Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Cytomic SIEMConnect
Manual de descripcioacuten de eventos iii
Aviso legalNi los documentos ni los programas a los que usted pueda acceder pueden ser copiados
reproducidos traducidos o transferidos por cualquier medio electroacutenico o legible sin el permiso previo
y por escrito de Cytomic (Unidad de Negocio de Panda Security) Santiago de Compostela 12 48003
Bilbao (Bizkaia) ESPANtildeA
Marcas registradas Windows Vista y el logotipo de Windows son marcas o marcas registradas de Microsoft Corporation en
los Estados Unidos y otros paiacuteses Todos los demaacutes nombres de productos pueden ser marcas
registradas de sus respectivas compantildeiacuteas
copy Cytomic 2021 (Unidad de Negocio de Panda Security) Todos los derechos reservados
Informacioacuten de contactoOficinas centrales
Cytomic (Unidad de Negocio de Panda Security)
Calle Santiago de Compostela 12
Bilbao (Bizkaia) 48003 Espantildeahttpswwwpandasecuritycomspainaboutcontact
Versioacuten 40100-00
Autor Cytomic
Fecha 13122021
Cytomic SIEMConnect
Manual de descripcioacuten de eventosiv
Cytomic SIEMConnect
Manual de descripcioacuten de eventos v
Acerca del Manual de descripcioacuten de eventosPara obtener la versioacuten maacutes reciente de esta guiacutea consulta la direccioacuten web
httpsinfocytomicmodelcomresourcesguidesSIEMConnectesSIEMCONNECT-ManualDescripcionEventos-ESpdfv
Guiacutea de infraestructura Cytomic SIEMConnectLa Guiacutea de infraestructura Cytomic SIEMConnect completa el Manual de descripcioacuten de eventos
Azure mostrando los recursos necesarios en la red del cliente para habilitar la recepcioacuten de
informacioacuten generada por el servicio
httpsinfocytomicmodelcomresourcesguidesSIEMConnectesSIEMCONNECT-Manual-ESPDF
Guiacutea de uso de CYTOMIC NexusPara configurar el servicio Cytomic SIEMConnect for Partners es necesario acceder al producto
CYTOMIC Nexus
bull Para obtener la versioacuten maacutes reciente de esta guiacutea consulta la direccioacuten web
httpnexus-documentscytomicaiAdvancedGuideNexus-Manual-ESpdf
bull Para consultar un tema especiacutefico accede a la ayuda online del producto en la direccioacuten web
httpnexus-documentscytomicai Helpv77000Partnerses-esindexhtm
Cytomic EDR y Cytomic EDPRCytomic SIEMConnect es un servicio que requiere los productos de seguridad Cytomic EDR o Cytomic
EDPR Consulta las guiacuteas en
httpsinfocytomicmodelcomresourcesguidesEPDRlatestesEPDR-guia-ESpdf
httpsinfocytomicmodelcomresourcesguidesEDRlatestesEDR-guia-ESpdf
Soporte teacutecnicoCytomic ofrece un soporte teacutecnico global cuyo objetivo principal es responder a cuestiones
especificas sobre el funcionamiento de sus productos El equipo de soporte teacutecnico tambieacuten genera
documentacioacuten sobre detalles teacutecnicos del producto que ofrece a traveacutes de su portal eKnowledge
Base
Para acceder al portal eKnowledge Base consulta la siguiente URL
httpswwwpandasecuritycomessupportsiemfeederhtm
Encuesta sobre la Guiacutea para el administrador de la redEvaluacutea esta guiacutea para administradores y enviamos sugerencias y peticiones para proacuteximas versiones
de la documentacioacuten en
Cytomic SIEMConnect
vi Manual de descripcioacuten de eventos
httpsessurveymonkeycomrfeedbackSIEMFeederEvManES
Cytomic SIEMConnect
Manual de descripcioacuten de eventos vii
Tabla de contenidos
Capiacutetulo 1 Proacutelogo - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 9iquestA quieacuten estaacute dirigida esta guiacutea9Objetivo de la documentacioacuten 10Iconos 10
Capiacutetulo 2 Beneficios y arquitectura general - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 11Objetivos del servicio Cytomic SIEMConnect 11Beneficios de Cytomic SIEMConnect12Flujo de informacioacuten generado por Cytomic SIEMConnect 12Requisitos de Cytomic SIEMConnect 12
Capiacutetulo 3 Eventos e informacioacuten extendida - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 15Estructura de un evento Cytomic SIEMConnect 17Formato de los logs en Cytomic SIEMConnect18
Formato Common Event Format (CEF) 18Formato Log Event Extended Format (LEEF) 19
Categoriacuteas de eventos 21Estructura de los eventos y sintaxis de los campos 23Alertadvpolicy ADVPolicy Detected 25Alertexploit Exploit Detected 29Alertmalware Malware Detected 33Alertprodappcontrol ProdAppControl Detected 36Alertpup PUP Detected 40Alertrdpattack RDPAttack Detected 44Alertsecappcontrol SecAppControl Detected45Block 49Createcmp53Createdir 62CreateprocessbyWMI 70CreatePE 79Createremotethread88Criticalsoft 96DeletePE 98Deviceops 107Dnsops 109Exec 111Hostfiles 120Install 123Loadlib 125Loginoutops 134Modifype 138ModLinuxCfg 146ModOSXCfg 155Monitoredopen 164Monitoredregistry 168Notblocked 171Opencmp 176Openlsass 185ProcessNetBytes 194Registryc 196Registrym 199Renamepe 203Scriptcreation 212
Cytomic SIEMConnect
Manual de descripcioacuten de eventos viii
Scriptlaunch 218Socket 223SvcControl 227Systemops 236Thalert 239Urldownload 241
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Proacutelogo
Capiacutetulo 1 | 9
Capiacutetulo 1Proacutelogo
Cytomic SIEMConnect y Cytomic SIEMConnect for Partners son dos servicios que almacenan y
suministran a sus clientes informacioacuten detallada relativa a los eventos de seguridad registrados en sus
infraestructuras informaacuteticas
CONTENIDO DEL CAPIacuteTULO
iquestA quieacuten estaacute dirigida esta guiacutea - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 9Objetivo de la documentacioacuten - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -10Iconos - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -10
iquestA quieacuten estaacute dirigida esta guiacuteaEsta documentacioacuten estaacute dirigida a dos tipos de organizaciones
bull Empresas que tienen contratado el servicio Cytomic SIEMConnect de Cytomic para los productosCytomic EDR y Cytomic EDPR
bull Partners que tienen contratado Cytomic SIEMConnect for Partners para ofrecer el servicio deCytomic SIEMConnect a sus clientes
Dentro de las organizaciones la informacioacuten recogida en este manual estaacute dirigida a
bull El especialista en seguridad informaacutetica que necesita una descripcioacuten detallada de la informacioacutenque Cytomic SIEMConnect enviacutea a la plataforma SIEM de su organizacioacuten
bull El administrador de la solucioacuten SIEM adoptada en la empresa que requiere conocer el formato dela informacioacuten que recibe para poder incorporarla a su base de datos
Mienstras no se especifique lo contrario todos los procedimientos e indicaciones mostradas en este
manual son aplicables de forma indistinta a
bull Clientes con licencias de Cytomic EDR contratadas
bull Clientes con licencias de Cytomic EDPR contratadas
bull Clientes con el servicio Cytomic SIEMConnect contratado
bull Clientes con el servicio Cytomic SIEMConnect for Partners contratado
Proacutelogo
10 | Capiacutetulo 1
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Objetivo de la documentacioacutenEl objetivo de esta guiacutea es facilitar la explotacioacuten de la informacioacuten de seguridad suministrada por
Cytomic y su integracioacuten en la infraestructura de almacenamiento implantada en la empresa
En esta documentacioacuten se hace referencia al producto ldquoCytomic EDRrdquo de forma geneacuterica para
referirse tanto a Cytomic EDR como a Cytomic EDPR Igualmente se utiliza ldquoCytomic SIEMConnectrdquo
para referirse no solo a este producto sino tambieacuten a Cytomic SIEMConnect for Partners
IconosEn esta guiacutea se utilizan los siguientes iconos
Aclaraciones e informacioacuten adicional como por ejemplo un meacutetodo alternativo para
realizar una determinada tarea
Sugerencias y recomendaciones
Consejo importante de cara a un uso correcto de las opciones de Cytomic
SIEMConnect
Consulta en otro capiacutetulo o punto del manual
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Beneficios y arquitectura general
Capiacutetulo 2 | 11
Capiacutetulo 2Beneficios y arquitectura general
Cytomic SIEMConnect es el servicio de Cytomic que enviacutea a la plataforma SIEM de los clientes la
informacioacuten y el conocimiento generado por los productos Cytomic EDR y Cytomic EDPR
CONTENIDO DEL CAPIacuteTULO
Objetivos del servicio Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - - - -11Beneficios de Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12Flujo de informacioacuten generado por Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - -12Requisitos de Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12
Cytomic SIEMConnect para clientes finales 13Cytomic SIEMConnect para partners (Cytomic SIEMConnect for Partners) 13
Objetivos del servicio Cytomic SIEMConnectCytomic SIEMConnect enviacutea a la plataforma SIEM de sus clientes inteligencia de seguridad sobre los
procesos ejecutados en los equipos de los usuarios Con esta informacioacuten el administrador de la
seguridad obtiene una mayor visibilidad de lo que ocurre en la infraestructura informaacutetica que
gestiona
La informacioacuten de inteligencia de seguridad suministrada al cliente facilita el descubrimiento de
amenazas desconocidas malware avanzado de tipo APT (Advanced Persistent Threats) y ataques
dirigidos especiacuteficamente disentildeados para extraer informacioacuten confidencial de las empresas
Para conseguir este objetivo Cytomic SIEMConnect obtiene el registro de la actividad de las
aplicaciones ejecutadas gracias a la monitorizacioacuten permanente del software de seguridad Cytomic
EDR instalado en los equipos Esta informacioacuten se completa con inteligencia de seguridad generada
en Cytomic y se enviacutea a la plataforma SIEM del cliente donde se integra para su explotacioacuten
Beneficios y arquitectura general
12 | Capiacutetulo 2
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Beneficios de Cytomic SIEMConnectCon la inteligencia de seguridad suministrada el administrador de la seguridad seraacute capaz de
bull Visualizar la evolucioacuten del estado del malware detectado en la red indicando si fue ejecutado ono el vector de infeccioacuten y las acciones ejecutadas por el proceso para facilitar laimplementacioacuten de estrategias de resolucioacuten y posterior adaptacioacuten de las poliacuteticas de seguridadde la empresa
bull Visualizar las acciones ejecutadas por cada proceso con el objetivo de centrarse en lasactividades sospechosas de los programas desconocidos de muy reciente aparicioacuten y recopilar losindicios que permitan obtener conclusiones acerca de su potencial peligrosidad
bull Visualizar los accesos de los procesos a la informacioacuten confidencial de la empresa para prevenir suextraccioacuten o robo Se muestran los ficheros de ofimaacutetica accedidos bases de datos y otrosrepositorios de informacioacuten confidencial
bull Visualizar las conexiones de red establecidas por los procesos para identificar destinos sospechososy susceptibles de estar realizando ex filtracioacuten de datos
bull Localizar todos los programas ejecutados y especialmente aquellos instalados en los equipos delos usuarios y que contengan vulnerabilidades conocidas para ayudar en el disentildeo de un plan deactualizacioacuten de software y afinar las poliacuteticas de seguridad establecidas
Flujo de informacioacuten generado por Cytomic SIEMConnectCytomic EDR monitoriza de forma constante las acciones realizadas por los procesos ejecutados en
los equipos de los usuarios Estas acciones se enviacutean a la plataforma Cloud de Cytomic donde se
analizan y explotan para extraer de forma automatizada inteligencia de seguridad avanzada
Cytomic SIEMConnect reuacutene la informacioacuten de los eventos monitorizados por Cytomic EDR y la
informacioacuten de seguridad generada para crear un uacutenico flujo de datos compatible con el servidor
SIEM del cliente
Requisitos de Cytomic SIEMConnectCytomic SIEMConnect no requiere cambios en los equipos monitorizados ya que el servicio recibe los
datos automaacuteticamente desde cada estacioacuten de trabajo o servidor Sin embargo dependiendo del
tipo de producto contratado es necesario instalar y configurar varios elementos en la infraestructura
informaacutetica de las empresas
Para conocer en detalle el flujo completo de informacioacuten generado por Cytomic
SIEMConnect consulta la Guiacutea de infraestructura Cytomic SIEMConnect (https
infocytomicmodelcomresourcesguidesSIEMConnectesSIEMCONNECT-Manual-ESPDF)
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Beneficios y arquitectura general
Capiacutetulo 2 | 13
Cytomic SIEMConnect para clientes finalesSe requieren los siguientes recursos en la infraestructura IT del cliente
bull Instalar y configurar el software Cytomic Importer preferiblemente en un equipo de tipo servidor
bull Si el flujo de eventos recibidos es grande se recomienda instalar un gestor de colas compatible conCytomic Importer
bull Instalar un servidor SIEM compatible con los formatos de log CEF y LEEF
Cytomic SIEMConnect para partners (Cytomic SIEMConnect for Partners)Se requieren los siguientes recursos en la infraestructura IT del partner El cliente no requiere cambios
en su infraestructura informaacutetica
bull Instalar y configurar el software Cytomic Importer preferiblemente en un equipo de tipo servidor
bull Instalar un gestor de colas compatible
bull Instalar un servidor SIEM compatible con los formatos de log CEF y LEEF
bull Configurar el servicio Cytomic SIEMConnect for Partners Consulta httpnexus-documentscytomicaiAdvancedGuideNexus-Manual-ESpdf
Para conocer en detalle el proceso de instalacioacuten y configuracioacuten de Cytomic Importer
consulta la Guiacutea de infraestructura Cytomic SIEMConnect (httpsinfocytomicmodelcom
resourcesguidesSIEMConnectesSIEMCONNECT-Manual-ESPDF)
Beneficios y arquitectura general
14 | Capiacutetulo 2
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 15
Capiacutetulo 3Eventos e informacioacuten extendida
Cytomic SIEMConnect transforma el flujo de telemetriacutea recibida desde los equipos protegidos con
Cytomic EDR en ficheros de texto que contienen eventos formateados compatibles con servidores
SIEM
La unidad baacutesica de informacioacuten que recibe el cliente es el evento cada accioacuten relevante que
realizan los procesos ejecutados en el equipo del usuario se transforma en un evento que se entrega
finalmente al servidor SIEM
Estructura de un evento Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - -17Agrupacioacuten de eventos 17Secuencia y tiempos de entrega de la informacioacuten 18
Formato de los logs en Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - - -18Formato Common Event Format (CEF) 18
Bloque Prefijo 19Bloque extensiones del evento 19
Formato Log Event Extended Format (LEEF) 19Bloque Cabecera 20Bloque Atributos del evento 20
Categoriacuteas de eventos - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -21Despliegue del agente 21Creacioacuten de Alertas 21Modificaciones en el sistema operativo de los usuarios 22Manipulacioacuten de procesos 22Descarga de ficheros 23Acceso a datos 23Otros 23
Estructura de los eventos y sintaxis de los campos - - - - - - - - - - - - - - - - - - - - - - - - -23Estructura interna de los eventos 23Eventos de tipo activo 24Eventos de tipo pasivo 24Prefijos parent y child 24Otros prefijos y afijos 25
Alertadvpolicy ADVPolicy Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -25Descripcioacuten de los campos del evento 25
Alertexploit Exploit Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -29Descripcioacuten de los campos del evento 29
Alertmalware Malware Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -33Descripcioacuten de los campos del evento 33
Eventos e informacioacuten extendida
16 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Alertprodappcontrol ProdAppControl Detected - - - - - - - - - - - - - - - - - - - - - - - - - - 36Descripcioacuten de los campos del evento 36
Alertpup PUP Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 40Descripcioacuten de los campos del evento 40
Alertrdpattack RDPAttack Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 44Descripcioacuten de los campos del evento 44
Alertsecappcontrol SecAppControl Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - 45Descripcioacuten de los campos del evento 46
Block - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 49Descripcioacuten de los campos del evento 49
Createcmp - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 53Descripcioacuten de los campos del evento 53
Createdir - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 62Descripcioacuten de los campos del evento 62
CreateprocessbyWMI - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 70Descripcioacuten de los campos del evento 70
