Saltar al contenido

Generar detecciones (NDR)

Puede generar detecciones de prueba para comprobar que Sophos NDR está bien configurado y que funciona correctamente.

La prueba no es maliciosa. Activa una detección simulando un evento con características típicas de un ataque. El evento es un cliente que descarga un archivo desde un servidor con datos de dominio y certificado sospechosos.

Puede ejecutar la prueba desde Appliance Manager.

Requisitos

Asegúrese de que Appliance Manager puede acceder a nuestro servidor de pruebas. Configure su firewall para permitir el tráfico TCP a este dominio y dirección IP:

  • Dominio: plrqkxqwvmtkm.xyz
  • Dirección IP: 13.56.99.184
  • Puerto: 2222

Asegúrese de incluir su tráfico de red en la configuración de reflejo de puertos actual. Para obtener ayuda, consulte las páginas de configuración de NDR en Integraciones de Sophos.

Generar una detección

Nota

Debe acceder a Appliance Manager desde un dispositivo en la misma red que Sophos NDR.

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Configurado.
  2. Vaya a la pestaña Dispositivos de integración.

    Lista de dispositivos de integración.

  3. Busque el dispositivo. En la columna de la derecha, haga clic en los tres puntos y seleccione Abrir Appliance Manager.

    Menú de acciones que muestra "Abrir Appliance Manager".

  4. En el cuadro de diálogo de confirmación, haga clic en Abrir.

    Cuadro de diálogo de confirmación para abrir Appliance Manager.

  5. En la pantalla de inicio de sesión, introduzca el nombre de usuario zadmin y su contraseña.

    Pantalla de inicio de sesión de Appliance Manager.

  6. En Appliance Manager, seleccione Generar detecciones.

  7. En la página Generar detecciones NDR, haga clic en Generar detecciones.

    Página Generar detecciones NDR.

  8. Cuando vea un mensaje que confirma que se está generando una detección, haga clic en Aceptar y espere diez minutos.

  9. Vuelva a Sophos Central.
  10. Vaya a Centro de análisis de amenazas > Detecciones.

  11. En la página Detecciones, debería ver una detección reciente de alto riesgo llamada NDR-DET-TEST-IDS-SCORE en la lista.

    Página Detecciones.

  12. Haga clic en NDR-DET-TEST-IDS-SCORE para abrir los detalles.

    La Descripción muestra una IP de origen y destino que se comunica a través de TCP y TLS en el puerto 2222. También muestra IDS (sistema de detección de intrusiones) como el principal contribuyente a la detección. IDS es una lista de certificados bloqueados.

    Detalles de las detecciones.

  13. Haga clic en la pestaña Datos sin procesar. La sección flow_risk muestra los datos siguientes:

    • Protocolo conocido en un puerto no estándar
    • Certificado autofirmado
    • Negociación de protocolo de capa de aplicación (ALPN) inusual
    • Certificado en lista de bloqueo
    • Alta probabilidad de que el dominio del servidor sea generado por algoritmo (DGA)
    • Indicaciones de una amenaza perteneciente a la familia Friendly Chameleon

    Datos sin procesar de la detección.

Para saber cómo generar una detección NDR desde la interfaz de línea de comandos, consulte Generar detecciones NDR desde la interfaz de la línea de comandos.