Detecciones

Las detecciones muestran la actividad que es posible que deba investigar.

Para ver las detecciones, vaya a Resumen > Centro de análisis de amenazas > Detecciones.

Las detecciones identifican actividad en los dispositivos que es inusual o sospechosa pero que no se ha bloqueado. Son diferentes de los eventos en los que detectamos y bloqueamos actividades que sabemos que son malintencionadas.

Las detecciones se basan en los datos que los dispositivos cargan en Sophos Data Lake. Para saber cómo configurar las cargas, consulte Cargas en Data Lake.

Contrastamos los datos con las reglas de clasificación de amenazas. Cuando hay una coincidencia, se muestra una detección.

Damos a las detecciones una puntuación de riesgo del 1 (mínimo) al 10 (máximo). La puntuación indica la confianza que tenemos en que la detección está relacionada con actividad maliciosa.

Significado de los detalles de detección

Agrupamos las detecciones según la regla que cumplen y la fecha. Los detalles de detección muestran lo siguiente:

  • Riesgo. El riesgo se sitúa en una escala del 1 (mínimo) al 10 (máximo). Una puntuación de 0 significa que no hemos decidido el nivel de riesgo. Con la configuración predeterminada, solo se muestran las detecciones con una puntuación de 7 o más. Utilice la puntuación para priorizar las investigaciones.
  • Regla de clasificación. Nombre de la regla que se ha cumplido.
  • Recuento. Número de veces que se ha cumplido la regla de clasificación en un día determinado.
  • Lista de dispositivos. Dispositivo en que se cumplió por última vez la regla y el número de otros dispositivos con la misma detección ese día.
  • Visto por primera/última vez. La primera y la última detección basadas en la regla de clasificación de ese día.
  • Descripción. Lo que identifica la regla.
  • Mitre ATT&CK. La táctica y técnica de Mitre ATT&CK correspondiente.

Cómo usar las detecciones

Puede utilizar las detecciones para examinar dispositivos, procesos, usuarios y eventos en busca de signos de amenazas potenciales que otras funciones de Sophos no hayan bloqueado. Por ejemplo:

  • Comandos inusuales que indican intentos de inspeccionar sus sistemas y permanecer en ellos, evitar la seguridad o robar credenciales.
  • Alertas de malware de Sophos, como eventos de prevención de código shell dinámico, que indican que un atacante podría haber penetrado en un dispositivo.

La mayoría de las detecciones están vinculadas a la plataforma MITRE ATT&CK, donde puede encontrar más información sobre la táctica y la técnica específicas. Consulte https://attack.mitre.org/

También puede realizar acciones adicionales basadas en la detección. Por ejemplo:

  • Buscar en los dispositivos indicios de una amenaza sospechosa o conocida si Sophos Central la ha detectado en otro lugar o si un usuario informa de un comportamiento sospechoso.
  • Buscar software desactualizado o navegadores con configuraciones no seguras.

Cómo obtener ayuda

Ofrecemos el servicio Managed Threat Response, que puede supervisar su entorno en busca de actividades maliciosas y responder en su nombre 24/7.

Consulte https://www.sophos.com/es-es/products/managed-threat-response.aspx.

Nota Si cree que su seguridad se ha visto vulnerada y necesita ayuda inmediata, póngase en contacto con nuestro equipo de respuesta rápida. Este es un servicio de pago.

Consulte https://www.sophos.com/es-es/products/managed-threat-response/rapid-response.aspx.