CreatePE - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 79Descripcioacuten de los campos del evento 79
Createremotethread - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 88Descripcioacuten de los campos del evento 88
Criticalsoft - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 96Descripcioacuten de los campos del evento 96
DeletePE - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 98Descripcioacuten de los campos del evento 98
Deviceops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -107Descripcioacuten de los campos del evento 107
Dnsops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -109Descripcioacuten de los campos del evento 110
Exec - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -111Descripcioacuten de los campos del evento 112
Hostfiles - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -120Descripcioacuten de los campos del evento 120
Install - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -123Descripcioacuten de los campos del evento 123
Loadlib - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -125Descripcioacuten de los campos del evento 126
Loginoutops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -134Descripcioacuten de los campos del evento 134
Modifype - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -138Descripcioacuten de los campos del evento 138
ModLinuxCfg - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -146Descripcioacuten de los campos del evento 146
ModOSXCfg - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -155Descripcioacuten de los campos del evento 155
Monitoredopen - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -164Descripcioacuten de los campos del evento 164
Monitoredregistry - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -168Descripcioacuten de los campos del evento 168
Notblocked - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -171Descripcioacuten de los campos del evento 172
Opencmp - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -176Descripcioacuten de los campos del evento 176
Openlsass - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -185Descripcioacuten de los campos del evento 185
ProcessNetBytes - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -194Descripcioacuten de los campos del evento 194
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 17
Registryc - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 196Descripcioacuten de los campos del evento 196
Registrym - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 199Descripcioacuten de los campos del evento 200
Renamepe - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 203Descripcioacuten de los campos del evento 203
Scriptcreation - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 212Descripcioacuten de los campo del evento 212
Scriptlaunch - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 218Descripcioacuten de los campos del evento 218
Socket - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 223Descripcioacuten de los campos del evento 223
SvcControl - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 227Descripcioacuten de los campos del evento 228
Systemops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 236Descripcioacuten de los campos del evento 236
Thalert - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 239Descripcioacuten de los campos del evento 240
Urldownload - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 241Descripcioacuten de los campos del evento 241
Estructura de un evento Cytomic SIEMConnectUn evento es una accioacuten registrada en el equipo de un cliente y descrita mediante una serie de pares
campo-valor Existen muacuteltiples tipos de eventos y cada tipo incluye pares campo-valor concretos A
esta coleccioacuten de pares campo-valor Cytomic SIEMConnect le agrega un preaacutembulo o cabecera
que contiene la informacioacuten necesaria para encapsular la informacioacuten en un evento compatible con
los formatos comuacutenmente aceptados por los servidores SIEM CEF o LEEF
Agrupacioacuten de eventosUn fichero de registro tambieacuten llamado ldquologrdquo es una agrupacioacuten de eventos que se entrega al
servidor SIEM del cliente Los logs generados por Cytomic SIEMConnect tienen un tamantildeo variable y
pueden agrupar uno o varios eventos de categoriacuteas diferentes A su vez el origen de los eventos
dentro de un mismo log puede ser uno o maacutes equipos de la red del cliente
Para conocer en detalle el formato LEEF consulta el enlace
httpswwwibmcomdocsendsmtopic=leef-overview
Para conocer en detalle el formato CEF consulta el enlace
httpscommunitymicrofocuscomcfs-file__keycommunityserver-wikis-components-files00-00-00-00-233731CommonEventFormatV25pdf
Eventos e informacioacuten extendida
18 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Secuencia y tiempos de entrega de la informacioacutenEl maacuteximo retardo desde que un proceso realiza una accioacuten en el equipo protegido con Cytomic EDR
hasta que Cytomic SIEMConnect formatea el evento asociado y lo completa con inteligencia de
seguridad es de 20 minutos
Los eventos recibidos de los equipos de los clientes se procesan siguiendo una estrategia FIFO
Los logs enviados al servidor SIEM del cliente no tienen una secuencia predefinida pero todos los
eventos contienen un campo con marca de tiempo (timestap) que permite ubicar el evento de
forma precisa en una liacutenea temporal
Formato de los logs en Cytomic SIEMConnectCytomic SIEMConnect entrega la informacioacuten en uno de los dos formatos disponibles CEF o LEEF
Dependiendo del tipo de cliente al que va destinado el servicio el procedimiento para seleccionar el
formato variacutea
bull Cytomic SIEMConnect consulta telefoacutenicamente o por email a tu comercial asignado paracambiar el formato de los logs recibidos
bull Cytomic SIEMConnect for Partners configura el servicio mediante CYTOMIC Nexus Consulta httpnexus-documentscytomicaiAdvancedGuideNexus-Manual-ESpdf
Todos los ficheros de registro enviados por Cytomic SIEMConnect siguen la codificacioacuten UTF-8
Formato Common Event Format (CEF)El formato CEF estaacute constituido por los bloques de datos mostrados a continuacioacuten
bull Bloque Prefijo tambieacuten conocido como ldquocabecerardquo Identifica la categoriacutea del evento y define allog como de tipo CEF Los campos incluidos en este bloque estaacuten separados por pipes ldquo|rdquo y elsignificado de cada campo viene dado por su posicioacuten
bull Bloque de extensiones del evento comuacuten a los dos tipos de log (CEF y LEEF) Incluye parescampo=valor separados por espacios
Cytomic SIEMConnect no incluye la cabecera syslog en los logs CEF
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 19
A continuacioacuten se muestra un ejemplo del evento registryc (createExekey) en formato CEF
Bloque Prefijo
Los campos dentro del bloque prefijo van separados por pipes ldquo|rdquo
Bloque extensiones del eventoPara obtener informacioacuten acerca de los eventos soportados campos existentes y una descripcioacuten
detallada de los mismos consulta ldquoEstructura de los eventos y sintaxis de los camposrdquo
Formato Log Event Extended Format (LEEF)El formato LEEF estaacute constituido por los bloques de datos mostrados a continuacioacuten
bull Bloque Cabecera identifica la categoriacutea del evento y define al log como de tipo LEEF Los camposincluidos en este bloque estaacuten separados por pipes ldquo|rdquo y el significado de cada campo viene
CEF1|Panda Security|paps|0245000000|registryc|registryc|1|Client=1212122
Date=2018-09-27 022652200188 MachineName=DESKTOP-PC MachineIP=192168011
User=NT AUTHORITYSYSTEM MUID=713FC2B45B429J291EB53467357AC1B7 Op=CreateExeKey
Hash=C86854DF4F3AEC59D523DBAD1F5031FD DriveType=Fixed
Path=SYSTEMX86|CompatTelRunnerexe ValidSig=true Company=Microsoft Corporation
Broken=true ImageType=EXE 32 ExeType=Unknown Prevalence=Medium PrevLastDay=Low
Cat=Goodware MWName= TargetPath=3|PROGRAM_FILESX86|Windows DefenderMsMpengexe
RegKey=REGISTRYMACHINESOFTWAREMicrosoftWindows
NTCurrentVersionAppCompatFlagsWicaAvPathsExpiredTemp0
CEF1|Cytomic|paps|0245000000|registryc|registryc|1|
Campo Descripcioacuten Valor de ejemplo
Formatoversioacuten Identificador del formato del log y de la versioacuten CEF1
Device vendor Nombre del proveedor del servicio Cytomic
Device Product Nombre interno del dispositivo o software paps
Signature Versioacuten de la proteccioacuten que generoacute el evento 243000000
Name y Name 2
En los eventos de tipo alerta el nombre del evento sedistribuye en los campos Name y Name 2 Por tantopara obtener el nombre completo de la alerta esnecesario concatenar los campos Name y Name 2
En el resto de tipos de evento Name 2 tiene unacopia del contenido del campo Name
registryc
SeveritySeveridad del evento Excepto para los eventos detipo alerta siempre contiene en valor 1 Consultamaacutes adelante los tipos de eventos
1
Tabla 31 formato del bloque prefijo (preaacutembulo) del estaacutendar CEF
Eventos e informacioacuten extendida
20 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
dado por su posicioacuten
bull Bloque de atributos del evento comuacuten a los dos tipos de log (CEF y LEEF) Incluyen los campos delevento y sus valores
Cytomic SIEMConnect no incluye la cabecera syslog en los logs LEEF
A continuacioacuten se muestra un ejemplo del evento registryc (createExekey) en formato LEEF
Bloque Cabecera
Bloque Atributos del eventoPara obtener informacioacuten acerca de los eventos soportados campos existentes y una descripcioacuten
detallada de los mismos consulta ldquoEstructura de los eventos y sintaxis de los camposrdquo
LEEF10|Panda Security|paps|0243000000|registryc|Client=1212122 sev=1
devTime=2016-09-22 152511000628 devTimeFormat=yyyy-MM-dd HHmmssSSS
usrName=LOCAL SERVICE domain=NT AUTHORITY src=10219202149
identSrc=10219202149 identHostName=PXE68XXX HostName= PXE68XXX
MUID=1F109BA4E0XXXX37F9995D31FXXXX319 Op=CreateExeKey
Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed Path=SYSTEM|svchostexe
ValidSig= Company=Microsoft Corporation Broken=true ImageType=EXE 64
ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872 Skeptic=
AVDets=0 JIDFI=3431993 1NFI=116241 JIDMW=11195630 1NMW=4308325 Class=100
Cat=Goodware MWName= TargetPath=0|punecom RegKey= REGISTRY MACHINE SYSTEM
ControlSet001servicesTcpipParametersDhcpDomain
LEEF10|Panda Security|paps|0243000000|registryc|
En el formato LEEF la severidad del evento no se indica con un campo en el bloque
Cabecera sino que se incluye en bloque Atributos mediante el campo Sev=nuacutemero
Campo Descripcioacuten Valor de ejemplo
Formatoversioacuten Identificador del formato del log y de la versioacuten LEEF1
Vendor Nombre del proveedor del servicio Cytomic
Product Nombre interno del dispositivo o software paps
Version Versioacuten de la proteccioacuten que generoacute el evento 243000000
Event ID Description Nombre completo del evento enviado registryc
Tabla 32 formato del bloque cabecera (preaacutembulo) del estaacutendar LEEF
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 21
Categoriacuteas de eventosEl tipo de evento recibido viene especificado en el campo Name y Name 2 del bloque Preaacutembulo en
el formato CEF o en el campo Event ID Description del bloque Cabecera en el formato LEEF Asiacute
mismo el tipo del evento tambieacuten se incluye en el campo op del bloque de atributos en el formato
LEEF o del bloque de extensiones en el formato CEF si bien no todos los tipos de evento incluyen este
campo
A continuacioacuten se muestran todos los eventos posibles en el campo Name Event ID Description y su
significando agrupados por su tipo
Despliegue del agente
Creacioacuten de Alertas
Campo Descripcioacuten
install Instalacioacuten y desinstalacioacuten del agente Cytomic EDR
Tabla 33 eventos relacionados con el despliegue del agente de proteccioacuten
Campo Descripcioacuten
alertmalware Malware Detected Deteccioacuten de malware
alertpup PUP Detected Deteccioacuten de PUP (programa no deseado)
alertrdpattack RDPAttack Detected Deteccioacuten de ataque RDP por fuerza bruta
alertadvpolicy ADVPolicy Detected Deteccioacuten realizada por las poliacuteticas de seguridadavanzadas
alertsecappcontrol SecAppControl Detected
Deteccioacuten realizada por un nombre de proceso o MD5definidos por el administrador en las poliacuteticas avanzadasde seguridad
alertprodappcontrol ProdAppControl Detected
Deteccioacuten realizada por la configuracioacuten Bloqueo deprogramas establecida por el administrador
alertexploit Exploit Detected Deteccioacuten de exploit
block Bloqueo de ejecucioacuten de programa por no estar aunclasificado o ser sospechoso de malware
thalert
Deteccioacuten por parte del Radar de ciber-ataques de unpatroacuten de eventos que coincide con una Hunting rule
Esta alerta solo se crea en clientes de Cytomic Orion
Tabla 34 eventos relacionados con la generacioacuten de alertas
Eventos e informacioacuten extendida
22 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Modificaciones en el sistema operativo de los usuarios
Manipulacioacuten de procesos
Campo Descripcioacuten
hostfiles Modificacioacuten del fichero HOSTS
monitoredregistry Acceso a ramas del registro sensibles y relacionadas con el intento deganar persistencia en el equipo tras un reinicio
registrym Modificacioacuten de rama en el registro del equipo que apunta a unfichero ejecutable
registryc Creacioacuten de rama en el registro del equipo que apunta a un ficheroejecutable
openlsass Acceso al proceso LSASS para intentar comprometer las credencialesde una cuenta de usuario
modLinuxCfg Modificacioacuten de un fichero de configuracioacuten del sistema operativoLinux
modOSXCfg Modificacioacuten de un fichero de configuracioacuten del sistema operativomacOS
systemops Modificacioacuten del sistema operativo a traveacutes de WMI (WindowsManagement Interface)
Tabla 35 eventos relacionados con modificaciones en el sistema operativo
Campo Descripcioacuten
createremotethread Creacioacuten de hilo de ejecucioacuten remoto
exec Ejecucioacuten de proceso
createprocessbyWMI Creacioacuten de proceso a traveacutes del sistema WMI
scriptcreation Creacioacuten de un script
scriptlaunch Ejecucioacuten de script
createpe Creacioacuten de programa ejecutable
modifype Modificacioacuten de fichero ejecutable
renamepe Cambio de nombre de fichero ejecutable
deletepe Borrado de programa ejecutable
loadlib Carga de libreriacutea
Tabla 36 eventos relacionados con la manipulacioacuten de procesos
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 23
Descarga de ficheros
Acceso a datos
Otros
Estructura de los eventos y sintaxis de los camposEstructura interna de los eventosCytomic SIEMConnect describe cada evento mediante pares campo-valor
Para entender la loacutegica de la informacioacuten generada por Cytomic SIEMConnect los eventos se
pueden dividir en dos tipos eventos de tipo activo y eventos de tipo pasivo
Campo Descripcioacuten
urldownload Descarga de fichero
Tabla 37 eventos relacionados con la descarga de ficheros
Campo Descripcioacuten
createcmp Creacioacuten de fichero comprimido
opencmp Apertura de fichero comprimido
monitoredopen Acceso a ficheros de datos monitorizados
createdir Creacioacuten de directorio en el sistema de ficheros
socket Operacioacuten de comunicacioacuten por red
Tabla 38 eventos relacionados con el acceso al sistema de ficheros
Campo Descripcioacuten
criticalsoft Deteccioacuten de aplicacioacuten vulnerables instalada en el equipo
processnetbytes Consumo de datos de red por proceso
dnsops Proceso con peticiones de resolucioacuten DNS erroacuteneas
loginoutsops Inicio y fin de sesioacuten en el equipo del usuario
deviceops Conexioacuten yo desconexioacuten de dispositivo externo
notblocked Evento que Cytomic EDR deja sin analizar debido a situacionesexcepcionales
svcControl Intento de modificacioacuten de los ficheros que pertenecen al producto deseguridad instalado
Tabla 39 otros eventos
Eventos e informacioacuten extendida
24 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos de tipo activoLa mayor parte de los eventos recibidos describen situaciones en las que un proceso denominado
padre (parent) realiza una accioacuten sobre un elemento hijo (child) El tipo del elemento que recibe la
accioacuten variacutea dependiendo de la categoriacutea del evento De esta forma el elemento hijo (child) puede
ser
bull Otro proceso en eventos de tipo carga y descarga de procesos carga de libreriacuteas etc
bull Fichero ejecutable en eventos de tipo creacioacuten borrado modificacioacuten de programas
bull Fichero del sistema en eventos que reflejan la manipulacioacuten del fichero hosts y del registro delequipo de usuario
bull Fichero de datos en eventos que reflejan el acceso a ficheros de ofimaacutetica bases de datos etc
