Gestión de Alertas
Observables
Gestione y analice indicadores técnicos asociados con alertas
Descripción General
La pestaña de Observables proporciona una vista detallada de todos los indicadores técnicos asociados con una alerta. Estos observables son elementos clave para la investigación de seguridad, ya que representan evidencia técnica de actividad potencialmente maliciosa.
Tipos de Observables
Indicadores de Red
- Direcciones IP: Direcciones IPv4 e IPv6
- Dominios: Nombres de dominio completos (FQDN)
- URLs: Enlaces web completos
- Correos Electrónicos: Direcciones de correo electrónico
Indicadores de Archivo
- Hashes: MD5, SHA-1, SHA-256
- Nombres de Archivo: Nombres de archivos sospechosos
- Rutas de Archivo: Ubicaciones de archivos en sistemas
Indicadores de Sistema
- Usuarios: Cuentas de usuario afectadas
- Procesos: Nombres de procesos sospechosos
- Claves de Registro: Entradas de registro de Windows
Indicadores Personalizados
- Tipos de observables definidos por el usuario
- Formatos específicos de la organización
- Indicadores específicos del sector
Gestión de Observables
Visualización de Observables
La vista principal muestra:
- Lista de todos los observables
- Tipo de cada observable
- Valor del observable
- Fuente de detección
- Marca de tiempo
- Nivel de confianza
Filtrado y Búsqueda
Opciones para filtrar observables:
- Por tipo de observable
- Por nivel de confianza
- Por fuente
- Por fecha de detección
- Búsqueda de texto libre
Adición de Observables
Métodos para añadir nuevos observables:
- Formulario manual
- Importación por lotes
- Extracción automática
- Integración con herramientas externas
Enriquecimiento de Observables
Funciones de enriquecimiento automático:
- Consultas a servicios de reputación
- Búsqueda en inteligencia de amenazas
- Análisis de WHOIS para dominios
- Geolocalización de IPs
- Análisis de archivos
Análisis de Observables
Visualización de Relaciones
- Gráfico de conexiones entre observables
- Visualización de cadena de ataque
- Agrupación por tipo o fuente
- Identificación de patrones
Correlación
- Coincidencia con observables de otras alertas
- Identificación de campañas relacionadas
- Detección de infraestructura compartida
- Análisis de similitud
Evaluación de Riesgo
- Puntuación de riesgo por observable
- Indicadores de maliciosidad
- Historial de apariciones
- Contexto de amenazas conocidas
Acciones sobre Observables
Investigación
- Búsqueda en fuentes externas
- Análisis detallado
- Verificación de falsos positivos
- Documentación de hallazgos
Etiquetado
- Clasificación por nivel de riesgo
- Etiquetas personalizadas
- Marcado para seguimiento
- Anotaciones de contexto
Exportación
- Exportar a formatos estándar (CSV, JSON)
- Compartir con otras herramientas
- Generar informes
- Crear reglas de detección
Bloqueo y Mitigación
- Envío a sistemas de bloqueo
- Actualización de reglas de firewall
- Adición a listas de bloqueo
- Creación de reglas de detección
Mejores Prácticas
1. Priorización
- Enfocarse primero en observables de alto riesgo
- Verificar observables críticos manualmente
- Establecer umbrales de confianza
- Documentar decisiones de priorización
2. Enriquecimiento
- Utilizar múltiples fuentes de inteligencia
- Verificar resultados contradictorios
- Mantener contexto de la alerta
- Documentar fuentes de enriquecimiento
3. Análisis
- Buscar patrones entre observables
- Correlacionar con eventos históricos
- Considerar el contexto completo
- Evitar conclusiones basadas en un solo indicador
4. Documentación
- Registrar todos los hallazgos
- Documentar acciones tomadas
- Mantener notas claras
- Actualizar niveles de confianza