Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=threat-lineage

Linaje de amenazas

Esta función está disponible de la siguiente manera:

  • Los clientes de MDR pueden usar esta función ahora.
  • Los clientes de XDR deben inscribirse en el Early Access Program (EAP) "Nuevas funciones de XDR" para utilizar esta función. Haga clic en su perfil y luego en Early Access Programs para empezar.

Nota

Si solo tiene MDR Essentials for Server o MDR Complete for Server, únase al EAP "Nuevas funciones de Server Protection" para usar la nueva función ahora. De lo contrario, no podrá utilizarla hasta abril de 2025.

Acerca del linaje de amenazas

El linaje de amenazas muestra de forma gráfica los procesos que llevaron a una detección y que la activaron. Le ayuda a entender cómo se desarrolló la amenaza, qué área de su entorno se vio afectada y cuáles fueron los resultados.

Ver el linaje de una amenaza

Puede acceder a un gráfico de linaje de amenazas desde la página de detalles de una detección.

  1. Vaya a Centro de análisis de amenazas > Detecciones.

    Alternativamente, vaya al Centro de análisis de amenazas > Casos y seleccione la pestaña Detecciones.

  2. Busque la detección que desee y haga clic en cualquier lugar de su fila en la tabla.

    El panel de detalles de la detección se desliza a la derecha de la pantalla.

  3. Seleccione la pestaña Linaje en el panel de detalles.

    Si no ve la pestaña Linaje, significa que esta detección no admite la nueva función.

    Panel de detalles de la detección con la pestaña Linaje.

  4. Haga clic en Abrir gráfico de linaje.

    La página de pestañas **Linaje**.

  5. Si aún no hay un gráfico disponible, haga clic en Generar.

    Nota

    Si una detección genera un "caso", un gráfico se genera automáticamente y ya estará disponible aquí. Para obtener información sobre los casos, consulte Casos.

    Página de linaje con el botón "Generar".

Se muestra un gráfico de los procesos que activaron la detección y los procesos que llevaron a ellos.

Gráfico de linaje.

El gráfico de linaje permanece disponible durante 7 días. Puede volver a generarlo en cualquier momento durante el periodo en que Sophos XDR Data Lake conserva los datos, que normalmente es de 90 días.

Clave del linaje de amenazas

El gráfico de linaje de amenazas utiliza los iconos de abajo para representar los procesos y la actividad.

Icono Proceso Descripción
Hexágono transparente. Proceso Proceso que llevó a la detección
Hexágono rojo. Proceso afectado Proceso sospechoso o potencialmente malicioso
Rayo rojo. Detección activada Proceso que activó una detección
Señal de aviso roja. Actividad clave Acciones fundamentales que influyen en el progreso o el resultado de eventos posteriores

Para ver esta lista de iconos y el número de cada tipo de proceso en el gráfico, haga clic en el icono Leyenda en la parte superior derecha de la página.

Icono Leyenda.

El gráfico también puede mostrar procesos y actividades que no están en el linaje directo, pero que fueron iniciados por un proceso en el linaje. Estos se ramifican desde el gráfico principal, como se muestra aquí. Para obtener más información sobre estos, consulte Mostrar más procesos del linaje.

Gráfico que muestra procesos adicionales iniciados por un proceso en el linaje.

Ver más detalles de un proceso

Puede ver más detalles de la siguiente manera:

  • Situar el cursor sobre un proceso. Esto muestra detalles básicos y la línea de comandos.

    Proceso con sus detalles a la vista al situar el cursor sobre él.

  • Utilizar las opciones de consulta axial. Haga clic en los tres puntos Icono de tres puntos. junto al proceso. A continuación, puede seleccionar consultas para ejecutarlas en Live Discover.

    Proceso con el menú de opciones de consulta axial a la vista.

  • Hacer clic en un proceso. Esto abre las pestañas Información y Actividades debajo del gráfico.

    La pestaña Información muestra los detalles del proceso y la línea de comandos. Haga clic en los tres puntos Icono de tres puntos. junto a un detalle para utilizar las mismas opciones de consulta axial del gráfico.

    Si tiene funciones de IA de Sophos, haga clic en el icono de IA Icono de IA. para generar un análisis de la línea de comandos.

    Para obtener detalles de la pestaña Actividades, consulte Ver actividades asociadas a un proceso.

    Pestaña Información.

Ver actividades asociadas a un proceso

Puede ver todas las actividades asociadas a un proceso. Estas actividades incluyen otros procesos relacionados que no están en el gráfico de linaje.

Para ver las actividades, haga lo siguiente:

  1. Haga clic en un proceso en el gráfico para abrir sus detalles.

  2. Seleccione la pestaña Actividades.

    • Si el linaje se generó automáticamente y está viendo un proceso afectado, la pestaña ya muestra las actividades.
    • Si generó el linaje manualmente, la pestaña está vacía inicialmente. Debe cargar los datos como se describe en el siguiente paso.

    La pestaña "Actividades".

  3. Haga clic en Enriquecer a la derecha de la pestaña para cargar datos.

    La primera vez que haga clic en Enriquecer, se mostrarán los primeros tres días de datos, comenzando cuando el proceso se inició. Cada vez que haga clic en Enriquecer, se añadirán otros tres días de datos y se enumerarán más actividades.

    Una ventana emergente al inicio de la cronología Enriquecer muestra la fecha y hora de la Detección inicial.

Puede cambiar la información mostrada de la siguiente manera:

  • Expanda una fila para mostrar los datos sin procesar.
  • Filtre las actividades por tipo, acción y más.

También puede añadir procesos de esta lista al gráfico de linaje. Consulte Mostrar más procesos del linaje.

Mostrar más procesos del linaje

La pestaña Actividades en los detalles del proceso muestra procesos adicionales relacionados que no están en el linaje directo de la amenaza.

Puede añadir estos procesos al gráfico de linaje para ayudar a investigar amenazas.

  1. Haga clic en un proceso y abra la pestaña Actividades.
  2. En la lista de actividades, busque el proceso relacionado que quiera mostrar.

  3. Haga clic en el icono Ojo junto al proceso para mostrarlo. Haga clic en el icono de nuevo para ocultar el proceso.

    El icono Ojo.

Exportar el linaje

Para exportar los datos de linaje a un archivo CSV, haga clic en el icono Exportar.

Icono Exportar.

Si se produce un error durante la exportación, seleccione uno de los procesos en el gráfico e intente exportarlo desde allí.

Buscar el linaje

Para buscar el linaje, introduzca un término en la barra de búsqueda en la parte superior izquierda de la página.

Los resultados coincidentes se muestran en las pestañas Información, Actividades y Resultados coincidentes en la parte inferior de la página.