Alerting: Trabajar con resultados de detección de amenazas automatizadas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se explica cómo interpretar y trabajar con los resultados de detección de amenazas automatizadas. 

Cuando se visualizan los resultados de detección de amenazas automatizadas en el administrador de incidentes, hay una serie de factores diferentes que se utilizan para determinar el puntaje general. Esta sección está diseñada para ayudarlo a comprender cómo se generan estos puntajes y su significado. 

Comprender los resultados de detección de amenazas

Cuando se trabaja con detección de amenazas automatizadas, varios puntajes se agregan juntos para constituir el puntaje de detección de comando y control. Para comprender mejor cómo se activa este puntaje, es buena idea comprender los elementos que componen el puntaje final. 

Cuando reciba una alerta de detección de comando & control, podrá ver el siguiente resumen de alerta detallado en el módulo Incident Management:

Cada ícono representa un puntaje diferente que compone el riesgo total calculado. Tenga en cuenta que los puntajes se ponderan, por lo tanto, cada puntaje representa una proporción diferente del puntaje final. Por ejemplo, el puntaje de comportamiento de Beacon podría ser un 20 % del puntaje final, mientras que la antigüedad del dominio podría ser un 5 %:

  1. Comportamiento de Beacon La detección de comando y control intenta encontrar conexiones periódicas altamente regulares con un dominio sospechoso, por lo que el comportamiento de Beacon tiene relación con la regularidad con la cual la dirección IP de origen se conecta al servidor de dominio.  Un puntaje alto significa que las conexiones entre esta dirección IP de origen y el dominio son altamente regulares. 
  2. Antigüedad del dominio. Con frecuencia, un servidor de comando y control utiliza un dominio nuevo para crear conexiones; por lo tanto, si un dominio es nuevo en la red, significa que es más probable que sea un dominio de comando y control. Un puntaje alto indica que este dominio es relativamente nuevo en esta red.  Este puntaje se deriva del servicio Whois. Si su servicio Whois no funciona o si ESA no puede conectarse con él, el ícono aparece en gris.  Si hay un problema de conectividad o el servicio Whois devuelve un valor nulo o un valor en un formato inesperado, se utiliza un valor predeterminado para calcular el puntaje. Esto garantiza que el puntaje general sea más preciso. 
  3. Dominio por vencer. Con frecuencia, un servidor de comando y control utiliza un dominio por vencer para crear conexiones; por lo tanto, si un dominio vencerá pronto, es muy probable que sea un dominio de comando y control.  Este puntaje se deriva del servicio Whois. Si su servicio Whois no funciona o si ESA no puede conectarse con él, el ícono aparece en gris. Si hay un problema de conectividad o el servicio Whois devuelve un valor nulo o un valor en un formato inesperado, se utiliza un valor predeterminado para calcular este puntaje. Esto garantiza que el puntaje general sea más preciso. 
  4. Dominio poco común.  Un dominio poco común es aquel al cual se han conectado relativamente pocas direcciones IP de origen en una red determinada en la semana más reciente.  Si un dominio se utiliza con poca frecuencia, la posibilidad de que se trate de un dominio de comando y control es mayor que si es un dominio legítimo de uso común, como Google.com.
  5. Sin remitentes. Un remitente es un campo HTTP que identifica la dirección de la página web vinculada al recurso que se solicita. Por ejemplo, si accedo al sitio web de mi banco desde el sitio web de mi trabajo, el sitio web del trabajo aparecerá como el remitente. Debido a que con frecuencia las personas se vinculan a un sitio a través de un remitente, un puntaje alto (lo que significa que un bajo porcentaje de direcciones IP que se conectan a este dominio han utilizado remitentes) indica que es más probable que se trate de una comunicación de comando y control. 
  6. Agente de usuario poco común. Los agentes de usuario identifican el software de cliente que se originan en la solicitud. Un puntaje alto indica que el agente de usuario asociado con la dirección IP no se utiliza comúnmente. Al igual que el puntaje de dominio poco común, un agente de usuario poco común tiene una mayor probabilidad de estar asociado con un dominio de comando y control.

 

Los íconos se muestran en diferentes colores y los colores ayudan a indicar visualmente el nivel de riesgo. Consulte la tabla a continuación para obtener más información.

