Revise sus incidentes de seguridad
Primero, consulte el panel de Gestión de incidentes, que ofrece una vista centralizada de todos los incidentes de seguridad en curso, junto con su estado, gravedad y otros detalles.
Ve una incidencia que requiere atención, así que hace clic para abrirla.
Profundizar en los detalles del incidente
En la página Resumen del incidente recopila datos adicionales:
![tick]()
La puntuación del incidente para la gravedad![tick]()
Los activos comprometidos![tick]()
Las fuentes de datos para las alertas generadas![tick]()
Las respuestas automatizadas ya realizadas
La puntuación del incidente para la gravedadProfundizar en los detalles del incidente
Para generar este incidente, Cortex XDR creó registros enriquecidos de actividad correlacionando eventos de múltiples fuentes, estableciendo la conexión entre hosts, identidades, tráfico de red y más, para ampliar el contexto del incidente.
Cientos de modelos de aprendizaje automático buscaron actividades anómalas en los datos correlacionados, generando nuevas alertas de detección.
A continuación, Cortex XDR agrupó las alertas relacionadas en un único incidente, ofreciendo una imagen completa del ataque y reduciendo en un 98 % el número de alertas que hay que revisar manualmente.
Identificar los activos comprometidos
Dentro del incidente, se da cuenta de que un PC con Windows y un servidor con acceso a Internet alojado en la nube pueden estar comprometidos.
Compruebe el marco MITRE ATT&CK®
También puede ver el ataque en el marco MITRE ATT&CK® , que proporciona una taxonomía estandarizada para clasificar y describir las ciberamenazas y las técnicas de ataque. Al asignar automáticamente un ataque a este marco, Cortex XDR le ofrece una visión completa de toda la actividad relacionada.
Investigar con alertas e información
Sus alertas críticas confirman que el PC con Windows ha sido comprometido.
En la lista, se ve que el servidor alojado en la nube tiene una alerta de gravedad media. En la alerta, descubre que hubo un intento de ataque de fuerza bruta y que falló.
Ahora es el momento de aislar el PC con Windows comprometido para evitar que el ataque progrese.
Detener el ataque en seco
Aislar un endpoint ayuda a contener la propagación de malware y otras amenazas.
Al desconectar de la red el endpoint comprometido, se evita que la amenaza se propague a otros dispositivos o sistemas, limitando el alcance y el impacto del incidente.
Buscar y destruir malware
Ahora es el momento de buscar y destruir el archivo de ransomware.
Mediante el terminal interactivo, puede ejecutar comandos y secuencias de comandos de forma remota en los endpoints para facilitar una corrección rápida sin necesidad de acceder físicamente a los dispositivos afectados.
Veamos lo que hay detrás
Entonces, ¿por qué el agente del endpoint no bloqueó este ataque?
Para los propósitos de esta demostración, establecimos la Política de endpoint para que sólo informe, permitiendo que el ataque progrese, mientras nos notifica de su progreso. Esto también es un recordatorio para seguir siempre las prácticas recomendadas a la hora de configurar las políticas.
Ahora, establezcamos la política para bloquear, ¡y sigamos avanzando!
Identificar las lagunas de seguridad y garantizar la adecuación a los requisitos normativos
Con un buen control de este incidente de ransomware, recuerda que un activo de la nube estuvo implicado en un intento de fuerza bruta anteriormente. Teniendo esto en cuenta, empieza a trabajar en algunas medidas de seguridad proactivas para mejorar la seguridad de su nube.
Las capacidades de conformidad con la nube de Cortex XDR realizan comprobaciones de conformidad de evaluación comparativa del Centro para la seguridad en Internet (CIS) en recursos en la nube. Esto ayuda a detectar posibles lagunas de seguridad, mitigar los riesgos y evitar multas o sanciones reglamentarias.
Observa que la conformidad es sólo del 74 %, lo que considera que es importante incluir en su informe final.
Evalúe las vulnerabilidades en un único panel de control
Dado que descubrió un PC comprometido durante su investigación, utiliza la Evaluación de vulnerabilidades para comprobar las posibles vulnerabilidades que posiblemente no se corrigieron y se explotaron.
Verá que el PC comprometido que marcó tiene varias vulnerabilidades que contribuyeron al ataque del ransomware, lo que le proporciona la información que necesita para empezar a aplicar correcciones.
Informes concisos y sencillos
Es hora de generar informes para su gestor en un formato conciso. Puede elegir entre varias plantillas predefinidas o crear informes personalizados.
Genera informes sobre su investigación, incluyendo la gestión de incidentes, el cumplimiento normativo en la nube y la evaluación de vulnerabilidades.
Haga clic en una fila para generar un informe
¡Todo listo!
Enhorabuena. Ha investigado y resuelto con éxito el ataque de ransomware. La investigación desveló un:
![tick]()
Intento de ataque de fuerza bruta a un activo en la nube![tick]()
PC con una vulnerabilidad sin corregir![tick]()
Una política de seguridad establecida sólo para informar, lo que permite que el ataque progrese.
Por suerte, usted aisló rápidamente el endpoint comprometido y eliminó el archivo ransomware sin acceso físico al PC.
Se han generado informes que detallan todo el incidente. Y ahora está rumbo a la playa en t menos 1 hora.
No hay mejor tiempo como tener más tiempo
Cortex XDR libera a los analistas de seguridad para que se centren en lo que mejor saben hacer. Las operaciones de seguridad pueden aprovechar Cortex XDR para:
![tick]()
Prevenir amenazas como el ransomware en endpoints y cargas de trabajo en la nube![tick]()
Acelerar el MTTD (tiempo medio de detección) a velocidad de máquina![tick]()
Responder rápidamente a la causa raíz de los ataques
Consiga más seguridad con Cortex XDR.
Reducción del 98 % de alertas
Investigaciones 8 veces más rápidas
100 % de prevención y detección sin cambios en la configuración en MITRE Engenuity 2023