La pestaña Descripción general de la página Detalles de la campaña muestra un resumen de la campaña y un gráfico Blueprint interactivo.

La siguiente información describe las tres secciones de esta pestaña.

Amenazas y hosts de campaña

La sección Amenazas y hosts muestra los widgets Amenazas y Hosts.

El widget Amenazas muestra las amenazas actuales que detectó la aplicación NSX Network Detection and Response en la campaña seleccionada. La gravedad de la amenaza se indica con el código de color: rojo para alto, amarillo para medio y azul para bajo. Coloque el puntero sobre el nombre de las amenazas enumeradas y aparecerá una ventana emergente con las direcciones IP de los hosts afectados. Haga clic en Ver detalles de amenazas y la pestaña Cronología mostrará información detallada sobre la campaña.

El widget Hosts muestra los hosts afectados por la campaña seleccionada. La gravedad de la amenaza se indica con el código de color: rojo para alto, amarillo para medio y azul para bajo.

Apunte a la dirección IP de un host afectado y una ventana emergente mostrará los nombres de las amenazas que afectan al host. Haga clic en Ver detalles de hosts y la pestaña Hosts mostrará información detallada sobre los hosts.

Etapas de ataques de campaña

El widget Etapas de ataque muestra las etapas de ataque y resalta las etapas actuales de los ataques de campaña. Coloque el puntero sobre una actividad resaltada y aparecerá una ventana emergente con más información sobre la etapa de ataque. Consulte Propiedades de la campaña para obtener información sobre las etapas de ataque.

Blueprint de campaña

El widget Blueprint de campaña proporciona una representación gráfica interactiva de la campaña. Muestra los hosts involucrados en la campaña (tanto internos como externos a la red), las amenazas que los afectaron e información adicional que completa la descripción de la campaña.

A continuación se muestra un ejemplo de un gráfico de blueprint.
Un gráfico de intrusiones de ejemplo descrito por el contenido adyacente

Este gráfico de blueprint muestra las siguientes actividades.

  • Se descarga un archivo binario malintencionado en el nodo de host con la etiqueta 172.30.4.99. Esta actividad puede corresponder a un usuario de ese host que abre un correo electrónico (por ejemplo, visitar una URL o abrir un archivo adjunto incluido en ese correo electrónico).

  • El nodo de host con la etiqueta 172.30.4.99 se conecta al nodo de nombre de host con la etiqueta kharkiv.biz.ua. El informe de análisis 3958ec33 muestra que se realizó una descarga desde la URL http://kharkiv.biz.ua/hPpD/. El informe de análisis también muestra que lo que se descarga es un archivo ejecutable de PE, 32 bits, Intel i386.

  • El nodo de host con la etiqueta 172.30.4.99 está conectado a Emotet command and control. El servidor es la entrada bloqueada 75.112.62.42.

  • El nodo de host con la etiqueta 172.30.4.99 está conectado al nodo de host con la etiqueta 172.30.6.2 con una carga de datos sospechosa y a los nodos de host con las etiquetas 172.30.5.200 y 172.30.5.200 con una programación de tareas remotas sospechosa, todas las actividades asociadas con el movimiento lateral.

  • El nodo de host con la etiqueta 172.30.6.2 está conectado al nodo de host con la etiqueta 172.30.5.200 con un cifrado de Kerberos sospechoso, una actividad que se corresponde con la exfiltración de datos.

Clave de nodo

Los siguientes tipos de nodo pueden aparecer en el gráfico Blueprint.

Icono

Tipo de nodo

Descripción


icono de análisis

Informe de análisis

Este tipo de nodo representa los resultados de la detonación de una muestra (archivo o URL) en el espacio aislado NSX Network Detection and Response.

  • Los nodos del informe de análisis se etiquetan con una versión abreviada del UUID de la tarea de análisis correspondiente.

  • El rango de puntuación de la ejecución del análisis se expresa mediante la etiqueta codificada por colores en la parte superior derecha del nodo.

icono de archivo descargado

Archivo descargado

Este tipo de nodo representa un archivo que se descargó en la red.

