Green linesGreen lines

Revise sus incidentes de seguridad

En primer lugar, consulte el panel de gestión de incidentes, que ofrece una vista centralizada de todos los incidentes de seguridad en curso, junto con su estado, gravedad y otros detalles.

Si ve un incidente que requiere atención, haga clic para abrirlo.

Profundizar en los detalles del incidente

En la página Resumen del incidente, se recopilan los siguientes datos adicionales:

  • tick La puntuación del incidente para la gravedad
  • tick Activos comprometidos
  • tick Fuentes de datos para las alertas
  • tick Respuestas automatizadas ya realizadas

Profundizar en los detalles del incidente

Para generar este incidente, Cortex XDR creó registros enriquecidos de actividad cosiendo eventos de diversas fuentes, estableciendo la conexión entre hosts, identidades, tráfico de red y más para ampliar el contexto del incidente.

Cientos de modelos de aprendizaje automático buscaron actividades anómalas en los datos cosidos, generando nuevas alertas de detección.

A continuación, Cortex XDR agrupó las alertas relacionadas en un único incidente, ofreciendo una imagen completa del ataque y reduciendo en un 98 % el número de alertas que hay que revisar manualmente.

Identificar los activos comprometidos

Dentro del incidente, se da cuenta de que una PC con Windows y un servidor con acceso a Internet alojado en la nube pueden haber sufrido un ataque.

Compruebe el marco MITRE ATT&CK®

También puede ver el ataque en el marco MITRE ATT&CK® , que proporciona una taxonomía estandarizada para categorizar y describir las ciberamenazas y las técnicas de ataque. Al asignar automáticamente un ataque a este marco, Cortex XDR le ofrece una visión completa de toda la actividad relacionada.

Investigar con alertas e información

Sus alertas críticas confirman que se ha comprometido la PC con Windows.

Abajo en la lista, se ve que el servidor alojado en la nube tiene una alerta de gravedad media. En la alerta, se descubre que se ha intentado un ataque de fuerza bruta, que ha fallado.

Ahora, es el momento de aislar la PC Windows comprometida para evitar que el ataque siga progresando.

Detener el ataque de inmediato

Aislar un endpoint ayuda a contener la propagación de malware y otras amenazas.

Al desconectar de la red el endpoint comprometido, se evita que la amenaza se propague a otros dispositivos o sistemas, limitando el alcance y el impacto del incidente.

Buscar y destruir malware

Ahora es el momento de buscar y destruir el archivo ransomware.

Mediante el terminal activo, puede ejecutar comandos y secuencias de comandos de forma remota en los endpoints para facilitar una reparación rápida sin necesidad de acceder físicamente a los dispositivos afectados.

Descubrir lo que no se ve

Entonces, ¿por qué el agente de endpoint no bloqueó este ataque?

Para los propósitos de esta demostración, configuramos la política de endpoint para que solo informe, lo que permite que el ataque avance, a la vez que nos notifica su progreso. Esto también es un recordatorio para seguir siempre las prácticas recomendadas a la hora de configurar las políticas.

Ahora, establezcamos la política de bloqueo, ¡y sigamos avanzando!

Identificar las lagunas de seguridad y garantizar la adecuación a las normas regulatorias

Con un buen control de este incidente de ransomware, se acuerda de que un activo de la nube estuvo implicado en un intento de fuerza bruta con anterioridad. A partir de ahí, comienza a trabajar en algunas medidas de seguridad proactivas para mejorar la seguridad de su nube.

Las capacidades de Cloud Compliance de Cortex XDR llevan a cabo comprobaciones de cumplimiento de evaluación comparativa del Centro para la seguridad de Internet (CIS) en recursos en la nube. Esto ayuda a detectar posibles lagunas de seguridad, mitigar los riesgos y evitar multas o sanciones regulatorias.

Se da cuenta de que el cumplimiento es solo del 74 %, y decide que es importante incluirlo en su informe final.

Evalúe las vulnerabilidades en un único panel de control

Dado que descubrió una PC comprometida durante su investigación, utiliza la Evaluación de vulnerabilidades para comprobar las vulnerabilidades potenciales que pueden no haber tenido parches y haber sido explotadas.

