siemconnect cytomic

Cytomic SIEMConnect

Manual de descripcioacuten de eventos iii

Aviso legalNi los documentos ni los programas a los que usted pueda acceder pueden ser copiados

reproducidos traducidos o transferidos por cualquier medio electroacutenico o legible sin el permiso previo

y por escrito de Cytomic (Unidad de Negocio de Panda Security) Santiago de Compostela 12 48003

Bilbao (Bizkaia) ESPANtildeA

Marcas registradas Windows Vista y el logotipo de Windows son marcas o marcas registradas de Microsoft Corporation en

los Estados Unidos y otros paiacuteses Todos los demaacutes nombres de productos pueden ser marcas

registradas de sus respectivas compantildeiacuteas

copy Cytomic 2021 (Unidad de Negocio de Panda Security) Todos los derechos reservados

Informacioacuten de contactoOficinas centrales

Cytomic (Unidad de Negocio de Panda Security)

Calle Santiago de Compostela 12

Bilbao (Bizkaia) 48003 Espantildeahttpswwwpandasecuritycomspainaboutcontact

Versioacuten 40100-00

Autor Cytomic

Fecha 13122021

Cytomic SIEMConnect

Manual de descripcioacuten de eventosiv

Cytomic SIEMConnect

Manual de descripcioacuten de eventos v

Acerca del Manual de descripcioacuten de eventosPara obtener la versioacuten maacutes reciente de esta guiacutea consulta la direccioacuten web

httpsinfocytomicmodelcomresourcesguidesSIEMConnectesSIEMCONNECT-ManualDescripcionEventos-ESpdfv

Guiacutea de infraestructura Cytomic SIEMConnectLa Guiacutea de infraestructura Cytomic SIEMConnect completa el Manual de descripcioacuten de eventos

Azure mostrando los recursos necesarios en la red del cliente para habilitar la recepcioacuten de

informacioacuten generada por el servicio

httpsinfocytomicmodelcomresourcesguidesSIEMConnectesSIEMCONNECT-Manual-ESPDF

Guiacutea de uso de CYTOMIC NexusPara configurar el servicio Cytomic SIEMConnect for Partners es necesario acceder al producto

CYTOMIC Nexus

bull Para obtener la versioacuten maacutes reciente de esta guiacutea consulta la direccioacuten web

httpnexus-documentscytomicaiAdvancedGuideNexus-Manual-ESpdf

bull Para consultar un tema especiacutefico accede a la ayuda online del producto en la direccioacuten web

httpnexus-documentscytomicai Helpv77000Partnerses-esindexhtm

Cytomic EDR y Cytomic EDPRCytomic SIEMConnect es un servicio que requiere los productos de seguridad Cytomic EDR o Cytomic

EDPR Consulta las guiacuteas en

httpsinfocytomicmodelcomresourcesguidesEPDRlatestesEPDR-guia-ESpdf

httpsinfocytomicmodelcomresourcesguidesEDRlatestesEDR-guia-ESpdf

Soporte teacutecnicoCytomic ofrece un soporte teacutecnico global cuyo objetivo principal es responder a cuestiones

especificas sobre el funcionamiento de sus productos El equipo de soporte teacutecnico tambieacuten genera

documentacioacuten sobre detalles teacutecnicos del producto que ofrece a traveacutes de su portal eKnowledge

Base

Para acceder al portal eKnowledge Base consulta la siguiente URL

httpswwwpandasecuritycomessupportsiemfeederhtm

Encuesta sobre la Guiacutea para el administrador de la redEvaluacutea esta guiacutea para administradores y enviamos sugerencias y peticiones para proacuteximas versiones

de la documentacioacuten en

Cytomic SIEMConnect

vi Manual de descripcioacuten de eventos

httpsessurveymonkeycomrfeedbackSIEMFeederEvManES

Cytomic SIEMConnect

Manual de descripcioacuten de eventos vii

Tabla de contenidos

Capiacutetulo 1 Proacutelogo - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 9iquestA quieacuten estaacute dirigida esta guiacutea9Objetivo de la documentacioacuten 10Iconos 10

Capiacutetulo 2 Beneficios y arquitectura general - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 11Objetivos del servicio Cytomic SIEMConnect 11Beneficios de Cytomic SIEMConnect12Flujo de informacioacuten generado por Cytomic SIEMConnect 12Requisitos de Cytomic SIEMConnect 12

Capiacutetulo 3 Eventos e informacioacuten extendida - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 15Estructura de un evento Cytomic SIEMConnect 17Formato de los logs en Cytomic SIEMConnect18

Formato Common Event Format (CEF) 18Formato Log Event Extended Format (LEEF) 19

Categoriacuteas de eventos 21Estructura de los eventos y sintaxis de los campos 23Alertadvpolicy ADVPolicy Detected 25Alertexploit Exploit Detected 29Alertmalware Malware Detected 33Alertprodappcontrol ProdAppControl Detected 36Alertpup PUP Detected 40Alertrdpattack RDPAttack Detected 44Alertsecappcontrol SecAppControl Detected45Block 49Createcmp53Createdir 62CreateprocessbyWMI 70CreatePE 79Createremotethread88Criticalsoft 96DeletePE 98Deviceops 107Dnsops 109Exec 111Hostfiles 120Install 123Loadlib 125Loginoutops 134Modifype 138ModLinuxCfg 146ModOSXCfg 155Monitoredopen 164Monitoredregistry 168Notblocked 171Opencmp 176Openlsass 185ProcessNetBytes 194Registryc 196Registrym 199Renamepe 203Scriptcreation 212

Cytomic SIEMConnect

Manual de descripcioacuten de eventos viii

Scriptlaunch 218Socket 223SvcControl 227Systemops 236Thalert 239Urldownload 241

Cytomic SIEMConnect

Manual de descripcioacuten de eventos

Proacutelogo

Capiacutetulo 1 | 9

Capiacutetulo 1Proacutelogo

Cytomic SIEMConnect y Cytomic SIEMConnect for Partners son dos servicios que almacenan y

suministran a sus clientes informacioacuten detallada relativa a los eventos de seguridad registrados en sus

infraestructuras informaacuteticas

CONTENIDO DEL CAPIacuteTULO

iquestA quieacuten estaacute dirigida esta guiacutea - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 9Objetivo de la documentacioacuten - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -10Iconos - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -10

iquestA quieacuten estaacute dirigida esta guiacuteaEsta documentacioacuten estaacute dirigida a dos tipos de organizaciones

bull Empresas que tienen contratado el servicio Cytomic SIEMConnect de Cytomic para los productosCytomic EDR y Cytomic EDPR

bull Partners que tienen contratado Cytomic SIEMConnect for Partners para ofrecer el servicio deCytomic SIEMConnect a sus clientes

Dentro de las organizaciones la informacioacuten recogida en este manual estaacute dirigida a

bull El especialista en seguridad informaacutetica que necesita una descripcioacuten detallada de la informacioacutenque Cytomic SIEMConnect enviacutea a la plataforma SIEM de su organizacioacuten

bull El administrador de la solucioacuten SIEM adoptada en la empresa que requiere conocer el formato dela informacioacuten que recibe para poder incorporarla a su base de datos

Mienstras no se especifique lo contrario todos los procedimientos e indicaciones mostradas en este

manual son aplicables de forma indistinta a

bull Clientes con licencias de Cytomic EDR contratadas

bull Clientes con licencias de Cytomic EDPR contratadas

bull Clientes con el servicio Cytomic SIEMConnect contratado

bull Clientes con el servicio Cytomic SIEMConnect for Partners contratado

Proacutelogo

10 | Capiacutetulo 1

Cytomic SIEMConnect


Objetivo de la documentacioacutenEl objetivo de esta guiacutea es facilitar la explotacioacuten de la informacioacuten de seguridad suministrada por

Cytomic y su integracioacuten en la infraestructura de almacenamiento implantada en la empresa

En esta documentacioacuten se hace referencia al producto ldquoCytomic EDRrdquo de forma geneacuterica para

referirse tanto a Cytomic EDR como a Cytomic EDPR Igualmente se utiliza ldquoCytomic SIEMConnectrdquo

para referirse no solo a este producto sino tambieacuten a Cytomic SIEMConnect for Partners

IconosEn esta guiacutea se utilizan los siguientes iconos

Aclaraciones e informacioacuten adicional como por ejemplo un meacutetodo alternativo para

realizar una determinada tarea

Sugerencias y recomendaciones

Consejo importante de cara a un uso correcto de las opciones de Cytomic

SIEMConnect

Consulta en otro capiacutetulo o punto del manual

Cytomic SIEMConnect


Beneficios y arquitectura general

Capiacutetulo 2 | 11

Capiacutetulo 2Beneficios y arquitectura general

Cytomic SIEMConnect es el servicio de Cytomic que enviacutea a la plataforma SIEM de los clientes la

informacioacuten y el conocimiento generado por los productos Cytomic EDR y Cytomic EDPR


Objetivos del servicio Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - - - -11Beneficios de Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12Flujo de informacioacuten generado por Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - -12Requisitos de Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12

Cytomic SIEMConnect para clientes finales 13Cytomic SIEMConnect para partners (Cytomic SIEMConnect for Partners) 13

Objetivos del servicio Cytomic SIEMConnectCytomic SIEMConnect enviacutea a la plataforma SIEM de sus clientes inteligencia de seguridad sobre los

procesos ejecutados en los equipos de los usuarios Con esta informacioacuten el administrador de la

seguridad obtiene una mayor visibilidad de lo que ocurre en la infraestructura informaacutetica que

gestiona

La informacioacuten de inteligencia de seguridad suministrada al cliente facilita el descubrimiento de

amenazas desconocidas malware avanzado de tipo APT (Advanced Persistent Threats) y ataques

dirigidos especiacuteficamente disentildeados para extraer informacioacuten confidencial de las empresas

Para conseguir este objetivo Cytomic SIEMConnect obtiene el registro de la actividad de las

aplicaciones ejecutadas gracias a la monitorizacioacuten permanente del software de seguridad Cytomic

EDR instalado en los equipos Esta informacioacuten se completa con inteligencia de seguridad generada

en Cytomic y se enviacutea a la plataforma SIEM del cliente donde se integra para su explotacioacuten



Cytomic SIEMConnect


Beneficios de Cytomic SIEMConnectCon la inteligencia de seguridad suministrada el administrador de la seguridad seraacute capaz de

bull Visualizar la evolucioacuten del estado del malware detectado en la red indicando si fue ejecutado ono el vector de infeccioacuten y las acciones ejecutadas por el proceso para facilitar laimplementacioacuten de estrategias de resolucioacuten y posterior adaptacioacuten de las poliacuteticas de seguridadde la empresa

bull Visualizar las acciones ejecutadas por cada proceso con el objetivo de centrarse en lasactividades sospechosas de los programas desconocidos de muy reciente aparicioacuten y recopilar losindicios que permitan obtener conclusiones acerca de su potencial peligrosidad

bull Visualizar los accesos de los procesos a la informacioacuten confidencial de la empresa para prevenir suextraccioacuten o robo Se muestran los ficheros de ofimaacutetica accedidos bases de datos y otrosrepositorios de informacioacuten confidencial

bull Visualizar las conexiones de red establecidas por los procesos para identificar destinos sospechososy susceptibles de estar realizando ex filtracioacuten de datos

bull Localizar todos los programas ejecutados y especialmente aquellos instalados en los equipos delos usuarios y que contengan vulnerabilidades conocidas para ayudar en el disentildeo de un plan deactualizacioacuten de software y afinar las poliacuteticas de seguridad establecidas

Flujo de informacioacuten generado por Cytomic SIEMConnectCytomic EDR monitoriza de forma constante las acciones realizadas por los procesos ejecutados en

los equipos de los usuarios Estas acciones se enviacutean a la plataforma Cloud de Cytomic donde se

analizan y explotan para extraer de forma automatizada inteligencia de seguridad avanzada

