Contenido

Análisis de causas raíz

Análisis de causas raíz

Esta sección contiene información sobre Análisis de causas raíz.

Con la función Root-Cause Analysis, puede detectar y descubrir ataques avanzados, llevar a cabo análisis de causa raíz con un gráfico visual de la cadena de desarrollo de la amenaza y examinar la información para obtener análisis más exhaustivos.

Esta función solo está disponible si activó Kaspersky Next con una licencia de Kaspersky Next EDR Foundations.
Si activó Kaspersky Next con una licencia de Kaspersky Next EDR Optimum o XDR Expert, tendrá acceso a la versión completa de Endpoint Detection and Response.

Para utilizar esta función, necesita Kaspersky Endpoint Security 11.8 para Windows o posterior.

En esta sección

Acerca de Análisis de causas raíz

Inicio del uso de Análisis de causas raíz

Visualización de información sobre las detecciones de Análisis de causas raíz

Exportación de información sobre las detecciones de Análisis de causas raíz

Deshabilitación de Análisis de causas raíz

Principio de página

Acerca de Análisis de causas raíz

Kaspersky Next le permite detectar y eliminar de raíz ataques avanzados en los dispositivos de sus usuarios, realizar un análisis de causas raíz con un gráfico de cadena de desarrollo de la amenaza y profundizar en los detalles para su posterior revisión.

Para utilizar esta función, necesita Kaspersky Endpoint Security 11.8 para Windows o posterior.

Análisis de causas raíz detecta amenazas en los siguientes tipos de objetos:

Proceso
Archivo
Clave de registro
Conexión de red

Puede empezar a utilizar la función Análisis de causas raíz cuando inicie la Consola de administración de Kaspersky Next por primera vez o después de que Kaspersky Next se actualice a una nueva versión. Si no comenzó a usar Análisis de causas raíz durante la configuración inicial o adicional de Kaspersky Next, puede hacerlo más adelante.

El widget y la tabla de Análisis de causas raíz muestran las detecciones que ocurren en los dispositivos de sus usuarios y le permiten analizar un gráfico de cadena de desarrollo de la amenaza para cada detección. El widget muestra hasta 10 archivos detectados y la tabla muestra hasta 1000 detecciones.

Desde la tabla de Análisis de causas raíz, puede exportar información sobre todas las detecciones actuales a un archivo CSV.

Si desea dejar de usar la función, puede deshabilitarla y volver a habilitarla más tarde.

Principio de página

Inicio del uso de Análisis de causas raíz

Después de comenzar a usar la función, el paquete de distribución de Kaspersky Endpoint Security para Windows (versión 11.8 o posterior) se prepara automáticamente. Luego, Kaspersky Endpoint Security para Windows se actualizará automáticamente en los dispositivos administrados que ejecutan Windows.

Para comenzar a usar Análisis de causas raíz, haga lo siguiente:

Abra la Consola de administración de Kaspersky Next.
Realice una de las siguientes acciones:
- En la sección Panel de información, seleccione en la pestaña Guía de inicio rápido.
- En la sección Panel de información, seleccione en la pestaña Supervisión.
- En la sección Configuración, haga clic en el enlace Configuraciónen Uso de Análisis de causas raíz.
  Se abre la página Análisis de causas raíz.
Haga clic en Habilitar Análisis de causas raíz.
Se abre el Asistente para habilitar el uso de Análisis de causas raíz.

Es posible que falten algunos pasos del asistente si los realizó durante la configuración inicial o adicional de Kaspersky Next.

Se abre la ventana Acuerdos de Kaspersky Endpoint Security para Windows.

En esta ventana, se muestran los textos del Contrato de licencia de usuario final de Kaspersky Endpoint Security para Windows, el Contrato de licencia de usuario final del Agente de red de Kaspersky Security Center, las Cláusulas complementarias sobre el procesamiento de datos de Kaspersky Endpoint Security para Windows y el Agente de red, y el enlace a la Política de privacidad de los productos y servicios de Kaspersky Lab.
Lea atentamente el texto de cada documento.
Si acepta los términos y condiciones de los contratos, entiende y acepta que sus datos se administrarán y se transmitirán (incluso a otros países) como se describe en la Política de privacidad, y confirma que leyó y entiende la Política de privacidad en su totalidad, seleccione las casillas que están junto a los documentos enumerados y haga clic en el botón Acepto los términos.

Si no acepta los términos y las condiciones, no use las aplicaciones de seguridad. Si solo se seleccionan algunas de las casillas de verificación, no podrá usar Análisis de causas raíz. Se cerrará la ventana Acuerdos de Kaspersky Endpoint Security para Windows.

