

Revise sus incidentes de seguridad
En primer lugar, consulte el panel de gestión de incidentes, que ofrece una vista centralizada de todos los incidentes de seguridad en curso, junto con su estado, gravedad y otros detalles.
Si ve un incidente que requiere atención, haga clic para abrirlo.
Profundizar en los detalles del incidente
En la página Resumen del incidente, se recopilan los siguientes datos adicionales:
La puntuación del incidente para la gravedad
Activos comprometidos
Fuentes de datos para las alertas
Respuestas automatizadas ya realizadas
Profundizar en los detalles del incidente
Para generar este incidente, Cortex XDR creó registros enriquecidos de actividad cosiendo eventos de diversas fuentes, estableciendo la conexión entre hosts, identidades, tráfico de red y más para ampliar el contexto del incidente.
Cientos de modelos de aprendizaje automático buscaron actividades anómalas en los datos cosidos, generando nuevas alertas de detección.
A continuación, Cortex XDR agrupó las alertas relacionadas en un único incidente, ofreciendo una imagen completa del ataque y reduciendo en un 98 % el número de alertas que hay que revisar manualmente.
Identificar los activos comprometidos
Dentro del incidente, se da cuenta de que una PC con Windows y un servidor con acceso a Internet alojado en la nube pueden haber sufrido un ataque.
Compruebe el marco MITRE ATT&CK®
También puede ver el ataque en el marco MITRE ATT&CK® , que proporciona una taxonomía estandarizada para categorizar y describir las ciberamenazas y las técnicas de ataque. Al asignar automáticamente un ataque a este marco, Cortex XDR le ofrece una visión completa de toda la actividad relacionada.
Investigar con alertas e información
Sus alertas críticas confirman que se ha comprometido la PC con Windows.
Abajo en la lista, se ve que el servidor alojado en la nube tiene una alerta de gravedad media. En la alerta, se descubre que se ha intentado un ataque de fuerza bruta, que ha fallado.
Ahora, es el momento de aislar la PC Windows comprometida para evitar que el ataque siga progresando.
Detener el ataque de inmediato
Aislar un endpoint ayuda a contener la propagación de malware y otras amenazas.
Al desconectar de la red el endpoint comprometido, se evita que la amenaza se propague a otros dispositivos o sistemas, limitando el alcance y el impacto del incidente.
Buscar y destruir malware
Ahora es el momento de buscar y destruir el archivo ransomware.
Mediante el terminal activo, puede ejecutar comandos y secuencias de comandos de forma remota en los endpoints para facilitar una reparación rápida sin necesidad de acceder físicamente a los dispositivos afectados.
Descubrir lo que no se ve
Entonces, ¿por qué el agente de endpoint no bloqueó este ataque?
Para los propósitos de esta demostración, configuramos la política de endpoint para que solo informe, lo que permite que el ataque avance, a la vez que nos notifica su progreso. Esto también es un recordatorio para seguir siempre las prácticas recomendadas a la hora de configurar las políticas.
Ahora, establezcamos la política de bloqueo, ¡y sigamos avanzando!
Identificar las lagunas de seguridad y garantizar la adecuación a las normas regulatorias
Con un buen control de este incidente de ransomware, se acuerda de que un activo de la nube estuvo implicado en un intento de fuerza bruta con anterioridad. A partir de ahí, comienza a trabajar en algunas medidas de seguridad proactivas para mejorar la seguridad de su nube.
Las capacidades de Cloud Compliance de Cortex XDR llevan a cabo comprobaciones de cumplimiento de evaluación comparativa del Centro para la seguridad de Internet (CIS) en recursos en la nube. Esto ayuda a detectar posibles lagunas de seguridad, mitigar los riesgos y evitar multas o sanciones regulatorias.
Se da cuenta de que el cumplimiento es solo del 74 %, y decide que es importante incluirlo en su informe final.
Evalúe las vulnerabilidades en un único panel de control
Dado que descubrió una PC comprometida durante su investigación, utiliza la Evaluación de vulnerabilidades para comprobar las vulnerabilidades potenciales que pueden no haber tenido parches y haber sido explotadas.
Verá que la PC comprometida que marcó tiene varias vulnerabilidades que contribuyeron al ataque del ransomware, lo que le dará la información que necesita para comenzar a aplicar parches.
Informes concisos y sencillos
Es hora de generar informes para su gerente en un formato conciso. Puede elegir entre varias plantillas predefinidas o crear informes personalizados.
Genere informes sobre su investigación, entre los que se incluyen la gestión de incidentes, Cloud Compliance y la evaluación de vulnerabilidades.
Haga clic en una fila para generar un informe
¡Es momento de actuar!
Enhorabuena. Ha investigado y resuelto con éxito el ataque de ransomware. En la investigación se reveló lo siguiente:
Un intento de ataque de fuerza bruta a un activo en la nube.
Una PC con una vulnerabilidad sin parches.
Una política de seguridad configurada solo para informar, lo que permite que el ataque progrese.
Afortunadamente, usted aisló rápidamente el endpoint comprometido y eliminó el archivo ransomware sin acceso físico a la PC.
Se generaron informes en los que se detallaba todo el incidente. ¡En cuenta regresiva: una hora para la playa!
Lo mejor del tiempo… es tener más
Cortex XDR libera a los analistas de seguridad para que se centren en lo que mejor saben hacer. Las operaciones de seguridad pueden aprovechar Cortex XDR para lo siguiente:
Prevenir amenazas como el ransomware en endpoints y cargas de trabajo en la nube.
Acelerar el MTTD (tiempo promedio de detección) a velocidad de la máquina.
Responder rápidamente a la causa de los ataques.
Consiga mayor seguridad con Cortex XDR.
Reducción del 98 % de las alertas
Investigaciones 8 veces más rápidas
100 % de prevención y detección sin cambios de configuración en MITRE Engenuity 2023