Cytomic SIEMConnect reuacutene la informacioacuten de los eventos monitorizados por Cytomic EDR y la

informacioacuten de seguridad generada para crear un uacutenico flujo de datos compatible con el servidor

SIEM del cliente

Requisitos de Cytomic SIEMConnectCytomic SIEMConnect no requiere cambios en los equipos monitorizados ya que el servicio recibe los

datos automaacuteticamente desde cada estacioacuten de trabajo o servidor Sin embargo dependiendo del

tipo de producto contratado es necesario instalar y configurar varios elementos en la infraestructura

informaacutetica de las empresas

Para conocer en detalle el flujo completo de informacioacuten generado por Cytomic

SIEMConnect consulta la Guiacutea de infraestructura Cytomic SIEMConnect (https

infocytomicmodelcomresourcesguidesSIEMConnectesSIEMCONNECT-Manual-ESPDF)

Cytomic SIEMConnect




Cytomic SIEMConnect para clientes finalesSe requieren los siguientes recursos en la infraestructura IT del cliente

bull Instalar y configurar el software Cytomic Importer preferiblemente en un equipo de tipo servidor

bull Si el flujo de eventos recibidos es grande se recomienda instalar un gestor de colas compatible conCytomic Importer

bull Instalar un servidor SIEM compatible con los formatos de log CEF y LEEF

Cytomic SIEMConnect para partners (Cytomic SIEMConnect for Partners)Se requieren los siguientes recursos en la infraestructura IT del partner El cliente no requiere cambios

en su infraestructura informaacutetica


bull Instalar un gestor de colas compatible


bull Configurar el servicio Cytomic SIEMConnect for Partners Consulta httpnexus-documentscytomicaiAdvancedGuideNexus-Manual-ESpdf

Para conocer en detalle el proceso de instalacioacuten y configuracioacuten de Cytomic Importer

consulta la Guiacutea de infraestructura Cytomic SIEMConnect (httpsinfocytomicmodelcom

resourcesguidesSIEMConnectesSIEMCONNECT-Manual-ESPDF)



Cytomic SIEMConnect


Cytomic SIEMConnect


Eventos e informacioacuten extendida


Capiacutetulo 3Eventos e informacioacuten extendida

Cytomic SIEMConnect transforma el flujo de telemetriacutea recibida desde los equipos protegidos con

Cytomic EDR en ficheros de texto que contienen eventos formateados compatibles con servidores

SIEM

La unidad baacutesica de informacioacuten que recibe el cliente es el evento cada accioacuten relevante que

realizan los procesos ejecutados en el equipo del usuario se transforma en un evento que se entrega

finalmente al servidor SIEM

Estructura de un evento Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - -17Agrupacioacuten de eventos 17Secuencia y tiempos de entrega de la informacioacuten 18

Formato de los logs en Cytomic SIEMConnect - - - - - - - - - - - - - - - - - - - - - - - - - - - -18Formato Common Event Format (CEF) 18

Bloque Prefijo 19Bloque extensiones del evento 19

Formato Log Event Extended Format (LEEF) 19Bloque Cabecera 20Bloque Atributos del evento 20

Categoriacuteas de eventos - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -21Despliegue del agente 21Creacioacuten de Alertas 21Modificaciones en el sistema operativo de los usuarios 22Manipulacioacuten de procesos 22Descarga de ficheros 23Acceso a datos 23Otros 23

Estructura de los eventos y sintaxis de los campos - - - - - - - - - - - - - - - - - - - - - - - - -23Estructura interna de los eventos 23Eventos de tipo activo 24Eventos de tipo pasivo 24Prefijos parent y child 24Otros prefijos y afijos 25

Alertadvpolicy ADVPolicy Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -25Descripcioacuten de los campos del evento 25

Alertexploit Exploit Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -29Descripcioacuten de los campos del evento 29

Alertmalware Malware Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -33Descripcioacuten de los campos del evento 33



Cytomic SIEMConnect


Alertprodappcontrol ProdAppControl Detected - - - - - - - - - - - - - - - - - - - - - - - - - - 36Descripcioacuten de los campos del evento 36

Alertpup PUP Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 40Descripcioacuten de los campos del evento 40

Alertrdpattack RDPAttack Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 44Descripcioacuten de los campos del evento 44

Alertsecappcontrol SecAppControl Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - 45Descripcioacuten de los campos del evento 46

Block - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 49Descripcioacuten de los campos del evento 49

Createcmp - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 53Descripcioacuten de los campos del evento 53

Createdir - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 62Descripcioacuten de los campos del evento 62

CreateprocessbyWMI - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 70Descripcioacuten de los campos del evento 70

CreatePE - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 79Descripcioacuten de los campos del evento 79

Createremotethread - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 88Descripcioacuten de los campos del evento 88

Criticalsoft - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 96Descripcioacuten de los campos del evento 96

DeletePE - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 98Descripcioacuten de los campos del evento 98

Deviceops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -107Descripcioacuten de los campos del evento 107

Dnsops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -109Descripcioacuten de los campos del evento 110

Exec - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -111Descripcioacuten de los campos del evento 112

Hostfiles - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -120Descripcioacuten de los campos del evento 120

Install - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -123Descripcioacuten de los campos del evento 123

Loadlib - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -125Descripcioacuten de los campos del evento 126

Loginoutops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -134Descripcioacuten de los campos del evento 134

Modifype - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -138Descripcioacuten de los campos del evento 138

ModLinuxCfg - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -146Descripcioacuten de los campos del evento 146

ModOSXCfg - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -155Descripcioacuten de los campos del evento 155

Monitoredopen - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -164Descripcioacuten de los campos del evento 164

Monitoredregistry - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -168Descripcioacuten de los campos del evento 168

Notblocked - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -171Descripcioacuten de los campos del evento 172

Opencmp - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -176Descripcioacuten de los campos del evento 176

Openlsass - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -185Descripcioacuten de los campos del evento 185

ProcessNetBytes - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -194Descripcioacuten de los campos del evento 194

Cytomic SIEMConnect




Registryc - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 196Descripcioacuten de los campos del evento 196

Registrym - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 199Descripcioacuten de los campos del evento 200

Renamepe - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 203Descripcioacuten de los campos del evento 203

Scriptcreation - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 212Descripcioacuten de los campo del evento 212

Scriptlaunch - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 218Descripcioacuten de los campos del evento 218

Socket - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 223Descripcioacuten de los campos del evento 223

SvcControl - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 227Descripcioacuten de los campos del evento 228

Systemops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 236Descripcioacuten de los campos del evento 236

Thalert - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 239Descripcioacuten de los campos del evento 240

Urldownload - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 241Descripcioacuten de los campos del evento 241

Estructura de un evento Cytomic SIEMConnectUn evento es una accioacuten registrada en el equipo de un cliente y descrita mediante una serie de pares

campo-valor Existen muacuteltiples tipos de eventos y cada tipo incluye pares campo-valor concretos A

esta coleccioacuten de pares campo-valor Cytomic SIEMConnect le agrega un preaacutembulo o cabecera

que contiene la informacioacuten necesaria para encapsular la informacioacuten en un evento compatible con

los formatos comuacutenmente aceptados por los servidores SIEM CEF o LEEF

Agrupacioacuten de eventosUn fichero de registro tambieacuten llamado ldquologrdquo es una agrupacioacuten de eventos que se entrega al

servidor SIEM del cliente Los logs generados por Cytomic SIEMConnect tienen un tamantildeo variable y

pueden agrupar uno o varios eventos de categoriacuteas diferentes A su vez el origen de los eventos

dentro de un mismo log puede ser uno o maacutes equipos de la red del cliente

Para conocer en detalle el formato LEEF consulta el enlace

httpswwwibmcomdocsendsmtopic=leef-overview

Para conocer en detalle el formato CEF consulta el enlace

httpscommunitymicrofocuscomcfs-file__keycommunityserver-wikis-components-files00-00-00-00-233731CommonEventFormatV25pdf



Cytomic SIEMConnect


Secuencia y tiempos de entrega de la informacioacutenEl maacuteximo retardo desde que un proceso realiza una accioacuten en el equipo protegido con Cytomic EDR

hasta que Cytomic SIEMConnect formatea el evento asociado y lo completa con inteligencia de

seguridad es de 20 minutos

Los eventos recibidos de los equipos de los clientes se procesan siguiendo una estrategia FIFO

Los logs enviados al servidor SIEM del cliente no tienen una secuencia predefinida pero todos los

eventos contienen un campo con marca de tiempo (timestap) que permite ubicar el evento de

forma precisa en una liacutenea temporal

Formato de los logs en Cytomic SIEMConnectCytomic SIEMConnect entrega la informacioacuten en uno de los dos formatos disponibles CEF o LEEF

Dependiendo del tipo de cliente al que va destinado el servicio el procedimiento para seleccionar el

formato variacutea

bull Cytomic SIEMConnect consulta telefoacutenicamente o por email a tu comercial asignado paracambiar el formato de los logs recibidos

bull Cytomic SIEMConnect for Partners configura el servicio mediante CYTOMIC Nexus Consulta httpnexus-documentscytomicaiAdvancedGuideNexus-Manual-ESpdf

Todos los ficheros de registro enviados por Cytomic SIEMConnect siguen la codificacioacuten UTF-8

Formato Common Event Format (CEF)El formato CEF estaacute constituido por los bloques de datos mostrados a continuacioacuten

bull Bloque Prefijo tambieacuten conocido como ldquocabecerardquo Identifica la categoriacutea del evento y define allog como de tipo CEF Los campos incluidos en este bloque estaacuten separados por pipes ldquo|rdquo y elsignificado de cada campo viene dado por su posicioacuten

bull Bloque de extensiones del evento comuacuten a los dos tipos de log (CEF y LEEF) Incluye parescampo=valor separados por espacios

Cytomic SIEMConnect no incluye la cabecera syslog en los logs CEF

Cytomic SIEMConnect




A continuacioacuten se muestra un ejemplo del evento registryc (createExekey) en formato CEF

Bloque Prefijo

Los campos dentro del bloque prefijo van separados por pipes ldquo|rdquo

Bloque extensiones del eventoPara obtener informacioacuten acerca de los eventos soportados campos existentes y una descripcioacuten

detallada de los mismos consulta ldquoEstructura de los eventos y sintaxis de los camposrdquo

Formato Log Event Extended Format (LEEF)El formato LEEF estaacute constituido por los bloques de datos mostrados a continuacioacuten

bull Bloque Cabecera identifica la categoriacutea del evento y define al log como de tipo LEEF Los camposincluidos en este bloque estaacuten separados por pipes ldquo|rdquo y el significado de cada campo viene

CEF1|Panda Security|paps|0245000000|registryc|registryc|1|Client=1212122

Date=2018-09-27 022652200188 MachineName=DESKTOP-PC MachineIP=192168011

User=NT AUTHORITYSYSTEM MUID=713FC2B45B429J291EB53467357AC1B7 Op=CreateExeKey

Hash=C86854DF4F3AEC59D523DBAD1F5031FD DriveType=Fixed

Path=SYSTEMX86|CompatTelRunnerexe ValidSig=true Company=Microsoft Corporation

Broken=true ImageType=EXE 32 ExeType=Unknown Prevalence=Medium PrevLastDay=Low

Cat=Goodware MWName= TargetPath=3|PROGRAM_FILESX86|Windows DefenderMsMpengexe

RegKey=REGISTRYMACHINESOFTWAREMicrosoftWindows

NTCurrentVersionAppCompatFlagsWicaAvPathsExpiredTemp0

CEF1|Cytomic|paps|0245000000|registryc|registryc|1|

Campo Descripcioacuten Valor de ejemplo

Formatoversioacuten Identificador del formato del log y de la versioacuten CEF1

Device vendor Nombre del proveedor del servicio Cytomic

Device Product Nombre interno del dispositivo o software paps

Signature Versioacuten de la proteccioacuten que generoacute el evento 243000000

Name y Name 2

En los eventos de tipo alerta el nombre del evento sedistribuye en los campos Name y Name 2 Por tantopara obtener el nombre completo de la alerta esnecesario concatenar los campos Name y Name 2

