Indicadores de Ataque (IOA)

Se aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR

Los Servicios Threat Hunting de WatchGuard son un conjunto de tecnologías especializadas y recursos humanos que detectan movimientos laterales y otros indicadores tempranos de la actividad del malware antes de que entre en acción.

Los Servicios Threat Hunting permiten a los administradores de red detectar rápidamente dispositivos en riesgo, ataques en etapa temprana y actividades sospechosas. Específicamente, los Servicios Threat Hunting ayuda a detectar lo siguiente:

Ataques sin malware y de escritorio remoto (RDP).
Computadoras ya comprometidas.
Hackers y empleados malintencionados.

En el panel de control de Indicadores de Ataque (IOA) en WatchGuard Advanced EPDR, EPDR y EDR, los administradores de redes pueden ver información relacionada con las detecciones de los Servicios Threat Hunting, como Indicadores de Ataque, investigaciones avanzadas, vistas de gráficos de ataques, y tácticas y técnicas MITRE.

Los Indicadores de Ataque (IOA) son eventos confirmados que tienen una alta probabilidad de ser un ataque. El equipo de Seguridad de WatchGuard revisa los eventos recibidos de los endpoints para confirmar que coincidan con una hipótesis de ataque específica.

Recomendamos encarecidamente que contenga el IOA y remedie los endpoints afectados lo antes posible.

Varias Detecciones

Para evitar demasiadas detecciones en la UI de administración, Endpoint Security agrupa dos o más IOA iguales en una sola detección.

Para agrupar dos o más IOA iguales, deben presentar las siguientes características:

Ser del mismo tipo.
Detectarse en la misma computadora.
Detectarse próximos en el tiempo.

La cantidad de ocurrencias reales se muestra en el campo Ocurrencias Detectadas de la página de detalles del IOA. Para más información, vaya a Detalles del Indicador de Ataque.

La manera en que se agrupan los IOA depende del tipo de IOA y si la computadora está en modo Auditoría.Para obtener información acerca del modo Auditoría, vaya a Configurar el Modo Auditoría.

IOA Estándar (modo Auditoría desactivado)

Endpoint Security registra el primer IOA y establece el campo Ocurrencias Detectadas en 1. Se agrupan los IOA iguales detectados en las seis horas después del registro del primer IOA. Endpoint Security envía una detección de IOA al final de cada intervalo de seis horas. (El campo Ocurrencias Detectadas indica el número total de IOA detectados).

Si Endpoint Security no registra un IOA igual en un intervalo de seis horas, no envía una detección de IOA para el intervalo. Después de cuatro intervalos (24 horas), el proceso se inicia nuevamente.

IOAs Avanzados (modo Auditoría desactivado)

Endpoint Security registra el primer IOA y establece el campo Ocurrencias Detectadas en 1. Se agrupan los IOA iguales detectados cada hora después del registro del primer IOA. Endpoint Security envía un IOA al final de cada intervalo de 1 hora. (El campo Ocurrencias Detectadas indica el número total de IOA detectados).

Si no se registran IOA iguales en un intervalo de 1 hora, no se envía ningún IOA para el intervalo. Si Endpoint Security no registra un IOA igual en el intervalo de una hora, no envía una detección de IOA para el intervalo. Después de 24 horas, el proceso se inicia nuevamente.

IOAs Avanzados (modo Auditoría activado)

Los IOA Avanzados no se agrupan si la computadora está en modo Auditoría. Endpoint Security envía una detección para cada IOA que se detecte en una computadora en modo Auditoría. (El campo Ocurrencias Detectadas se configura en 1).

Matriz de MITRE ATT&CK

MITRE Corporation es una empresa sin fines de lucro que opera centros de Investigación y Desarrollo financiados con fondos federales para abordar problemas de seguridad. Ofrece soluciones prácticas en los campos de defensa e inteligencia, aviación, sistemas civiles, seguridad nacional, poder judicial, salud y ciberseguridad.

Screen shot of Mitre Attack website

ATT&CK (Tácticas, Técnicas y Conocimientos Comunes Adversarios) es un conjunto de recursos desarrollados por MITRE Corporation para describir y categorizar las actividades de los ciberdelincuentes basándose en observaciones de todo el mundo. ATT&CK es una lista estructurada de comportamientos de ataque conocidos categorizados en tácticas y técnicas, mostrados como una matriz.

Técnica (Cómo)

En la terminología de ATT&CK, las técnicas y subtécnicas representan el método (o la estrategia) que usa un adversario para lograr un objetivo táctico.Por ejemplo, para acceder a datos del usuario (táctica), un adversario ejecuta un volcado de datos (técnica).

Táctica (Por qué)

En la terminología de ATT&CK, las tácticas representan el motivo u objetivo máximo de una técnica. Es el objetivo táctico del adversario: el motivo para emprender una acción.

La matriz MITRE ATT&CK es un recurso útil para desarrollar estrategias defensivas, preventivas y correctivas para las organizaciones. Para obtener más información sobre la matriz ATT&CK, visite https://attack.mitre.org/.

Temas Relacionados

Panel de Control de Indicadores de Ataque

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.