Los clientes de Malwarebytes Endpoint Detection and Response pueden usar la función Flight Recorder. Esta característica le permite buscar datos de eventos capturados desde todos los endpoints administrados de Malwarebytes Endpoint Detection and Response, para investigar y identificar indicadores de compromiso (IoC). Puede buscar datos como archivos, registro, procesos y actividad de red hasta las últimas 30 días para la búsqueda de amenazas, o analizar cómo ocurrió un compromiso en su entorno.
En este artículo se explica cómo buscar datos de eventos en la sección Flight Recorder y los tipos de datos que puede investigar en los resultados de búsqueda. Para ver esta sección en la consola de Nebula, haga clic enFlight Recorder en el panel de navegación del lado izquierdo.
Buscar datos de eventos con Flight Recorder
La página Flight Recorder tiene opciones de Búsqueda básica y Búsqueda avanzada, que se describen a continuación:
Búsqueda básica
Una función de búsqueda general que examina los datos del sistema y proporciona una lista de resultados de puntos finales en relación con su consulta. Los parámetros de Búsqueda Básica incluyen:
- Ruta del proceso
- Nombre del proceso
- Picadillo
- Dirección IP o dominio. La palanca de Eventos de red debe estar habilitada en Configuración de políticas para buscar estos tipos de datos. Para habilitar esta configuración, consulte: Opciones de configuración en Malwarebytes Nebula
Búsqueda Avanzada
Una búsqueda detallada que incluye parámetros y operadores que se pueden utilizar para crear consultas complejas del sistema. Los parámetros de Búsqueda Avanzada incluyen:
- Nombre de host de PC
- Cuenta de usuario
- Nombre del proceso
- Ruta del proceso
- Identificacion de proceso
- Línea de comando
- Dirección IP contactada
- Dominios contactados
- Archivos escritos
- Proceso MD5
- Proceso SHA1
- Proceso SHA256
- Proceso SHA512
Los operadores de Búsqueda Avanzada incluyen:
- Igual a
- No es igual a
- Contiene
- No contiene
- Comienza con
- Termina con
La Búsqueda Básica y la Búsqueda Avanzada pueden optar por filtrar la antigüedad histórica para aplicar la consulta de búsqueda. Este filtro le permite elegir los siguientes rangos de tiempo:
- Últimos 30 días
- Últimas 2 semanas
- Los últimos 7 días
- Últimos 3 días
- Últimas 24 horas
- Últimas 12 horas
- Últimas 6 horas
- Ultima hora
- Últimos 30 minutos
Investigar la información mostrada por Flight Recorder
La información que se muestra en una búsqueda de Flight Recorder está destinada a análisis retrospectivos, investigación y cómo identificar cuáles de sus endpoints se ven afectados o relacionados con los procesos. Estos resultados informan a su toma de decisiones de lo que es mejor para su entorno empresarial. Estos resultados se muestran en el gráfico de barras Tipos de Eventos y una lista correspondiente de endpoints en la tabla Endpoints.
Gráfico de tipos de eventos
El gráfico de barras Tipos de Eventos muestra el total de apariciones de la consulta de búsqueda en el período de tiempo de búsqueda especificado. Las barras codificadas por color muestran qué tipos de eventos se encontraron en la consulta. Puede colocar el cursor sobre cada una de las barras para ver el total de eventos en los endpoints. Estos eventos se desglosan en:
- Proceso: Se muestra en púrpura. ( )
- Registro: Se muestra en amarillo. ( )
- Sistema de archivos: Se muestra en azul. ( )
- Red: Se muestra en naranja. ( )
Tabla Endpoints
Debajo del gráfico Tipos de Eventos se encuentra la tabla Endpoints correspondiente. En esta tabla se enumeran los endpoints relacionados con la consulta de búsqueda. Cada partida individual muestra la información en columnas diferentes. Estas columnas son:
- Endpoint: Nombre del punto de conexión. Haga clic en el icono de filtro () para buscar un endpoint específico de la lista de resultados.
- OS Type: Muestra el sistema operativo de los endpoints en la lista de resultados.
- Group: Muestra el grupo del endpoint.
- Policy: Muestra la directiva del endpoint.
- First Seen: Muestra una marca de tiempo cuando se detectó el evento por primera vez.
- Last Seen: Muestra una marca de tiempo cuando el evento se detectó por última vez.
- Events: Muestra los diferentes tipos de eventos encontrados por Flight Recorder. Coloque el cursor sobre los iconos codificados por color para ver el número de cada tipo de evento. Los colores se corresponden con el gráfico Tipos de Eventos.
- Suspicious Activity: Si el endpoint tiene una detección de actividad sospechosa, puede hacer clic en el icono ( ) para ir a la página Detalles de Actividad Sospechosa para obtener más información.
Puede marcar las casillas situadas junto a los endpoints y seleccionar la acción Aislar Endpoints en el menú desplegable Acciones de la parte superior derecha si cree que son un riesgo para la red. También puede seleccionar Eliminar Aislamiento en el mismo menú desplegable. Si desea investigar más a fondo, puede hacer clic en un endpoint para ver más detalles en la ventana emergente Información de Proceso.
Información de Proceso
Al hacer clic en un endpoint desde los resultados de búsqueda de Flight Recorder, la ventana emergente Información de Proceso se desliza a la vista. Esto muestra información más detallada de los eventos detectados en el endpoint para informar la toma de decisiones. También puede iniciar Endpoint Isolation en el endpoint seleccionado en la ventana emergente Información de proceso. La información de proceso muestra información en las columnas siguientes:
- Process Path: Nombre y ubicación del proceso encontrado por Flight Recorder. Haga clic en una ruta de proceso para ver una representación visual del proceso seleccionado. Cada nodo se puede seleccionar con detalles de diapositivas, incluida la información de eventos sin procesar. Esto muestra detalles como el gráfico de proceso para detalles de actividad sospechosa. Para obtener información sobre el gráfico de procesos, consulte Suspicious Activity Details in Malwarebytes Endpoint Detection and Response.
- First Seen: Muestra el horario cuando se detectó el evento por primera vez.
- Last Seen: Muestra el horario cuando se detectó el evento por última vez.
- PID: El número único que identifica cada proceso en ejecución en un endpoint.
- SHA256: El valor hash dado a un archivo, si procede.
- Virus Total: Si el evento tiene un valor SHA256, se muestra un vínculo Check Now ahora en la columna de Virus Total. Haga clic en este enlace para abrir el sitio web de Virus Total en una nueva pestaña del navegador. Este sitio muestra la ruta de proceso como si la encontraran los proveedores de antivirus de 3a parte. Esto puede ayudarle a determinar si el evento es un falso positivo. NOTA: El sitio de Virus Total es un sitio web de 3a parte no asociado con Malwarebytes. Para obtener más información, consulte las Condiciones de Servicio de Virus Total.
- Events: Muestra los diferentes tipos de eventos encontrados por Flight Recorder. Coloque el cursor sobre los iconos codificados por color para ver el número de cada tipo de evento. Los colores se corresponden con el gráfico Tipos de Eventos.
Source : Official Malwarebytes Brand
Editor by : BEST Antivirus KBS Team