En el resto de tipos de evento Name 2 tiene unacopia del contenido del campo Name

registryc

SeveritySeveridad del evento Excepto para los eventos detipo alerta siempre contiene en valor 1 Consultamaacutes adelante los tipos de eventos

1

Tabla 31 formato del bloque prefijo (preaacutembulo) del estaacutendar CEF



Cytomic SIEMConnect


dado por su posicioacuten

bull Bloque de atributos del evento comuacuten a los dos tipos de log (CEF y LEEF) Incluyen los campos delevento y sus valores

Cytomic SIEMConnect no incluye la cabecera syslog en los logs LEEF

A continuacioacuten se muestra un ejemplo del evento registryc (createExekey) en formato LEEF

Bloque Cabecera

Bloque Atributos del eventoPara obtener informacioacuten acerca de los eventos soportados campos existentes y una descripcioacuten


LEEF10|Panda Security|paps|0243000000|registryc|Client=1212122 sev=1

devTime=2016-09-22 152511000628 devTimeFormat=yyyy-MM-dd HHmmssSSS

usrName=LOCAL SERVICE domain=NT AUTHORITY src=10219202149

identSrc=10219202149 identHostName=PXE68XXX HostName= PXE68XXX

MUID=1F109BA4E0XXXX37F9995D31FXXXX319 Op=CreateExeKey

Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed Path=SYSTEM|svchostexe

ValidSig= Company=Microsoft Corporation Broken=true ImageType=EXE 64

ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872 Skeptic=

AVDets=0 JIDFI=3431993 1NFI=116241 JIDMW=11195630 1NMW=4308325 Class=100

Cat=Goodware MWName= TargetPath=0|punecom RegKey= REGISTRY MACHINE SYSTEM

ControlSet001servicesTcpipParametersDhcpDomain

LEEF10|Panda Security|paps|0243000000|registryc|

En el formato LEEF la severidad del evento no se indica con un campo en el bloque

Cabecera sino que se incluye en bloque Atributos mediante el campo Sev=nuacutemero


Formatoversioacuten Identificador del formato del log y de la versioacuten LEEF1

Vendor Nombre del proveedor del servicio Cytomic

Product Nombre interno del dispositivo o software paps

Version Versioacuten de la proteccioacuten que generoacute el evento 243000000

Event ID Description Nombre completo del evento enviado registryc

Tabla 32 formato del bloque cabecera (preaacutembulo) del estaacutendar LEEF

Cytomic SIEMConnect




Categoriacuteas de eventosEl tipo de evento recibido viene especificado en el campo Name y Name 2 del bloque Preaacutembulo en

el formato CEF o en el campo Event ID Description del bloque Cabecera en el formato LEEF Asiacute

mismo el tipo del evento tambieacuten se incluye en el campo op del bloque de atributos en el formato

LEEF o del bloque de extensiones en el formato CEF si bien no todos los tipos de evento incluyen este

campo

A continuacioacuten se muestran todos los eventos posibles en el campo Name Event ID Description y su

significando agrupados por su tipo

Despliegue del agente

Creacioacuten de Alertas

Campo Descripcioacuten

install Instalacioacuten y desinstalacioacuten del agente Cytomic EDR

Tabla 33 eventos relacionados con el despliegue del agente de proteccioacuten


alertmalware Malware Detected Deteccioacuten de malware

alertpup PUP Detected Deteccioacuten de PUP (programa no deseado)

alertrdpattack RDPAttack Detected Deteccioacuten de ataque RDP por fuerza bruta

alertadvpolicy ADVPolicy Detected Deteccioacuten realizada por las poliacuteticas de seguridadavanzadas

alertsecappcontrol SecAppControl Detected

Deteccioacuten realizada por un nombre de proceso o MD5definidos por el administrador en las poliacuteticas avanzadasde seguridad

alertprodappcontrol ProdAppControl Detected

Deteccioacuten realizada por la configuracioacuten Bloqueo deprogramas establecida por el administrador

alertexploit Exploit Detected Deteccioacuten de exploit

block Bloqueo de ejecucioacuten de programa por no estar aunclasificado o ser sospechoso de malware

thalert

Deteccioacuten por parte del Radar de ciber-ataques de unpatroacuten de eventos que coincide con una Hunting rule

Esta alerta solo se crea en clientes de Cytomic Orion

Tabla 34 eventos relacionados con la generacioacuten de alertas



Cytomic SIEMConnect


Modificaciones en el sistema operativo de los usuarios

Manipulacioacuten de procesos


hostfiles Modificacioacuten del fichero HOSTS

monitoredregistry Acceso a ramas del registro sensibles y relacionadas con el intento deganar persistencia en el equipo tras un reinicio

registrym Modificacioacuten de rama en el registro del equipo que apunta a unfichero ejecutable

registryc Creacioacuten de rama en el registro del equipo que apunta a un ficheroejecutable

openlsass Acceso al proceso LSASS para intentar comprometer las credencialesde una cuenta de usuario

modLinuxCfg Modificacioacuten de un fichero de configuracioacuten del sistema operativoLinux

modOSXCfg Modificacioacuten de un fichero de configuracioacuten del sistema operativomacOS

systemops Modificacioacuten del sistema operativo a traveacutes de WMI (WindowsManagement Interface)

Tabla 35 eventos relacionados con modificaciones en el sistema operativo


createremotethread Creacioacuten de hilo de ejecucioacuten remoto

exec Ejecucioacuten de proceso

createprocessbyWMI Creacioacuten de proceso a traveacutes del sistema WMI

scriptcreation Creacioacuten de un script

scriptlaunch Ejecucioacuten de script

createpe Creacioacuten de programa ejecutable

modifype Modificacioacuten de fichero ejecutable

renamepe Cambio de nombre de fichero ejecutable

deletepe Borrado de programa ejecutable

loadlib Carga de libreriacutea

Tabla 36 eventos relacionados con la manipulacioacuten de procesos

Cytomic SIEMConnect




Descarga de ficheros

Acceso a datos

Otros

Estructura de los eventos y sintaxis de los camposEstructura interna de los eventosCytomic SIEMConnect describe cada evento mediante pares campo-valor

Para entender la loacutegica de la informacioacuten generada por Cytomic SIEMConnect los eventos se

pueden dividir en dos tipos eventos de tipo activo y eventos de tipo pasivo


urldownload Descarga de fichero

Tabla 37 eventos relacionados con la descarga de ficheros


createcmp Creacioacuten de fichero comprimido

opencmp Apertura de fichero comprimido

monitoredopen Acceso a ficheros de datos monitorizados

createdir Creacioacuten de directorio en el sistema de ficheros

socket Operacioacuten de comunicacioacuten por red

Tabla 38 eventos relacionados con el acceso al sistema de ficheros


criticalsoft Deteccioacuten de aplicacioacuten vulnerables instalada en el equipo

processnetbytes Consumo de datos de red por proceso

dnsops Proceso con peticiones de resolucioacuten DNS erroacuteneas

loginoutsops Inicio y fin de sesioacuten en el equipo del usuario

deviceops Conexioacuten yo desconexioacuten de dispositivo externo

notblocked Evento que Cytomic EDR deja sin analizar debido a situacionesexcepcionales

svcControl Intento de modificacioacuten de los ficheros que pertenecen al producto deseguridad instalado

Tabla 39 otros eventos



Cytomic SIEMConnect


Eventos de tipo activoLa mayor parte de los eventos recibidos describen situaciones en las que un proceso denominado

padre (parent) realiza una accioacuten sobre un elemento hijo (child) El tipo del elemento que recibe la

accioacuten variacutea dependiendo de la categoriacutea del evento De esta forma el elemento hijo (child) puede

ser

bull Otro proceso en eventos de tipo carga y descarga de procesos carga de libreriacuteas etc

bull Fichero ejecutable en eventos de tipo creacioacuten borrado modificacioacuten de programas

bull Fichero del sistema en eventos que reflejan la manipulacioacuten del fichero hosts y del registro delequipo de usuario

bull Fichero de datos en eventos que reflejan el acceso a ficheros de ofimaacutetica bases de datos etc

bull Fichero de descarga en eventos que se generan cuando se detecta la descarga de datos de unproceso

bull Fichero comprimido en eventos que reflejan la creacioacuten modificacioacuten y borrado de ficheroscomprimidos

bull Directorio en eventos que reflejan la creacioacuten modificacioacuten y borrado de carpetas

Dependiendo del tipo de evento se incluiraacuten o no ciertos campos que describan las caracteriacutesticas

tanto del elemento padre como del hijo Por ejemplo en un evento de tipo creacioacuten de directorio los

campos asociados al evento describiraacuten las caracteriacutesticas del proceso padre (si es o no malware

ruta del proceso metadatos del proceso etc) asiacute como las caracteriacutesticas del hijo En este caso al

tratarse de un directorio algunos campos que se incluyen en el evento no llevaraacuten informacioacuten

como por ejemplo los campos que describen al elemento como malware o los metadatos del

fichero informacioacuten que no es posible suministrar al tratarse de un directorio Otra informacioacuten como

por ejemplo la ruta del directorio siacute seraacute incluida en el evento

Eventos de tipo pasivoSon eventos que en muchos casos no tienen procesos padre o hijo claramente definidos ya que se

corresponden al registro pasivo de una situacioacuten que se produce en el equipo del usuario

Ejemplos de eventos de tipo registro son los eventos de generacioacuten de alertas por malware o la

instalacioacuten actualizacioacuten y modificacioacuten del agente Cytomic EDR entre otros

Prefijos parent y childEn los eventos de tipo activo que involucran a dos ficheros o procesos generalmente se utilizan los

prefijos parent y child para diferenciar la informacioacuten relativa a cada proceso

bull Parent los campos que comienzan con la etiqueta Parent describen un atributo del proceso padre

bull Child los campos que comienzan con la etiqueta Child describen un atributo del elemento hijo

Cytomic SIEMConnect




Otros prefijos y afijosEn muchos campos y valores se utilizan abreviaturas conocer su significado ayuda a interpretar el

campo en cuestioacuten

bull Sig signature (firma digital)

bull Exe y pe ejecutable

bull Mw malware

bull Sec segundos

bull Op operacioacuten

bull Cat categoriacutea

bull PUP Potential Unwanted Program (programa potencialmente no deseado)

bull Ver versioacuten

bull SP service Pack

bull Cfg configuracioacuten

bull Cmp y comp comprimido

bull Dst destino

Alertadvpolicy ADVPolicy DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando

detecta una amenaza mediante las poliacuteticas avanzadas de seguridad definidas por el administrador

en la seccioacuten Proteccioacuten avanzada Poliacuteticas avanzadas de seguridad de la configuracioacuten Estacionesy servidores

Descripcioacuten de los campos del evento

Campo Descripcioacuten Valor

Date

(CEF)

Fecha del equipo del usuario cuando se generoacuteel evento Fecha

HostIp

(CEF)

IP del equipo de usuario o servidor donde segenera el evento Direccioacuten IP

sev

(LEEF)Severidad del evento Numeacuterico

Tabla 310 campos del evento Alertadvpolicy ADVPolicy



Cytomic SIEMConnect


devTime

(LEEF)

TimeStamp de la creacioacuten del evento en elequipo del usuario Fecha

devTimeFormat

(LEEF)Formato del timestamp enviado

Cadena decaracteres ldquoyyyy-MM-ddrdquo

src

(LEEF)

