Saltar al contenido

Informes semanales y mensuales de MDR

Comprenda los informes semanales y mensuales sobre la actividad de MDR de sus subentornos.

Resumen de subentornos

La sección Resumen de subentornos proporciona información sobre el total de subentornos, los modos de respuesta tomados, los subentornos que utilizan integraciones y la puntuación del estado de seguridad de la cuenta.

Modos de respuesta

Modos de respuesta muestra el número de subentornos para cada modo de respuesta.

Recuento de subentornos que usan integraciones

El recuento de subentornos que usan integraciones muestra el número de subentornos con integraciones activadas que están enviando datos activamente. Si la integración no está habilitada, el subentorno no se cuenta en esta sección.

Puntuación del estado de seguridad de la cuenta

La puntuación del estado de seguridad de la cuenta muestra el número de subentornos con una puntuación del estado de seguridad general en un rango específico. Reflejan si sus dispositivos o políticas utilizan la configuración de seguridad recomendada. También refleja la puntuación más baja de todos sus diferentes tipos de comprobaciones del estado de seguridad.

Las recomendaciones de nuestra función Verificar estado de cuenta de Sophos pueden incluir parámetros como activar funciones antiexploits para protegerse contra el robo de credenciales o el aumento de privilegios, o activar la detección de tráfico malicioso para impedir la comunicación con los servidores de comando y control. Las comprobaciones del estado de seguridad sirven para mejorar de forma proactiva su postura de seguridad y solventar puntos débiles que pueden afectar negativamente a sus capacidades en términos de seguridad.

Sección Resumen de subentornos.

Detecciones

Indica la variación porcentual en las detecciones. Las detecciones son indicadores de actividad generados por la tecnología que se ponderan y clasifican en función de su potencial de amenaza. En la mayoría de casos, estos puntos de datos son meramente informativos y no se traducen en la creación de un caso por sí mismos. Las detecciones suelen incluir elementos como ejecuciones de comandos, sockets de red abiertos, eventos de autenticación y aplicaciones en ejecución.

Casos

Indica la variación porcentual en los casos. Tanto si se basan en detecciones como si se crean manualmente, los casos se investigan para determinar si una detección es una amenaza real y si se está desarrollando una actividad maliciosa.

Traslados de incidencias

Indica la variación porcentual en los casos que requieren el envío de información o una acción de un subentorno que no puede ser llevada a cabo por el equipo de operaciones de MDR por sí solo.

Amenazas activas

Indica la variación porcentual de las amenazas activas. Las amenazas activas son indicadores confirmados de ataque (IoA) o de peligro (IoC) observados en la red de un subentorno.

Datos sobre detecciones, casos, derivaciones y amenazas activas.

Subentornos principales por detecciones relacionadas con amenazas

El equipo de operaciones de MDR mejora continuamente nuestras capacidades de detección, lo que naturalmente podría provocar fluctuaciones en el volumen de detecciones incluidas en el informe. Estos ajustes podrían ser para descartar detecciones que han tenido un valor limitado a la hora de identificar amenazas o de ampliar nuestro alcance y visibilidad para identificar amenazas nuevas y emergentes.

Esta sección proporciona información sobre el mayor volumen de detección de subentornos observado en el transcurso de un mes o una semana. Esto ayuda al equipo de operaciones de MDR a identificar los puntos de inflexión en la posible actividad de los adversarios.

Subentornos principales por detecciones mensuales relacionadas con amenazas.

Resumen de la clasificación de detecciones

Las detecciones de MDR se clasifican en categorías de alto nivel para ayudar a entender los tipos generales de detecciones observadas en su red. Algunos ejemplos incluyen herramientas de ataque comunes, la ejecución de PowerShell y persistencia. No todas las detecciones indican actividad sospechosa o maliciosa. Algunas pueden estar asociadas a datos benignos que fueron recopilados.

Resumen de la clasificación de detecciones.

Plataforma MITRE ATT&CK

Las detecciones de MDR se asignan a técnicas específicas en el marco MITRE ATT&CK, una base de conocimiento de comportamientos de adversarios ampliamente utilizada y basada en observaciones del mundo real. Verá el desglose por porcentajes de las detecciones en esta sección del informe mensual.

No todas las detecciones representan actividad maliciosa, y los comportamientos benignos pueden coincidir con tácticas y técnicas adversarias conocidas Además, el número total de casos de MDR puede no coincidir con el número total de tácticas de adversarios observadas. Esto puede suceder por dos razones principales:

  • Un solo caso de MDR puede implicar múltiples tácticas de adversarios, lo que hace que el número total de tácticas sea mayor que el número de casos.
  • Algunos casos MDR, como los casos de comprobación del estado de seguridad, pueden no implicar ninguna táctica de adversarios, lo que hace que el número de casos sea mayor que el de tácticas observadas.

Plataforma MITRE ATT&CK.

Estado de los subentornos

La sección Estado de los subentornos proporciona un resumen estadístico de los informes semanales o mensuales de la actividad de MDR para cada subentorno.

Sección Estado de los subentornos.