Tipos de eventos

Estos son los tipos de eventos que puede ver en Sophos Central.

Dependiendo de las características incluidas en la licencia, puede ver todos o algunos de los siguientes tipos de eventos:

Los eventos que requieren alguna medida también se muestran en la página Alertas, dónde podrá tratarlos.

Una vez haya tomado un medida o ignorada una alerta, ya no se muestra en la página Alertas, pero el evento permanece en la lista de Eventos.

Detecciones en tiempo de ejecución

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Detectada aplicación maliciosa ejecutándose

Medio

No

Se ha detectado un programa que se ejecuta en un ordenador y que exhibe un comportamiento malicioso o sospechoso. Sophos Central intentará eliminar la amenaza. Si lo logra, no se mostrarán alertas en la página Alertas, y se añadirá un evento Aplicación maliciosa ejecutándose limpiada a la lista de eventos.

Aplicación maliciosa ejecutándose no limpiada

Alto

No se ha podido limpiar un programa en ejecución en un ordenador que exhibe un comportamiento malicioso o sospechoso. Para este tipo de evento pueden mostrarse los siguientes eventos:

Aplicación maliciosa ejecutándose limpiada

Bajo

No

Se ha detectado actividad maliciosa

Alto

Se ha detectado tráfico de red malicioso, posiblemente dirigido a un servidor de mando y control en una botnet u otro ataque de aplicación malintencionada.

Aplicación maliciosa ejecutándose limpiada localmente

Bajo

No

Se ha limpiado una alerta de aplicación maliciosa ejecutándose de la lista de alertas en una estación de trabajo.

Ransomware detectado

Alta

No

Un programa no autorizado ha intentado cifrar una aplicación protegida.

Se ha resuelto el ataque de ransomware

Baja

No

Se ha detectado ransomware ejecutado remotamente

Media

Un programa no autorizado ha intentado cifrar una aplicación protegida de forma remota.

Se ha resuelto el ataque de ransomware ejecutado remotamente

Baja

No

Se ha detectado un ataque de ransomware contra un equipo remoto

Alta

Se ha detectado que este equipo ha intentado cifrar aplicaciones de forma remota en otro equipo.

Safe Browsing ha detectado un navegador en peligro

Media

Se ha bloqueado un intento de explotar una vulnerabilidad en un navegador de Internet.

Vulnerabilidad evitada

Baja

No

Se ha bloqueado un intento de explotar una vulnerabilidad en una aplicación en una estación de trabajo.

Se ha evitado el secuestro de la aplicación

Baja

No

Se ha evitado el secuestro de una aplicación en una estación de trabajo.

Comportamental

Bajo

Se ha detectado que esta aplicación tiene un comportamiento sospechoso.

En algunos casos, es necesario reiniciar para completar el proceso de limpieza. Si esto ocurre, se muestra un evento de reinicio.

Este tipo de detección solo está disponible si se ha registrado en el programa de acceso temprano.

Restricción de aplicaciones

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Aplicación bloqueada

Media

No

Aplicación permitida

Bajo

No

Se ha detectado una aplicación restringida y luego ha sido autorizada.

Programas maliciosos

Si tiene activado el Deep Learning, es posible que las detecciones de malware se muestren como ML/PE-A.

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Aplicación maliciosa detectada

Medio

No

Se ha detectado alguna aplicación maliciosa en un dispositivo controlado por Sophos Central. Sophos Central intentará eliminar la amenaza. Si lo logra, no se mostrarán alertas en la página Alertas, y se añadirá un evento "Aplicación maliciosa limpiada" a la lista de eventos.

Aplicación maliciosa no limpiada

Alto

Para este tipo de evento pueden mostrarse los siguientes eventos:

Aplicación maliciosa limpiada

Bajo

No

Infección recurrente

Alto

Un ordenador ha vuelto a infectarse después de que Sophos Central tratase de eliminar la amenaza. Esto puede deberse a que la amenaza ha ocultado componentes que no se han detectado.

Amenaza eliminada

Bajo

No

Aplicación maliciosa limpiada localmente

Bajo

No

Se ha limpiado una alerta de aplicación maliciosa de la lista de alertas en una estación de trabajo.

Aplicaciones no deseadas (PUA)

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Aplicación no deseada (PUA) bloqueada

Medio

Se ha detectado y bloqueado una aplicación no deseada.

Aplicación no deseada (PUA) no limpiada

Medio

Para este tipo de evento pueden mostrarse los siguientes eventos:

Aplicación no deseada (PUA) limpiada

Bajo

No

Alerta de aplicación no deseada (PUA) limpiada localmente

Bajo

No

Se ha limpiado una alerta de aplicación no deseada de la lista de alertas en una estación de trabajo.

Infracciones de políticas

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Incumplimiento de política

Medio

Cuando un ordenador mantiene un estado no conforme durante más de dos horas se muestra una alerta en la página de Alertas.

Cumplimiento de política

Bajo

No

Protección en tiempo real desactivada

Alto

Cuando la protección en tiempo real se ha desactivado durante más de 2,5 horas en un ordenador se muestra una alerta en la página de Alertas.

Protección en tiempo real reactivada

Bajo

No

Control web

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Eventos de política web

Bajo

No

Revise los informes que correspondan para obtener información detallada sobre cómo acceden a los sitios los usuarios, quiénes están infringiendo la política y qué usuarios han descargado malware.

Eventos de amenazas web

Bajo

No

No

Actualizaciones del producto

Tipo de evento

Gravedad

¿Acción necesaria?