IP del equipo de usuario o servidor que genera elevento registrado

Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)

Nombre del equipo de usuario que genera elevento registrado

Cadena decaracteres

Client

Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Estecampo uacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners

Numeacuterico

HostName Nombre del equipo de usuario donde se generael evento registrado

Cadena decaracteres

ThreatType Tipo de malware detectadoCadena decaracteresldquoADVPolicyrdquo

ExecutionStatus Accioacuten realizada por el agente Cytomic EDR

bull Allowbull Blockbull BlockTimeout se mostroacute un mensaje

emergente al usuario pero no contestoacute atiempo

Enumeracioacuten

bull AllowWL elemento permitido por encontrarseen la lista blanca del administrador

bull Disinfectbull Deletebull Quarantine



Cytomic SIEMConnect




bull AllowByUser se mostroacute un mensaje emergenteal usuario y contesto ldquopermitir ejecucioacutenrdquo

bull Informed se mostroacute un mensaje emergente alusuario

bull Unquarantine el fichero se sacoacute de lacuarentena

bull Rename elemento renombrado por nopoderse mover a cuarentena borrar odesinfectar

bull BlockURL se bloqueoacute el acceso a una URLbull KillProcess cierre de procesobull BlockExploit intento de explotacioacuten de

proceso vulnerable detenidobull ExploitAllowByUser el usuario no permitioacute el

cierre del proceso explotado

bull RebootNeeded se requiere un reinicio delequipo para bloquear el intento deexplotacioacuten

bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de un intentode explotacioacuten de proceso vulnerable

bull AllowSonGWInstaller el programa forma partede un paquete de instalacioacuten clasificadocomo Goodware

bull EmbebedInformed el elemento es un script enpowershell que ejecuta comandos

bull SuspedProcess el elemento intentoacute suspenderalguno de los servicios del software deproteccioacuten

bull ModifyDiskResource el elemento intentoacutemodificar un fichero protegido que perteneceal software de proteccioacuten

bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida quepertenece al software de proteccioacuten

bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegidaque pertenece al software de proteccioacuten

bull ModifyMarkFile el elemento intentoacuterenombrar un fichero protegido quepertenece al software de proteccioacuten





Cytomic SIEMConnect


bull UncertainAction el elemento intentoacute unaaccioacuten sin definir sobre un fichero quepertenece al software de proteccioacuten

bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute de goodware

bull AllowSWAuthoriced se permite la ejecucioacutendel elemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)

bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene del exterior

bull AllowedByAdmin se permite la ejecucioacuten delelemento porque el administrador excluyoacute lateacutecnica de explotacioacuten detectada

bull Blocked by ip se bloqueoacute la direccioacuten IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP

bull AllowSonMsiGW se permite la ejecucioacuten delelemento por tratarse de un ejecutable queproviene de un paquete de instalacioacutenconfiable

DwellTimeSecs Tiempo transcurrido desde la primera vez que laamenaza fue vista en la red del cliente Segundos

MWHash (LEEF)

ItemHash (CEF)Hash del malware Cadena de

caracteres

MWName (LEEF)

ItemName (CEF)

Nombre del malware si estaacute ya catalogadocomo una amenaza

Cadena decaracteres

MWPath (LEEF)

ItemPath (CEF)Ruta del malware Cadena de

caracteres

SourceIP Si el malware vino desde el exterior indica ladireccioacuten IP del equipo remoto Direccioacuten IP

SourceMachineName Si el malware vino desde el exterior indica elnombre del equipo remoto

Cadena decaracteres

SourceUserName Si el malware vino desde el exterior indica elusuario del equipo remoto

Cadena decaracteres

UrlList Lista de URLs accedidas en el momento dedetectar un exploit desde el navegador

Cadena decaracteres

DocList Lista de documentos accedidos en el momentode detectar un exploit de fichero

Cadena decaracteres



Cytomic SIEMConnect




Alertexploit Exploit DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando

detecta el intento de explotacioacuten de una vulnerabilidad en un programa instalado en un equipo de

la red


Version Contenido del atributo Version de los metadatosdel proceso

Cadena decaracteres

Vulnerable Indica si la aplicacioacuten se considera vulnerable Booleano

MUID Identificador interno del equipo del cliente Cadena decaracteres




Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Tabla 311 campos del evento Alertexploit Exploit Detected



Cytomic SIEMConnect


Client


Numeacuterico


Cadena decaracteres

ThreatType Tipo de malware detectado Cadena decaracteres ldquoExploitrdquo




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect







MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect




Alertmalware Malware DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando

detecta un elemento clasificado como malware



Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres

ThreatType Tipo de malware detectadoCadena decaracteresldquoMalwarerdquo

Tabla 312 campos del evento Alertmalware



Cytomic SIEMConnect


ExecutionStatus

La amenaza detectada se llegoacute a ejecutar o no

bull Executed bull Not executed

Enumeracioacuten -Enumeracioacuten

Accioacuten realizada por el agente Cytomic EDR

















Cytomic SIEMConnect






















Cytomic SIEMConnect


Alertprodappcontrol ProdAppControl DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando

bloquea elementos seguacuten un nombre o MD5 definidos por el administrador en la configuracioacuten

Bloqueo de programas


MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)


Tabla 313 campos del evento Alertprodappcontrol ProdAppControl

Cytomic SIEMConnect




HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres

ThreatType Tipo de malware detectadoCadena decaracteresldquoProdAppControlrdquo




Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect












MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect


Alertpup PUP DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando

detecta un elemento clasificado como programa no deseado (PUP)



Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Tabla 314 campos del evento Alertpup PUP Detected

Cytomic SIEMConnect




Client


Numeacuterico


Cadena decaracteres

ThreatType Tipo de malware detectado Cadena decaracteres ldquoPUPrdquo

ExecutionStatus




















Cytomic SIEMConnect








bull ModifyRegistry el elemento intentoacute modificaruna clave de registro protegida que perteneceal software de proteccioacuten

bull RenameRegistry el elemento intentoacuterenombrar una clave de registro protegida quepertenece al software de proteccioacuten

bull ModifyMarkFile el elemento intentoacute renombrarun fichero protegido que pertenece alsoftware de proteccioacuten



bull AllowSWAuthoriced se permite la ejecucioacuten delelemento por estar autorizado por eladministrador (configuracioacuten SoftwareAutorizado)



Cytomic SIEMConnect









MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)

Nombre del malware si estaacute ya catalogado comouna amenaza

Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres







Cytomic SIEMConnect


Alertrdpattack RDPAttack DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando

detecta un ataque por fuerza bruta a traveacutes del protocolo RDP (Remote Desktop Protocol)



Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres

ThreatType Tipo de ataque detectadoCadena decaracteresldquoRDPAttackrdquo

ExecutionStatus Tipo de accioacuten ejecutadaCadena decaracteres ldquoBlockedby iprdquo

Tabla 315 campos del evento alertrdpattack RDPAttack Detected

Cytomic SIEMConnect




Alertsecappcontrol SecAppControl DetectedEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando

bloquea elementos seguacuten un nombre o MD5 definido por el administrador en la seccioacuten Proteccioacutenavanzada Poliacuteticas avanzadas Bloquear programas de la configuracioacuten Estaciones y servidores

DwellTimeSecs Sin uso Segundos

MWHash (LEEF)

ItemHash (CEF)Sin uso

MWName (LEEF)

ItemName (CEF)

Nombre del ataque registrado

bull ExploitBruteForce_RDP intento de intrusioacuten porfuerza bruta utilizando el protocolo RDP

bull ExploitRemoteDesktopIntrusion intrusioacutendetectada mediante el protocolo RDP

Cadena decaracteres

MWPath (LEEF)

ItemPath (CEF)Nombre del ataque empleado

Cadena decaracteres ldquoMaliciousNetwork Rdp Attackrdquo

SourceIP Direccioacuten IP del equipo atacante Direccioacuten IP

SourceMachineName Nombre del equipo atacante Cadena decaracteres

SourceUserName Nombre de la cuenta de usuario utilizado en elataque

Cadena decaracteres

UrlList Sin uso Cadena decaracteres

DocList Sin uso Cadena decaracteres

Version Sin uso Cadena decaracteres

Vulnerable Sin uso Booleano






Cytomic SIEMConnect




Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres

ThreatType Tipo de malware detectadoCadena decaracteresldquoSecAppControlrdquo




Enumeracioacuten

Tabla 316 campos del evento Alertsecappcontrol SecAppControl

Cytomic SIEMConnect























Cytomic SIEMConnect













MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cytomic SIEMConnect




BlockEvento de tipo pasivo que describe los paraacutemetros de la alerta que Cytomic EDR crea cuando

bloquea un proceso que no ha sido clasificado todaviacutea




Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)

TimeStamp de la creacioacuten del evento en el equipodel usuario Fecha

User

(CEF)

Nombre de la cuenta de usuario y dominio al quepertenece utilizada para ejecutar el proceso quegenero el evento registrado

Cadena de caracteres

MachineIP

(CEF)

Nombre del equipo que desencadena el eventoregistrado Direccioacuten IP

MachineName

(CEF)

Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres

Tabla 317 campos del evento Block



Cytomic SIEMConnect


sev

(LEEF)

Severidad del evento Excepto para los eventos detipo alerta siempre contiene en valor ldquo1rdquo Consultamaacutes adelante los tipos de eventos para obtenermaacutes informacioacuten

1

devTime

(LEEF)


devTimeFormat

(LEEF)Formato del timestamp enviado Cadena de caracteres

ldquoyyyy-MM-ddrdquo

usrName

(LEEF)

Cuenta de usuario utilizada por el proceso querealizoacute la operacioacuten registrada Cadena de caracteres

domain

(LEEF)

Dominio de la cuenta de usuario utilizado por elproceso que realizoacute la operacioacuten registrada Cadena de caracteres

src

(LEEF)IP del equipo donde se registroacute el evento Cadena de caracteres

identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime

Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el evento registradoEsta fecha depende de la configuracioacuten delequipo y por lo tanto puede ser erroacutenea

Fecha

PandaTimeStatus Contenido de los campos DateTime Date yLocalDateTime

bull 0 fecha real nosoportada portratarse de un eventoantiguo

bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante un caacutelculo

bull 2 fecha realproporcionada por elservidor Cytomic



Cytomic SIEMConnect




Client

Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner Este campouacutenicamente se utiliza en el producto CytomicSIEMConnect for Partners

Numeacuterico

LocalCat Categoriacutea del elemento calculada por el agenteCytomic EDR

bull NotClassified fichero en proceso declasificacioacuten

bull Goodwarebull Malware

Enumeracioacuten

bull Suspect fichero en proceso de clasificacioacuten conalta probabilidad de resultar malware

bull Compromised proceso comprometido por unataque de tipo exploit

bull GoodwareNotConfirmed fichero en aparienciagoodware pero pendiente de clasificar

bull PUPbull GoodwareUnwanted equivalente a PUPbull GoodwareRanked proceso clasificado como

goodware

cloudAcces Indica si hay acceso a la nube Booleano

DetId Identificador de la deteccioacuten Numeacuterico

FirstSeen Fecha en la que se vio por primera vez el fichero Fecha

LastQueryDate Fecha de la uacuteltima consulta del agente CytomicEDR a la nube Fecha

