Vistas:

Procedimiento

  1. Vaya a DETECCIÓN Y RESPUESTAInvestigación de amenazas.
  2. Haga clic en Avanzado.
  3. Seleccione Archivo OpenIOC.
    Nota
    Nota
    Utilizar archivos OpenIOC en Investigaciones históricas tiene las limitaciones siguientes:
    • Los archivos OpenIOC solo se pueden cargar de uno en uno.
    • La única condición admitida es IS. Las entradas que utilizan otras condiciones se omiten y se tachan.
    • La únicos indicadores admitidos son los que se puedan aplicar a los metadatos recopilados. Se han omitido y tachado las entradas que utilizan indicadores no admitidos.
      Para obtener información, consulte Indicadores de IOC admitidos.
  4. Especifique el período de datos para la investigación.
  5. Para cargar e investigar con un nuevo archivo de OpenIOC:
    1. Haga clic en Cargar archivo OpenIOC.
    2. Seleccione un archivo OpenIOC válido.
    3. Haga clic en Abrir.
  6. Para investigar utilizando un archivo OpenIOC existente:
    1. Haga clic en Usar archivo OpenIOC existente.
    2. Seleccione un archivo.
    3. Haga clic en Aplicar.
  7. Haga clic en Valorar impacto.
    Aparecerá la sección Endpoints coincidentes. Deje que la investigación se ejecute.
  8. Compruebe los resultados en la sección Endpoints coincidentes.
    Aparecerán los detalles siguientes:
    Nombre de la columna
    Descripción
    Endpoint
    Nombre del endpoint que contiene el objeto coincidente
    Dirección IPv4
    Dirección IP del endpoint que contiene el objeto coincidente
    La red se encarga de asignar la dirección IP
    Sistema operativo
    Sistema operativo utilizado por el endpoint
    Usuario
    Nombre del usuario que se ha registrado cuando el Security Agent se registró por primera vez el objeto coincidente
    Haga clic en el nombre de usuario para ver más detalles sobre el usuario.
    Primer registro
    Fecha y hora en la que el Security Agent registró por primera vez el objeto coincidente
    Detalles
    Haga clic en el icono para abrir la pantalla Detalles de coincidencia.
    La pantalla Detalles de coincidencia muestra los detalles siguientes:
    • Criterios: criterios utilizados en la valoración
    • Primer registro: fecha y hora en la que el Security Agent registró por primera vez el objeto coincidente
    • Repeticiones en CLI/registro: número de coincidencias encontradas en la línea de comandos o las entradas del registro
      Haga clic en el valor para mostrar más detalles.
    • Endpoints afectados: si la clasificación es maliciosa, el número de endpoints en los que se ha encontrado una coincidencia similar
      El recuento solo incluye los endpoints afectados en los últimos 90 días.
  9. Para consultar la secuencia de eventos que provocan la ejecución del objeto coincidente, seleccione los endpoints que precisen un análisis más exhaustivo y haga clic en Generar análisis de causa principal.
    Aparecerá la pantalla Generar análisis de causa principal.
  10. Especifique un nombre para el análisis de la causa principal y haga clic en Generar.
  11. Haga clic en la pestaña Análisis de causa principal para consultar los resultados. Deje que la tarea finalice.
Información relacionada