Saltar al contenido

Centro de análisis de amenazas

El panel de control del Centro de análisis de amenazas le permite ver y analizar las cifras y tendencias de detección.

Vaya a Centro de análisis de amenazas para ver el panel.

Hemos actualizado el panel de control con nuevas funciones. Si desea volver al antiguo panel de control, seleccione Panel de control original en la parte superior derecha del panel.

Tecla para alternar el panel de control.

Si necesita ayuda para utilizar el panel de control, seleccione la ficha correspondiente.

El nuevo panel de control le ofrece más datos de detección y mejores formas de visualizarlos.

Ahora puede hacer lo siguiente:

  • Seleccionar el intervalo de tiempo para el que se mostrarán los datos de detección.
  • Consultar las cifras de detección desglosadas por diferentes aspectos de la detección.
  • Utilizar filtros para centrarse en las detecciones de un determinado tipo, gravedad, etc. Consulte Establecer filtros.
  • Ver las detecciones según la ubicación geográfica.
  • Pulsar en las cifras de detección de cada sección para acceder directamente a los datos prefiltrados.

Total de detecciones

Muestra el número total de detecciones y un desglose del porcentaje para cada nivel de gravedad.

Haga clic en cualquier cifra para abrir la página Detecciones prefiltrada para mostrar el nivel de gravedad que desee. La página se abre en una nueva pestaña.

También puede utilizar los filtros como se describe en Establecer filtros.

Total de detecciones.

Recuento total de detecciones

Muestra el número de detecciones durante el intervalo de tiempo seleccionado y la tendencia basada en las cifras promedio de cada hora o día.

La línea de tendencia solo se muestra para intervalos de tiempo de hasta 7 días.

Puede modificar este gráfico para mostrar las cifras desglosadas según los distintos aspectos de la detección. Consulte Seleccionar una vista de desglose.

También puede utilizar los filtros como se describe en Establecer filtros.

Recuento total de detecciones y gráfico de tendencias.

Seleccionar una vista de desglose

Puede personalizar el gráfico Recuento total de detecciones para mostrar un desglose de las cifras de detección. Por ejemplo, puede mostrar los números de detección desglosados según su gravedad: riesgo crítico, alto, medio o bajo.

Para ello, vaya al menú desplegable situado encima del gráfico y seleccione la opción para la que desea ver un desglose.

Menú desplegable.

Al hacerlo, los gráficos de barras cambiarán y cada barra será sustituida por un grupo de barras. Si selecciona desglosar por gravedad, se mostrarán barras separadas que muestran las estadísticas de detección para los niveles de riesgo crítico, alto, medio o bajo. Pase el ratón por encima de una barra para ver las cifras.

Nota

La vista de tácticas de MITRE utiliza un gráfico lineal. Las distintas líneas muestran las detecciones para diferentes tácticas.

Gráfico de barras con desglose.

Seleccionar la vista de gráfico o de mapa térmico

Puede ver las cifras de detección en forma de gráfico o de calendario con mapa térmico. La vista por defecto es la de gráfico. Para cambiarla, utilice los iconos de la parte superior derecha de la pantalla. Para el mapa térmico, haga clic en el icono de la derecha.

Icono de mapa térmico.

Principales 10 entidades

Muestra las diez entidades (por ejemplo, servidores) con más detecciones. Haga clic en el número de detecciones para ver un desglose por nivel de riesgo.

Puede utilizar el menú desplegable situado encima de la lista para mostrar los números de detección de la siguiente manera:

  • Por entidad: Muestra los dispositivos con más detecciones.
  • Por sensor: Muestra los sensores con más detecciones. Los sensores son productos que notifican las detecciones a Sophos Data Lake.

También puede utilizar los filtros como se describe en Establecer filtros.

Principales 10 usuarios

Los diez usuarios con más detecciones. Haga clic en el número de detecciones para ver un desglose por nivel de riesgo.

También puede utilizar los filtros como se describe en Establecer filtros.

Ubicación de los sensores de detección

Un mapamundi muestra el número y el desglose de las detecciones en las distintas regiones geográficas. Puede hacer zoom para ver las cifras de detección de regiones más pequeñas, como el país, la provincia o la ciudad.

Haga clic en el número de detecciones de una región para ver un desglose por nivel de riesgo.

Puede personalizar esta sección como se describe en Establecer filtros.

Mapa de la ubicación de los sensores.

TTP (tácticas, técnicas y procedimientos) de MITRE

Este mapa térmico muestra el número de detecciones en cada categoría de MITRE. Pase el cursor sobre una táctica para ver un desglose por nivel de riesgo.

Haga clic en una táctica para ampliar las técnicas de MITRE detectadas durante ese periodo. Haga clic de nuevo para volver a la vista de tácticas.

Puede personalizar esta sección como se describe en Establecer filtros.

Mapa térmico de detecciones para cada TTP de MITRE.

Detecciones recientes

Muestra las detecciones más recientes en su red.