  • Los nodos de archivos descargados se etiquetan con una versión abreviada del hash SHA1 del archivo correspondiente.

icono de host

Host

Este tipo de nodo representa un dispositivo de red.

  • Los nodos del host se etiquetan con la dirección IP del host correspondiente.

  • El nodo de host indica si un host es interno o externo. Los hosts internos muestran el icono icono de inicio junto a su dirección IP. La determinación de si un host es interno se basa en la configuración de rangos de IP privadas.

  • El impacto máximo de los incidentes que afectan al host correspondiente se expresa mediante la etiqueta codificada por colores en la parte superior derecha del nodo.

icono de información

Información

Este tipo de nodo representa una detección de una actividad de nivel de información. Este nodo solo aparece en el gráfico de Blueprint Análisis de red.

  • Se crea un evento de información en presencia de actividades o comportamientos que no son necesariamente malintencionados, sino que proporcionan información adicional y útil.

  • El impacto máximo de los eventos detectados para la amenaza correspondiente se expresa mediante la etiqueta codificada por colores en la parte superior derecha del nodo.

icono de amenaza

Amenaza

Este tipo de nodo representa una detección.

  • Los nodos de amenaza se etiquetan con el nombre de la amenaza asociado al evento detectado.

  • El impacto máximo de los eventos detectados para la amenaza correspondiente se expresa mediante la etiqueta codificada por colores en la parte superior derecha del nodo.

Acerca de las instancias de Edge

Las líneas que conectan los nodos de se denominan instancias de Edge.

Un nodo de host está conectado a nodos de informes de amenazas o análisis con una línea de puntos para indicar que el host correspondiente al nodo de host ha estado expuesto a la amenaza representada por el nodo de informe de amenazas o análisis.

Otras conexiones se representan con una línea continua para expresar que alguna actividad (por ejemplo, una conexión de red, una búsqueda de DNS o una solicitud web) pone en relación las entidades correspondientes a dos nodos.

Interacción de blueprint

El gráfico de Blueprint es interactivo: admite la selección de elementos, mueve nodos y acerca y reduce el zoom.

Para seleccionar el nodo y las instancias de Edge, haga clic en ellos. Encontrará información adicional sobre el elemento seleccionado en la barra lateral.

Al pasar el mouse sobre un nodo, se coloreará la conexión de las instancias de Edge y se resaltará la interacción de ese nodo.

Los nodos individuales se pueden arrastrar a nuevas posiciones en el gráfico. Todo el gráfico puede desplazarse, lo que cambia de forma efectiva el punto de vista.

Para acercar y alejar el gráfico, desplácese por la rueda del mouse. Se muestran más detalles en niveles de zoom superiores. En particular, la etiqueta utilizada con varios tipos de nodos para transmitir la información de impacto se enriquece con la puntuación de impacto real.

Barra lateral Campaña

La barra lateral Campaña se utiliza para mostrar información relativa a uno o varios elementos del gráfico de proyecto. Está minimizada de forma predeterminada.

  • Haga clic en el icono icono de detalles para ver información del nodo o de la instancia de Edge.

  • Haga clic en el icono icono de vínculo externo para ver herramientas de terceros.

Para minimizar la barra lateral, haga clic en el icono icono de flecha hacia la derecha.

Información de nodo o Edge

La pestaña información de nodo/instancia de Edge proporciona información adicional sobre un nodo o una instancia de Edge seleccionados en el gráfico de Blueprint. Para seleccionar un nodo, haga clic en su icono en el gráfico.

Tipo de nodo

Información

Informe de análisis

Información adicional sobre un informe de análisis.

Detalles del informe:

  • Informes de análisis: muestra el UUID y la puntuación de la tarea. Haga clic en el icono icono de cadena para ver el informe de análisis en una nueva pestaña del navegador.

  • MD5: valor hash de archivo.

  • SHA1: valor hash de archivo.

  • Tamaño : tamaño de archivo en bytes.

  • Categoría: la categoría a la que pertenece el archivo analizado.

