Indicadores de ataque

Licencia necesaria: indicadores de ataque

Los indicadores de ataque (IoA) de Tenable Identity Exposure le brindan la capacidad de detectar ataques a su instancia de Active Directory (AD).

Una vista consolidada de los indicadores de ataque muestra en un solo panel una línea temporal, los tres principales incidentes que afectaron a su instancia de AD en tiempo real y la distribución de ataques. Puede hacer lo siguiente:

  • Visualizar cada amenaza a partir de una línea temporal de ataques precisa.

  • Analizar en profundidad los detalles de un ataque a la instancia de AD.

  • Explorar las descripciones de MITRE ATT&CK directamente a partir de los incidentes detectados.

Para obtener más información sobre IoA específicos, consulte la Guía de referencia de indicadores de ataque (requiere iniciar sesión en el sitio de descargas de Tenable).

Nota: Si se detectaron una gran cantidad de ataques, verifique que el administrador haya aplicado los valores recomendados para las distintas opciones de los indicadores de ataque para calibrar correctamente los IoA. Para obtener más información, consulte Para calibrar los IoA.

Para mostrar los indicadores de ataque:

  1. En Tenable Identity Exposure, haga clic en Indicadores de ataque en el panel de navegación.

    Se abre el panel Indicadores de ataque.

  1. De manera predeterminada, Tenable Identity Exposure muestra todos sus bosques y dominios de AD. Para ajustar esta vista, siga cualquiera de los procedimientos a continuación:

    • Seleccione el período de tiempo que quiere mostrar: haga clic en Hora, Día (predeterminado), Mes o Año.

    • Muévase por la línea temporal: haga clic en la flecha izquierda o derecha para avanzar o retroceder en la línea temporal.

  • Seleccione una hora en particular: haga clic en el selector de fechas para elegir una hora, un día, un mes o un año.

  • Regrese a la fecha y hora actuales: haga clic en el ícono junto al selector de fechas.

  • Seleccione los dominios: haga clic en n/n dominios.

  1. En el panel Bosques y dominios, seleccione los dominios.

  2. Haga clic en Filtrar selección.

    Tenable Identity Exposure actualiza la vista.

  • Seleccione los IoA: haga clic en n/n indicadores.

    1. En el panel “Indicadores de ataque”, seleccione los IoA.

    2. Haga clic en Filtrar selección.

      Tenable Identity Exposure actualiza la vista.

  • Ordene los mosaicos de los IoA: en el cuadro Ordenar por, haga clic en la flecha para mostrar una lista desplegable de opciones: Dominio, Criticidad o Bosque.

  • Busque un dominio o ataque: en el cuadro Buscar, escriba el nombre del dominio o del ataque.

  • Muestre solo los dominios bajo ataque: haga clic en el conmutador Mostrar solo dominios bajo ataque para establecerlo en .

  • Exporte un informe de ataques: haga clic en Exportar.

    Aparece el panel Exportar tarjetas.

    1. En el cuadro Formato de exportación, haga clic en la flecha de la lista desplegable para seleccionar un formato: PDF, CSV o PPTX.

    2. Haga clic en Exportar.

      Tenable Identity Exposure descarga el informe en la máquina local.

Nivel de gravedad

Tenable Identity Exposure detecta y asigna niveles de gravedad a los ataques:

Nivel Descripción
Crítico: rojo Se detectó un ataque posterior a la explotación probado que requiere la dominación del dominio como requisito previo.
Alto: naranja Se detectó un ataque importante que permite que un atacante logre la dominación del dominio.
Medio: amarillo El IoA se relaciona con un ataque que podría conducir a un escalamiento peligroso de privilegios o permitir el acceso a recursos confidenciales.
Bajo: azul Alerta sobre comportamientos sospechosos relacionados con acciones de reconocimiento o incidentes de bajo impacto.

Consulte también