Los clientes de Malwarebytes Endpoint Detection and Response pueden usar la función Flight Recorder. Esta característica le permite buscar datos de eventos capturados desde todos los endpoints administrados de Malwarebytes Endpoint Detection and Response, para investigar y identificar indicadores de compromiso (IoC). Puede buscar datos como archivos, registro, procesos y actividad de red hasta las últimas 30 días para la búsqueda de amenazas, o analizar cómo ocurrió un compromiso en su entorno.
En este artículo se explica cómo buscar datos de eventos en la sección Flight Recorder y los tipos de datos que puede investigar en los resultados de búsqueda. Para ver esta sección en la consola de Nebula, haga clic enFlight Recorder en el panel de navegación del lado izquierdo.
Buscar datos de eventos con Flight Recorder
La sección de Flight Recorder tiene una barra de búsqueda sencillo con un filtro para elegir qué tan atrás históricamente desea buscar datos de eventos. El filtro de búsqueda le permite elegir los siguientes intervalos de tiempo:
- Últimas 30 días
- Últimas 2 semanas
- Últimas 7 días
- Últimas 3 días
- Últimas 24 horas
- Últimas 12 horas
- Últimas 6 horas
- Última hora
- Últimos 30 minutos
La búsqueda de varios tipos de datos de eventos del sistema da como resultado una lista de endpoints relacionados con la consulta de búsqueda. Puede buscar en los siguientes tipos de datos:
- Camino del proceso
- Nombre del proceso
- Hash
- Dirección IP o dominio. La opción Eventos de Red debe estar habilitada en Configuración de directiva para buscar en estos tipos de datos. Para habilitar esta configuración, consulte Configurar las opciones del perfil General en Malwarebytes Nebula
Investigar la información mostrada por Flight Recorder
La información que se muestra en una búsqueda de Flight Recorder está destinada a análisis retrospectivos, investigación y cómo identificar cuáles de sus endpoints se ven afectados o relacionados con los procesos. Estos resultados informan a su toma de decisiones de lo que es mejor para su entorno empresarial. Estos resultados se muestran en el gráfico de barras Tipos de Eventos y una lista correspondiente de endpoints en la tabla Endpoints.
Gráfico de tipos de eventos
El gráfico de barras Tipos de Eventos muestra el total de apariciones de la consulta de búsqueda en el período de tiempo de búsqueda especificado. Las barras codificadas por color muestran qué tipos de eventos se encontraron en la consulta. Puede colocar el cursor sobre cada una de las barras para ver el total de eventos en los endpoints. Estos eventos se desglosan en:
- Proceso: Se muestra en púrpura. (
) - Registro: Se muestra en amarillo. (
) - Sistema de archivos: Se muestra en azul. (
) - Red: Se muestra en naranja. (
)
Tabla Endpoints
Debajo del gráfico Tipos de Eventos se encuentra la tabla Endpoints correspondiente. En esta tabla se enumeran los endpoints relacionados con la consulta de búsqueda. Cada partida individual muestra la información en columnas diferentes. Estas columnas son:
- Endpoint: Nombre del punto de conexión. Haga clic en el icono de filtro (
) para buscar un endpoint específico de la lista de resultados. - OS Type: Muestra el sistema operativo de los endpoints en la lista de resultados.
- Group: Muestra el grupo del endpoint.
- Policy: Muestra la directiva del endpoint.
- First Seen: Muestra una marca de tiempo cuando se detectó el evento por primera vez.
- Last Seen: Muestra una marca de tiempo cuando el evento se detectó por última vez.
- Events: Muestra los diferentes tipos de eventos encontrados por Flight Recorder. Coloque el cursor sobre los iconos codificados por color para ver el número de cada tipo de evento. Los colores se corresponden con el gráfico Tipos de Eventos.
- Suspicious Activity: Si el endpoint tiene una detección de actividad sospechosa, puede hacer clic en el icono (
) para ir a la página Detalles de Actividad Sospechosa para obtener más información.
Puede marcar las casillas situadas junto a los endpoints y seleccionar la acción Aislar Endpoints en el menú desplegable Acciones de la parte superior derecha si cree que son un riesgo para la red. También puede seleccionar Eliminar Aislamiento en el mismo menú desplegable. Si desea investigar más a fondo, puede hacer clic en un endpoint para ver más detalles en la ventana emergente Información de Proceso.
Información de Proceso
Al hacer clic en un endpoint desde los resultados de búsqueda de Flight Recorder, la ventana emergente Información de Proceso se desliza a la vista. Esto muestra información más detallada de los eventos detectados en el endpoint para informar la toma de decisiones. También puede iniciar Endpoint Isolation en el endpoint seleccionado en la ventana emergente Información de proceso. La información de proceso muestra información en las columnas siguientes:
- Process Path: Nombre y ubicación del proceso encontrado por Flight Recorder. Haga clic en una ruta de proceso para ver una representación visual del proceso seleccionado. Cada nodo se puede seleccionar con detalles de diapositivas, incluida la información de eventos sin procesar. Esto muestra detalles como el gráfico de proceso para detalles de actividad sospechosa. Para obtener información sobre el gráfico de procesos, consulte Suspicious Activity Details in Malwarebytes Endpoint Detection and Response.
- First Seen: Muestra el horario cuando se detectó el evento por primera vez.
- Last Seen: Muestra el horario cuando se detectó el evento por última vez.
- PID: El número único que identifica cada proceso en ejecución en un endpoint.
- SHA256: El valor hash dado a un archivo, si procede.
- Virus Total: Si el evento tiene un valor SHA256, se muestra un vínculo Check Now ahora en la columna de Virus Total. Haga clic en este enlace para abrir el sitio web de Virus Total en una nueva pestaña del navegador. Este sitio muestra la ruta de proceso como si la encontraran los proveedores de antivirus de 3a parte. Esto puede ayudarle a determinar si el evento es un falso positivo. NOTA: El sitio de Virus Total es un sitio web de 3a parte no asociado con Malwarebytes. Para obtener más información, consulte las Condiciones de Servicio de Virus Total.
- Events: Muestra los diferentes tipos de eventos encontrados por Flight Recorder. Coloque el cursor sobre los iconos codificados por color para ver el número de cada tipo de evento. Los colores se corresponden con el gráfico Tipos de Eventos.
Volver a la Guía del administrador de Malwarebytes Nebula.