Gráficos de amenazas

Los gráficos de amenazas le permiten investigar y limpiar los ataques de malware.

Puede averiguar dónde se ha iniciado un ataque, cómo se ha propagado y qué procesos o archivos se han visto afectados. Esto le ayuda a mejorar la seguridad.

Esta función solo está disponible para clientes con una licencia de Intercept X o Intercept X Advanced with XDR. Si dispone de una licencia de Intercept X Advanced with XDR o Intercept X Advanced for Server with XDR, también podrá:

  • Aislar los dispositivos afectados.
  • Buscar más ejemplos de la amenaza en la red.
  • Limpiar y bloquear la amenaza.
  • Obtener más información sobre amenazas avanzadas.

Creamos un gráfico de amenazas cada vez que detectamos malware que necesita investigar a fondo.

Nota Actualmente esta función solo está disponible para dispositivos Windows.

Cómo investigar y limpiar amenazas

Esto es un resumen de cómo suele investigarse un gráfico. Para obtener más información sobre todas las opciones, consulte Análisis de gráficos de amenazas.

Algunas opciones solo están disponibles si tiene una licencia de Intercept X Advanced with XDR o Intercept X Advanced with XDR for Server.

  1. Vaya a Descripción general > Centro de análisis de amenazas, haga clic en Gráficos de amenazas y, a continuación, haga clic en un gráfico.

    Esto muestra la página de detalles del gráfico.

  2. Consulte el Resumen para ver dónde se ha iniciado el ataque y qué archivos podrían estar afectados.
  3. Consulte Siguientes pasos sugeridos. Puede cambiar la prioridad del gráfico y ver qué procesos investigar.

    Si se trata de un gráfico de alta prioridad y tiene Intercept X Advanced with XDR, puede hacer clic en Aislar este dispositivo. Así se aísla de la red el dispositivo afectado. Puede seguir gestionando el dispositivo desde Sophos Central.

    Nota Si el dispositivo se ha aislado automáticamente a sí mismo, no verá esta opción.
  4. En la ficha Analizar, puede ver un diagrama que muestra el progreso del ataque. Al hacer clic en los elementos se muestran más detalles.
  5. Haga clic en la causa raíz u otro proceso para ver los detalles.
  6. Para asegurarse de que dispone de los últimos análisis de Sophos, haga clic en Solicitar información más reciente.

    Esta opción envía archivos a Sophos para analizarlos. Si tenemos nueva información sobre la reputación y prevalencia del archivo, la verá aquí en unos minutos.

    Restricción Si tiene Intercept X Advanced with XDR o Intercept X Advanced for Server with XDR, verá un análisis más avanzado; consulte Detalles del proceso. También podrá realizar otras tareas de detección y limpieza, como se muestra en los pasos siguientes.
  7. Haga clic en Buscar elemento para buscar más ejemplos del archivo en la red.

    Si la página Resultados de la búsqueda de elementos muestra más ejemplos del archivo, puede hacer clic en Aislar dispositivo para aislar los dispositivos afectados.

  8. Vuelva a la página de detalles del gráfico de amenazas y consulte la información más reciente sobre amenazas.
  9. Si está seguro de que el archivo es malicioso, puede hacer clic en Limpiar y bloquear.

    Esto limpia el elemento en los dispositivos en los que se ha encontrado y lo bloquea en todos los dispositivos.

  10. Si está seguro de que ha resuelto la amenaza, puede quitar el dispositivo del aislamiento (si es necesario). Vaya a Siguientes pasos sugeridos y haga clic en Quitar de aislamiento.

    Si ha aislado varios dispositivos, vaya a Configuración > Dispositivos aislados por el administrador y quítelos del aislamiento. Consulte Dispositivos aislados por el administrador.

  11. Vuelva a la lista Gráficos de amenazas detectadas, seleccione el gráfico y haga clic en Cerrar.

Acerca de la lista de gráficos de amenazas

La página Gráficos de amenazas enumera todos los gráficos de amenazas de los últimos 90 días.

Si dispone de una licencia de MTR, la página se divide en fichas para los gráficos de amenazas que se han generado de la siguiente manera:

  • Generado automáticamente por Sophos
  • Generado por un administrador de Sophos Central
  • Generado por el equipo Sophos Managed Threat Response (MTR) (no utilizado actualmente)

Si no dispone de una licencia de MTR, la página no se divide en fichas.

Puede filtrar los gráficos por Dispositivo, Estado o Prioridad.

Puede utilizar Buscar para ver los gráficos de un determinado usuario, dispositivo o nombre de amenaza (por ejemplo "Troj/Agent-AJWL").

Para cada gráfico, la lista muestra la mayor parte de la siguiente información. Las columnas que se muestran dependen de si la página está dividida en fichas:

  • Estado: el estado es Nuevo de forma predeterminada. Puede cambiarla cuando consulte el gráfico.
  • Hora de creación: Fecha y hora en que se ha creado el gráfico.
  • Prioridad: se establece una prioridad al crearse el gráfico. Puede cambiarla cuando consulte el gráfico.
  • Nombre: haga clic en el nombre de amenaza para ver los detalles del gráfico.
  • Generado por: El administrador de Sophos Central que generó el gráfico de amenazas.
  • Propietario de proceso: Propietario del proceso que provocó la infección.
  • Táctica de MITRE: Táctica de MITRE que provocó la infección.
  • Tipo de dispositivo: Tipo de dispositivo, por ejemplo, Ordenador o Servidor.

Puede hacer clic en cualquier columna para ordenar los gráficos.