Trabajando con el gráfico de incidentes (EDR)

El gráfico de incidentes es una representación visual de un incidente de EDR. Muestra las relaciones entre la carga de trabajo, los procesos involucrados en el ataque y las detecciones que fueron activadas. El gráfico de incidentes está disponible para todos los usuarios de EDR.

Utilice el gráfico de incidentes para:

  • Comprender la estructura de la cadena de ataque de un vistazo.
  • Identificar qué procesos, archivos, conexiones a redes y entradas de registro estuvieron involucrados.
  • Visualizar las detecciones de amenazas y sus tácticas y técnicas MITRE asociadas.
  • Navegue a nodos individuales para examinar sus detalles en la barra lateral.

Algunas acciones de respuesta de EDR están actualmente disponibles solo desde la cadena de eliminación cibernética y no desde el gráfico del incidente. Para aplicar acciones de respuesta de EDR como poner en cuarentena un proceso o aislar una carga de trabajo, utilice la cadena de eliminación cibernética. Para obtener más información, consulte Pasos para investigar incidentes en la cyber kill chain.

Accediendo al gráfico de incidentes

Pasos para acceder al gráfico de incidentes

  1. En la consola de Cyber Protect, vaya a Protección > Incidentes.
  2. Pulse en en la columna más a la derecha del incidente que desea investigar.
  3. Vaya a la pestaña Gráfico de incidentes.

Para actualizar el gráfico, pulse en el icono de actualizar.

Tipos de nodos

El gráfico de incidentes incluye los siguientes tipos de nodos para incidentes de EDR:

  • Carga de trabajo: el nodo de nivel superior que representa el dispositivo afectado. Todos los árboles de procesos se originan desde este nodo.
  • Proceso: representa un proceso en ejecución involucrado en el ataque. Los procesos se muestran en una estructura de árbol que refleja la cadena de ejecución, desde el primer proceso con una detección hasta el último.
  • Archivo: representa un nodo de archivo asociado con un proceso, típicamente la imagen del proceso para procesos que no son del sistema.
  • Red: representa una conexión a red realizada por un proceso.
  • Registro: representa una clave de registro o valor accedido o modificado por un proceso.
  • Amenaza: representa un resultado de detección asociado con un proceso, archivo, red o nodo de registro. Los nodos de amenaza usan un color para indicar la confianza: rojo para detecciones maliciosas, naranja para detecciones sospechosas.
  • Identidad: representa una cuenta de usuario observada durante el incidente, basada en datos recopilados localmente por el agente de EDR.

Para obtener información sobre los iconos de los nodos, consulte Iconos del gráfico de incidentes (EDR).

Agrupación de nodos de amenaza

Cuando múltiples detecciones están asociadas con la misma entidad, los nodos de amenaza se agrupan de la siguiente manera:

  • Si una sola regla de detección se aplica bajo una técnica MITRE, el nodo de amenaza se etiqueta con el nombre descriptivo de la regla.
  • Si múltiples reglas se aplican bajo la misma técnica MITRE, se muestra un nodo de amenaza, etiquetado con la técnica MITRE. Haga clic en el nodo para ver una tabla que lista todas las reglas asociadas.
  • Si las detecciones abarcan múltiples técnicas MITRE, se muestra un nodo de amenaza contraído con un icono de '+'. Púlselo para expandirlo y ver nodos individuales a nivel de técnica o de regla.
  • Las detecciones maliciosas y sospechosas se muestran en agrupaciones separadas.

Gráfico de incidentes para incidentes de múltiples cargas de trabajo

Cuando un incidente involucra más de una carga de trabajo, el gráfico de incidentes muestra un subgráfico para cada carga de trabajo. Para obtener más información, consulte Trabajando con incidentes de múltiples cargas de trabajo en el gráfico de incidentes.

Gráfico de incidentes cuando XDR está habilitado

Cuando las integraciones XDR están activas, el gráfico de incidentes se extiende para incluir nodos externos de esas integraciones, como datos de correo electrónico, gestión de identidad y firewall. Los nodos externos se identifican por una burbuja de fuente de integración mostrada en el icono del nodo. Para obtener más información, consulte Trabajando con el gráfico de incidentes (XDR).