Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/mdr/help/es-es/index.html?contextId=threatAdvisor-monthly

Entender su informe mensual

Descripción general

Su calificación de protección de Sophos MDR es un análisis agregado de las recomendaciones de mejora de la posición de seguridad que se han aplicado frente a las que no se han aplicado.

Las recomendaciones de nuestra función Comprobar la cuenta pueden incluir cosas como activar funciones antiexploits para protegerse contra el robo de credenciales o el aumento de privilegios, o activar la detección de tráfico malicioso para impedir la comunicación con los servidores de comando y control. Las comprobaciones del estado de seguridad sirven para mejorar de forma proactiva su postura de seguridad y solventar puntos débiles que pueden afectar negativamente a sus capacidades en términos de seguridad.

Su índice de protección general será uno de los siguientes:

  • El verde es óptimo (cumple plenamente las prácticas recomendadas)
  • El amarillo significa degradado (algunas de las configuraciones aumentan el riesgo, pero no afectarán a la eficacia del servicio MDR)
  • El rojo significa que necesita atención (tiene varias configuraciones de alto riesgo que impiden que el servicio MDR funcione a un nivel óptimo)

Total de licencias desplegadas proporciona información sobre el uso de licencias con un enlace que le llevará a su página de licencias en Central.

La canalización de eventos le permite ver el entorno general de sus datos que pasan por Sophos y cómo el servicio MDR ha gestionado y procesado los datos.

Calificación de protección.

Casos

El informe mensual incluye 3 meses (90 días) de métricas de casos para las líneas de tendencia que le ayudan a visualizar el tipo de casos y el origen de detección del que proceden a lo largo del tiempo.

Casos.

También hay un desglose de la métrica Casos por estado para el mes en curso.

Casos mensuales por estado.

La Actividad de los casos enumera los casos abiertos actuales y los casos resueltos recientemente con su número de caso, tipo de caso, una breve descripción y resumen, y el estado del caso.

Estado del caso.

Total de detecciones

El equipo de operaciones de MDR mejora continuamente nuestras capacidades de detección, lo que naturalmente podría provocar fluctuaciones en el volumen de detecciones incluidas en el informe. Estos ajustes podrían ser para descartar detecciones que han tenido un valor limitado a la hora de identificar amenazas o de ampliar nuestro alcance y visibilidad para identificar amenazas nuevas y emergentes.

¿El número total de detecciones de amenazas en su entorno está aumentando, disminuyendo o manteniéndose? En esta sección se incluyen datos detallados relativos al volumen de detecciones total observado durante el transcurso de todo un mes y ayuda al equipo de operaciones de MDR a identificar puntos de inflexión en la posible actividad de adversarios.

El total de detecciones se desglosa por mes y por gravedad. El informe incluye 3 meses de datos para realizar comparaciones intermensuales.

Total de detecciones mensuales.

Resumen de la clasificación de detecciones

Las detecciones de MDR se clasifican en categorías de alto nivel para ayudar a entender los tipos generales de detecciones observadas en su red. Algunos ejemplos incluyen herramientas de ataque comunes, la ejecución de PowerShell y persistencia. Como con todas las detecciones, no indican necesariamente actividad sospechosa o maliciosa y pueden relacionarse con datos benignos recopilados.

DetectionClasssificationSummary.

Plataforma MITRE ATT&CK

Las detecciones de MDR se asignan a técnicas específicas en el marco MITRE ATT&CK, una base de conocimiento de comportamientos de adversarios ampliamente utilizada y basada en observaciones del mundo real. Verá el desglose por porcentajes de las detecciones en esta sección del informe mensual.

Como con todas las detecciones, estas no son necesariamente maliciosas, y es posible que un comportamiento benigno se alinee con las tácticas y técnicas de los adversarios. También es importante destacar que el número total de casos de MDR puede no ser igual al número total de tácticas de adversarios observadas. Es posible observar múltiples tácticas de adversarios en un caso de MDR, por lo que el número de tácticas puede ser superior al número total de casos de MDR. En cambio, se pueden crear casos de MDR que no estén asociados a tácticas de adversarios (casos de comprobación del estado de seguridad, por ejemplo), por lo que el número total de casos de MDR puede ser superior al número total de tácticas de adversarios.

Plataforma MITRE ATT&CK.

Detecciones por integraciones

Las integraciones de MDR proporcionan a los operadores de MDR los datos más cruciales a su alcance, lo que garantiza que los atacantes tengan menos lugares donde esconderse. Las Detecciones por integraciones indican qué integraciones han generado una detección.

Detecciones por integraciones.

Otros esfuerzos de Sophos MDR tienen listas de las acciones de respuesta y comunicaciones más recientes con los contactos de su cuenta.

Acciones de respuesta recientes.

Comunicaciones recientes.