Ordenador o servidor no actualizado

Media

Actualización realizada correctamente

Bajo

No

Falló la actualización

Bajo

No

Reiniciar recomendado

Bajo

No

Es necesario reiniciar

Medio

Problemas de protección

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Nuevo ordenador o servidor registrado

Bajo

No

Ordenador o servidor reprotegido

Bajo

No

Nuevo ordenador o servidor protegido

Bajo

No

Error al proteger ordenador o servidor

Alto

Un ordenador ha iniciado la instalación del agente pero después de una hora no ha pasado a estar protegido.

Error notificado

Bajo

No

Escaneado completado

Bajo

No

Nuevos inicios de sesión añadidos

Bajo

No

Nuevos usuarios añadidos automáticamente

Bajo

No

Control de periféricos

Tipo de evento

Gravedad

¿Acción necesaria?

Periférico detectado

Medio

Periférico permitido

Bajo

No

Periféricos restringidos a solo lectura

Bajo

No

Periférico bloqueado

Bajo

No

Dispositivos bloqueados

Sophos Central le avisa si detecta dispositivos duplicados. Si los dispositivos se han clonado a partir de una imagen, tendrán el mismo ID. Los ID duplicados pueden provocar problemas de gestión.

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Detección de dispositivo duplicado

Medio

No

Aparecerá una alerta en la página Alertas si se detecta un dispositivo duplicado. Los dispositivos duplicados se vuelven a registrar con un nuevo ID.

Dispositivo desduplicado

Baja

Compruebe que los grupos y las políticas de los dispositivos desduplicados sean correctos.

Sincronización con Active Directory

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Error de sincronización de Active Directory

Alto

Cuando un error de sincronización con Active Directory no se resuelve automáticamente antes de una hora se muestra una alerta en la página de Alertas.

Sincronización de Active Directory completada correctamente

Bajo

No

Aviso de sincronización de Active Directory

Media

No

Reputación de descargas

Sophos Central advierte a los usuarios finales si una descarga tiene una reputación baja. Esta reputación se basa en el origen de un archivo, con qué frecuencia se descarga y otros factores.

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

El usuario ha eliminado la descarga de baja reputación

Baja

No

Un usuario ha suprimido una descarga después de que Sophos Central le haya advertido de que tenía una baja reputación.

El usuario ha permitido la descarga de baja reputación

Baja

No

Un usuario ha permitido una descarga después de que Sophos Central le haya advertido de que tenía una baja reputación.

Descarga de baja reputación permitida automáticamente

Baja

No

Sophos Central ha detectado una descarga de baja reputación y la ha permitido de forma automática.

Esto solamente ocurre si cambia la configuración del control de reputación a "Sólo registrar".

Firewall

Si tiene un dispositivo Sophos XG Firewall registrado con Sophos Central, sus ordenadores pueden enviar informes periódicos sobre su estado de seguridad a Sophos XG Firewall. Estos informes se conocen como informes de "Security Heartbeat".

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Ausencia de heartbeat notificada

Alto

Un ordenador ya no envía señales de Security Heartbeat a Sophos XG Firewall, pero sigue enviando tráfico de red. Es posible que el ordenador esté en peligro. Es posible que un dispositivo Sophos XG Firewall haya restringido el acceso a la red del equipo (en función de la política establecida por su empresa).

Notificación de heartbeat recuperado

Bajo

No

Un ordenador ha comenzado de nuevo a enviar señales de Security Hearbeat a Sophos XG Firewall.

Device Encryption

Nota Para la mayoría de alertas del cifrado de dispositivos, debe reiniciar el equipo y permitir que se sincronice con el servidor.

Tipo de evento

Gravedad

¿Acción necesaria?

Descripción

Error en la creación de claves

Media

Véase la nota

No se ha podido crear una clave (clave TPM, clave TPM+PIN, clave USB o clave de recuperación).

Error en el cifrado del dispositivo

Media

Véase la nota

No se ha podido cifrar un volumen.

Información sobre el cifrado del dispositivo

Baja

Véase la nota

Información sobre varios eventos; por ejemplo, el usuario ha aplazado el cifrado o se ha restablecido un PIN o frase de acceso.

Dispositivo no cifrado

Media

Véase la nota

Consulte Alertas del cifrado de dispositivos.

Cambio de estado del cifrado del dispositivo

Baja

Véase la nota

El estado de Device Encryption ha cambiado de un estado a otro estado. Consulte Equipos.

Device Encryption está suspendido

Media

Véase la nota

Consulte Alertas del cifrado de dispositivos.

Falta la clave de recuperación

Media

Véase la nota

Consulte Alertas del cifrado de dispositivos.

Claves de recuperación recibidas

Baja

Véase la nota

Sophos Central ha recibido una clave de recuperación de una estación de trabajo.

Claves revocadas

Baja

Véase la nota

Se ha visualizado una clave de recuperación en Sophos Central, de modo que se ha revocado y sustituido.

Prevención de pérdida de datos

Tipo de evento

Descripción

Se ha realizado la acción "permitir la transferencia al recibir la confirmación del usuario"

Un archivo que contiene información controlada se ha transferido después de que un usuario haya confirmado que está transfiriendo la información.

Se ha realizado la acción "Permitir transferencia"

Un archivo que contiene información controlada se ha transferido.

Se ha realizado la acción "bloquear transferencia"

Un archivo que contiene información controlada se ha bloqueado.

Amazon Web Services (AWS)

Sophos Central informa de cualquier error de conexión con AWS.