Se abre la ventana Configuración del servidor proxy.
Si es necesario, defina la configuración del servidor proxy y haga clic en Siguiente.

Análisis de causas raíz está habilitado.

Puede deshabilitar la función más adelante si desea dejar de usarla.

Principio de página

Visualización de información sobre las detecciones de Análisis de causas raíz

Puede ver la información sobre las detecciones de Análisis de causas raíz en un widget y en una tabla. El widget muestra hasta 10 archivos detectados y la tabla muestra hasta 1000 detecciones.

Widget de Análisis de causas raíz

Para ver el widget de Análisis de causas raíz, haga lo siguiente:

Abra la Consola de administración de Kaspersky Next.
En la sección Panel de información, haga clic en la pestaña Supervisión.
Si Análisis de causas raíz está deshabilitado, comience a usar la función.

El widget muestra la información solicitada.

En el widget que se muestra, puede hacer lo siguiente:

Propiedades del dispositivo en el que se produjo una detección.
Gráfico de la cadena de desarrollo de la amenaza, para realizar un análisis de causas raíz del ataque.
Tabla con las detecciones de Análisis de causas raíz.

Tabla de Análisis de causas raíz

Para ver la tabla con las detecciones de Análisis de causas raíz, haga lo siguiente:

Abra la Consola de administración de Kaspersky Next.
Abra la ventana Detecciones de Análisis de causas raíz de cualquiera de las siguientes maneras:
- En la sección Panel de información, haga clic en la pestaña Supervisión y, luego, en el enlace Ir a la lista de detecciones en el widget de Análisis de causas raíz.
- Seleccione la sección Administración de la seguridad → Análisis de causas raíz.
Si Análisis de causas raíz está deshabilitado, comience a usar la función.
La tabla muestra la información solicitada.
Para filtrar los registros mostrados, seleccione los valores requeridos en las listas desplegables:
- Detectado el
  El período durante el cual ocurrieron las detecciones.
- Estado
  Si los objetos detectados se trataron o no se trataron (eliminado).

En la tabla que se muestra, puede hacer lo siguiente:

Propiedades del dispositivo en el que se produjo una detección.
Configuración del perfil de seguridad que se asigna al usuario propietario de un dispositivo afectado.
Gráfico de la cadena de desarrollo de la amenaza, para realizar un análisis de causas raíz del ataque.

Además, puede exportar información sobre todas las detecciones actuales a un archivo CSV.

Principio de página

Visualización de un gráfico de la cadena de desarrollo de la amenaza

Puede ver un gráfico de la cadena de desarrollo de la amenaza para cada detección que Análisis de causas raíz realizó y que se muestra en un widget o en una tabla.

Un gráfico de cadena de desarrollo de la amenaza es una herramienta para analizar la causa raíz de un ataque. El gráfico proporciona información visual sobre los objetos involucrados en el ataque, por ejemplo, procesos en un dispositivo administrado, conexiones de red o claves de registro.

Para ver un gráfico de la cadena de desarrollo de la amenaza:

Diríjase al widget o a la tabla de Análisis de causas raíz.
En la línea requerida, haga clic en Examinar.

Se abre la ventana Detalles de la detección de Análisis de causas raíz. La ventana contiene un gráfico de la cadena de desarrollo de la amenaza e información detallada sobre la detección.

Un gráfico de la cadena de desarrollo de la amenaza muestra los siguientes tipos de objetos:

Proceso
Archivo
Conexión de red
Clave de registro

Se genera un gráfico de acuerdo con las siguientes reglas:

El punto central de un gráfico es un proceso que cumple con cualquiera de las siguientes reglas:
- Si la amenaza se detectó en un proceso, es este.
- Si la amenaza se detectó en un archivo, es el proceso que creó este archivo.
Para el proceso que se menciona en la regla 1, el gráfico muestra hasta dos procesos principales. Un proceso principal es el que generó o modificó un proceso secundario.
Para el proceso que se menciona en la regla 1, el gráfico muestra todos los demás objetos relacionados: archivos creados, procesos secundarios creados y modificados, conexiones de red organizadas y claves de registro modificadas.

Cuando hace clic en cualquier objeto de un gráfico, el área a continuación muestra información detallada sobre el objeto seleccionado.