bull Fichero de descarga en eventos que se generan cuando se detecta la descarga de datos de unproceso
bull Fichero comprimido en eventos que reflejan la creacioacuten modificacioacuten y borrado de ficheroscomprimidos
bull Directorio en eventos que reflejan la creacioacuten modificacioacuten y borrado de carpetas
Dependiendo del tipo de evento se incluiraacuten o no ciertos campos que describan las caracteriacutesticas
tanto del elemento padre como del hijo Por ejemplo en un evento de tipo creacioacuten de directorio los
campos asociados al evento describiraacuten las caracteriacutesticas del proceso padre (si es o no malware
ruta del proceso metadatos del proceso etc) asiacute como las caracteriacutesticas del hijo En este caso al
tratarse de un directorio algunos campos que se incluyen en el evento no llevaraacuten informacioacuten
como por ejemplo los campos que describen al elemento como malware o los metadatos del
fichero informacioacuten que no es posible suministrar al tratarse de un directorio Otra informacioacuten como
por ejemplo la ruta del directorio siacute seraacute incluida en el evento
Eventos de tipo pasivoSon eventos que en muchos casos no tienen procesos padre o hijo claramente definidos ya que se
corresponden al registro pasivo de una situacioacuten que se produce en el equipo del usuario
Ejemplos de eventos de tipo registro son los eventos de generacioacuten de alertas por malware o la
instalacioacuten actualizacioacuten y modificacioacuten del agente Cytomic EDR entre otros
Prefijos parent y childEn los eventos de tipo activo que involucran a dos ficheros o procesos generalmente se utilizan los
prefijos parent y child para diferenciar la informacioacuten relativa a cada proceso
bull Parent los campos que comienzan con la etiqueta Parent describen un atributo del proceso padre
bull Child los campos que comienzan con la etiqueta Child describen un atributo del elemento hijo
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 25
Otros prefijos y afijosEn muchos campos y valores se utilizan abreviaturas conocer su significado ayuda a interpretar el
campo en cuestioacuten
bull Sig signature (firma digital)
bull Exe y pe ejecutable
bull Mw malware
bull Sec segundos
bull Op operacioacuten
bull Cat categoriacutea
bull PUP Potential Unwanted Program (programa potencialmente no deseado)
bull Ver versioacuten
bull SP service Pack
bull Cfg configuracioacuten
bull Cmp y comp comprimido
bull Dst destino
Alertadvpolicy ADVPolicy DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando
detecta una amenaza mediante las poliacuteticas avanzadas de seguridad definidas por el administrador
en la seccioacuten Proteccioacuten avanzada Poliacuteticas avanzadas de seguridad de la configuracioacuten Estacionesy servidores
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
Fecha del equipo del usuario cuando se generoacuteel evento Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde segenera el evento Direccioacuten IP
sev
(LEEF)Severidad del evento Numeacuterico
Tabla 310 campos del evento Alertadvpolicy ADVPolicy
Eventos e informacioacuten extendida
26 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado
Cadena decaracteres ldquoyyyy-MM-ddrdquo
src
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera elevento registrado
Cadena decaracteres
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
HostName Nombre del equipo de usuario donde se generael evento registrado
Cadena decaracteres
ThreatType Tipo de malware detectadoCadena decaracteresldquoADVPolicyrdquo
ExecutionStatus Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
Campo Descripcioacuten Valor
Tabla 310 campos del evento Alertadvpolicy ADVPolicy
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 27
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de un intentode explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
Campo Descripcioacuten Valor
Tabla 310 campos del evento Alertadvpolicy ADVPolicy
Eventos e informacioacuten extendida
28 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
DwellTimeSecs Tiempo transcurrido desde la primera vez que laamenaza fue vista en la red del cliente Segundos
MWHash (LEEF)
ItemHash (CEF)Hash del malware Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si estaacute ya catalogadocomo una amenaza
Cadena decaracteres
MWPath (LEEF)
ItemPath (CEF)Ruta del malware Cadena de
caracteres
SourceIP Si el malware vino desde el exterior indica ladireccioacuten IP del equipo remoto Direccioacuten IP
SourceMachineName Si el malware vino desde el exterior indica elnombre del equipo remoto
Cadena decaracteres
SourceUserName Si el malware vino desde el exterior indica elusuario del equipo remoto
Cadena decaracteres
UrlList Lista de URLs accedidas en el momento dedetectar un exploit desde el navegador
Cadena decaracteres
DocList Lista de documentos accedidos en el momentode detectar un exploit de fichero
Cadena decaracteres
Campo Descripcioacuten Valor
Tabla 310 campos del evento Alertadvpolicy ADVPolicy
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 29
Alertexploit Exploit DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando
detecta el intento de explotacioacuten de una vulnerabilidad en un programa instalado en un equipo de
la red
Descripcioacuten de los campos del evento
Version Contenido del atributo Version de los metadatosdel proceso
Cadena decaracteres
Vulnerable Indica si la aplicacioacuten se considera vulnerable Booleano
MUID Identificador interno del equipo del cliente Cadena decaracteres
Campo Descripcioacuten Valor
Tabla 310 campos del evento Alertadvpolicy ADVPolicy
Campo Descripcioacuten Valor
Date
(CEF)
Fecha del equipo del usuario cuando se generoacuteel evento Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde segenera el evento Direccioacuten IP
sev
(LEEF)Severidad del evento Numeacuterico
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado
Cadena decaracteres ldquoyyyy-MM-ddrdquo
src
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera elevento registrado
Cadena decaracteres
Tabla 311 campos del evento Alertexploit Exploit Detected
Eventos e informacioacuten extendida
30 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
HostName Nombre del equipo de usuario donde se generael evento registrado
Cadena decaracteres
ThreatType Tipo de malware detectado Cadena decaracteres ldquoExploitrdquo
ExecutionStatus Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 311 campos del evento Alertexploit Exploit Detected
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 31
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de un intentode explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
Campo Descripcioacuten Valor
Tabla 311 campos del evento Alertexploit Exploit Detected
Eventos e informacioacuten extendida
32 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
DwellTimeSecs Tiempo transcurrido desde la primera vez que laamenaza fue vista en la red del cliente Segundos
MWHash (LEEF)
ItemHash (CEF)Hash del malware Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)Ruta del malware Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si estaacute ya catalogadocomo una amenaza
Cadena decaracteres
SourceIP Si el malware vino desde el exterior indica ladireccioacuten IP del equipo remoto Direccioacuten IP
SourceMachineName Si el malware vino desde el exterior indica elnombre del equipo remoto
Cadena decaracteres
SourceUserName Si el malware vino desde el exterior indica elusuario del equipo remoto
Cadena decaracteres
UrlList Lista de URLs accedidas en el momento dedetectar un exploit desde el navegador
Cadena decaracteres
DocList Lista de documentos accedidos en el momentode detectar un exploit de fichero
Cadena decaracteres
Version Contenido del atributo Version de los metadatosdel proceso
Cadena decaracteres
Vulnerable Indica si la aplicacioacuten se considera vulnerable Booleano
MUID Identificador interno del equipo del cliente Cadena decaracteres
Campo Descripcioacuten Valor
Tabla 311 campos del evento Alertexploit Exploit Detected
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 33
Alertmalware Malware DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando
detecta un elemento clasificado como malware
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
Fecha del equipo del usuario cuando se generoacuteel evento Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde segenera el evento Direccioacuten IP
sev
(LEEF)Severidad del evento Numeacuterico
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado
Cadena decaracteres ldquoyyyy-MM-ddrdquo
src
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera elevento registrado
Cadena decaracteres
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
HostName Nombre del equipo de usuario donde se generael evento registrado
Cadena decaracteres
ThreatType Tipo de malware detectadoCadena decaracteresldquoMalwarerdquo
Tabla 312 campos del evento Alertmalware
Eventos e informacioacuten extendida
34 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ExecutionStatus
La amenaza detectada se llegoacute a ejecutar o no
bull Executed bull Not executed
Enumeracioacuten -Enumeracioacuten
Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de un intentode explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
Campo Descripcioacuten Valor
Tabla 312 campos del evento Alertmalware
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 35
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
DwellTimeSecs Tiempo transcurrido desde la primera vez que laamenaza fue vista en la red del cliente Segundos
Campo Descripcioacuten Valor
Tabla 312 campos del evento Alertmalware
Eventos e informacioacuten extendida
36 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Alertprodappcontrol ProdAppControl DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando
bloquea elementos seguacuten un nombre o MD5 definidos por el administrador en la configuracioacuten
Bloqueo de programas
Descripcioacuten de los campos del evento
MWHash (LEEF)
ItemHash (CEF)Hash del malware Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)Ruta del malware Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si estaacute ya catalogadocomo una amenaza
Cadena decaracteres
SourceIP Si el malware vino desde el exterior indica ladireccioacuten IP del equipo remoto Direccioacuten IP
SourceMachineName Si el malware vino desde el exterior indica elnombre del equipo remoto
Cadena decaracteres
SourceUserName Si el malware vino desde el exterior indica elusuario del equipo remoto
Cadena decaracteres
UrlList Lista de URLs accedidas en el momento dedetectar un exploit desde el navegador
Cadena decaracteres
DocList Lista de documentos accedidos en el momentode detectar un exploit de fichero
Cadena decaracteres
Version Contenido del atributo Version de los metadatosdel proceso
Cadena decaracteres
Vulnerable Indica si la aplicacioacuten se considera vulnerable Booleano
MUID Identificador interno del equipo del cliente Cadena decaracteres
Campo Descripcioacuten Valor
Tabla 312 campos del evento Alertmalware
Campo Descripcioacuten Valor
Date
(CEF)
Fecha del equipo del usuario cuando se generoacuteel evento Fecha
Tabla 313 campos del evento Alertprodappcontrol ProdAppControl
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 37
HostIp
(CEF)
IP del equipo de usuario o servidor donde segenera el evento Direccioacuten IP
sev
(LEEF)Severidad del evento Numeacuterico
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado
Cadena decaracteres ldquoyyyy-MM-ddrdquo
src
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera elevento registrado
Cadena decaracteres
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
HostName Nombre del equipo de usuario donde se generael evento registrado
Cadena decaracteres
ThreatType Tipo de malware detectadoCadena decaracteresldquoProdAppControlrdquo
ExecutionStatus Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
Campo Descripcioacuten Valor
Tabla 313 campos del evento Alertprodappcontrol ProdAppControl
Eventos e informacioacuten extendida
38 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de un intentode explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
Campo Descripcioacuten Valor
Tabla 313 campos del evento Alertprodappcontrol ProdAppControl
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 39
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
DwellTimeSecs Tiempo transcurrido desde la primera vez que laamenaza fue vista en la red del cliente Segundos
MWHash (LEEF)
ItemHash (CEF)Hash del malware Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si estaacute ya catalogadocomo una amenaza
Cadena decaracteres
MWPath (LEEF)
ItemPath (CEF)Ruta del malware Cadena de
caracteres
SourceIP Si el malware vino desde el exterior indica ladireccioacuten IP del equipo remoto Direccioacuten IP
SourceMachineName Si el malware vino desde el exterior indica elnombre del equipo remoto
Cadena decaracteres
SourceUserName Si el malware vino desde el exterior indica elusuario del equipo remoto
Cadena decaracteres
UrlList Lista de URLs accedidas en el momento dedetectar un exploit desde el navegador
Cadena decaracteres
DocList Lista de documentos accedidos en el momentode detectar un exploit de fichero
Cadena decaracteres
Campo Descripcioacuten Valor
Tabla 313 campos del evento Alertprodappcontrol ProdAppControl
Eventos e informacioacuten extendida
40 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Alertpup PUP DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando
detecta un elemento clasificado como programa no deseado (PUP)
Descripcioacuten de los campos del evento
Version Contenido del atributo Version de los metadatosdel proceso
Cadena decaracteres
Vulnerable Indica si la aplicacioacuten se considera vulnerable Booleano
MUID Identificador interno del equipo del cliente Cadena decaracteres
Campo Descripcioacuten Valor
Tabla 313 campos del evento Alertprodappcontrol ProdAppControl
Campo Descripcioacuten Valor
Date
(CEF)
Fecha del equipo del usuario cuando se generoacuteel evento Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde segenera el evento Direccioacuten IP
sev
(LEEF)Severidad del evento Numeacuterico
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado
Cadena decaracteres ldquoyyyy-MM-ddrdquo
src
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera elevento registrado
Cadena decaracteres
Tabla 314 campos del evento Alertpup PUP Detected
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 41
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
HostName Nombre del equipo de usuario donde se generael evento registrado
Cadena decaracteres
ThreatType Tipo de malware detectado Cadena decaracteres ldquoPUPrdquo
ExecutionStatus
La amenaza detectada se llegoacute a ejecutar o no
bull Executed bull Not executed
Enumeracioacuten -Enumeracioacuten
Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 314 campos del evento Alertpup PUP Detected
Eventos e informacioacuten extendida
42 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de un intentode explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida que perteneceal software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegida quepertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacute renombrarun fichero protegido que pertenece alsoftware de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacuten delelemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
Campo Descripcioacuten Valor
Tabla 314 campos del evento Alertpup PUP Detected
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 43
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
DwellTimeSecs Tiempo transcurrido desde la primera vez que laamenaza fue vista en la red del cliente Segundos
MWHash (LEEF)
ItemHash (CEF)Hash del malware Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)Ruta del malware Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si estaacute ya catalogado comouna amenaza
Cadena decaracteres
SourceIP Si el malware vino desde el exterior indica ladireccioacuten IP del equipo remoto Direccioacuten IP
SourceMachineName Si el malware vino desde el exterior indica elnombre del equipo remoto
Cadena decaracteres
SourceUserName Si el malware vino desde el exterior indica elusuario del equipo remoto
Cadena decaracteres
UrlList Lista de URLs accedidas en el momento dedetectar un exploit desde el navegador
Cadena decaracteres
DocList Lista de documentos accedidos en el momentode detectar un exploit de fichero
Cadena decaracteres
Version Contenido del atributo Version de los metadatosdel proceso
Cadena decaracteres
Vulnerable Indica si la aplicacioacuten se considera vulnerable Booleano
