Acerca de la Galería de IOCs

Se aplica A: WatchGuard Advanced EPDR

En la página Galería de IOCs, puede agregar un IOC manualmente o puede importar IOCs en formato STIX. Para obtener información sobre cómo agregar un IOC, vaya a Administrar IOCs.Para obtener información sobre cómo importar y exportar IOC, vaya a Importar y Exportar IOC.

En la página Configuración > Galería de IOCs, la tabla enumera todos los IOCs importados y creados. Puede filtrar la tabla en función del tipo de IOC:

STIX (Pendiente de aprobación) — El IOC fue importado de una fuente externa y requiere aprobación para actualizarlo al formato admitido por WatchGuard Advanced EPDR. Para más información, vaya a Administrar IOCs.
STIX — El IOC se importó de una fuente externa y fue aprobado para que las búsquedas de IOCs en WatchGuard Advanced EPDR lo usen.
Creado por el usuario — El IOC se creó en WatchGuard Advanced EPDR. No requiere aprobación para su uso en búsquedas.

En cada fila de la tabla, puede hacer clic en y seleccionar una de estas opciones:

Buscar IOCs — Abre una nueva tarea para buscar IOCs en sus computadoras. Para más información, vaya a Crear una Tarea de Búsqueda de IOCs.
Hacer una copia de un IOC — Crea una copia del IOC seleccionado que puede modificar para crear un nuevo IOC.
Ver el archivo STIX original — Abre el archivo STIX original para un IOC. Se abre la página del Archivo STIX con una representación gráfica y el código del IOC. Para más información, vaya a Ver el Archivo STIX Original.
Ver Detecciones del IOC — Abre la lista de IOCs Detectados. Para más información, vaya a Panel de Control de Indicadores de Compromiso.
Eliminar — Elimina el IOC seleccionado.
Exportar— Exporta el IOC seleccionado al formato de archivo JSON.

Ver el Archivo STIX Original

Cuando importe un archivo STIX, deberá revisar y aprobar la declaración de búsqueda para que el IOC pueda utilizarse en una tarea de búsqueda.

Para obtener información sobre cómo importar IOC, vaya a Importar y Exportar IOC. Para obtener información sobre cómo aprobar un IOC importado, vaya a Administrar IOCs.

Para abrir el archivo STIX original de un IOC importado y revisar el código y las acciones, haga clic en y seleccione Ver Archivo STIX Original.
Se abre la ventana Archivo STIX.

En la ventana Archivo STIX, puede:

Hacer clic y arrastrar los elementos en el diagrama.
Haga clic en Leyenda para ver una explicación de cada icono del gráfico.
Haga clic en Visualización y Código para revisar la representación gráfica o una definición de código del IOC.Puede copiar el código del IOC.

Aunque el código del IOC se muestra tal y como fue importado, Advanced EPDR podría omitir secciones que no son compatibles con su implementación. Es posible que los resultados de la búsqueda no se muestren como se esperaba.

Temas Relacionados

Administrar IOCs

Acerca de los Formatos de Indicadores de Compromiso

Crear una Tarea de Búsqueda de IOCs

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.