ToastBlockReason Motivo de la aparicioacuten del mensaje emergente enel puesto de usuario o servidor

bull 0 bloqueo por fichero desconocido en modobloqueo

bull 1 Bloqueo por reglas locales

Enumeracioacuten

bull 2 Bloqueo por regla de origen del fichero nofiable

bull 3 Bloqueo por regla de contextobull 4 Bloqueo por exploitbull 5 Bloqueo por pregunta al usuario de cerrar el

proceso





Cytomic SIEMConnect


ToastResult Respuesta del usuario ante el mensaje emergentemostrado por Cytomic EDR

bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece por

la no accioacuten del usuario

Enumeracioacuten

bull Angry el usuario rechaza el bloqueo desde elmensaje emergente

bull Blockbull Allow

WinningTech Tecnologiacutea que provocoacute el evento

bull Blockmode el agente estaba en modo Lock enel momento del bloqueo

bull Cache clasificacioacuten cacheada en localbull Cloud clasificacioacuten descargada de la nube

Enumeracioacuten

bull Context regla de contexto localbull ContextMinerva regla de contexto en la nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de intento

de explotacioacuten de proceso vulnerable

bull ExploitLegacybull GWFilter tecnologiacuteas de identificacioacuten de

ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma localbull MetaEsploit ataque generado con el framework

metaExploit

bull NetNative tipo de binariobull Serializer tipo de binariobull User permiso solicitado al usuariobull RDP ataque de fuerza bruta por el protocolo

RDPbull AMSI deteccioacuten encontrada mediante

Antimalware Scan Interface

ServiceLevel Modo de ejecucioacuten del agente

bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificados comomalware

Enumeracioacuten



Cytomic SIEMConnect




CreatecmpEvento de tipo activo que se genera cuando un proceso (parent) crea un nuevo fichero comprimido

(child)


bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origen nosea confiable y los clasificados como malware

bull Learning el agente no bloquea ninguacutenprograma pero monitoriza los procesosejecutados

Hash Hash digest del fichero MD5

Path Ruta del elemento que desencadenoacute laoperacioacuten registrada

Cadena de caracteres(Ruta)

MUID Identificador interno del equipo del cliente Cadena de caracteres




Date

(CEF)


User

(CEF)

Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar el procesoque genero el evento registrado


MachineIP

(CEF)

Nombre del equipo de usuario quedesencadena el evento registrado Direccioacuten IP

MachineName

(CEF)

Nombre del equipo de usuario quedesencadena el evento registrado Cadena de caracteres

sev

(LEEF)

Severidad del evento Excepto para los eventosde tipo alerta siempre contiene en valor ldquo1rdquoConsulta maacutes adelante los tipos de eventos paraobtener maacutes informacioacuten

1

devTime

(LEEF)


Tabla 318 campos del evento Createcmp



Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src

(LEEF)

IP del equipo de usuario o servidor quedesencadena el evento registrado Cadena de caracteres

identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime

Fecha en formato UTC que teniacutea el equipo en elmomento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tanto puedeser erroacutenea

Fecha


bull 0 fecha real nosoportada portratarse de unevento antiguo

bull 1 fecha real nodisponible el servidorCytomic y obtenidamediante uncaacutelculo

bull 2 fecha realproporcionada porel servidor Cytomic

Client


Numeacuterico



Cytomic SIEMConnect




Op Operacioacuten registrada Cadena de caracteresldquocreatecmprdquo

ParentHash Hash del proceso que actuacutea como padre Cadena de caracteres

ParentDriveType

Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada

bull Fixed dispositivo no extraible como porejemplo un disco duro interno

bull Remote unidad de redbull Removable dispositivo extraible como por

ejemplo un pen drive o un diskettebull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta

indicada bull Cdrom unidad de CD-ROMbull Ramdisk unidad de disco RAM

Enumeracioacuten

ParentPath Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres

ParentPID Identificador del proceso padre Numeacuterico

ParentValidSig El proceso padre estaacute firmado digitalmente Booleano

ParentCompany Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres

ParentBroken El proceso padre estaacute corrupto o defectuoso Booleano

ParentImageType

Arquitectura interna del proceso padre

bull EXEx32bull EXEx64bull DLLx32bull DDLx64

Enumeracioacuten





Cytomic SIEMConnect


ParentExeType

Estructura interna tipo del proceso padre

bull Delphibull DOTNETbull VisualC

Enumeracioacuten

bull VBbull CBuilderbull Mingwbull Mssetup

bull Setupfactorybull Lcc32bull Vc7setupproject bull Unknown

ParentPrevalence

Prevalencia histoacuterica del proceso padre en los sis-temas de Cytomic

bull Highbull Mediumbull Low

Enumeracioacuten

ParentPrevLastDay

Prevalencia del proceso padre en el diacutea anterioren los sistemas de Cytomic


Enumeracioacuten

ParentCat

Categoriacutea del fichero padre que realizoacute la opera-cioacuten registrada

bull Goodwarebull Malwarebull PUPbull Unknownbull Monitoring

Enumeracioacuten

ParentMWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware


ChildHash Hash del proceso que actuacutea como hijo Cadena de caracteres



Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten

ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada


ChildPID Identificador del proceso hijo Numeacuterico

ChildValidSig El proceso hijo estaacute firmado digitalmente Booleano

ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo Cadena de caracteres

ChildBroken El proceso hijo estaacute corrupto o defectuoso Booleano

ChildImageType

Arquitectura interna del proceso hijo

bull EXEx32bull EXEx64bull DLLx32bull DLLx64

Enumeracioacuten

ChildExeType Estructura interna tipo del proceso hijo

bull Delphibull DOTNETbull VisualCbull VB

Enumeracioacuten

bull CBuilderbull Mingwbull Mssetup






Cytomic SIEMConnect


ChildPrevalence

Prevalencia histoacuterica del proceso hijo en los siste-mas de Cytomic


Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten

ChildMWNameNombre del malware en el proceso hijo si ya estaacutecatalogado como una amenaza Si es Null elelemento no es malware


OCS_Exec Se ejecutoacute en el equipo software consideradocomo vulnerable Booleano

OCS_Name Nombre del software vulnerable ejecutado Cadena de caracteres

OCS_Version Versioacuten del sistema operativo del equipo dondese ejecutoacute el software vulnerable Cadena de caracteres

Params Paraacutemetros de ejecucioacuten del proceso en la lineade comandos Cadena de caracteres

ToastResult

Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic EDR

bull Ok el cliente acepta el mensajebull Timeout el mensaje emergente desaparece

por la no accioacuten del usuariobull Angry el usuario rechaza el bloqueo desde el

mensaje emergentebull Blockbull Allow

Enumeracioacuten



Cytomic SIEMConnect




Action Accioacuten realizada por el agente Cytomic EDR














bull ExploitInformed se mostroacute un mensajeemergente al usuario informando de unintento de explotacioacuten de proceso vulnerable






Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel

Modo de ejecucioacuten del agente

bull Blocking el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware

bull Hardening el agente bloquea la ejecucioacuten detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware


Enumeracioacuten


bull Blockmode el agente estaba en modo Locken el momento del bloqueo


Enumeracioacuten




ficheros GW desconocidosbull LegacyUser permiso solicitado al usuariobull Local Signature firma local

bull MetaEsploit ataque generado con elframework metaExploit




DetId Identificador de la deteccioacuten Cadena de caracteres






Cytomic SIEMConnect


CreatedirEvento de tipo activo que se genera cuando un proceso (parent) crea un directorio (child)



Date

(CEF)


User

(CEF)

Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


Tabla 319 campos del evento Createdir

Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoCreatedirrdquo


ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat

Categoriacutea del fichero padre que realizoacute la ope-racioacuten registrada


Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay

Prevalencia histoacuterica del proceso hijo en lossistemas de Cytomic


Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult

Respuesta del usuario ante el mensaje emer-gente mostrado por Cytomic




Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect










Enumeracioacuten






Enumeracioacuten









Cytomic SIEMConnect


CreateprocessbyWMIEvento de tipo activo que se genera cuando un proceso (parent) crea un proceso (child) a traveacutes del

sistema WMI











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 320 campos del evento CreateprocessbyWMI

Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoCreateprocessbyWMIrdquo





Cytomic SIEMConnect



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten




Cytomic SIEMConnect





ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect








Enumeracioacuten






Enumeracioacuten







Cytomic SIEMConnect




CreatePE Evento de tipo activo que se genera cuando un proceso (parent) crea un nuevo fichero ejecutable

(child)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 321 campos del evento CreatePE



Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoCreatePErdquo



Cytomic SIEMConnect





ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten

ParentExeType Estructura interna tipo del proceso padre


Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence

Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic


Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacuten regis-trada



ejemplo un pen drive o un diskette

Enumeracioacuten



Cytomic SIEMConnect




bull Unknown dispositivo de tipo desconocidobull NoRootDir dispositivo no disponible en la ruta








ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten















Cytomic SIEMConnect


CreateremotethreadEvento de tipo activo que se genera cuando un proceso (parent) crea un hilo de ejecucioacuten remoto



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


Tabla 322 campos del evento Createremotethread

Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoCreateremotethreadrdquo


ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat Categoriacutea del fichero padre que realizoacute laoperacioacuten registrada


Enumeracioacuten

bull PUPbull Unknownbull Monitoring




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult

Respuesta del usuario ante el mensajeemergente mostrado por Cytomic EDR




Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect














bull NewPE aparicioacuten de un nuevo programaejecutable en el equipo que viene delexterior



Cytomic SIEMConnect









Enumeracioacuten






Enumeracioacuten

bull Context regla de contexto localbull ContextMinerva regla de contexto en la

nubebull Digital Signature fichero firmado digitalmentebull Exploit tecnologiacutea de identificacioacuten de

intento de explotacioacuten de proceso vulnerable







Cytomic SIEMConnect


CriticalsoftEvento de tipo pasivo que se genera cuando se ejecuta una aplicacioacuten vulnerable











Date

(CEF)


User

(CEF)

Nombre de la cuenta de usuario y dominioal que pertenece utilizada para ejecutar elproceso que genero el evento registrado


MachineIP

(CEF)

Nombre del equipo que desencadena elevento registrado Direccioacuten IP

MachineName

(CEF)

Nombre del equipo que desencadena elevento registrado Cadena de caracteres

sev

(LEEF)

Severidad del evento Excepto para loseventos de tipo alerta siempre contiene envalor ldquo1rdquo Consulta maacutes adelante los tipos deeventos para obtener maacutes informacioacuten

1

devTime

(LEEF)


Tabla 323 campos del evento Criticalsoft

Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)

Cuenta de usuario utilizada por el procesoque realizoacute la operacioacuten registrada Cadena de caracteres

domain

(LEEF)

Dominio de la cuenta de usuario utilizadopor el proceso que realizoacute la operacioacutenregistrada


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime

Fecha en formato UTC que teniacutea el equipoen el momento en que se produjo el eventoregistrado Esta fecha depende de laconfiguracioacuten del equipo y por lo tantopuede ser erroacutenea

Fecha





Client

Identificador utilizado para distinguir loseventos recibidos de cada cliente delpartner Este campo uacutenicamente se utilizaen el producto Cytomic SIEMConnect forPartners

Numeacuterico





Cytomic SIEMConnect


DeletePEEvento de tipo activo que se genera cuando un proceso (parent) borra un programa ejecutable

(child)


CriticalSoftEventType

bull True el software vulnerable se ejecuto enel equipo

bull False el software vulnerable fue visto en elequipo pero no se ejecutoacute

bull

Booleano

ItemHash Hash digest de la amenaza o programavulnerable encontrada Cadena de caracteres

Filename Nombre del fichero vulnerable Cadena de caracteres

FilePath Ruta completa donde se encuentra elfichero vulnerable Cadena de caracteres

Size Tamantildeo del fichero vulnerable Numeacuterico

InternalName Contenido del atributo Name de losmetadatos del fichero vulnerable Numeacuterico

CompanyName Contenido del atributo Company de losmetadatos del fichero vulnerable Cadena de caracteres

FileVersion Contenido del atributo Version de losmetadatos del fichero vulnerable Cadena de caracteres