MUID Identificador interno del equipo del cliente Cadena decaracteres
Campo Descripcioacuten Valor
Tabla 314 campos del evento Alertpup PUP Detected
Eventos e informacioacuten extendida
44 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Alertrdpattack RDPAttack DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando
detecta un ataque por fuerza bruta a traveacutes del protocolo RDP (Remote Desktop Protocol)
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
Fecha del equipo del usuario cuando se generoacuteel evento Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde segenera el evento Direccioacuten IP
sev
(LEEF)Severidad del evento Numeacuterico
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado
Cadena decaracteres ldquoyyyy-MM-ddrdquo
src
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera elevento registrado
Cadena decaracteres
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
HostName Nombre del equipo de usuario donde se generael evento registrado
Cadena decaracteres
ThreatType Tipo de ataque detectadoCadena decaracteresldquoRDPAttackrdquo
ExecutionStatus Tipo de accioacuten ejecutadaCadena decaracteres ldquoBlockedby iprdquo
Tabla 315 campos del evento alertrdpattack RDPAttack Detected
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 45
Alertsecappcontrol SecAppControl DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando
bloquea elementos seguacuten un nombre o MD5 definido por el administrador en la seccioacuten Proteccioacutenavanzada Poliacuteticas avanzadas Bloquear programas de la configuracioacuten Estaciones y servidores
DwellTimeSecs Sin uso Segundos
MWHash (LEEF)
ItemHash (CEF)Sin uso
MWName (LEEF)
ItemName (CEF)
Nombre del ataque registrado
bull ExploitBruteForce_RDP intento de intrusioacuten porfuerza bruta utilizando el protocolo RDP
bull ExploitRemoteDesktopIntrusion intrusioacutendetectada mediante el protocolo RDP
Cadena decaracteres
MWPath (LEEF)
ItemPath (CEF)Nombre del ataque empleado
Cadena decaracteres ldquoMaliciousNetwork Rdp Attackrdquo
SourceIP Direccioacuten IP del equipo atacante Direccioacuten IP
SourceMachineName Nombre del equipo atacante Cadena decaracteres
SourceUserName Nombre de la cuenta de usuario utilizado en elataque
Cadena decaracteres
UrlList Sin uso Cadena decaracteres
DocList Sin uso Cadena decaracteres
Version Sin uso Cadena decaracteres
Vulnerable Sin uso Booleano
MUID Identificador interno del equipo del cliente Cadena decaracteres
Campo Descripcioacuten Valor
Tabla 315 campos del evento alertrdpattack RDPAttack Detected
Eventos e informacioacuten extendida
46 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
Fecha del equipo del usuario cuando se generoacuteel evento Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde segenera el evento Direccioacuten IP
sev
(LEEF)Severidad del evento Numeacuterico
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado
Cadena decaracteres ldquoyyyy-MM-ddrdquo
src
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera elevento registrado
Cadena decaracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera elevento registrado
Cadena decaracteres
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
HostName Nombre del equipo de usuario donde se generael evento registrado
Cadena decaracteres
ThreatType Tipo de malware detectadoCadena decaracteresldquoSecAppControlrdquo
ExecutionStatus Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
Tabla 316 campos del evento Alertsecappcontrol SecAppControl
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 47
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de un intentode explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
Campo Descripcioacuten Valor
Tabla 316 campos del evento Alertsecappcontrol SecAppControl
Eventos e informacioacuten extendida
48 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
DwellTimeSecs Tiempo transcurrido desde la primera vez que laamenaza fue vista en la red del cliente Segundos
MWHash (LEEF)
ItemHash (CEF)Hash del malware Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si estaacute ya catalogadocomo una amenaza
Cadena decaracteres
MWPath (LEEF)
ItemPath (CEF)Ruta del malware Cadena de
caracteres
Campo Descripcioacuten Valor
Tabla 316 campos del evento Alertsecappcontrol SecAppControl
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 49
BlockEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando
bloquea un proceso que no ha sido clasificado todaviacutea
Descripcioacuten de los campos del evento
SourceIP Si el malware vino desde el exterior indica ladireccioacuten IP del equipo remoto Direccioacuten IP
SourceMachineName Si el malware vino desde el exterior indica elnombre del equipo remoto
Cadena decaracteres
SourceUserName Si el malware vino desde el exterior indica elusuario del equipo remoto
Cadena decaracteres
UrlList Lista de URLs accedidas en el momento dedetectar un exploit desde el navegador
Cadena decaracteres
DocList Lista de documentos accedidos en el momentode detectar un exploit de fichero
Cadena decaracteres
Version Contenido del atributo Version de los metadatosdel proceso
Cadena decaracteres
Vulnerable Indica si la aplicacioacuten se considera vulnerable Booleano
MUID Identificador interno del equipo del cliente Cadena decaracteres
Campo Descripcioacuten Valor
Tabla 316 campos del evento Alertsecappcontrol SecAppControl
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en el equipodel usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al quepertenece utilizada para ejecutar el proceso quegenero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 317 campos del evento Block
Eventos e informacioacuten extendida
50 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
sev
(LEEF)
Severidad del evento Excepto para los eventos detipo alerta siempre contiene en valor ldquo1rdquo Consultamaacutes adelante los tipos de eventos para obtenermaacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en el equipodel usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el evento registradoEsta fecha depende de la configuracioacuten delequipo y por lo tanto puede ser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Campo Descripcioacuten Valor
Tabla 317 campos del evento Block
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 51
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Este campouacutenicamente se utiliza en el producto CytomicSIEMConnect for Partners
Numeacuterico
LocalCat Categoriacutea del elemento calculada por el agenteCytomic EDR
bull NotClassified fichero en proceso declasificacioacuten
bull Goodwarebull Malware
Enumeracioacuten
bull Suspect fichero en proceso de clasificacioacuten conalta probabilidad de resultar malware
bull Compromised proceso comprometido por unataque de tipo exploit
bull GoodwareNotConfirmed fichero en aparienciagoodware pero pendiente de clasificar
bull PUPbull GoodwareUnwanted equivalente a PUPbull GoodwareRanked proceso clasificado como
goodware
cloudAcces Indica si hay acceso a la nube Booleano
DetId Identificador de la deteccioacuten Numeacuterico
FirstSeen Fecha en la que se vio por primera vez el fichero Fecha
LastQueryDate Fecha de la uacuteltima consulta del agente CytomicEDR a la nube Fecha
ToastBlockReason Motivo de la aparicioacuten del mensaje emergente enel puesto de usuario o servidor
bull 0 bloqueo por fichero desconocido en modobloqueo
bull 1 Bloqueo por reglas locales
Enumeracioacuten
bull 2 Bloqueo por regla de origen del fichero nofiable
bull 3 Bloqueo por regla de contextobull 4 Bloqueo por exploitbull 5 Bloqueo por pregunta al usuario de cerrar el
proceso
Campo Descripcioacuten Valor
Tabla 317 campos del evento Block
Eventos e informacioacuten extendida
52 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ToastResult Respuesta del usuario ante el mensaje emergentemostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece por
la no accioacuten del usuario
Enumeracioacuten
bull Angry el usuario rechaza el bloqueo desde elmensaje emergente
bull Blockbull Allow
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Lock enel momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de intento
de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma localbull MetaEsploit ataque generado con el framework
metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
ServiceLevel Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificados comomalware
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 317 campos del evento Block
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 53
CreatecmpEvento de tipo activo que se genera cuando un proceso (parent) crea un nuevo fichero comprimido
(child)
Descripcioacuten de los campos del evento
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origen nosea confiable y los clasificados como malware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Hash Hash digest del fichero MD5
Path Ruta del elemento que desencadenoacute laoperacioacuten registrada
Cadena de caracteres(Ruta)
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 317 campos del evento Block
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar el procesoque genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo de usuario quedesencadena el evento registrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo de usuario quedesencadena el evento registrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 318 campos del evento Createcmp
Eventos e informacioacuten extendida
54 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)
IP del equipo de usuario o servidor quedesencadena el evento registrado Cadena de caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor quedesencadena el evento registrado Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo de usuario quedesencadena el evento registrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de unevento antiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante uncaacutelculo
bull 2 fecha realproporcionada porel servidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Campo Descripcioacuten Valor
Tabla 318 campos del evento Createcmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 55
Op Operacioacuten registrada Cadena de caracteresldquocreatecmprdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DDLx64
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 318 campos del evento Createcmp
Eventos e informacioacuten extendida
56 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentExeType
Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en los sis-temas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la opera-cioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 318 campos del evento Createcmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 57
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualCbull VB
Enumeracioacuten
bull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Campo Descripcioacuten Valor
Tabla 318 campos del evento Createcmp
Eventos e informacioacuten extendida
58 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la opera-cioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 318 campos del evento Createcmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 59
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten -Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
Campo Descripcioacuten Valor
Tabla 318 campos del evento Createcmp
Eventos e informacioacuten extendida
60 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
Campo Descripcioacuten Valor
Tabla 318 campos del evento Createcmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 61
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de intento
de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 318 campos del evento Createcmp
Eventos e informacioacuten extendida
62 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
CreatedirEvento de tipo activo que se genera cuando un proceso (parent) crea un directorio (child)
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 319 campos del evento Createdir
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 63
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoCreatedirrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
Campo Descripcioacuten Valor
Tabla 319 campos del evento Createdir
Eventos e informacioacuten extendida
64 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType
Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en los sis-temas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 319 campos del evento Createdir
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 65
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 319 campos del evento Createdir
Eventos e informacioacuten extendida
66 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 319 campos del evento Createdir
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 67
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 319 campos del evento Createdir
Eventos e informacioacuten extendida
68 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
Campo Descripcioacuten Valor
Tabla 319 campos del evento Createdir
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 69
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
Enumeracioacuten
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de intento
de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
Campo Descripcioacuten Valor
Tabla 319 campos del evento Createdir
Eventos e informacioacuten extendida
70 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
CreateprocessbyWMIEvento de tipo activo que se genera cuando un proceso (parent) crea un proceso (child) a traveacutes del
sistema WMI
Descripcioacuten de los campos del evento
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 319 campos del evento Createdir
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 320 campos del evento CreateprocessbyWMI
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 71
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoCreateprocessbyWMIrdquo
Campo Descripcioacuten Valor
Tabla 320 campos del evento CreateprocessbyWMI
Eventos e informacioacuten extendida
72 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType
Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
Campo Descripcioacuten Valor
Tabla 320 campos del evento CreateprocessbyWMI
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 73
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en los sis-temas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 320 campos del evento CreateprocessbyWMI
Eventos e informacioacuten extendida
74 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Campo Descripcioacuten Valor
Tabla 320 campos del evento CreateprocessbyWMI
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 75
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 320 campos del evento CreateprocessbyWMI
Eventos e informacioacuten extendida
76 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 320 campos del evento CreateprocessbyWMI
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 77
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
Campo Descripcioacuten Valor
Tabla 320 campos del evento CreateprocessbyWMI
Eventos e informacioacuten extendida
78 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
Enumeracioacuten
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de intento
de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
Campo Descripcioacuten Valor
Tabla 320 campos del evento CreateprocessbyWMI
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 79
CreatePE Evento de tipo activo que se genera cuando un proceso (parent) crea un nuevo fichero ejecutable
(child)
Descripcioacuten de los campos del evento
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 320 campos del evento CreateprocessbyWMI
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 321 campos del evento CreatePE
Eventos e informacioacuten extendida
80 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoCreatePErdquo
Campo Descripcioacuten Valor
Tabla 321 campos del evento CreatePE
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 81
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
Campo Descripcioacuten Valor
Tabla 321 campos del evento CreatePE
Eventos e informacioacuten extendida
82 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskette
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 321 campos del evento CreatePE
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 83
bull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualCbull VB
Enumeracioacuten
bull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 321 campos del evento CreatePE
Eventos e informacioacuten extendida
84 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 321 campos del evento CreatePE
