Informes de indicador

Editar en línea

Los informes de indicadores proporcionan información detallada sobre indicadores de compromiso.

Un indicador de compromiso es cualquier dato registrado o capturado de evidencia digital de una incidencia de seguridad que se puede utilizar para proporcionar información sobre una intrusión o un problema.

Los indicadores de compromiso proporcionan los primeros objetivos concretos para su investigación. Los diferentes canales de inteligencia de amenazas pueden utilizar distintos indicadores, en función de la región, el sector empresarial o los requisitos de seguridad. La plataformaIBM Cloud Pak® for Security utiliza los indicadores siguientes.

  • Application

    La información de las aplicaciones web contiene una puntuación de riesgo, categorías, acciones asociadas, URL base y riesgos. También contiene información relevante acerca de la aplicación, que incluye las vulnerabilidades, los URL de host y las IP de host.

  • Botnet

    Los dispositivos que utilizan estas direcciones IP están infectados y participan en ataques de denegación de servicio, exploración de puertos, envío de correo no deseado y otras intrusiones no deseadas.

  • Dirección IP

    En un informe de IP, X-Force® proporciona una puntuación de riesgo, ubicación, información de categorización, contenido histórico, WHOIS e información de DNS pasivo (servidor de nombres de dominio) para direcciones IPv4 y IPv6IP.

  • Hash MD5 de archivos de programa malicioso

    El hash MD5, también conocido como la suma de comprobación de un archivo, es como una huella dactilar del archivo. Es un indicador basado en host para el código malicioso, que consiste en un indicador de hash de archivo y el nombre y el tipo de la pieza de programa malicioso que indica.

  • URL

    X-Force recopila información de URL que contiene una puntuación de riesgo, la segmentación en una de 75 categorías, WHOIS e información de DNS (servidor de nombres de dominio) pasivo.

  • Signatura

    La información de seguridad disponible incluye firmas de red específicas que categorizan los sucesos de auditoría.

  • Vulnerabilidades

    La información de vulnerabilidad se obtiene de la base de datos X-Force, una de las bases de datos de vulnerabilidad más antiguas y disponibles del mundo. Actualmente, la base de datos contiene más de 88.000 vulnerabilidades. Además de las métricas estándar que están asociadas con cualquier vulnerabilidad, X-Force proporciona información de cobertura de IBM desde una perspectiva de seguridad de red, así como referencias externas relacionadas con la vulnerabilidad.

Las vulnerabilidades las indica el número de CVE (vulnerabilidades comunes y exposición).

Para determinar las puntuaciones de riesgo de IP y URL, X-Force Exchange se basa en dos elementos de datos: la cantidad de pruebas capturadas y la línea temporal de las pruebas. Un motor de análisis procesa los datos para determinar la puntuación de riesgo.

La puntuación de riesgo de IP se establece en el rango de 1 a 10, donde 1 indica que no hay riesgo y 10 indica el nivel de riesgo más alto. La ubicación se proporciona a nivel regional. El contexto histórico muestra las entradas anteriores de la base de datos que estaban relacionadas con dicha IP cuando se actualizó.

La puntuación de riesgo es un valor normalizado que se genera al procesar la inteligencia de amenazas de que dispone IBM, incluidas las exploraciones de internet y la recopilación de correos electrónicos no deseados de todo el mundo. En un nivel superior, esta puntuación refleja el nivel potencial de riesgo y malignidad de dicha IP. Por ejemplo, una IP que se ha identificado como remitente del envío de un gran volumen de correo no deseado tendrá una puntuación de riesgo alta. Esta puntuación disminuye con el tiempo, a medida que la IP pasa a estar menos activa en la generación de correo no deseado, ya sea por volumen o por frecuencia.