ProductVersion Contenido del atributo ProductVersion delos metadatos del fichero vulnerable Cadena de caracteres

FilePlatform

Arquitectura interna del fichero

bull Win32NTbull Win64NT

Enumeracioacuten





Date

(CEF)


Tabla 324 campos del evento DeletePE

Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoDeletePErdquo


ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect





















Cytomic SIEMConnect





ServiceLevel





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect




DeviceopsEvento de tipo activo que se genera cuando se ejecuta una operacioacuten sobre un dispositivo externo

por parte de un proceso











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 325 campos del evento Deviceops



Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect




DnsopsEvento de tipo pasivo que se genera con cada peticioacuten de una resolucioacuten dns por parte de un

proceso

NotificationType

Tipo de operacioacuten realizada

bull 40067 conexioacuten del dispositivobull 40068 desconexioacuten correcta del dispositivobull 40070 desconexioacuten del dispositivo sin

desmontarlo previamente

Enumeracioacuten

DeviceType Tipo de unidad donde reside el proceso o ficheroque desencadenoacute la operacioacuten registrada

bull 0 desconocidobull 1 unidad de CD o DVDbull 2 dispositivo de almacenamiento SB

Enumeracioacuten

bull 3 fichero imagenbull 4 dispositivo bluetoothbull 5 modem

bull 6 impresora USBbull 7 teleacutefono moacutevilbull 8 tecladobull 9 teclado y ratoacutenbull 10 ratoacuten

UniqueId Identificador uacutenico del dispositivo Cadena de caracteres

IsDenied Indica si se ha denegado la accioacuten reportadasobre el dispositivo Booleano

IdName Nombre del dispositivo Cadena de caracteres

ClassNameClase del dispositivo Se corresponde con laclase indicada en el fichero inf asociado aldispositivo


FriendlyName Nombre comprensible del dispositivo Cadena de caracteres

Description Descripcioacuten del dispositivo Cadena de caracteres

Manufacturer Fabricante del dispositivo Cadena de caracteres

PhoneDescription Descripcioacuten del teleacutefono si la operacioacuten involucroacutea un dispositivo de este tipo Cadena de caracteres






Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


Tabla 326 campos del evento Dnsops

Cytomic SIEMConnect




ExecEvento de tipo activo que se genera cada vez que un proceso (parent) ejecuta un nuevo proceso

(child)

LocalDateTime


Fecha





Client


Numeacuterico

ProcessCount Nuacutemero de procesos en el equipo con fallos deresolucioacuten dns en la uacuteltima hora Numeacuterico

ProcessMD5 MD5 del proceso con operaciones de DNSfallidas Cadena de caracteres

ProcessPid Identificador del proceso con operaciones deDNS fallidas Numeacuterico

ProcessPath Ruta del proceso con operaciones de DNSfallidas Cadena de caracteres

FailedQueries Nuacutemero de peticiones de resolucioacuten DNS fallidasproducidas por el proceso en la uacuteltima hora Numeacuterico

QueriedDomainCount

Nuacutemero de dominios diferentes con resolucioacutenfallida del proceso en la uacuteltima hora Numeacuterico

DomainListLista de dominios enviados por el proceso al ser-vidor DNS para su resolucioacuten y nuacutemero de resolu-ciones por cada dominio

nombre_dominionumeronombre_dominionumero






Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


Tabla 327 campos del evento Exec

Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoExecrdquo


ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect


HostfilesEvento de tipo activo que se genera cuando un proceso (parent) detecta una modificacioacuten del

fichero hosts











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 328 campos del evento Hostfiles

Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico

HostName Nombre del equipo que desencadena el eventoregistrado Cadena de caracteres





Cytomic SIEMConnect


Hash Hash digest del fichero Cadena de caracteres

Drivetype

Tipo de unidad donde reside el proceso o ficheroque desencadenoacute la operacioacuten registrada




indicada bull Cdrom unidad de CD-ROM

bull Ramdisk unidad de disco RAM

Enumeracioacuten

Path Ruta del elemento que desencadenoacute laoperacioacuten registrada Cadena de caracteres

ValidSig Proceso firmado digitalmente Booleano

Company Contenido del atributo Company de losmetadatos del proceso Cadena de caracteres

Broken El fichero esta corrupto o defectuoso Cadena de caracteres

ImageType

Arquitectura interna del proceso


Enumeracioacuten

ExeType Estructura interna tipo del proceso


Enumeracioacuten





Cytomic SIEMConnect




InstallEvento de tipo pasivo que se genera cuando se instala el software de proteccioacuten Cytomic EDR


Prevalence

Prevalencia histoacuterica del proceso en los sistemasde Cytomic


Enumeracioacuten

PrevLastDay

Prevalencia del proceso en el diacutea anterior en lossistemas de Cytomic


Enumeracioacuten

Cat

Categoriacutea del fichero que realizoacute la operacioacutenregistrada


Enumeracioacuten

MWName Nombre del malware si estaacute ya catalogadocomo una amenaza Cadena de caracteres





Date

(CEF)


Tabla 329 campos del evento Install



Cytomic SIEMConnect


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha



Cytomic SIEMConnect




LoadlibEvento de tipo activo que se genera cuando un proceso (parent) carga una libreriacutea (child)





Client


Numeacuterico

Operation

Tipo de operacioacuten

bull Installbull Uninstall

Enumeracioacuten

Result

Resultado de la operacioacuten

bull OKbull No ok

Enumeracioacuten

OSVersion Versioacuten del sistema operativo instalado en elequipo del usuario Cadena de caracteres

OSServicePack Service Pack del sistema operativo del equipode usuario Cadena de caracteres

OSPlatform

Plataforma del sistema operativo del equipo deusuario

bull WIN32bull WIN64

Enumeracioacuten

MachineIP0 IP del equipo donde se registroacute el evento Direccioacuten IP






Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


Tabla 330 campos del evento Loadlib

Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoLoadlibrdquo


ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect


LoginoutopsEvento de tipo activo que se genera cuando se detecta un inicio de sesioacuten en el equipo













Date

(CEF)


User

(CEF)

Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar el procesoque generoacute el evento registrado


MachineIP

(CEF)


MachineName

(CEF)


Tabla 331 campos del evento Loginoutops

Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico

ActionTypebull 0 inicio de sesioacutenbull 1 fin de sesioacuten

Enumeracioacuten

SessionType Tipo de inicio de sesioacuten

bull 2 sesioacuten creada fiacutesicamente mediante unteclado o a traveacutes de KVM sobre IP

bull 3 sesioacuten creada remotamente en carpetas oimpresoras compartidas Este tipo de inicio desesioacuten tiene autenticacioacuten segura

Numeacuterico

bull 4 sesioacuten creada por el programador de tareasde Windows

bull 5 sesioacuten creada cuando arranca un servicioque requiere ejecutarse en la sesioacuten deusuario La sesioacuten es eliminada cuando elservicio se detiene

bull 7 sesioacuten creada cuando un usuario intentaentrar en una sesioacuten que ya estaacute creada y hasido bloqueada

bull 8 ideacutentico al tipo 3 pero la contrasentildea viaja entexto plano

bull 9 sesioacuten creada cuando se usa el comandoldquoRunAsrdquo bajo una cuenta diferente a lautilizada para iniciar la sesioacuten y especificandoel paraacutemetro ldquonetonlyrdquo Sin el paraacutemetro ldquonetonlyrdquo se genera un tipo de sesioacuten 2

bull 10 sesioacuten creada cuando se accedemediante ldquoTerminal Servicerdquo ldquoRemotedesktoprdquo o ldquoRemote Assistancerdquo Identificauna conexioacuten de usuario remota

bull 11 sesioacuten de usuario creada con credencialesde dominio cacheadas en el equipo pero sinconexioacuten con el controlador de dominio

ErrorCode bull 0xC0000064 el nombre de usuario no existebull 0XC000005E el servidor necesario para validar

el inicio de sesioacuten no estaacute disponiblebull 0xC000006A el usuario es correcto pero la

contrasentildea es incorrecta

Numeacuterico(hexadecimal)



Cytomic SIEMConnect




bull 0XC000006D el usuario o la informacioacuten deautenticacioacuten es erroacutenea

bull 0XC000006E nombre desconocido ocontrasentildea erroacutenea

bull 0xC0000234 acceso bloqueado

bull 0xC0000072 cuenta deshabilitadabull 0xC000006F intento de inicio de sesioacuten en

horario restringidobull 0xC0000070 intento de inicio de sesioacuten desde

un equipo no autorizado

bull 0xC00000DC error en el servidor de validacioacutenNo se puede realizar la operacioacuten

bull 0xC0000193 cuenta caducadabull 0xC0000071 contrasentildea caducada

bull 0xC0000133 el reloj de los equiposconectados tienen un desfase demasiadogrande

bull 0xC0000224 se requiere que el usuario cambiela contrasentildea en el siguiente reinicio

bull 0xC0000225 error de Windows que no implicariesgo

bull 0xc000018c la solicitud de inicio de sesioacuten falloacuteporque la relacioacuten de confianza entre eldominio primario y el dominio confiable falloacute

bull 0XC0000192 se intentoacute iniciar sesioacuten pero elservicio Netlogon no se inicioacute

bull 0XC00002EE se produjo un error durante elinicio de sesioacuten

bull 0XC0000413 el equipo en la que se estaacuteiniciando sesioacuten estaacute protegida por un firewallde autenticacioacuten La cuenta especificada nopuede autenticarse en el equipo

bull 0xc000015b el usuario no tiene permisos paraese tipo de inicio de sesioacuten

User Dominiousuario con el que se ha creado lasesioacuten Cadena de caracteres

Interactive Indica si es un inicio de sesioacuten de usuariointeractiva Booleano

RemoteMachineName

Si el evento es un inicio de sesioacuten remoto indica elnombre del equipo remoto Cadena de caracteres





Cytomic SIEMConnect


ModifypeEvento de tipo activo que se genera cuando un proceso (parent) modifica un programa ejecutable

(child)


RemoteIP Si el evento es un inicio de sesioacuten remoto indica laIP del equipo remoto Direccioacuten IP

RemotePort Si el evento es un inicio de sesioacuten remoto indica elpuerto del equipo remoto Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


Tabla 332 campos del evento Modifype

Cytomic SIEMConnect




domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoModifyperdquo






Cytomic SIEMConnect


ParentDriveType

Tipo de unidad donde reside el proceso ofichero padre que desencadenoacute la operacioacutenregistrada





Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







Cytomic SIEMConnect






ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect





bull AllowGWFilter se permite la ejecucioacuten delelemento por estar en la cacheacute degoodware






ServiceLevel





Enumeracioacuten




Enumeracioacuten





Cytomic SIEMConnect


ModLinuxCfgEvento de tipo activo que se genera cuando se detecta una modificacioacuten de un fichero de

configuracioacuten en un sistema operativo Linux
















Date

(CEF)


User

(CEF)



Tabla 333 campos del evento ModLinuxCfg

Cytomic SIEMConnect




MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoModLinuxCfgrdquo


ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect




ModOSXCfgEvento de tipo activo que se genera cuando se detecta una modificacioacuten de un fichero de

configuracioacuten en un sistema operativo macOS













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


Tabla 334 campos del evento ModOSXCfg



Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoModOSXCfgrdquo


ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType





Enumeracioacuten



Cytomic SIEMConnect












ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten
















Cytomic SIEMConnect


MonitoredopenEvento de tipo activo que se genera cuando se detecta que un proceso (parent) accede a un

fichero de datos (child)


El campo childpath solo contiene la extensioacuten del fichero accedido para preservar la

privacidad de los datos del cliente Para incluir la ruta y nombre concreto del fichero

accedido consulta la guiacutea avanzada del administrador de Cytomic EDR


Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


Tabla 335 campos del evento Monitoredopen

Cytomic SIEMConnect




identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico

ParentPid Identificador del proceso padre Numeacuterico










Cytomic SIEMConnect


ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten



Cytomic SIEMConnect






ChildPath Ruta del fichero hijo que realizoacute la operacioacutenregistrada Cadena de caracteres