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 85
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
Campo Descripcioacuten Valor
Tabla 321 campos del evento CreatePE
Eventos e informacioacuten extendida
86 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
Campo Descripcioacuten Valor
Tabla 321 campos del evento CreatePE
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 87
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de intento
de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 321 campos del evento CreatePE
Eventos e informacioacuten extendida
88 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
CreateremotethreadEvento de tipo activo que se genera cuando un proceso (parent) crea un hilo de ejecucioacuten remoto
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 322 campos del evento Createremotethread
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 89
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoCreateremotethreadrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
Campo Descripcioacuten Valor
Tabla 322 campos del evento Createremotethread
Eventos e informacioacuten extendida
90 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 322 campos del evento Createremotethread
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 91
ParentCat Categoriacutea del fichero padre que realizoacute laoperacioacuten registrada
bull Goodwarebull Malware
Enumeracioacuten
bull PUPbull Unknownbull Monitoring
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 322 campos del evento Createremotethread
Eventos e informacioacuten extendida
92 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualCbull VB
Enumeracioacuten
bull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 322 campos del evento Createremotethread
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 93
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
ToastResult
Respuesta del usuario ante el mensajeemergente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 322 campos del evento Createremotethread
Eventos e informacioacuten extendida
94 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
Campo Descripcioacuten Valor
Tabla 322 campos del evento Createremotethread
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 95
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
Enumeracioacuten
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
Campo Descripcioacuten Valor
Tabla 322 campos del evento Createremotethread
Eventos e informacioacuten extendida
96 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
CriticalsoftEvento de tipo pasivo que se genera cuando se ejecuta una aplicacioacuten vulnerable
Descripcioacuten de los campos del evento
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 322 campos del evento Createremotethread
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominioal que pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena elevento registrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena elevento registrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para loseventos de tipo alerta siempre contiene envalor ldquo1rdquo Consulta maacutes adelante los tipos deeventos para obtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 323 campos del evento Criticalsoft
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 97
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el procesoque realizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizadopor el proceso que realizoacute la operacioacutenregistrada
Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena elevento registrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena elevento registrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipoen el momento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tantopuede ser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir loseventos recibidos de cada cliente delpartner Este campo uacutenicamente se utilizaen el producto Cytomic SIEMConnect forPartners
Numeacuterico
Campo Descripcioacuten Valor
Tabla 323 campos del evento Criticalsoft
Eventos e informacioacuten extendida
98 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
DeletePEEvento de tipo activo que se genera cuando un proceso (parent) borra un programa ejecutable
(child)
Descripcioacuten de los campos del evento
CriticalSoftEventType
bull True el software vulnerable se ejecuto enel equipo
bull False el software vulnerable fue visto en elequipo pero no se ejecutoacute
bull
Booleano
ItemHash Hash digest de la amenaza o programavulnerable encontrada Cadena de caracteres
Filename Nombre del fichero vulnerable Cadena de caracteres
FilePath Ruta completa donde se encuentra elfichero vulnerable Cadena de caracteres
Size Tamantildeo del fichero vulnerable Numeacuterico
InternalName Contenido del atributo Name de losmetadatos del fichero vulnerable Numeacuterico
CompanyName Contenido del atributo Company de losmetadatos del fichero vulnerable Cadena de caracteres
FileVersion Contenido del atributo Version de losmetadatos del fichero vulnerable Cadena de caracteres
ProductVersion Contenido del atributo ProductVersion delos metadatos del fichero vulnerable Cadena de caracteres
FilePlatform
Arquitectura interna del fichero
bull Win32NTbull Win64NT
Enumeracioacuten
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 323 campos del evento Criticalsoft
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 324 campos del evento DeletePE
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 99
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar el procesoque genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
Campo Descripcioacuten Valor
Tabla 324 campos del evento DeletePE
Eventos e informacioacuten extendida
100 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoDeletePErdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
Campo Descripcioacuten Valor
Tabla 324 campos del evento DeletePE
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 101
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la opera-cioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 324 campos del evento DeletePE
Eventos e informacioacuten extendida
102 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
Campo Descripcioacuten Valor
Tabla 324 campos del evento DeletePE
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 103
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la opera-cioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 324 campos del evento DeletePE
Eventos e informacioacuten extendida
104 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ToastResult
Respuesta del usuario ante el mensajeemergente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 324 campos del evento DeletePE
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 105
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior
Campo Descripcioacuten Valor
Tabla 324 campos del evento DeletePE
Eventos e informacioacuten extendida
106 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de intento
de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
Campo Descripcioacuten Valor
Tabla 324 campos del evento DeletePE
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 107
DeviceopsEvento de tipo activo que se genera cuando se ejecuta una operacioacuten sobre un dispositivo externo
por parte de un proceso
Descripcioacuten de los campos del evento
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 324 campos del evento DeletePE
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 325 campos del evento Deviceops
Eventos e informacioacuten extendida
108 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Campo Descripcioacuten Valor
Tabla 325 campos del evento Deviceops
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 109
DnsopsEvento de tipo pasivo que se genera con cada peticioacuten de una resolucioacuten dns por parte de un
proceso
NotificationType
Tipo de operacioacuten realizada
bull 40067 conexioacuten del dispositivobull 40068 desconexioacuten correcta del dispositivobull 40070 desconexioacuten del dispositivo sin
desmontarlo previamente
Enumeracioacuten
DeviceType Tipo de unidad donde reside el proceso o ficheroque desencadenoacute la operacioacuten registrada
bull 0 desconocidobull 1 unidad de CD o DVDbull 2 dispositivo de almacenamiento SB
Enumeracioacuten
bull 3 fichero imagenbull 4 dispositivo bluetoothbull 5 modem
bull 6 impresora USBbull 7 teleacutefono moacutevilbull 8 tecladobull 9 teclado y ratoacutenbull 10 ratoacuten
UniqueId Identificador uacutenico del dispositivo Cadena de caracteres
IsDenied Indica si se ha denegado la accioacuten reportadasobre el dispositivo Booleano
IdName Nombre del dispositivo Cadena de caracteres
ClassNameClase del dispositivo Se corresponde con laclase indicada en el fichero inf asociado aldispositivo
Cadena de caracteres
FriendlyName Nombre comprensible del dispositivo Cadena de caracteres
Description Descripcioacuten del dispositivo Cadena de caracteres
Manufacturer Fabricante del dispositivo Cadena de caracteres
PhoneDescription Descripcioacuten del teleacutefono si la operacioacuten involucroacutea un dispositivo de este tipo Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 325 campos del evento Deviceops
Eventos e informacioacuten extendida
110 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 326 campos del evento Dnsops
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 111
ExecEvento de tipo activo que se genera cada vez que un proceso (parent) ejecuta un nuevo proceso
(child)
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
ProcessCount Nuacutemero de procesos en el equipo con fallos deresolucioacuten dns en la uacuteltima hora Numeacuterico
ProcessMD5 MD5 del proceso con operaciones de DNSfallidas Cadena de caracteres
ProcessPid Identificador del proceso con operaciones deDNS fallidas Numeacuterico
ProcessPath Ruta del proceso con operaciones de DNSfallidas Cadena de caracteres
FailedQueries Nuacutemero de peticiones de resolucioacuten DNS fallidasproducidas por el proceso en la uacuteltima hora Numeacuterico
QueriedDomainCount
Nuacutemero de dominios diferentes con resolucioacutenfallida del proceso en la uacuteltima hora Numeacuterico
DomainListLista de dominios enviados por el proceso al ser-vidor DNS para su resolucioacuten y nuacutemero de resolu-ciones por cada dominio
nombre_dominionumeronombre_dominionumero
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 326 campos del evento Dnsops
Eventos e informacioacuten extendida
112 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 327 campos del evento Exec
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 113
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoExecrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
Campo Descripcioacuten Valor
Tabla 327 campos del evento Exec
Eventos e informacioacuten extendida
114 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType
Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 327 campos del evento Exec
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 115
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 327 campos del evento Exec
Eventos e informacioacuten extendida
116 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 327 campos del evento Exec
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 117
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 327 campos del evento Exec
Eventos e informacioacuten extendida
118 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
Campo Descripcioacuten Valor
Tabla 327 campos del evento Exec
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 119
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
Campo Descripcioacuten Valor
Tabla 327 campos del evento Exec
Eventos e informacioacuten extendida
120 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
HostfilesEvento de tipo activo que se genera cuando un proceso (parent) detecta una modificacioacuten del
fichero hosts
Descripcioacuten de los campos del evento
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 327 campos del evento Exec
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 328 campos del evento Hostfiles
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 121
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
HostName Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 328 campos del evento Hostfiles
Eventos e informacioacuten extendida
122 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Hash Hash digest del fichero Cadena de caracteres
Drivetype
Tipo de unidad donde reside el proceso o ficheroque desencadenoacute la operacioacuten registrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROM
bull Ramdisk unidad de disco RAM
Enumeracioacuten
Path Ruta del elemento que desencadenoacute laoperacioacuten registrada Cadena de caracteres
ValidSig Proceso firmado digitalmente Booleano
Company Contenido del atributo Company de losmetadatos del proceso Cadena de caracteres
Broken El fichero esta corrupto o defectuoso Cadena de caracteres
ImageType
Arquitectura interna del proceso
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ExeType Estructura interna tipo del proceso
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Campo Descripcioacuten Valor
Tabla 328 campos del evento Hostfiles
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 123
InstallEvento de tipo pasivo que se genera cuando se instala el software de proteccioacuten Cytomic EDR
Descripcioacuten de los campos del evento
Prevalence
Prevalencia histoacuterica del proceso en los sistemasde Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
PrevLastDay
Prevalencia del proceso en el diacutea anterior en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Cat
Categoriacutea del fichero que realizoacute la operacioacutenregistrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
MWName Nombre del malware si estaacute ya catalogadocomo una amenaza Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 328 campos del evento Hostfiles
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 329 campos del evento Install
Eventos e informacioacuten extendida
124 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
Campo Descripcioacuten Valor
Tabla 329 campos del evento Install
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 125
LoadlibEvento de tipo activo que se genera cuando un proceso (parent) carga una libreriacutea (child)
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Operation
Tipo de operacioacuten
bull Installbull Uninstall
Enumeracioacuten
Result
Resultado de la operacioacuten
bull OKbull No ok
Enumeracioacuten
OSVersion Versioacuten del sistema operativo instalado en elequipo del usuario Cadena de caracteres
OSServicePack Service Pack del sistema operativo del equipode usuario Cadena de caracteres
OSPlatform
Plataforma del sistema operativo del equipo deusuario
bull WIN32bull WIN64
Enumeracioacuten
MachineIP0 IP del equipo donde se registroacute el evento Direccioacuten IP
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 329 campos del evento Install
Eventos e informacioacuten extendida
126 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 330 campos del evento Loadlib
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 127
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoLoadlibrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
Campo Descripcioacuten Valor
Tabla 330 campos del evento Loadlib
Eventos e informacioacuten extendida
128 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 330 campos del evento Loadlib
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 129
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 330 campos del evento Loadlib
Eventos e informacioacuten extendida
130 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 330 campos del evento Loadlib
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 131
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 330 campos del evento Loadlib
Eventos e informacioacuten extendida
132 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
Campo Descripcioacuten Valor
Tabla 330 campos del evento Loadlib
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 133
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
Campo Descripcioacuten Valor
Tabla 330 campos del evento Loadlib
Eventos e informacioacuten extendida
134 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
LoginoutopsEvento de tipo activo que se genera cuando se detecta un inicio de sesioacuten en el equipo
Descripcioacuten de los campos del evento
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 330 campos del evento Loadlib
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar el procesoque generoacute el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 331 campos del evento Loginoutops
