El Manager analiza e identifica las amenazas gracias a las reglas incluidas en los Indicadores de Compromiso o IOCs y a la información de cada EndPoint que es reportada por el Agente de carga.
Los IOCs se componen de una serie de reglas cuyo cumplimiento o no determinan la activación o desactivación de los mismos. En caso de que los procesos capturados coincidan con alguna regla estos se visualizarán en la sección Malware, indicando el o los EndPoints que se han visto comprometidos por la activación de uno o más IOCs.
7.7.1. Vista Malware -> IOCs
Esta vista ofrece una visión global de los IOCs que han sido activados y los EndPoints que han sido comprometidos. Se compone principalmente de dos áreas o apartados:
Evolución temporal de los IOCs y EndPoints comprometidos
Currently compromised EndPoints
Evolución temporal de los IOCs y EndPoints comprometidos
En este apartado se incluye una gráfica de barras en la que se muestran el número de IOCs únicos que se han activado (color rojo) y el número de EndPoints únicos que se han visto comprometidos (color azul).
El usuario puede realizar una selección del periodo de tiempo que se desea consultar a través de la franja temporal que se encuentra en el margen superior izquierdo. Además, puede aumentar la granuralidad de los datos realizando Filter zoom sobre la gráfica.
Currently compromised EndPoints
En este apartado se visualiza la información relacionada con los EndPoints que se encuentran comprometidos en el momento de la consulta. Se compone de una tabla resumen y de un listado detallado de cada uno de los EndPoints comprometidos.
En la tabla resumen se muestra el total de Enpoints comprometidos y el total de IOCs que se han activado:
Number of compromised EndPoints: Número total de EndPoints comprometidos (cuya actividad ha activado una o varias reglas de los IOCs definidos).
Number of active IOCs: Cantidad total de IOCs activos.
Mean of IOCs/EndPoint: media de EndPoints comprometidos e IOCs activos en el momento de la consulta.
A continuación se visualiza un listado que incluye todos los EndPoints que se han visto comprometidos acompañados de la siguiente información:
EndPoint ID: Identificador del EndPoint.
Compromised since: fecha en la que se activó el IOC y se consideró que dichoEndPoint podía estar comprometido.
Number of active IOCs: número de IOCs que se han activado para ese EndPoint.
IOC IDs: identificador/es de los IOCs que se han activado para dicho EndPoint (uuid).
Detailed information: seleccionando esta opción se abre una ventana emergente en la que se muestra la información referente a ese EndPoint y un listado con los IOCs que se han activado (punto rojo) y aquellos que se han desactivado para dicho equipo (punto verde).