  • Tipo: información más detallada sobre el archivo.

Detalles de los avistamientos de la muestra analizada:

  • Número de descargas: número de veces que se ha observado que se ha descargado el archivo analizado.

  • Hosts: dirección IP de los hosts que descargaron el archivo analizado.

  • URL: la dirección URL completa del archivo descargado.

Archivo descargado

Información adicional sobre un archivo descargado

Detalles del archivo:

  • MD5: valor hash de archivo.

  • SHA1: valor hash de archivo.

  • Tamaño : tamaño de archivo en bytes.

  • Categoría: la categoría a la que pertenece el archivo analizado.

  • Tipo: información más detallada sobre el archivo.

Detalles de avistamientos:

  • Número de descargas: número de veces que se ha observado que se ha descargado el archivo analizado.

  • Hosts de descarga: dirección IP de los hosts que descargaron el archivo analizado.

  • URL: la dirección URL completa del archivo descargado.

  • Informes: muestra el estado del informe, el UUID de la tarea y la puntuación. Haga clic en el icono icono de cadena para ver el informe de análisis en una nueva pestaña del navegador.

Host

Información adicional sobre un host.

Detalles de nivel de host:

  • Dirección IP: icono de asignación geográfica o red local.

  • Nombres de host: nombre de dominio del host.

  • Servicios: todos los servicios detectados en el host.

Incidentes relacionados con el host:

  • Número de incidentes: recuento de todos los incidentes.

  • Impacto máximo: indica el impacto máximo de todos los incidentes.

  • Amenazas: una lista de los eventos detectados.

Una nota indica si el host es interno o externo a la red supervisada.

Solicitud HTTP

Información adicional sobre una solicitud HTTP.

Detalles de URL:

  • Descargar URL: las URL observadas en la solicitud HTTP.

  • Descargar direcciones IP: las direcciones IP resueltas para la solicitud HTTP. Haga clic en el icono icono de análisis de red para ver la dirección IP de la solicitud en Análisis de red.

Detalles de la solicitud

  • Número de solicitudes: número de veces que se observó la solicitud HTTP.

  • Hosts: dirección IP de los hosts que emiten la solicitud HTTP.

  • Referencias: los valores del encabezado "referer" observados en la solicitud HTTP.

  • Agentes de usuario: valores de usuario-agente observados en la solicitud HTTP.

Amenaza

Información adicional sobre una amenaza

Detalles de la amenaza:

  • Clase de amenaza: el nombre de la clase de amenaza detectada. Por ejemplo, comando y control.

  • Amenaza: el nombre de la amenaza detectada. Por ejemplo, Loki Bot.

  • Gravedad: la puntuación de amenaza calculada.

  • Información: una descripción de la amenaza detectada

Al hacer clic en una instancia de Edge, se muestra la siguiente información sobre la conexión:

  • Nodo de origen: el origen de la conexión. Puede ser un nombre de nodo, una dirección IP, un nombre de dominio, etc.

  • Nodo de destino: el destino de la conexión. Puede ser un nombre de nodo, una dirección IP, un nombre de dominio, etc.

En Nodo de origen y Nodo de destino se muestran el origen o el destino real de la conexión. Haga clic en el icono icono Expandir para expandir el origen o el destino.

Herramientas de terceros

La pestaña herramientas de terceros se vincula a herramientas externas que pueden proporcionar información adicional sobre una entidad seleccionada en el gráfico. Actualmente, las herramientas compatibles son DomainTools y VirusTotal.

Se admiten las siguientes búsquedas:

  • Al seleccionar un nodo de host, puede buscar la dirección IP correspondiente en DomainTools y VirusTotal.

  • Al seleccionar un nodo de nombre de host, puede buscar el nombre de dominio correspondiente en DomainTools y VirusTotal.

  • Si selecciona un nodo de archivo descargado, podrá buscar el hash correspondiente en VirusTotal.

  • Al seleccionar un nodo de solicitud HTTP, puede buscar el nombre de host de la solicitud en DomainTools y VirusTotal.