El objetivo de este apartado es mostrar aquellas acciones de la operativa básica de la solución que, mediante la interacción entre las diferentes vistas web, permiten identificar riesgos de seguridad, trabajar sobre ellos para obtener información, conocer su propagación en la infraestructura e incluso llegar a tomar acciones que ayuden a la mitigación de una amenaza detectada. Es por ello que no se van a mostrar todas las acciones que se pueden realizar sobre la plataforma, sino aquellas consideradas más básicas y habituales desde la perspectiva de un equipo de monitorización y gestión de incidentes de seguridad.
12.1. Recepción de nuevas alertas e identificación del motivo
En este caso se presenta la operativa más habitual, consistente en la recepción de una nueva alerta y la obtención de los detalles por los cuales ha sido producida, así como información relevante que permita su identificación y rastreo en el sistema.
A partir del dashboard Malware Alerts, en el widget Recent Malware se muestra en tiempo real cada alerta tan pronto como algún elemento ha superado el umbral a partir del cual se considera Malware.
Tal y como se indica anteriormente en el manual, la entrada correspondiente a esa alerta en sí ya muestra información relevante para su identificación. En este caso, el Score muestra el motivo por el cual ha sido generada y, a partir de ahí, al hacer clic con el botón izquierdo del ratón sobre el elemento, p.ej. un hash, el menú desplegable ofrece la posibilidad de visualizar el detalle del análisis, el detalle de la evolución y el detalle de la propagación de ese ítem por los diferentes motores de análisis y detección de Malware.
12.1.1. Detalle del análisis
En esta vista se muestra el resultado de cada uno de los cargadores, hecho que ha motivado esa puntuación e incluso, para alertas muy recientes, l estado del análisis global, p. ej. por cuáles ha pasado y por cuáles todavía no, etc. De igual forma, como ya se ha indicado anteriormente, en el caso de un hash Cuckoo ofrece la posibilidad de acceder al report con información del resultado de la ejecución de ese fichero en la sandbox.
Desde esta ventana se puede acceder al detalle del informe generado por cuckoo o fuzzy haciendo click en el botón de descarga del historical.
12.1.2. Detalle de la evolución
En esta vista se muestra donde se encontraba el elemento con respecto al tiempo. Se puede observar una línea temporal donde se ubican distintos hitos por los que el elemento transcurre.
Así mismo, la visualización de la propagación del elemento considerado malicioso y/o a la evolución de dicho elemento (cuándo fue detectado, qué sensor lo interceptó, cambio en su score de Malware en el tiempo, etc). Estas vistas como tal ya fueron explicadas anteriormente en el manual, por lo que cabe resaltar su utilidad para un mejor conocimiento de la situación.
12.1.3. Detalle de la propagación
En esta vista se muestra el detalle de la propagación del elemento seleccionado mediante un diagrama de grafos donde se puede observar el origen y el destino de red del elemento seleccionado.