Saltar al contenido

Detecciones

Las detecciones muestran la actividad que es posible que deba investigar.

Para ver las detecciones, vaya a Centro de análisis de amenazas > Detecciones.

Las detecciones identifican actividad en los dispositivos que es inusual o sospechosa pero que no se ha bloqueado. Son diferentes de los eventos en los que detectamos y bloqueamos actividades que ya sabemos que son malintencionadas.

Generamos detecciones que se basan en los datos que los dispositivos cargan en Sophos Data Lake.

Contrastamos estos datos con las reglas de clasificación de amenazas. Cuando hay una coincidencia, se muestra una detección.

Esta página le indica cómo utilizar las detecciones para buscar posibles amenazas.

Nota

Investigaciones puede agrupar automáticamente las detecciones relacionadas para un análisis más avanzado. Consulte Investigaciones.

Configurar detecciones

Si aún no dispone de detecciones, debe permitir que sus dispositivos carguen datos en Sophos Data Lake para que podamos utilizarlos. Para ello, haga lo siguiente:

  1. Vaya a Configuración global.
  2. En Endpoint Protection o Server Protection, haga clic en Cargas en Data Lake. Active las cargas.

    Debe activar las cargas para ordenadores y servidores por separado.

Ahora empezaremos a mostrar detecciones.

Para obtener más información sobre las cargas de datos, consulte Cargas en Data Lake.

Ver detalles de detecciones

Para ver las detecciones, vaya a Centro de análisis de amenazas > Detecciones.

Agrupamos las detecciones según la regla que cumplen y la fecha. La lista de detecciones muestra lo siguiente:

  • Riesgo. El riesgo se sitúa en una escala del 1 (mínimo) al 10 (máximo). Con la configuración predeterminada, solo se muestran las detecciones con una puntuación de 7 o más. Utilice la puntuación para priorizar las investigaciones.
  • Regla de clasificación. Nombre de la regla que se ha cumplido.
  • Recuento. Número de veces que se ha cumplido la regla de clasificación en un día determinado.
  • Lista de dispositivos. Dispositivo en que se cumplió por última vez la regla y el número de otros dispositivos con la misma detección ese día.
  • Visto por primera vez y Visto por última vez. La primera y la última detección basadas en la regla de clasificación de ese día.
  • Descripción. Lo que identifica la regla.
  • Mitre ATT&CK. La táctica y técnica de Mitre ATT&CK correspondiente.

Para ver todos los detalles de una detección, como el dispositivo, los usuarios y los procesos implicados, haga clic en la flecha de la derecha.

Lista de detecciones

Buscar posibles amenazas

Puede utilizar las detecciones para examinar dispositivos, procesos, usuarios y eventos en busca de signos de amenazas potenciales que otras funciones de Sophos no hayan bloqueado. Por ejemplo:

  • Comandos inusuales que indican intentos de inspeccionar sus sistemas y permanecer en ellos, evitar la seguridad o robar credenciales.
  • Alertas de malware de Sophos, como eventos de prevención de código shell dinámico, que indican que un atacante podría haber penetrado en un dispositivo.
  • Detecciones en tiempo de ejecución de Linux, como escapes de contenedor, que indican que un atacante está aumentando los privilegios desde el acceso al contenedor para pasar al host del contenedor.

La mayoría de las detecciones están vinculadas a la plataforma MITRE ATT&CK, donde puede encontrar más información sobre la táctica y la técnica específicas. Consulte https://attack.mitre.org/

También puede buscar indicios de una amenaza sospechosa o conocida que Sophos ha encontrado en otra parte, o software obsoleto o navegadores no seguros.

Usar consultas axiales, enriquecimientos y acciones

Puede obtener más información acerca de las detecciones usando consultas axiales.

Una consulta axial le permite seleccionar un fragmento de datos significativo de una detección y utilizarlo como base para seguir investigando.

Si abre todos los detalles de una detección, verá un icono de puntos suspensivos junto a algunos elementos. Captura de pantalla del icono de puntos suspensivos

Haga clic en el icono para ver las acciones disponibles. Estas dependen del tipo de datos.

  • Consultas. Puede ejecutar una consulta basada en los datos seleccionados. Las consultas de Live Discover buscan en los datos de sus dispositivos. Las consultas de Data Lake buscan en los datos que los dispositivos cargan en Sophos Data Lake.
  • Enriquecimientos. Los enriquecimientos abren sitios web de terceros como VirusTotal o IP Abuse DB para buscar información sobre una posible amenaza que haya encontrado.
  • Acciones. Estas ofrecen otras tareas de detección o remediación. Por ejemplo, puede escanear un dispositivo o iniciar Sophos Live Response para acceder a un dispositivo e investigarlo.

En el ejemplo que se muestra, al hacer clic en el icono situado junto a la dirección IP, podrá ejecutar consultas basadas en esa dirección IP o buscar información de terceros sobre los riesgos asociados a ella.

Menú dinámico Detecciones

Cómo obtener ayuda

Ofrecemos el servicio Managed Threat Response, que puede supervisar su entorno en busca de actividades maliciosas y responder en su nombre 24/7.

Consulte https://www.sophos.com/es-es/products/managed-threat-response.aspx.

Nota

Si cree que su seguridad se ha visto vulnerada y necesita ayuda inmediata, póngase en contacto con nuestro equipo de respuesta rápida. Este es un servicio de pago.

Consulte https://www.sophos.com/es-es/products/managed-threat-response/rapid-response.aspx.

Volver al principio