LoggedUser Usuario logeado en el equipo en el momento dela generacioacuten del evento Cadena de caracteres

ConfigString

Indica la versioacuten del juego de reglas que estabanactivas cuando se registroacute el evento Utilizadopara tareas de diagnoacutestico por parte deldepartamento de soporte de Cytomic

Cadena de caracteresldquoMxrdquo (M0 M1 M2 etc)

ParentAttibutes Flags de atributos del proceso padre

bull 0x0000 nivel de integridad del procesoUntrusted

bull 0x1000 nivel de integridad del proceso Lowintegrity

bull 0x2000 nivel de integridad del procesoMedium integrity

bull 0x3000 nivel de integridad del proceso Highintegrity

Numeacuterico

bull 0x4000 nivel de integridad del proceso Systemintegrity

bull 0x5000 nivel de integridad del procesoProtected

bull 0x00000100 evento acumulativobull 0x00000200 Indica si el proceso ha sido

creado local o remotamentebull 0x00000400 Indica que la operacioacuten se ha

producido antes del arranque del servicio

ChildAttributes Flags de atributos del proceso hijo





Numeacuterico





Cytomic SIEMConnect


MonitoredregistryEvento de tipo activo que se genera cuando se detecta un proceso (parent) que accede al registro

del equipo del usuario para leer una rama











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 336 campos del evento Monitoredregistry

Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect






ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




NotblockedEvento de tipo activo que se genera con cada accioacuten que Cytomic EDPR deja sin analizar debido a

situaciones excepcionales (durante el tiempo de arranque del servicio en la proteccioacuten cambios de

configuracioacuten etc)

ParentCat



Enumeracioacuten



RegAction

Tipo de operacioacuten realizada en el registro delequipo

bull CreateKeybull CreateValuebull ModifyValue

Enumeracioacuten

Key Rama o clave del registro afectado Cadena de caracteres

Value Nombre del valor afectado dentro de la clavedel registro Cadena de caracteres

ValueData Contenido del valor de la clave del registro Cadena de caracteres


ConfigString








Cytomic SIEMConnect




Date

(CEF)

TimeStamp de la creacioacuten delevento en el equipo del usuario Fecha

User

(CEF)

Nombre de la cuenta de usuario ydominio al que pertenece utilizadapara ejecutar el proceso quegenero el evento registrado


MachineIP

(CEF)

Nombre del equipo quedesencadena el evento registrado Direccioacuten IP

MachineName

(CEF)

Nombre del equipo quedesencadena el evento registrado Cadena de caracteres

sev

(LEEF)

Severidad del evento Excepto paralos eventos de tipo alerta siemprecontiene en valor ldquo1rdquo Consulta maacutesadelante los tipos de eventos paraobtener maacutes informacioacuten

1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)

Cuenta de usuario utilizada por elproceso que realizoacute la operacioacutenregistrada


domain

(LEEF)

Dominio de la cuenta de usuarioutilizado por el proceso que realizoacutela operacioacuten registrada


src

(LEEF)

IP del equipo donde se registroacute elevento Cadena de caracteres

identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)


Tabla 337 Campos del evento Notblocked

Cytomic SIEMConnect




LocalDateTime

Fecha en formato UTC que teniacutea elequipo en el momento en que seprodujo el evento registrado Estafecha depende de la configuracioacutendel equipo y por lo tanto puede sererroacutenea

Fecha

PandaTimeStatus Contenido de los campos DateTimeDate y LocalDateTime

bull 0 fecha real nosoportada por tratarsede un evento antiguo



Client

Identificador utilizado para distinguirlos eventos recibidos de cadacliente del partner Este campouacutenicamente se utiliza en el productoCytomic SIEMConnect for Partners

Numeacuterico

ParentHash Digest hash del fichero padre Cadena de caracteres

ParentPath Ruta del proceso padre Cadena de caracteres

ParentValidSig Proceso padre firmadodigitalmente Booleano

ParentCompany Contenido del atributo Companyde los metadatos del proceso padre Cadena de caracteres

ParentBroken El proceso padre estaacute corrupto odefectuoso Booleano

ParentImageType

Arquitectura interna del procesopadre


Enumeracioacuten

ParentExeType Estructura interna tipo del procesopadre


Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence

Prevalencia histoacuterica del procesopadre en los sistemas de Cytomic


Enumeracioacuten

ParentPrevLastDay

Prevalencia del proceso padre en eldiacutea anterior en los sistemas de Cyto-mic


Enumeracioacuten

ParentCat

Categoriacutea del fichero padre querealizoacute la operacioacuten registrada


Enumeracioacuten

ParentMWName

Nombre del malware en el procesopadre si ya estaacute catalogado comouna amenaza Si es Null el elementono es malware


ChildHash Hash del proceso que actuacutea comohijo Cadena de caracteres

ChildPath Ruta del fichero hijo que realizoacute laoperacioacuten registrada


ChildValidSig El proceso hijo estaacute firmadodigitalmente Booleano



Cytomic SIEMConnect




ChildCompany Contenido del atributo Companyde los metadatos del proceso hijo Cadena de caracteres

ChildBroken El proceso hijo estaacute corrupto odefectuoso Booleano

ChildImageType

Arquitectura interna del procesohijo


Enumeracioacuten

ChildExeType Estructura interna tipo del procesohijo


Enumeracioacuten



ChildPrevalence

Prevalencia histoacuterica del procesohijo en los sistemas de Cytomic


Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten





Cytomic SIEMConnect


OpencmpEvento de tipo activo que se genera cuando se detecta un proceso (parent) que abre un fichero

comprimido (child)


ChildCat



Enumeracioacuten

ChildMWName

Nombre del malware en el procesohijo si ya estaacute catalogado como unaamenaza Si es Null el elemento noes malware


ResponseCat

Categoriacutea del fichero asignadaseguacuten las tecnologiacuteas localesimplementadas en del software deproteccioacuten


Enumeracioacuten

NumCacheClassifiedElements

Numero de identificadorescacheados en el equipo del usuarioen el momento en que se generoacute elevento

Numeacuterico

MUID Identificador interno del equipo delcliente Cadena de caracteres




Date

(CEF)


Tabla 338 campos del evento Opencmp

Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoOpencmprdquo


ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect




OpenlsassEvento de tipo activo que se genera cuando se detecta un proceso (parent) que acede al proceso

LSASS para intentar comprometer las credenciales de una cuenta de usuario













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoOpenlsassrdquo


ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect


ProcessNetBytesEvento de tipo activo que se genera cuando un proceso consume datos de red Se enviacutea un evento

por proceso cada cuatro horas aproximadamente con la suma de datos transferida desde el uacuteltimo

enviacuteo del registro El total de bytes enviados y recibidos por proceso es la suma de todas las

cantidades registradas











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

Tabla 340 campos del evento ProcessNetBytes

Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect


RegistrycEvento de tipo activo que se genera cuando un proceso (parent) crea una rama del registro que

apunta a un fichero ejecutable (child)




PID Identificador del proceso Numeacuterico

BytesSentAcumulado de bytes enviados por el procesodesde la generacioacuten del ultimo eventoProcessNetBytes

Numeacuterico

BytesReceivedAcumulado de bytes recibidos por el procesodesde la generacioacuten del ultimo eventoProcessNetBytes

Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 341 campos del evento Registryc

Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico

op Operacioacuten registrada CreateExeKey

Hash Hash del proceso que actuacutea como padre Cadena de caracteres





Cytomic SIEMConnect


DriveType

Tipo de unidad donde reside el proceso o ficheropadre que desencadenoacute la operacioacutenregistrada






Enumeracioacuten

Path Ruta del fichero padre que realizoacute la operacioacutenregistrada Cadena de caracteres

ValidSig El proceso padre estaacute firmado digitalmente Booleano

Company Contenido del atributo Company de losmetadatos del proceso padre Cadena de caracteres

Broken El proceso padre estaacute corrupto o defectuoso Booleano

ImageType



Enumeracioacuten

ExeType



Enumeracioacuten





Cytomic SIEMConnect




RegistrymEvento de tipo activo que se genera cuando se detecta un proceso (parent) que modifica una rama

del registro que apunta a un fichero ejecutable (child)

Prevalence

Prevalencia histoacuterica del proceso padre en lossistemas de Cytomic EDR


Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten

MWNameNombre del malware en el proceso padre si yaestaacute catalogado como una amenaza Si es Nullel elemento no es malware


TargetPath Ruta del ejecutable apuntado en el registro Cadena de caracteres

Regkey Clave de registro Cadena de caracteres






Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


Tabla 342 campos del evento Registrym

Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoModifyExeKeyrdquo


DriveType






Enumeracioacuten








Cytomic SIEMConnect



ImageType



Enumeracioacuten

ExeType Estructura interna tipo del proceso padre


Enumeracioacuten

bull VBbull CBuilderbull Mingwbull Mssetupbull Setupfactory

bull Lcc32bull Vc7setupproject bull Unknown

Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




RenamepeEvento de tipo activo que se genera cuando se detecta un proceso (parent) que cambia el nombre

de un programa ejecutable (child)


Cat



Enumeracioacuten









Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


Tabla 343 campos del evento Renamepe



Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoRenameperdquo


ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect


ScriptcreationEvento de tipo activo que se genera cuando un proceso (parent) crea un proceso (child) de tipo

script

Descripcioacuten de los campo del evento












Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


Tabla 344 campos del evento Scriptcreation

Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoscriptcreationrdquo


ParentDriveType






Enumeracioacuten


ParentFlags Flags de uso interno al servicio Cadena de caracteres



ParentBroken El proceso padre estaacute corrupto o defectuoso Booelano

ParentImageType



Enumeracioacuten



Enumeracioacuten



Cytomic SIEMConnect






ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten


ChildFlags Flags de uso interno al servicio Cadena de caracteres




ChildImageType



Enumeracioacuten

ChildExeType Estructura interna tipo del proceso padre


Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten



ServiceLevel





Enumeracioacuten






Cytomic SIEMConnect


ScriptlaunchEvento de tipo activo que se genera cuando se un proceso (parent) ejecuta un proceso (child) de

tipo script



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


Tabla 345 campos del evento Scriptlauch

Cytomic SIEMConnect




identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico

Op Operacioacuten registrada Cadena de caracteresldquoscriptlauchrdquo


ParentDriveType







Enumeracioacuten





Cytomic SIEMConnect







ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten





Cytomic SIEMConnect




SocketEvento de tipo activo que se genera cuando se detecta un proceso (parent) que abre un socket




Enumeracioacuten







Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

Tabla 346 campos del evento Socket



Cytomic SIEMConnect


devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect




Protocol Protocolo de comunicaciones utilizado por elproceso

bull TCPbull UDP

Enumeracioacuten

bull ICMPbull ICMPv6bull IGMPbull RF

Localport Puerto local del proceso Numeacuterico

Direction

Sentido de la conexioacuten de red

bull Upbull Downbull Both

Enumeracioacuten

LocalIP Direccioacuten IP local del proceso Direccioacuten IP


DriveType






Enumeracioacuten


Hostname Nombre del equipo remoto que inicioacute laconexioacuten Cadena de caracteres

IP Direccioacuten IP de la comunicacioacuten Direccioacuten IP

Port Puerto de comunicaciones utilizado por elproceso Numeacuterico

Times Nuacutemero de veces que se ha producido el mismoevento de comunicacioacuten en la uacuteltima hora Numeacuterico





