Indicadores de ataque

Los indicadores de ataque (IoA) de Tenable Identity Exposure ayudan a su organización a detectar y adoptar medidas inmediatas cuando las técnicas de explotación más avanzadas intentan poner en peligro sus infraestructuras de Active Directory (AD), entre ellas:

  • Tres incidentes principales: una presentación unificada de IoA muestra una línea temporal en tiempo real junto con los tres principales incidentes que han afectado a su instancia de AD, así como la distribución de los ataques, todo dentro de una única interfaz.

  • Detalles sobre el IoA: dentro de Tenable Identity Exposure, el panel de IoA brinda información sobre los ataques que han tenido lugar dentro de su instancia de AD.

  • Incidentes que involucran a IoA: la lista de incidentes de IoA ofrece detalles completos sobre ataques específicos dirigidos a su instancia de AD. Esta información le permitirá responder de manera adecuada según el nivel de gravedad del IoA.

Los indicadores de ataque vienen con una variedad de funcionalidades diseñadas para mejorar sus capacidades de investigación:

  • Búsqueda y filtros: explore sin esfuerzo el IoA mediante la línea temporal o aplique filtros basados en bosques, dominios y nivel de criticidad para obtener resultados eficientes y segmentados.

  • Capacidad de exportación: permite la exportación de datos de los IoA en formatos PDF, CSV o PPTX.

  • Modificar el tipo de gráfico: ofrece la opción de cambiar el tipo de gráfico, lo que le permite mostrar la distribución de la gravedad del ataque o los tres ataques principales junto con el número correspondiente de veces que ocurrieron.

  • Acción sobre incidentes de IoA: le permite seleccionar un incidente para cerrarlo o reabrirlo.

Tenable Identity Exposure detecta y asigna niveles de gravedad a los ataques:

Nivel Descripción
Crítico: rojo Se detectó un ataque posterior a la explotación probado que requiere la dominación del dominio como requisito previo.
Alto: naranja Se detectó un ataque importante que permite que un atacante logre la dominación del dominio.
Medio: amarillo El IoA se relaciona con un ataque que podría conducir a un escalamiento peligroso de privilegios o permitir el acceso a recursos confidenciales.
Bajo: azul Alerta sobre comportamientos sospechosos relacionados con acciones de reconocimiento o incidentes de bajo impacto.

Reconozca los IoA críticos y de alto impacto que se alinean con sus inquietudes y riesgos de seguridad específicos.

Para mitigar el riesgo de falsos positivos o de pasarse por alto ataques legítimos, es fundamental calibrar los IoA en función del entorno en particular. Esto implica:

  • Ajustar los umbrales: calibre la sensibilidad de los IoA para reducir los falsos positivos y garantizar así que las alertas sean pertinentes y puedan atenderse.

  • Agregar cuentas y actividades a whitelists: excluya las actividades legítimas para que no activen los IoA, lo que mejora la precisión de las alertas y agiliza las investigaciones.

  • Correlacionar los IoA: analice las relaciones entre los distintos IoA para detectar patrones de ataque más amplios.

Sugerencia: Consulte Tenable Identity Exposure Indicators of Attack Reference Guide (Guía de referencia de indicadores de ataque de Tenable Identity Exposure) (disponible en https://es-la.tenable.com/downloads/identity-exposure) para obtener más detalles sobre las opciones y los valores recomendados. Aplique estas opciones y valores a cada IoA del perfil de seguridad.

  1. Tras activar un IoA, seleccione “Indicadores de ataque” en el panel de navegación o haga clic en el ícono de la campana ubicado en la parte superior derecha de la página de inicio.

  2. Cada indicador le brindará información detallada sobre el incidente y le permitirá tomar las medidas adecuadas después de la revisión:

    • Cuándo tuvo lugar el ataque.

    • Descripción del ataque.

    • Origen del ataque.

    • Objetivo del ataque.

    • Información de MITRE ATT&CK®.

    • Reglas de detección YARA.

    • Recursos adicionales.

  1. Seleccione “Detalles” para acceder a la pestaña “Descripción”, como se ilustra en este ejemplo, centrándose en “Enumeración de Administradores locales”.

  2. En la pestaña “Descripción” se proporciona información sobre ataques específicos a su instancia de Active Directory (AD).

  3. En la pestaña “Reglas de detección YARA” se brinda información sobre las reglas YARA empleadas por Tenable Identity Exposure para detectar ataques a Active Directory en el nivel de red, lo que mejora las capacidades de detección generales de Tenable Identity Exposure.

  4. Colabore con el administrador de Active Directory o la parte interesada pertinente para examinar y resolver el incidente, decidir si cerrarlo o reabrirlo e implementar medidas para evitar que vuelva a ocurrir.

  5. Si se trata de un ataque reconocido o autorizado, tiene la opción de personalizar el IoA en consecuencia para evitar que este lo marque en instancias futuras.

Consulte también