Verá que la PC comprometida que marcó tiene varias vulnerabilidades que contribuyeron al ataque del ransomware, lo que le dará la información que necesita para comenzar a aplicar parches.

Informes concisos y sencillos

Es hora de generar informes para su gerente en un formato conciso. Puede elegir entre varias plantillas predefinidas o crear informes personalizados.

Genere informes sobre su investigación, entre los que se incluyen la gestión de incidentes, Cloud Compliance y la evaluación de vulnerabilidades.

Haga clic en una fila para generar un informe

REPORT ID
TIEMPO GENERADO
NOMBRE
DESCRIPCIÓN
492
12 abr 2024 00:46:39
Informe de inventario en la nube
Proporciona un desglose de los principales incidentes y hosts en las organizaciones y una descripción general de los principales incidentes
493
12 abr 2024 00:46:07
Informe sobre la gestión de riesgos
Proporciona una descripción general del estado de la evaluación de vulnerabilidades de todos los endpoints y aplicaciones.
488
12 abr 2024 13:15:22
Informe de gestión de incidentes
Proporciona un desglose de los principales incidentes y hosts en las organizaciones y una descripción general de los principales incidentes
489
12 abr 2024 13:15:05
Informe de Cloud Compliance
Proporciona una descripción general del estado de cumplimiento de los criterios de referencia del CIS
490
12 abr 2024 13:14:45
Informe de evaluación de la vulnerabilidad
Proporciona una descripción general del estado de la evaluación de vulnerabilidades de todos los endpoints y aplicaciones.
491
12 abr 2024 13:14:10
Informe de inventario en la nube
Proporciona un desglose de todos los activos en la nube por cuenta, tipo y ubicación, junto con el número de activos a lo largo del tiempo (se actualiza cada 2 horas)
492
12 abr 2024 00:46:39
Informe sobre la gestión de riesgos
Proporciona una descripción general de los riesgos, tendencias y estadísticas relacionados con la identidad.
493
12 abr 2024 00:46:07
Informe sobre la gestión de riesgos
Proporciona un desglose de todos los activos en la nube por cuenta, tipo y ubicación, junto con el número de activos a lo largo del tiempo (se actualiza cada 2 horas)
492
12 abr 2024 00:46:39
Informe de inventario en la nube
Proporciona una descripción general de los riesgos, tendencias y estadísticas relacionados con la identidad.
493
12 abr 2024 00:46:07
Informe sobre la gestión de riesgos
Proporciona un desglose de todos los activos en la nube por cuenta, tipo y ubicación, junto con el número de activos a lo largo del tiempo (se actualiza cada 2 horas)
reportclose

¡Es momento de actuar!

Enhorabuena. Ha investigado y resuelto con éxito el ataque de ransomware. En la investigación se reveló lo siguiente:

  • tick Un intento de ataque de fuerza bruta a un activo en la nube.
  • tick Una PC con una vulnerabilidad sin parches.
  • tick Una política de seguridad configurada solo para informar, lo que permite que el ataque progrese.

Afortunadamente, usted aisló rápidamente el endpoint comprometido y eliminó el archivo ransomware sin acceso físico a la PC.

Se generaron informes en los que se detallaba todo el incidente. ¡En cuenta regresiva: una hora para la playa!

Lo mejor del tiempo… es tener más

Cortex XDR libera a los analistas de seguridad para que se centren en lo que mejor saben hacer. Las operaciones de seguridad pueden aprovechar Cortex XDR para lo siguiente:

  • tick Prevenir amenazas como el ransomware en endpoints y cargas de trabajo en la nube.
  • tick Acelerar el MTTD (tiempo promedio de detección) a velocidad de la máquina.
  • tick Responder rápidamente a la causa de los ataques.

Consiga mayor seguridad con Cortex XDR.

surf 1

Reducción del 98 % de las alertas

surf 2

Investigaciones 8 veces más rápidas

surf 3

100 % de prevención y detección sin cambios de configuración en MITRE Engenuity 2023