Administrar IOCs

Se aplica A: WatchGuard Advanced EPDR

En la Galería de IOCs, usted administra la lista de IOCs disponibles para las tareas de búsqueda. Puede añadir, copiar, editar, aprobar y eliminar IOCs.

También puede importar y exportar IOCs desde la Galería de IOCs. Para más información, vaya a Importar y Exportar IOC.

Crear un IOC

Al crear un IOC, este queda automáticamente disponible para su uso en WatchGuard Advanced EPDR. Puede crear un IOC desde cero o copiar un IOC existente y editarlo.

Para crear un Indicador de Compromiso:

  1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
  2. Seleccione Ajustes.
  3. Seleccione Galería de IOCs.
  4. Haga clic en Agregar.
  5. Ingrese un Nombre, un Autor y una Descripción.
  6. En la lista desplegable Selecciona una Propiedad, seleccione la característica del ataque que desea detectar:
    • MD5 del Archivo: Busca un archivo con el hash MD5 especificado.
    • SHA-256 del Archivo: Busca un archivo con el hash SHA-256 especificado
    • Nombre del Archivo: Busca un archivo con el nombre especificado.
    • Ruta del Archivo: Busca un archivo con la ruta especificada.
    • Dominio: Busca una conexión de red a través de TCP o UDP hacia o desde el dominio especificado.
    • IPv4: Busca una conexión TCP o UDP hacia o desde la dirección IPv4 especificada.
    • IPv6: Busca una conexión TCP o UDP hacia o desde la dirección IPv6 especificada.
    • Regla YARA: Busca un archivo con contenido que coincida con el patrón descrito en la Regla Yara.

      7. Un IOC no puede incluir más de una regla YARA. Si añade una regla YARA a un IOC vacío, no puede utilizar otras propiedades. Del mismo modo, si añade otras propiedades a un IOC, se desactivan las reglas YARA. Si la regla no cumple la sintaxis YARA, aparece un mensaje de error y no puede guardar el IOC.

  7. Desde la lista desplegable Selecciona un Operador, especifique cómo desea comparar las propiedades encontradas en la computadora con el valor de referencia que configuró en el IOC.
    • En: Una propiedad encontrada en la computadora debe coincidir al menos con un valor de propiedad especificado en el cuadro de texto Valor.
    • Es igual a: Todas las propiedades encontradas en la computadora deben coincidir exactamente con los valores que especifique en el cuadro de texto Valor.
  8. En el cuadro de texto Valor, escriba un valor para la propiedad que seleccionó.

    Para introducir más de un valor, escriba un valor y luego presione Enter. No se admiten los comodines.
  9. Para agregar otra condición, haga clic en Nueva Condición. Repita los pasos 6 a 8.
  10. Para combinar dos o más condiciones en una sola regla, seleccione la casilla de verificación junto a cada condición que desee combinar y seleccione el operador lógico (AND u OR). Haga clic en Agrupar Condiciones.
    Una línea gris conecta las reglas que forman parte de la agrupación, de forma similar a como los paréntesis agrupan condiciones en una expresión lógica. Los paréntesis le permiten agrupar operandos en diferentes niveles de una expresión lógica.

Para copiar un IOC:

  1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
  2. Seleccione Ajustes.
  3. Seleccione Galería de IOCs.
  4. En la fila del IOC que desea copiar, haga clic en El icono Opciones. y selecciona Hacer una Copia.

    Se abre el cuadro de diálogo Editar IOC.
  5. En el cuadro de texto Nombre, ingrese un nuevo nombre para el IOC.
  6. En el cuadro de texto Descripción, ingrese una nueva descripción para el IOC.
  7. Edite los ajustes del IOC. Para obtener más información, consulte los pasos 6 a 8 del procedimiento para crear un IOC.
  8. Haga clic en Aceptar.

Editar y Aprobar los IOC

Cuando importa IOC, debe revisar y aprobar la declaración de búsqueda antes de que una tarea de búsqueda pueda utilizar el IOC. Los IOC que requieren aprobación se muestran como STIX (Pendiente de Aprobación).

Para obtener información sobre cómo importar un IOC, vaya a Importar y Exportar IOC.

Para editar y aprobar un IOC:

  1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
  2. Seleccione Ajustes.
  3. Seleccione Galería de IOCs.
  4. Seleccione el IOC que desea editar o aprobar.
    Se abre el cuadro de diálogo Editar IOC.
  5. Edite el Nombre y la Descripción, si es necesario.
  6. Edite las características utilizadas para detectar computadoras, si es necesario.
  7. Haga clic en Aprobar Declaración de Búsqueda.
  8. Haga clic en Guardar.

Eliminar un IOC

No puede eliminar IOC que formen parte de una tarea que esté en curso. Cuando elimina un IOC, los datos históricos del IOC permanecen en la lista IOC Detectados y en el panel de control de IOC.

Para eliminar un solo IOC:

  1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
  2. Seleccione Ajustes.
  3. Seleccione Galería de IOCs.
  4. En la fila del IOC que desea eliminar, haga clic en El icono Opciones. y seleccione Eliminar.
    El IOC se elimina de la lista.

Para eliminar varios IOC:

  1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
  2. Seleccione Ajustes.
  3. Seleccione Galería de IOCs.
  4. Marque la casilla de selección para cada IOC que desea eliminar.
  5. En la barra de herramientas, haga clic en El icono Eliminar. Eliminar.

Temas Relacionados

Indicadores de Compromiso (IOCs) en WatchGuard Advanced EPDR

Acerca de la Galería de IOCs

Importar y Exportar IOC

Crear una Tarea de Búsqueda de IOCs