |
timeout |
El escaneo local tardó demasiado en completarse y el proceso se delegó a otros mecanismos que no afectan el rendimiento. |
Booleano |
times |
Número de veces que ocurrió el mismo evento de comunicación en la última hora. |
Valor numérico |
timestamp |
Marca de tiempo de la acción detectada en la computadora del cliente que generó el indicador. |
Fecha |
totalresolutiontime |
Indica el tiempo que tardó la nube en responder y si la consulta del código de error falló:
|
Valor numérico |
type |
Tipo de operación WMI realizada por el proceso:
|
Enumeración |
uniqueid |
ID único del dispositivo. |
Cadena de caracteres |
url |
Descarga la URL iniciada por el proceso que generó el evento registrado. |
Cadena de caracteres |
value |
Tipo de operación realizada en el registro de Windows de la computadora:
|
Enumeración |
valuedata |
Tipo de dato del valor contenido en el ramal del registro:
|
Enumeración |
vdetevent |
Versión DLL de Deteven.dll. |
Cadena de caracteres |
version |
Versión del sistema operativo de la computadora que ejecutó el software vulnerable. |
Cadena de caracteres |
versionagent |
Versión de agente instalada. |
Cadena de caracteres |
versioncontroller |
Versión DLL de Psnmvctrl.dll. |
Cadena de caracteres |
vtabledetevent |
Versión DLL de TblEven.dll. |
Cadena de caracteres |
vtableramsomevent |
Versión DLL de TblRansomEven.dll. |
Cadena de caracteres |
vramsomevent |
Versión DLL de RansomEvent.dll. |
Cadena de caracteres |
vantiexploit |
Versión con tecnología anti-exploit. |
Cadena de caracteres |
vtfilteraxtiexploit |
Versión de filtro con tecnología anti-exploit. |
Cadena de caracteres |
versionproduct |
Versión del producto de protección instalado. |
Cadena de caracteres |
winningtech |
Tecnología del agente cliente de WatchGuard EPDR o WatchGuard EDR que reportó el evento:
|
Enumeración |
wsdocs |
Lista codificada en Base-64 de todos los documentos que estaban abiertos cuando se produjo una detección de exploits. |
Cadena de caracteres |