                           
ÍconoSignificado
GrisNo se generó puntaje debido a que no hay datos disponibles. Esto puede ocurrir si el servicio Whois está deshabilitado o no hay datos disponibles para generar un puntaje determinado. 
NegroEl indicador de puntaje es débil. 
naranjaEl indicador de puntaje es moderado.
Rojo       El indicador de puntaje es alto. 

Qué hacer a continuación

Hay tres rutas posibles que puede seguir una vez que ha visto los puntajes de amenazas:

  • Desglosar para obtener más detalles.  Hay varios factores que conforman un puntaje. Puede ver estos detalles en la página Detalles de eventos.
  • Investigar el dominio en el módulo Investigation. Puede ir a la pantalla Investigaciones para obtener más detalles sobre el dominio y los incidentes relacionados.
  • Agregar dominios a una lista blanca. Si observamos los detalles y determinamos que el dominio en cuestión no es una amenaza, es buena idea agregarlo a una lista blanca. Esto garantizará que el dominio ya no active un puntaje de detección de amenazas y ayudará a optimizar la precisión del puntaje.

Desglosar los puntajes para obtener más detalles

El puntaje de cada evento se enriquece con datos para ayudarlo a determinar si la comunicación con el dominio es malware y la severidad del ataque en caso de que lo sea. Para cada uno de los puntajes mencionados anteriormente, hay más detalles que se incluyen en los detalles de cada evento.

Para acceder a estos detalles:

  1. En la línea de espera Incidentes, haga doble clic en un incidente para ver los Detalles del incidente.
  2. En la sección Detalles de la alerta, haga doble clic en una alerta.
  3. Se abre la página Detalles de eventos.

 Desde allí, puede ver los detalles del evento y, en cada detalle, hay texto de desplazamiento para ayudarlo a interpretar los datos. Puede ver detalles como el rango de puntaje, la cantidad de apariciones para cada hora del puntaje, el período de Beacon, la información disponible en los datos de registro de Whois, etc. 

 Por ejemplo, puede ver en los siguientes detalles del evento que el puntaje de dominio poco común fue 100 (el puntaje más alto), pero que solo hubo una dirección IP asociada a este dominio y que hubo 24 apariciones en la semana anterior. 

Investigar el dominio en el módulo Investigation

En Detalles de la alerta, también puede abrir el módulo investigaciones para desglosar los detalles del dominio. Para ello, en Detalles de la alerta, haga clic en ic-actns.png > Investigar el dominio de destino. Desde allí, puede buscar los días en que se produjo el evento para ver qué más puede haber ocurrido y ver otros detalles sobre el evento. 

Reducir los falsos positivos

 En ocasiones, un dominio al que se accede habitualmente puede activar un puntaje de detección de amenazas automatizadas. Por ejemplo, un servicio de clima podría tener el mismo comportamiento de Beacon que una comunicación de comando y control, razón por la cual se activaría un puntaje negativo no justificado. Cuando sucede, esto se denomina un falso positivo. Si, después de investigar el evento, descubre que es un falso positivo, puede marcarlo como tal, lo cual agregará el dominio a una lista blanca. Una vez que el dominio se agrega a la lista blanca, ya no activará un puntaje de detección de amenazas automatizadas. 

Nota: Si utiliza SecOps u otra solución de generación de vales, puede agregar manualmente dominios a la lista blanca mediante el servicio Context Hub. Consulte “Paso 2: Configurar una lista blanca” en Configurar la detección de amenazas automatizadas

Procedimiento 

  1. En la página Detalles de incidentes, puede marcar un incidente específico como un falso positivo, lo cual lo agregará automáticamente a la lista blanca.  
    1. En el Administrador de incidentes, seleccione el incidente que activó un puntaje de falso positivo. Haga clic en ic-actns.png > Editar incidente.
      Se muestra el cuadro de diálogo Editar incidente
    2. En el cuadro de diálogo Editar incidente, haga clic en el campo Estado y seleccione Cerrado: falso positivo. Esto agrega el dominio a la lista blanca y cierra el incidente.  Una vez que el dominio se agrega a la lista blanca, se omite cuando se produce el puntaje de detección de amenazas automatizadas. 

 

You are here
Table of Contents > Usar detección de amenazas automatizadas > Trabajar con resultados de detección de amenazas automatizadas

Attachments

    Outcomes