Códigos de alertas

⚠️ Estas definiciones te pueden ayudar a identificar por qué ha saltado una determinada alerta, dependiendo de los diferentes tipos de amenazas y actividades sospechosas en tu red. Entender el contenido de las alertas te permitirá coordinar una respuesta adecuada y oportuna para proteger la seguridad de los sistemas y la información de tu empresa

Por cada regla de IPS que salte, corresponde una notificación que podrás visualizar tanto en la intranet como en tu correo, dependiendo de la configuración que hayas elegido.

Ejemplo de notificación de alerta recibida en la Intranet.

Ejemplo de notificación de alerta recibida al correo electrónico.

A través de las notificaciones intentamos resumir la información que ha hecho saltar la regla siguiendo una estructura tradicional de mail. Profundizamos en el contenido de las dos partes de la notificación.

1. Título

El título de la notificación está formado por diferentes valores:

Importancia	Alta / Media / Baja	Indica el nivel de gravedad asociado a un evento o alerta. En Numen Box se representa mediante una etiqueta en una escala de “Baja”, “Medio” y “Alto”. Este campo permite clasificar y priorizar eventos según su importancia.
Categoría		Se refiere a la categoría o clasificación del evento o alerta. Proporciona información adicional sobre el tipo de actividad o amenaza detectada. Tiene correspondencia con los classtype.
Tipo de evento	Drop / Alert	“Drop” indica que se ha bloqueado o descartado el tráfico debido a una detección de amenaza, mientras que “Alert” indica que se ha generado una alerta para notificar sobre una actividad sospechosa o maliciosa detectada.
Acción	Allowed / blocked	Indica la acción tomada o recomendada como resultado de un evento o alerta. Puede tener valores como “Alerta” (se ha generado una alerta sin bloquear el tráfico), “Bloqueo” (se ha bloqueado o interrumpido el tráfico) o “Permitido” (el tráfico fue permitido y no se aplicó ninguna acción específica).

Los classtype proporcionan información sobre el tipo de actividad que ha sido detectada por la regla, y si esta ha saltado por una razón meramente informativa o se trata de un intento de ataque. Las reglas agrupadas bajo el mismo classtype pueden tener diferente grado de Importancia.

En la tabla que sigue podrás encontrar los classtype de las reglas IPS instaladas en Numen Box SOHO.

📌 Haz clic en el título y lee la definición. Haciendo clic en el filtro “categoría” podrás copiar y pegar la categoría que encuentras en el título de la notificación.

Untitled

2. Cuerpo

El cuerpo de la notificación está formado por diferentes datos que se extraen de un log y juntos te proporcionan información detallada sobre la actividad que ha sido detectada. Estos datos te permitirán tomar medidas adecuadas para mitigar los riesgos de seguridad y proteger tu sistema:

Descripción	Este campo está formado por diferentes valores: 1. La fecha y la hora en que se produjo la comunicación o el evento; 2. La descripción en sí que representa la regla específica que desencadenó la detección y te da información sobre la detección o el propósito de la regla.
Origen	Se refiere a la dirección IP de origen en la comunicación o evento de red. Representa la máquina o dispositivo desde donde se originó el tráfico o el evento que hizo saltar la regla.
Puerto de origen	Se refiere al puerto de origen en una conexión de red. Cuando se detecta tráfico que cumple con una regla específica, la regla verifica si el puerto de origen coincide con el valor especificado en la regla.
Destino	Se refiere a la dirección IP de destino en la comunicación o evento de red. Indica la máquina o dispositivo al que se envía el tráfico o evento que hizo saltar la regla.
Puerto de destino	indica el número de puerto al que se dirige el tráfico o la conexión. Proporciona información importante para identificar el servicio o la aplicación de destino involucrada en la comunicación y puede ser utilizado para filtrar, analizar o tomar acciones basadas en el puerto de destino