Acerca de los Formatos de Indicadores de Compromiso

Se aplica A: WatchGuard Advanced EPDR

Los Indicadores de Compromiso (IOCs) son un estándar de la industria para describir condiciones en los sistemas de TI que, de cumplirse, podrían comprometer la seguridad de una organización. El concepto es similar al de un archivo de firmas, pero los IOCs utilizan un formato abierto que habilita la colaboración y el intercambio de inteligencia de seguridad.

Existen varios formatos de IOC que describen patrones de comportamiento sospechosos. WatchGuard Advanced EPDR es compatible con el estándar STIX 2.x.

STIX (Expresión Estructurada de Información sobre Amenazas)

STIX es un lenguaje basado en JSON que describe las amenazas a la seguridad de forma estructurada e interrelacionada para una mejor legibilidad y comprensión. Está basado en gráficos que representan intuitivamente los objetos y sus relaciones.

Cada IOC contiene una serie de entidades y relaciones que describen detalladamente un artefacto o indicador que identifica el ataque. Por ejemplo, podrían incluir direcciones IP o dominios que podrían alojar servidores Command & Control, o hashes MD5 o SHA de archivos sospechosos que podrían contener virus y otras amenazas.

STIX también le permite utilizar la información descrita en otros formatos, como las reglas YARA.

YARA (Otro Acrónimo Recursivo Más)

YARA es un lenguaje basado en reglas que se utiliza para crear descripciones de familias de malware con patrones de texto o binarios. Estas reglas incluyen un conjunto de cadenas y expresiones booleanas para definir su lógica y se utilizan en las búsquedas de archivos posiblemente infectados.

Un IOC solo puede incluir una regla YARA en su definición, aunque esta regla puede ser lo suficientemente compleja como para detectar familias enteras de malware.

Otros Formatos

En la actualidad existen otros formatos abiertos de IOC para el intercambio de inteligencia de seguridad que ofrecen características similares a STIX y YARA. Estos otros formatos incluyen OpenIOC y TAXII. Un formato de IOC también puede contener versiones que no sean compatibles entre sí (por ejemplo, STIX 1.x y 2.x).

Para utilizar un IOC en un formato no compatible con WatchGuard Advanced EPDR, puede utilizar una herramienta gratuita para convertir el IOC al formato STIX 2.x.

Temas Relacionados

Indicadores de Compromiso (IOCs) en WatchGuard Advanced EPDR

Acerca de la Galería de IOCs

Crear una Tarea de Búsqueda de IOCs

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.