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 135
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Campo Descripcioacuten Valor
Tabla 331 campos del evento Loginoutops
Eventos e informacioacuten extendida
136 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
ActionTypebull 0 inicio de sesioacutenbull 1 fin de sesioacuten
Enumeracioacuten
SessionType Tipo de inicio de sesioacuten
bull 2 sesioacuten creada fiacutesicamente mediante unteclado o a traveacutes de KVM sobre IP
bull 3 sesioacuten creada remotamente en carpetas oimpresoras compartidas Este tipo de inicio desesioacuten tiene autenticacioacuten segura
Numeacuterico
bull 4 sesioacuten creada por el programador de tareasde Windows
bull 5 sesioacuten creada cuando arranca un servicioque requiere ejecutarse en la sesioacuten deusuario La sesioacuten es eliminada cuando elservicio se detiene
bull 7 sesioacuten creada cuando un usuario intentaentrar en una sesioacuten que ya estaacute creada y hasido bloqueada
bull 8 ideacutentico al tipo 3 pero la contrasentildea viaja entexto plano
bull 9 sesioacuten creada cuando se usa el comandoldquoRunAsrdquo bajo una cuenta diferente a lautilizada para iniciar la sesioacuten y especificandoel paraacutemetro ldquonetonlyrdquo Sin el paraacutemetro ldquonetonlyrdquo se genera un tipo de sesioacuten 2
bull 10 sesioacuten creada cuando se accedemediante ldquoTerminal Servicerdquo ldquoRemotedesktoprdquo o ldquoRemote Assistancerdquo Identificauna conexioacuten de usuario remota
bull 11 sesioacuten de usuario creada con credencialesde dominio cacheadas en el equipo pero sinconexioacuten con el controlador de dominio
ErrorCode bull 0xC0000064 el nombre de usuario no existebull 0XC000005E el servidor necesario para validar
el inicio de sesioacuten no estaacute disponiblebull 0xC000006A el usuario es correcto pero la
contrasentildea es incorrecta
Numeacuterico(hexadecimal)
Campo Descripcioacuten Valor
Tabla 331 campos del evento Loginoutops
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 137
bull 0XC000006D el usuario o la informacioacuten deautenticacioacuten es erroacutenea
bull 0XC000006E nombre desconocido ocontrasentildea erroacutenea
bull 0xC0000234 acceso bloqueado
bull 0xC0000072 cuenta deshabilitadabull 0xC000006F intento de inicio de sesioacuten en
horario restringidobull 0xC0000070 intento de inicio de sesioacuten desde
un equipo no autorizado
bull 0xC00000DC error en el servidor de validacioacutenNo se puede realizar la operacioacuten
bull 0xC0000193 cuenta caducadabull 0xC0000071 contrasentildea caducada
bull 0xC0000133 el reloj de los equiposconectados tienen un desfase demasiadogrande
bull 0xC0000224 se requiere que el usuario cambiela contrasentildea en el siguiente reinicio
bull 0xC0000225 error de Windows que no implicariesgo
bull 0xc000018c la solicitud de inicio de sesioacuten falloacuteporque la relacioacuten de confianza entre eldominio primario y el dominio confiable falloacute
bull 0XC0000192 se intentoacute iniciar sesioacuten pero elservicio Netlogon no se inicioacute
bull 0XC00002EE se produjo un error durante elinicio de sesioacuten
bull 0XC0000413 el equipo en la que se estaacuteiniciando sesioacuten estaacute protegida por un firewallde autenticacioacuten La cuenta especificada nopuede autenticarse en el equipo
bull 0xc000015b el usuario no tiene permisos paraese tipo de inicio de sesioacuten
User Dominiousuario con el que se ha creado lasesioacuten Cadena de caracteres
Interactive Indica si es un inicio de sesioacuten de usuariointeractiva Booleano
RemoteMachineName
Si el evento es un inicio de sesioacuten remoto indica elnombre del equipo remoto Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 331 campos del evento Loginoutops
Eventos e informacioacuten extendida
138 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ModifypeEvento de tipo activo que se genera cuando un proceso (parent) modifica un programa ejecutable
(child)
Descripcioacuten de los campos del evento
RemoteIP Si el evento es un inicio de sesioacuten remoto indica laIP del equipo remoto Direccioacuten IP
RemotePort Si el evento es un inicio de sesioacuten remoto indica elpuerto del equipo remoto Numeacuterico
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 331 campos del evento Loginoutops
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
Tabla 332 campos del evento Modifype
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 139
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoModifyperdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 332 campos del evento Modifype
Eventos e informacioacuten extendida
140 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentDriveType
Tipo de unidad donde reside el proceso ofichero padre que desencadenoacute la operacioacutenregistrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Campo Descripcioacuten Valor
Tabla 332 campos del evento Modifype
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 141
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso ofichero padre que desencadenoacute la operacioacutenregistrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
Campo Descripcioacuten Valor
Tabla 332 campos del evento Modifype
Eventos e informacioacuten extendida
142 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 332 campos del evento Modifype
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 143
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
ToastResult
Respuesta del usuario ante el mensajeemergente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
Campo Descripcioacuten Valor
Tabla 332 campos del evento Modifype
Eventos e informacioacuten extendida
144 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
Campo Descripcioacuten Valor
Tabla 332 campos del evento Modifype
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 145
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute degoodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 332 campos del evento Modifype
Eventos e informacioacuten extendida
146 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ModLinuxCfgEvento de tipo activo que se genera cuando se detecta una modificacioacuten de un fichero de
configuracioacuten en un sistema operativo Linux
Descripcioacuten de los campos del evento
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 332 campos del evento Modifype
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
Tabla 333 campos del evento ModLinuxCfg
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 147
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
Campo Descripcioacuten Valor
Tabla 333 campos del evento ModLinuxCfg
Eventos e informacioacuten extendida
148 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoModLinuxCfgrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso ofichero padre que desencadenoacute la operacioacutenregistrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
Campo Descripcioacuten Valor
Tabla 333 campos del evento ModLinuxCfg
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 149
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 333 campos del evento ModLinuxCfg
Eventos e informacioacuten extendida
150 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso ofichero padre que desencadenoacute la operacioacutenregistrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
Campo Descripcioacuten Valor
Tabla 333 campos del evento ModLinuxCfg
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 151
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 333 campos del evento ModLinuxCfg
Eventos e informacioacuten extendida
152 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ToastResult
Respuesta del usuario ante el mensajeemergente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 333 campos del evento ModLinuxCfg
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 153
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute degoodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
Campo Descripcioacuten Valor
Tabla 333 campos del evento ModLinuxCfg
Eventos e informacioacuten extendida
154 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
Campo Descripcioacuten Valor
Tabla 333 campos del evento ModLinuxCfg
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 155
ModOSXCfgEvento de tipo activo que se genera cuando se detecta una modificacioacuten de un fichero de
configuracioacuten en un sistema operativo macOS
Descripcioacuten de los campos del evento
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 333 campos del evento ModLinuxCfg
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 334 campos del evento ModOSXCfg
Eventos e informacioacuten extendida
156 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Campo Descripcioacuten Valor
Tabla 334 campos del evento ModOSXCfg
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 157
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoModOSXCfgrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso ofichero padre que desencadenoacute la operacioacutenregistrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 334 campos del evento ModOSXCfg
Eventos e informacioacuten extendida
158 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso ofichero padre que desencadenoacute la operacioacutenregistrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskette
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 334 campos del evento ModOSXCfg
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 159
bull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 334 campos del evento ModOSXCfg
Eventos e informacioacuten extendida
160 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
ToastResult
Respuesta del usuario ante el mensajeemergente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 334 campos del evento ModOSXCfg
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 161
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
Campo Descripcioacuten Valor
Tabla 334 campos del evento ModOSXCfg
Eventos e informacioacuten extendida
162 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute degoodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
Campo Descripcioacuten Valor
Tabla 334 campos del evento ModOSXCfg
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 163
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 334 campos del evento ModOSXCfg
Eventos e informacioacuten extendida
164 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
MonitoredopenEvento de tipo activo que se genera cuando se detecta que un proceso (parent) accede a un
fichero de datos (child)
Descripcioacuten de los campos del evento
El campo childpath solo contiene la extensioacuten del fichero accedido para preservar la
privacidad de los datos del cliente Para incluir la ruta y nombre concreto del fichero
accedido consulta la guiacutea avanzada del administrador de Cytomic EDR
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
Tabla 335 campos del evento Monitoredopen
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 165
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
ParentPid Identificador del proceso padre Numeacuterico
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
Campo Descripcioacuten Valor
Tabla 335 campos del evento Monitoredopen
Eventos e informacioacuten extendida
166 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en los sis-temas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 335 campos del evento Monitoredopen
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 167
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada Cadena de caracteres
LoggedUser Usuario logeado en el equipo en el momento dela generacioacuten del evento Cadena de caracteres
ConfigString
Indica la versioacuten del juego de reglas que estabanactivas cuando se registroacute el evento Utilizadopara tareas de diagnoacutestico por parte deldepartamento de soporte de Cytomic
Cadena de caracteresldquoMxrdquo (M0 M1 M2 etc)
ParentAttibutes Flags de atributos del proceso padre
bull 0x0000 nivel de integridad del procesoUntrusted
bull 0x1000 nivel de integridad del proceso Lowintegrity
bull 0x2000 nivel de integridad del procesoMedium integrity
bull 0x3000 nivel de integridad del proceso Highintegrity
Numeacuterico
bull 0x4000 nivel de integridad del proceso Systemintegrity
bull 0x5000 nivel de integridad del procesoProtected
bull 0x00000100 evento acumulativobull 0x00000200 Indica si el proceso ha sido
creado local o remotamentebull 0x00000400 Indica que la operacioacuten se ha
producido antes del arranque del servicio
ChildAttributes Flags de atributos del proceso hijo
bull 0x0000 nivel de integridad del procesoUntrusted
bull 0x1000 nivel de integridad del proceso Lowintegrity
bull 0x2000 nivel de integridad del procesoMedium integrity
bull 0x3000 nivel de integridad del proceso Highintegrity
Numeacuterico
Campo Descripcioacuten Valor
Tabla 335 campos del evento Monitoredopen
Eventos e informacioacuten extendida
168 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
MonitoredregistryEvento de tipo activo que se genera cuando se detecta un proceso (parent) que accede al registro
del equipo del usuario para leer una rama
Descripcioacuten de los campos del evento
bull 0x4000 nivel de integridad del proceso Systemintegrity
bull 0x5000 nivel de integridad del procesoProtected
bull 0x00000100 evento acumulativobull 0x00000200 Indica si el proceso ha sido
creado local o remotamentebull 0x00000400 Indica que la operacioacuten se ha
producido antes del arranque del servicio
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 335 campos del evento Monitoredopen
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 336 campos del evento Monitoredregistry
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 169
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
ParentPid Identificador del proceso padre Numeacuterico
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 336 campos del evento Monitoredregistry
Eventos e informacioacuten extendida
170 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 336 campos del evento Monitoredregistry
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 171
NotblockedEvento de tipo activo que se genera con cada accioacuten que Cytomic EDPR deja sin analizar debido a
situaciones excepcionales (durante el tiempo de arranque del servicio en la proteccioacuten cambios de
configuracioacuten etc)
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
RegAction
Tipo de operacioacuten realizada en el registro delequipo
bull CreateKeybull CreateValuebull ModifyValue
Enumeracioacuten
Key Rama o clave del registro afectado Cadena de caracteres
Value Nombre del valor afectado dentro de la clavedel registro Cadena de caracteres
ValueData Contenido del valor de la clave del registro Cadena de caracteres
LoggedUser Usuario logeado en el equipo en el momento dela generacioacuten del evento Cadena de caracteres
ConfigString
Indica la versioacuten del juego de reglas que estabanactivas cuando se registroacute el evento Utilizadopara tareas de diagnoacutestico por parte deldepartamento de soporte de Cytomic
Cadena de caracteresldquoMxrdquo (M0 M1 M2 etc)
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 336 campos del evento Monitoredregistry
Eventos e informacioacuten extendida
172 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten delevento en el equipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario ydominio al que pertenece utilizadapara ejecutar el proceso quegenero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo quedesencadena el evento registrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo quedesencadena el evento registrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto paralos eventos de tipo alerta siemprecontiene en valor ldquo1rdquo Consulta maacutesadelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten delevento en el equipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por elproceso que realizoacute la operacioacutenregistrada
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuarioutilizado por el proceso que realizoacutela operacioacuten registrada
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registroacute elevento Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registroacute elevento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo quedesencadena el evento registrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo quedesencadena el evento registrado Cadena de caracteres
Tabla 337 Campos del evento Notblocked
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 173
LocalDateTime