También puede utilizar los filtros como se describe en Establecer filtros.

Detecciones recientes.

Definir el intervalo de tiempo

El intervalo de tiempo por defecto son las últimas 24 horas. Puede cambiarlo a la última hora, los últimos 7 días o los últimos 30 días.

También puede seleccionar Personalizado y establecer un intervalo personalizado.

Establecer filtros

Los filtros le permiten seleccionar los datos que verá. Haga clic en Filtro para ver las opciones.

Menú Filtro.

Puede utilizar los siguientes conjuntos de filtros.

  • Entidad. Introduzca el nombre de un dispositivo concreto para ver las detecciones que se han producido en él.
  • Gravedad. Opción para mostrar las detecciones con un nivel o niveles de riesgo específicos.
  • Tipo. Opción para mostrar las detecciones de un tipo específico de amenaza.
  • Sistema operativo. Opción para mostrar las detecciones que se han producido en dispositivos que ejecutan uno o varios sistemas operativos específicos.
  • Tácticas MITRE. Opción para mostrar detecciones que coincidan con tácticas específicas de MITRE.
  • Detección. Introduzca un nombre de detección para ver las instancias de esa detección.
  • Categoría. Opción para mostrar las detecciones notificadas por un tipo específico de sensor. Por ejemplo, firewall.

Puede elegir varias opciones en cada conjunto o hacer clic en Seleccionar todo junto a un conjunto. También puede elegir opciones en varios conjuntos.

Puede combinar filtros con una vista seleccionada en el menú desplegable (en secciones que tengan una).

Resaltar detalles en un gráfico

Puede resaltar barras o líneas específicas en un gráfico. Pase el ratón por encima de las franjas de color que aparecen en la leyenda junto al gráfico. Por ejemplo, en un gráfico que muestre las detecciones por gravedad, haga clic en el color de un nivel de riesgo específico para resaltar esa barra.

Cursor sobre la leyenda para resaltar las barras.

El panel de control original consta de tablas que muestran las actividades recientes de detección e investigación de amenazas.

Casos recientes

Los casos le permiten analizar posibles amenazas. Agrupan los eventos sospechosos que hemos detectado y le ayudan a realizar el trabajo forense en ellas.

Creamos un caso automáticamente cuando hay una detección, y añadimos las detecciones relacionadas más tarde. También puede crear su propia investigación y añadirle detecciones. Consulte Casos.

El panel de control muestra los casos recientes y su estado actual.

Para ver todos los casos, haga clic en Ver todos.

Detecciones recientes

Las detecciones identifican actividad en los dispositivos que es inusual o sospechosa pero que no se ha bloqueado. Son diferentes de los eventos en los que detectamos y bloqueamos actividades que ya sabemos que son malintencionadas.

Generamos detecciones que se basan en los datos que los dispositivos cargan en Sophos Data Lake.

El panel de control muestra las detecciones recientes, con detalles de su nivel de riesgo, dónde se produjeron y qué producto o integración las detectó.

Para ver todas las detecciones, haga clic en Ver todas.

Gráficos de amenazas recientes

Los gráficos de amenazas le permiten investigar los ataques de malware. Haga clic en un gráfico para averiguar dónde se ha iniciado un ataque, cómo se ha propagado y qué procesos o archivos se han visto afectados.

Los gráficos de amenazas solo están disponibles para dispositivos Windows.

El panel de control muestra los gráficos de amenazas en diferentes fichas, en función de quién los haya generado, de la siguiente manera:

  • Gráficos generados automáticamente por Sophos.
  • Gráficos generados por un administrador de Sophos Central

Solo mostramos gráficos de amenazas con el estado "nuevo" en esta área. Si un gráfico de amenazas está cerrado o en curso, aunque tenga una fecha más reciente que uno con el estado "nuevo", no se mostrará.

Para ver todos los gráficos, haga clic en Ver todos los gráficos de amenazas.

Consultas de Live Discover recientes

Live Discover le permite ejecutar consultas en sus dispositivos de la siguiente manera:

  • Buscar indicios de amenazas que no hayan sido detectadas por otras funciones de Sophos.
  • Buscar indicios de una amenaza sospechosa o conocida si Sophos Central la ha encontrado en otro lugar.
  • Comprobar el cumplimiento de los estándares de seguridad.

El panel de control muestra las consultas más recientes que ha ejecutado.

Para ver todos los detalles de una consulta y sus resultados, haga clic en su nombre en la lista.

Para ver todas sus consultas recientes, haga clic en Ver todas.

Para ejecutar una nueva consulta, haga clic en Nueva sesión.

Consultas programadas recientemente

Puede programar consultas de Live Discover.

El panel de control muestra las consultas programadas más recientes y su frecuencia.

Para ver todos los detalles de una consulta programada y acceder a sus resultados, haga clic en su nombre en la lista.

Para ver todas sus consultas programadas, haga clic en Ver todos.