Si hace clic en un vínculo en los campos SHA256, MD5, Dirección IP o URL en la información detallada sobre un archivo, se lo dirige a Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. El portal reúne todo el conocimiento que Kaspersky ha adquirido sobre ciberamenazas en un único servicio web. Le permite verificar cualquier indicador de amenaza sospechosa, ya sea un archivo, hash de archivo, dirección IP o dirección web.

Principio de página

Ejemplo de análisis de un gráfico de cadena de desarrollo de la amenaza

Esta sección contiene un ejemplo de un gráfico de cadena de desarrollo de la amenaza y cómo puede usarlo para analizar un ataque a los dispositivos de sus usuarios.

Consideremos un ataque mediante el uso de un mensaje de correo electrónico de phishing que contiene un archivo adjunto. El archivo adjunto es un archivo ejecutable.

El usuario guarda y ejecuta el archivo en su dispositivo. Kaspersky Endpoint Security para Windows detecta el tipo de objeto malicioso detectado.

Ventana Protección contra archivos peligrosos de Kaspersky Endpoint Security para Windows.

Una detección en Kaspersky Endpoint Security para Windows

El widget de Root-Cause Analysis muestra hasta diez detecciones.

Widget de Análisis de causas raíz.

Widget de Análisis de causas raíz

Si hace clic en el enlace Examinar en la línea requerida del widget, puede continuar a un gráfico de la cadena de desarrollo de la amenaza.

Ventana de detalles de detección de Análisis de causas raíz.

Un gráfico de cadena de desarrollo de la amenaza

El gráfico de la cadena de desarrollo de la amenaza le proporciona información sobre la detección, por ejemplo: acciones que ocurrieron en el dispositivo durante la detección, categoría de la amenaza que se detectó, origen del archivo (en este ejemplo, un correo electrónico) y usuario que descargó el archivo (en este ejemplo, un administrador). Además, el gráfico de cadena muestra que se crearon archivos adicionales en el dispositivo, que se establecieron varias conexiones de red y que se cambiaron algunas claves de registro.

Con base en esta información, puede hacer lo siguiente:

Verifique la configuración del servidor de correo.
Agregue el remitente del mensaje de correo electrónico a la lista de denegación (si el remitente es externo), o diríjase a él o ella directamente (si el remitente es interno).
Compruebe si otros dispositivos se han conectado a las mismas direcciones IP.
Agregue estas direcciones IP a la lista de denegación.

Ventana Kaspersky Threat Intelligence Portal.

Portal de inteligencia de la amenaza de Kaspersky

Este ejemplo muestra la importancia de la función Análisis de causas raíz. El archivo principal del archivo detectado no es de confianza, pero no es malicioso. Significa que Kaspersky Endpoint Security para Windows no lo ha detectado. Este archivo todavía está presente en el dispositivo y dentro de la organización. Si la organización tiene dispositivos en los que algunos componentes de protección están deshabilitados (por ejemplo, Detección de comportamiento) o en los que las bases de datos antimalware no están actualizadas, la actividad maliciosa del archivo principal no se detectará y los delincuentes podrían tener la oportunidad de penetrar en la infraestructura de su organización.

Principio de página

Exportación de información sobre las detecciones de Análisis de causas raíz

Desde la tabla con las detecciones de Análisis de causas raíz, puede exportar información sobre todas las detecciones actuales a un archivo CSV. Por ejemplo, puede utilizar un archivo con detecciones para preparar un informe para sus superiores.

Para exportar información sobre las detecciones de Análisis de causas raíz, haga lo siguiente:

Diríjase a la tabla con las detecciones de Análisis de causas raíz.
Haga clic en el botón Exportar detecciones.
Se abre la ventana Exportar detecciones de Análisis de causas raíz.
Haga clic en Exportar para confirmar la exportación.

Se crea y se descarga automáticamente un archivo con detecciones de Análisis de causas raíz. El archivo contiene las mismas columnas que la tabla con detecciones.

Principio de página

Deshabilitación de Análisis de causas raíz

Si desea dejar de usar Análisis de causas raíz, puede deshabilitar la función como se describe en esta sección.

Para deshabilitar Análisis de causas raíz, haga lo siguiente:

Abra la Consola de administración de Kaspersky Next.
Seleccione la sección Configuración.
Se mostrará la página Configuración general de Kaspersky Next.
Haga clic en el enlace Configuración en la sección Uso de Análisis de causas raíz.
Se abre la página Análisis de causas raíz.
Haga clic en el botón Deshabilitar Análisis de causas raíz.
En la ventana de confirmación que se abre, haga clic en el botón Deshabilitar.

Análisis de causas raíz está deshabilitado.

Más adelante, puede volver a habilitar la función.

Principio de página