Fecha en formato UTC que teniacutea elequipo en el momento en que seprodujo el evento registrado Estafecha depende de la configuracioacutendel equipo y por lo tanto puede sererroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTimeDate y LocalDateTime
bull 0 fecha real nosoportada por tratarsede un evento antiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguirlos eventos recibidos de cadacliente del partner Este campouacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
ParentHash Digest hash del fichero padre Cadena de caracteres
ParentPath Ruta del proceso padre Cadena de caracteres
ParentValidSig Proceso padre firmadodigitalmente Booleano
ParentCompany Contenido del atributo Companyde los metadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto odefectuoso Booleano
ParentImageType
Arquitectura interna del procesopadre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del procesopadre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 337 Campos del evento Notblocked
Eventos e informacioacuten extendida
174 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del procesopadre en los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en eldiacutea anterior en los sistemas de Cyto-mic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre querealizoacute la operacioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWName
Nombre del malware en el procesopadre si ya estaacute catalogado comouna amenaza Si es Null el elementono es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea comohijo Cadena de caracteres
ChildPath Ruta del fichero hijo que realizoacute laoperacioacuten registrada
Cadena de caracteres(Ruta)
ChildValidSig El proceso hijo estaacute firmadodigitalmente Booleano
Campo Descripcioacuten Valor
Tabla 337 Campos del evento Notblocked
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 175
ChildCompany Contenido del atributo Companyde los metadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto odefectuoso Booleano
ChildImageType
Arquitectura interna del procesohijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del procesohijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del procesohijo en los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del procesohijo en los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 337 Campos del evento Notblocked
Eventos e informacioacuten extendida
176 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
OpencmpEvento de tipo activo que se genera cuando se detecta un proceso (parent) que abre un fichero
comprimido (child)
Descripcioacuten de los campos del evento
ChildCat
Categoriacutea del fichero padre querealizoacute la operacioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWName
Nombre del malware en el procesohijo si ya estaacute catalogado como unaamenaza Si es Null el elemento noes malware
Cadena de caracteres
ResponseCat
Categoriacutea del fichero asignadaseguacuten las tecnologiacuteas localesimplementadas en del software deproteccioacuten
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
NumCacheClassifiedElements
Numero de identificadorescacheados en el equipo del usuarioen el momento en que se generoacute elevento
Numeacuterico
MUID Identificador interno del equipo delcliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 337 Campos del evento Notblocked
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 338 campos del evento Opencmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 177
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
Campo Descripcioacuten Valor
Tabla 338 campos del evento Opencmp
Eventos e informacioacuten extendida
178 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoOpencmprdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
Campo Descripcioacuten Valor
Tabla 338 campos del evento Opencmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 179
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 338 campos del evento Opencmp
Eventos e informacioacuten extendida
180 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
Campo Descripcioacuten Valor
Tabla 338 campos del evento Opencmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 181
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 338 campos del evento Opencmp
Eventos e informacioacuten extendida
182 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 338 campos del evento Opencmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 183
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
Campo Descripcioacuten Valor
Tabla 338 campos del evento Opencmp
Eventos e informacioacuten extendida
184 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
Campo Descripcioacuten Valor
Tabla 338 campos del evento Opencmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 185
OpenlsassEvento de tipo activo que se genera cuando se detecta un proceso (parent) que acede al proceso
LSASS para intentar comprometer las credenciales de una cuenta de usuario
Descripcioacuten de los campos del evento
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 338 campos del evento Opencmp
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 339 campos del evento Opencmp
Eventos e informacioacuten extendida
186 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Campo Descripcioacuten Valor
Tabla 339 campos del evento Opencmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 187
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoOpenlsassrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 339 campos del evento Opencmp
Eventos e informacioacuten extendida
188 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 339 campos del evento Opencmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 189
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Campo Descripcioacuten Valor
Tabla 339 campos del evento Opencmp
Eventos e informacioacuten extendida
190 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 339 campos del evento Opencmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 191
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 339 campos del evento Opencmp
Eventos e informacioacuten extendida
192 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
Campo Descripcioacuten Valor
Tabla 339 campos del evento Opencmp
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 193
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
Campo Descripcioacuten Valor
Tabla 339 campos del evento Opencmp
Eventos e informacioacuten extendida
194 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ProcessNetBytesEvento de tipo activo que se genera cuando un proceso consume datos de red Se enviacutea un evento
por proceso cada cuatro horas aproximadamente con la suma de datos transferida desde el uacuteltimo
enviacuteo del registro El total de bytes enviados y recibidos por proceso es la suma de todas las
cantidades registradas
Descripcioacuten de los campos del evento
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 339 campos del evento Opencmp
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
Tabla 340 campos del evento ProcessNetBytes
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 195
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Campo Descripcioacuten Valor
Tabla 340 campos del evento ProcessNetBytes
Eventos e informacioacuten extendida
196 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
RegistrycEvento de tipo activo que se genera cuando un proceso (parent) crea una rama del registro que
apunta a un fichero ejecutable (child)
Descripcioacuten de los campos del evento
Hash Hash digest del fichero Cadena de caracteres
Path Ruta del elemento que desencadenoacute laoperacioacuten registrada Cadena de caracteres
PID Identificador del proceso Numeacuterico
BytesSentAcumulado de bytes enviados por el procesodesde la generacioacuten del ultimo eventoProcessNetBytes
Numeacuterico
BytesReceivedAcumulado de bytes recibidos por el procesodesde la generacioacuten del ultimo eventoProcessNetBytes
Numeacuterico
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 340 campos del evento ProcessNetBytes
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
Tabla 341 campos del evento Registryc
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 197
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
op Operacioacuten registrada CreateExeKey
Hash Hash del proceso que actuacutea como padre Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 341 campos del evento Registryc
Eventos e informacioacuten extendida
198 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
DriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacutenregistrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROM
bull Ramdisk unidad de disco RAM
Enumeracioacuten
Path Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ValidSig El proceso padre estaacute firmado digitalmente Booleano
Company Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
Broken El proceso padre estaacute corrupto o defectuoso Booleano
ImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ExeType
Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Campo Descripcioacuten Valor
Tabla 341 campos del evento Registryc
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 199
RegistrymEvento de tipo activo que se genera cuando se detecta un proceso (parent) que modifica una rama
del registro que apunta a un fichero ejecutable (child)
Prevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic EDR
bull Highbull Mediumbull Low
Enumeracioacuten
PrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Cat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
MWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
TargetPath Ruta del ejecutable apuntado en el registro Cadena de caracteres
Regkey Clave de registro Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 341 campos del evento Registryc
Eventos e informacioacuten extendida
200 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 342 campos del evento Registrym
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 201
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoModifyExeKeyrdquo
Hash Hash del proceso que actuacutea como padre Cadena de caracteres
DriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
Path Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ValidSig El proceso padre estaacute firmado digitalmente Booleano
Company Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 342 campos del evento Registrym
Eventos e informacioacuten extendida
202 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Broken El proceso padre estaacute corrupto o defectuoso Booleano
ImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetupbull Setupfactory
bull Lcc32bull Vc7setupproject bull Unknown
Prevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
PrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 342 campos del evento Registrym
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 203
RenamepeEvento de tipo activo que se genera cuando se detecta un proceso (parent) que cambia el nombre
de un programa ejecutable (child)
Descripcioacuten de los campos del evento
Cat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
MWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
TargetPath Ruta del ejecutable apuntado en el registro Cadena de caracteres
Regkey Clave de registro Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 342 campos del evento Registrym
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 343 campos del evento Renamepe
Eventos e informacioacuten extendida
204 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Campo Descripcioacuten Valor
Tabla 343 campos del evento Renamepe
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 205
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoRenameperdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 343 campos del evento Renamepe
Eventos e informacioacuten extendida
206 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 343 campos del evento Renamepe
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 207
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Campo Descripcioacuten Valor
Tabla 343 campos del evento Renamepe
Eventos e informacioacuten extendida
208 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 343 campos del evento Renamepe
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 209
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 343 campos del evento Renamepe
Eventos e informacioacuten extendida
210 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
Campo Descripcioacuten Valor
Tabla 343 campos del evento Renamepe
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 211
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
Campo Descripcioacuten Valor
Tabla 343 campos del evento Renamepe
Eventos e informacioacuten extendida
212 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ScriptcreationEvento de tipo activo que se genera cuando un proceso (parent) crea un proceso (child) de tipo
script
Descripcioacuten de los campo del evento
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 343 campos del evento Renamepe
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 344 campos del evento Scriptcreation
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 213
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Campo Descripcioacuten Valor
Tabla 344 campos del evento Scriptcreation
Eventos e informacioacuten extendida
214 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoscriptcreationrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentFlags Flags de uso interno al servicio Cadena de caracteres
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booelano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 344 campos del evento Scriptcreation
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 215
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 344 campos del evento Scriptcreation
Eventos e informacioacuten extendida
216 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada Cadena de caracteres
ChildFlags Flags de uso interno al servicio Cadena de caracteres
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Campo Descripcioacuten Valor
Tabla 344 campos del evento Scriptcreation
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 217
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 344 campos del evento Scriptcreation
Eventos e informacioacuten extendida
218 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ScriptlaunchEvento de tipo activo que se genera cuando se un proceso (parent) ejecuta un proceso (child) de
tipo script
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
Tabla 345 campos del evento Scriptlauch
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 219
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Op Operacioacuten registrada Cadena de caracteresldquoscriptlauchrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso ofichero padre que desencadenoacute la operacioacutenregistrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskette
bull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 345 campos del evento Scriptlauch
Eventos e informacioacuten extendida
220 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentFlags Flags de uso interno al servicio Cadena de caracteres
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 345 campos del evento Scriptlauch
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 221
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso ofichero padre que desencadenoacute la operacioacutenregistrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada Cadena de caracteres
ChildFlags Flags de uso interno al servicio Cadena de caracteres
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 345 campos del evento Scriptlauch
Eventos e informacioacuten extendida
222 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 345 campos del evento Scriptlauch
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 223
SocketEvento de tipo activo que se genera cuando se detecta un proceso (parent) que abre un socket
Descripcioacuten de los campos del evento
ServiceLevel Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
Enumeracioacuten
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 345 campos del evento Scriptlauch
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
Tabla 346 campos del evento Socket
Eventos e informacioacuten extendida
224 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Campo Descripcioacuten Valor
Tabla 346 campos del evento Socket
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 225
Protocol Protocolo de comunicaciones utilizado por elproceso
bull TCPbull UDP
Enumeracioacuten
bull ICMPbull ICMPv6bull IGMPbull RF
Localport Puerto local del proceso Numeacuterico
Direction
Sentido de la conexioacuten de red
