Instantáneas forenses
Las instantáneas forenses capturan la actividad reciente que tiene lugar en un dispositivo.
Cuando detectamos una amenaza, se crea automáticamente una instantánea en el dispositivo y se utiliza para crear un gráfico de amenazas, que muestra cómo se ha desarrollado el ataque.
También puede crear instantáneas forenses bajo demanda y hacer su propio análisis.
En esta página se explica cómo hacer lo siguiente:
- Crear instantáneas forenses.
- Acceder a instantáneas forenses.
- Definir el periodo de tiempo para las instantáneas forenses.
También puede hacer lo siguiente:
- Convertir instantáneas para poder analizarlas. Consulte Convertir instantáneas forenses
- Cargar instantáneas forenses en un bucket de SW3 de AWS. Consulte Cargar instantáneas forenses en un bucket de S3 de AWS
Puede cargar instantáneas forenses solo desde dispositivos Windows. También debe tener una licencia XDR o MDR.
Crear una instantánea forense
Puede crear una instantánea forense a partir de los detalles del dispositivo en Sophos Central o de un gráfico de amenazas.
Crear una instantánea a partir de los detalles del dispositivo
Para crear una instantánea a partir de los detalles del dispositivo, haga lo siguiente:
- En Sophos Central, vaya a Mis productos > Ordenadores y servidores.
- Haga clic en el nombre del dispositivo para el que desea generar una instantánea.
- En la pestaña Resumen de la página de detalles del dispositivo, haga clic en Más acciones y seleccione Crear instantánea forense.
- En Crear instantánea forense, haga clic en Crear ahora.
Por defecto, se crea una instantánea en %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
.
También puede subir instantáneas a un bucket de S3. Consulte Cargar instantáneas forenses en un bucket de S3 de AWS.
Debe convertir la instantánea a un formato que le permita analizarla. Consulte Convertir instantáneas forenses.
Crear una instantánea a partir de un gráfico de amenazas
Para crear una instantánea a partir de un gráfico de amenazas, haga lo siguiente
- En Sophos Central, vaya al Centro de análisis de amenazas > Gráficos de amenazas.
- Seleccione una amenaza detectada asociada al dispositivo para el que desea generar una instantánea.
- En el gráfico de amenazas, haga clic en Crear instantánea forense debajo de la tabla de artefactos.
Por defecto, se crea una instantánea en %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
.
También puede subir instantáneas a un bucket de S3. Consulte Cargar instantáneas forenses en un bucket de S3 de AWS.
Debe convertir la instantánea a un formato que le permita analizarla. Consulte Convertir instantáneas forenses.
Acceder a instantáneas forenses
Puede acceder a instantáneas forenses en el dispositivo.
Nota
Con la protección contra manipulaciones activada, debe ejecutar la línea de comandos con privilegios elevados para acceder a las instantáneas guardadas.
Por defecto, las instantáneas que cree estarán en %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
.
Las instantáneas que creamos automáticamente en función de las detecciones están en %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\
.
Definir el periodo de tiempo para las instantáneas
De forma predeterminada, una instantánea incluye datos de las dos semanas anteriores.
Puede cambiar el periodo de tiempo o incluir todos los datos disponibles de la siguiente manera:
- En Sophos Central, vaya a Configuración global > Instantáneas forenses.
- En Definir periodo de tiempo para la instantánea forense, seleccione un periodo de tiempo o Todos los datos de registro.
Cargar instantáneas en un bucket de S3
Puede cargar instantáneas forenses en un bucket de S3 de AWS. Esto le permite acceder a las instantáneas fácilmente en una única ubicación en lugar de acceder a cada dispositivo.
Para obtener información acerca de cómo configurar un bucket de S3 de AWS para poder cargar instantáneas, consulte Cargar instantáneas forenses en un bucket de S3 de AWS.
-
Recopilación de registros forenses
Si configura las cargas en un bucket de S3 de AWS aquí, nuestra nueva función de recopilación de registros forenses utiliza la misma configuración para cargar registros.
Actualmente la recopilación de registros forenses solo está disponible a través de nuestra API de Sophos Central. Consulte https://developer.sophos.com/api.