bull Upbull Downbull Both
Enumeracioacuten
LocalIP Direccioacuten IP local del proceso Direccioacuten IP
Hash Hash digest del fichero Cadena de caracteres
DriveType
Tipo de unidad donde reside el proceso o ficheroque desencadenoacute la operacioacuten registrada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
Path Ruta del elemento que desencadenoacute laoperacioacuten registrada Cadena de caracteres
Hostname Nombre del equipo remoto que inicioacute laconexioacuten Cadena de caracteres
IP Direccioacuten IP de la comunicacioacuten Direccioacuten IP
Port Puerto de comunicaciones utilizado por elproceso Numeacuterico
Times Nuacutemero de veces que se ha producido el mismoevento de comunicacioacuten en la uacuteltima hora Numeacuterico
Campo Descripcioacuten Valor
Tabla 346 campos del evento Socket
Eventos e informacioacuten extendida
226 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Para que dos eventos de comunicacioacuten seconsideren iguales es necesario que coincidanlos siguientes paraacutemetros teniendo en cuenta ladireccioacuten de la comunicacioacuten
bull El nombre del procesobull La direccioacuten IP local del procesobull La ruta del procesobull La direccioacuten IP de destino de la
comunicacioacutenbull El puerto destino de la comunicacioacuten
Con cada primera comunicacioacuten diferenteregistrada se enviacutea un evento con el campotimes a 1 Posteriormente por cada horatranscurrida desde el primer evento el campotimes indicaraacute el numero de eventos decomunicacioacuten iguales menos 1 producidos enese intervalo con la fecha del uacuteltimo eventoregistrado
Pid Identificador del proceso Numeacuterico
ValidSig El proceso padre estaacute firmado digitalmente Booleano
Company Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
Broken El proceso padre estaacute corrupto o defectuoso Cadena de caracteres
ImageType
Arquitectura interna del proceso
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
Campo Descripcioacuten Valor
Tabla 346 campos del evento Socket
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 227
SvcControlEvento correspondiente a un intento de modificacioacuten de los ficheros del producto de seguridad
instalado
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Prevalence
Prevalencia histoacuterica del proceso en los sistemasde Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
PrevLastDay
Prevalencia del proceso en el diacutea anterior en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Cat
Categoriacutea del fichero que realizoacute la operacioacutenregistrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
MWName Nombre del malware si estaacute ya catalogadocomo una amenaza Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 346 campos del evento Socket
Eventos e informacioacuten extendida
228 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 347 campos del evento Loadlib
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 229
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
HostName Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Op Operacioacuten registrada Cadena de caracteresldquoLoadlibrdquo
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentPID Identificador del proceso padre Numeacuterico
Campo Descripcioacuten Valor
Tabla 347 campos del evento Loadlib
Eventos e informacioacuten extendida
230 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 347 campos del evento Loadlib
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 231
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildPID Identificador del proceso hijo Numeacuterico
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
Campo Descripcioacuten Valor
Tabla 347 campos del evento Loadlib
Eventos e informacioacuten extendida
232 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildExeType Estructura interna tipo del proceso hijo
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano
OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 347 campos del evento Loadlib
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 233
OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres
Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres
ToastResult
Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic EDR
bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece
por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el
mensaje emergentebull Blockbull Allow
Enumeracioacuten
Action Accioacuten realizada por el agente Cytomic EDR
bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje
emergente al usuario pero no contestoacute atiempo
Enumeracioacuten
bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador
bull Disinfectbull Deletebull Quarantine
bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo
bull Informed se mostroacute un mensaje emergente alusuario
bull Unquarantine el fichero se sacoacute de lacuarentena
bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar
bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de
proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el
cierre del proceso explotado
Campo Descripcioacuten Valor
Tabla 347 campos del evento Loadlib
Eventos e informacioacuten extendida
234 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten
bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable
bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware
bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos
bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten
bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten
bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten
bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten
bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten
bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten
bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware
bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)
bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior
Campo Descripcioacuten Valor
Tabla 347 campos del evento Loadlib
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 235
bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada
bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP
bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable
ServiceLevel
Modo de ejecucioacuten del agente
bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware
bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware
bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados
Enumeracioacuten
WinningTech Tecnologiacutea que provocoacute el evento
bull Blockmode el agente estaba en modo Locken el momento del bloqueo
bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube
Enumeracioacuten
bull Context regla de contexto localbull ContextMinerva regla de contexto en la
nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de
intento de explotacioacuten de proceso vulnerable
bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de
ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local
Campo Descripcioacuten Valor
Tabla 347 campos del evento Loadlib
Eventos e informacioacuten extendida
236 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
SystemopsEvento de tipo activo que se genera cuando se detecta la ejecucioacuten de acciones que afectan o
modifican procesos y ficheros del sistema operativo a traveacutes del sistema WMI (Windows Management
Interface)
Descripcioacuten de los campos del evento
bull MetaEsploit ataque generado con elframework metaExploit
bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo
RDPbull AMSI deteccioacuten encontrada mediante
Antimalware Scan Interface
DetId Identificador de la deteccioacuten Cadena de caracteres
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 347 campos del evento Loadlib
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
Tabla 348 campos del evento Systemops
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 237
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
Campo Descripcioacuten Valor
Tabla 348 campos del evento Systemops
Eventos e informacioacuten extendida
238 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
HostName Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Type Tipo de operacioacuten realizada por el proceso
bull 0 (WMI_COMMAND_LINE_EVENT_CREATION)evento que se genera cada vez que se creaun CommandLineEventConsumer que esuna liacutenea de comandos que va a lanzar WMIal producirse un evento en la base de datos
Enumeracioacuten
bull 1 (WMI_ACTIVE_SCRIPT_EVENT_CREATION) seha creado una consulta que lanzaraacute un script
bull 2(CREATE_WMI_EVENT_CONSUMER_TO_FILTER_CONSUMER) se va a ejecutar una consultaregistrada para lanzar en el equipo unproceso un fichero JSVBS o un script de JSVBS embebido dentro de la propia BBDD (sinfichero en disco)
bull 3(CREATE_WMI_EVENT_CONSUMER_TO_FILTER_QUERY) se ha registrado un filtro que es unaconsulta
bull 4 (WMI_EVENT_CREATE_USER) se ha creadouna cuenta de usuario
bull 5 (WMI_EVENT_DELETE_USER) se ha borradouna cuenta de usuario
bull 6 (WMI_EVENT_ADD_USER_GROUP) se haantildeadido una cuenta a un grupo de usuarios
bull 7 (WMI_EVENT_DELETE_USER_GROUP) se haborrado una cuenta de un grupo de usuarios
bull 8 (WMI_EVENT_USER_GROUP_ADMIN) se haantildeadido un usuario a un grupo de usuariosadministradores
bull 9 (WMI_EVENT_USER_GROUP_RDP) se haantildeadido un usuario a un grupo de usuarioscon acceso al equipo por RDP
Campo Descripcioacuten Valor
Tabla 348 campos del evento Systemops
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 239
ThalertEvento de tipo pasivo que describe los paraacutemetros de la alerta que genera el Radar de ciber-ataques
cuando se detecta un patroacuten de eventos coincide descrito en una Hunting rule Este evento solo se
crea en clientes de Cytomic Orion
bull 10 (WMI_EVENT_CREATE_SERVICE) se instaloacute unnuevo servicio en el sistema
bull 11 (WMI_EVENT_USER_ACCOUNT_CHANGED semodificoacute una cuenta de usuario
bull 12(WMI_EVENT_USER_PASSWORD_RESET_ATTEMPT) se intentoacute borrar la contrasentildea de unacuenta de usuario
ObjectNameNombre uacutenico del objeto dentro de la jerarquiacutea
WMICadena de caracteres
CommandLine Liacutenea de comandos configurada como tareapara ser ejecutada a traveacutes de WMI Cadena de caracteres
MachineName Nombre del equipo que ejecutoacute el proceso
User Usuario con el que se lanza Cadena de caracteres
IsLocal Indica si la tarea se crea local o remotamente Booleano
ExtendedInfo Informacioacuten extendida Depende de laoperacioacuten Cadena de caracteres
ChildMD5 Hash del fichero cuando proceda Cadena de caracteres
ParentPid PID del proceso padre Numeacuterico
RemoteMachineName
Nombre del equipo remoto que genera elevento Cadena de caracteres
RemoteIP IP remota que genera el evento Cadena de caracteres
SessionInteractive Indica si la sesioacuten es interactiva o no Booleano
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 348 campos del evento Systemops
Eventos e informacioacuten extendida
240 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Descripcioacuten de los campos del evento
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
MachineIP
(CEF)
Nombre del equipo de usuario quedesencadena el evento registrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo de usuario quedesencadena el evento registrado Cadena de caracteres
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
ClientId Identificador del cliente Cadena de caracteres
AlertDate Fecha en la que se creoacute el indicio en laplataforma de Cytomic Orion Fecha
Tabla 349 campos del evento Thalert
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 241
Urldownload Evento de tipo activo que se genera cuando un proceso realiza una peticioacuten descarga de un
fichero de datos por HTTP
Descripcioacuten de los campos del evento
THRuleName Nombre de la regla de Hunting que generoacute elindicio Cadena de caracteres
Mitre Teacutecnica y Taacutectica Mitre asociada a la regla deHunting que generoacute el indicio
Lista de pares TeacutecnicaTaacutectica
Severity Gravedad del indicio Cuanto menor es elnuacutemero el indicio es maacutes grave Numeacuterico
TimeStamp Marca de tiempo de la accioacuten registrada en elequipo del cliente que generoacute el indicio Fecha
EvidenceData
Datos relevantes relacionados con el indicio ydependientes de la regla de hunting activadaContiene varios campos separados por espacioscon el formato ldquoNombreCampo valorrdquo
Cadena de caracteres
LastHourEvidenceCount
Nordm de veces que ha ocurrido el mismo indicio en
el equipo del cliente en la uacuteltima hora
Numeacuterico
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 349 campos del evento Thalert
Campo Descripcioacuten Valor
Date
(CEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP
MachineName
(CEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
Tabla 350 campos del evento Urldownload
Eventos e informacioacuten extendida
242 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
sev
(LEEF)
Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten
1
devTime
(LEEF)
TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha
devTimeFormat
(LEEF)Formato del timestamp enviado Cadena de caracteres
ldquoyyyy-MM-ddrdquo
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres
src
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identSrc
(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres
LocalDateTime
Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea
Fecha
PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime
bull 0 fecha real nosoportada portratarse de un eventoantiguo
bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo
bull 2 fecha realproporcionada por elservidor Cytomic
Campo Descripcioacuten Valor
Tabla 350 campos del evento Urldownload
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 243
Client
Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners
Numeacuterico
ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres
ParentDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres
ParentValidSig El proceso padre estaacute firmado digitalmente Booleano
ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres
ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano
ParentImageType
Arquitectura interna del proceso padre
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ParentExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
Campo Descripcioacuten Valor
Tabla 350 campos del evento Urldownload
Eventos e informacioacuten extendida
244 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
ParentPrevalence
Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentPrevLastDay
Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ParentCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware
Cadena de caracteres
URL Url de descarga lanzada por el proceso quegeneroacute el evento registrado Cadena de caracteres
ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 350 campos del evento Urldownload
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
Eventos e informacioacuten extendida
Capiacutetulo 3 | 245
ChildDriveType
Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada
bull Fixed dispositivo no extraible como porejemplo un disco duro interno
bull Remote unidad de redbull Removable dispositivo extraible como por
ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta
indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM
Enumeracioacuten
ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada
Cadena de caracteres(Ruta)
ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano
ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres
ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano
ChildImageType
Arquitectura interna del proceso hijo
bull EXEx32bull EXEx64bull DLLx32bull DLLx64
Enumeracioacuten
ChildExeType Estructura interna tipo del proceso padre
bull Delphibull DOTNETbull VisualC
Enumeracioacuten
bull VBbull CBuilderbull Mingwbull Mssetup
bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown
Campo Descripcioacuten Valor
Tabla 350 campos del evento Urldownload
Eventos e informacioacuten extendida
246 | Capiacutetulo 3
Cytomic SIEMConnect
Manual de descripcioacuten de eventos
ChildPrevalence
Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildPrevLastDay
Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic
bull Highbull Mediumbull Low
Enumeracioacuten
ChildCat
Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada
bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring
Enumeracioacuten
ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware
Cadena de caracteres
ParentPid Pid del proceso padre que realiza la descargadel fichero
MUID Identificador interno del equipo del cliente Cadena de caracteres
Campo Descripcioacuten Valor
Tabla 350 campos del evento Urldownload