Cytomic SIEMConnect


Para que dos eventos de comunicacioacuten seconsideren iguales es necesario que coincidanlos siguientes paraacutemetros teniendo en cuenta ladireccioacuten de la comunicacioacuten

bull El nombre del procesobull La direccioacuten IP local del procesobull La ruta del procesobull La direccioacuten IP de destino de la

comunicacioacutenbull El puerto destino de la comunicacioacuten

Con cada primera comunicacioacuten diferenteregistrada se enviacutea un evento con el campotimes a 1 Posteriormente por cada horatranscurrida desde el primer evento el campotimes indicaraacute el numero de eventos decomunicacioacuten iguales menos 1 producidos enese intervalo con la fecha del uacuteltimo eventoregistrado

Pid Identificador del proceso Numeacuterico



Broken El proceso padre estaacute corrupto o defectuoso Cadena de caracteres

ImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect




SvcControlEvento correspondiente a un intento de modificacioacuten de los ficheros del producto de seguridad

instalado


Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten







Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico




ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect


SystemopsEvento de tipo activo que se genera cuando se detecta la ejecucioacuten de acciones que afectan o

modifican procesos y ficheros del sistema operativo a traveacutes del sistema WMI (Windows Management

Interface)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

Tabla 348 campos del evento Systemops

Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect



Type Tipo de operacioacuten realizada por el proceso

bull 0 (WMI_COMMAND_LINE_EVENT_CREATION)evento que se genera cada vez que se creaun CommandLineEventConsumer que esuna liacutenea de comandos que va a lanzar WMIal producirse un evento en la base de datos

Enumeracioacuten

bull 1 (WMI_ACTIVE_SCRIPT_EVENT_CREATION) seha creado una consulta que lanzaraacute un script

bull 2(CREATE_WMI_EVENT_CONSUMER_TO_FILTER_CONSUMER) se va a ejecutar una consultaregistrada para lanzar en el equipo unproceso un fichero JSVBS o un script de JSVBS embebido dentro de la propia BBDD (sinfichero en disco)

bull 3(CREATE_WMI_EVENT_CONSUMER_TO_FILTER_QUERY) se ha registrado un filtro que es unaconsulta

bull 4 (WMI_EVENT_CREATE_USER) se ha creadouna cuenta de usuario

bull 5 (WMI_EVENT_DELETE_USER) se ha borradouna cuenta de usuario

bull 6 (WMI_EVENT_ADD_USER_GROUP) se haantildeadido una cuenta a un grupo de usuarios

bull 7 (WMI_EVENT_DELETE_USER_GROUP) se haborrado una cuenta de un grupo de usuarios

bull 8 (WMI_EVENT_USER_GROUP_ADMIN) se haantildeadido un usuario a un grupo de usuariosadministradores

bull 9 (WMI_EVENT_USER_GROUP_RDP) se haantildeadido un usuario a un grupo de usuarioscon acceso al equipo por RDP



Cytomic SIEMConnect




ThalertEvento de tipo pasivo que describe los paraacutemetros de la alerta que genera el Radar de ciber-ataques

cuando se detecta un patroacuten de eventos coincide descrito en una Hunting rule Este evento solo se

crea en clientes de Cytomic Orion

bull 10 (WMI_EVENT_CREATE_SERVICE) se instaloacute unnuevo servicio en el sistema

bull 11 (WMI_EVENT_USER_ACCOUNT_CHANGED semodificoacute una cuenta de usuario

bull 12(WMI_EVENT_USER_PASSWORD_RESET_ATTEMPT) se intentoacute borrar la contrasentildea de unacuenta de usuario

ObjectNameNombre uacutenico del objeto dentro de la jerarquiacutea

WMICadena de caracteres

CommandLine Liacutenea de comandos configurada como tareapara ser ejecutada a traveacutes de WMI Cadena de caracteres

MachineName Nombre del equipo que ejecutoacute el proceso

User Usuario con el que se lanza Cadena de caracteres

IsLocal Indica si la tarea se crea local o remotamente Booleano

ExtendedInfo Informacioacuten extendida Depende de laoperacioacuten Cadena de caracteres

ChildMD5 Hash del fichero cuando proceda Cadena de caracteres

ParentPid PID del proceso padre Numeacuterico

RemoteMachineName

Nombre del equipo remoto que genera elevento Cadena de caracteres

RemoteIP IP remota que genera el evento Cadena de caracteres

SessionInteractive Indica si la sesioacuten es interactiva o no Booleano






Cytomic SIEMConnect




Date

(CEF)


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


Client


Numeacuterico

ClientId Identificador del cliente Cadena de caracteres

AlertDate Fecha en la que se creoacute el indicio en laplataforma de Cytomic Orion Fecha

Tabla 349 campos del evento Thalert

Cytomic SIEMConnect




Urldownload Evento de tipo activo que se genera cuando un proceso realiza una peticioacuten descarga de un

fichero de datos por HTTP


THRuleName Nombre de la regla de Hunting que generoacute elindicio Cadena de caracteres

Mitre Teacutecnica y Taacutectica Mitre asociada a la regla deHunting que generoacute el indicio

Lista de pares TeacutecnicaTaacutectica

Severity Gravedad del indicio Cuanto menor es elnuacutemero el indicio es maacutes grave Numeacuterico

TimeStamp Marca de tiempo de la accioacuten registrada en elequipo del cliente que generoacute el indicio Fecha

EvidenceData

Datos relevantes relacionados con el indicio ydependientes de la regla de hunting activadaContiene varios campos separados por espacioscon el formato ldquoNombreCampo valorrdquo


LastHourEvidenceCount

Nordm de veces que ha ocurrido el mismo indicio en

el equipo del cliente en la uacuteltima hora

Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


Tabla 350 campos del evento Urldownload



Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico


ParentDriveType






Enumeracioacuten





ParentImageType



Enumeracioacuten



Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten



URL Url de descarga lanzada por el proceso quegeneroacute el evento registrado Cadena de caracteres




Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten



ParentPid Pid del proceso padre que realiza la descargadel fichero




Aviso legal

Marcas registradas

Informacioacuten de contacto

Acerca del Manual de descripcioacuten de eventos

Guiacutea de infraestructura Cytomic SIEMConnect

Guiacutea de uso de CYTOMIC Nexus

Cytomic EDR y Cytomic EDPR

Soporte teacutecnico

Encuesta sobre la Guiacutea para el administrador de la red

Proacutelogo

iquestA quieacuten estaacute dirigida esta guiacutea

Objetivo de la documentacioacuten

Iconos


Objetivos del servicio Cytomic SIEMConnect

Beneficios de Cytomic SIEMConnect

Flujo de informacioacuten generado por Cytomic SIEMConnect

Requisitos de Cytomic SIEMConnect

Cytomic SIEMConnect para clientes finales

Cytomic SIEMConnect para partners (Cytomic SIEMConnect for Partners)


Estructura de un evento Cytomic SIEMConnect

Agrupacioacuten de eventos

Secuencia y tiempos de entrega de la informacioacuten

Formato de los logs en Cytomic SIEMConnect

Formato Common Event Format (CEF)

Bloque Prefijo

Bloque extensiones del evento

Formato Log Event Extended Format (LEEF)

Bloque Cabecera

Bloque Atributos del evento

Categoriacuteas de eventos

Estructura de los eventos y sintaxis de los campos

Estructura interna de los eventos

Eventos de tipo activo

Eventos de tipo pasivo

Prefijos parent y child

Otros prefijos y afijos

Alertadvpolicy ADVPolicy Detected

Alertexploit Exploit Detected

Alertmalware Malware Detected

Alertprodappcontrol ProdAppControl Detected

Alertpup PUP Detected

Alertrdpattack RDPAttack Detected

Alertsecappcontrol SecAppControl Detected

Block

Createcmp

Createdir

CreateprocessbyWMI

CreatePE

Createremotethread

Criticalsoft

DeletePE

Deviceops

Dnsops

Exec

Hostfiles

Install

Loadlib

Loginoutops

Modifype

ModLinuxCfg

ModOSXCfg

Monitoredopen

Monitoredregistry

Notblocked

Opencmp

Openlsass

ProcessNetBytes

Registryc

Registrym

Renamepe

Scriptcreation

Scriptlaunch

Socket

SvcControl

Systemops

Thalert

Urldownload

Cytomic SIEMConnect

Manual de descripcioacuten de eventosiv

Cytomic SIEMConnect









CYTOMIC Nexus












Base





Cytomic SIEMConnect



Cytomic SIEMConnect


Tabla de contenidos






Cytomic SIEMConnect



Cytomic SIEMConnect


Proacutelogo

Capiacutetulo 1 | 9



















Proacutelogo


Cytomic SIEMConnect












SIEMConnect


Cytomic SIEMConnect













gestiona










Cytomic SIEMConnect













SIEM del cliente








Cytomic SIEMConnect



















Cytomic SIEMConnect


Cytomic SIEMConnect







SIEM















Cytomic SIEMConnect






























Cytomic SIEMConnect





























Cytomic SIEMConnect











formato variacutea








Cytomic SIEMConnect





Bloque Prefijo





















Name y Name 2



registryc


1




Cytomic SIEMConnect






Bloque Cabecera
























Cytomic SIEMConnect








campo



















thalert






Cytomic SIEMConnect


























Cytomic SIEMConnect





Acceso a datos

Otros

























Cytomic SIEMConnect





ser
























Cytomic SIEMConnect








bull Mw malware

bull Sec segundos








bull Dst destino






Date

(CEF)


HostIp

(CEF)


sev





Cytomic SIEMConnect


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten





Cytomic SIEMConnect
























Cytomic SIEMConnect










MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres



Cytomic SIEMConnect






la red



Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres




Cytomic SIEMConnect


Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect







MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect








Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Cytomic SIEMConnect


ExecutionStatus





















Cytomic SIEMConnect






















Cytomic SIEMConnect






MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)



Cytomic SIEMConnect




HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect












MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect






Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres


Cytomic SIEMConnect




Client


Numeacuterico


Cadena decaracteres


ExecutionStatus




















Cytomic SIEMConnect
















Cytomic SIEMConnect









MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres







Cytomic SIEMConnect






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres




Cytomic SIEMConnect







MWHash (LEEF)


MWName (LEEF)

ItemName (CEF)




Cadena decaracteres

MWPath (LEEF)






Cadena decaracteres










Cytomic SIEMConnect




Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten


Cytomic SIEMConnect























Cytomic SIEMConnect













MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cytomic SIEMConnect









Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico




Enumeracioacuten





goodware








Enumeracioacuten



proceso





Cytomic SIEMConnect





Enumeracioacuten






Enumeracioacuten





metaExploit






Enumeracioacuten



Cytomic SIEMConnect





(child)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src

(LEEF)


identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect






ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten





Cytomic SIEMConnect


ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect
























Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten















Cytomic SIEMConnect





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)



Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect










Enumeracioacuten






Enumeracioacuten









Cytomic SIEMConnect



sistema WMI











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico






Cytomic SIEMConnect



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten




Cytomic SIEMConnect





ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect








Enumeracioacuten






Enumeracioacuten







Cytomic SIEMConnect





(child)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico




Cytomic SIEMConnect





ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Enumeracioacuten



Cytomic SIEMConnect












ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten















Cytomic SIEMConnect





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)



Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect






Enumeracioacuten





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect









Enumeracioacuten






Enumeracioacuten










Cytomic SIEMConnect













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)



src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect



(child)





bull

Booleano









FilePlatform



Enumeracioacuten





Date

(CEF)



Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect





















Cytomic SIEMConnect





ServiceLevel





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect
















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect





proceso

NotificationType




Enumeracioacuten



Enumeracioacuten

















Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect





(child)

LocalDateTime


Fecha





Client


Numeacuterico






QueriedDomainCount









Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect



fichero hosts











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico






Cytomic SIEMConnect



Drivetype







Enumeracioacuten





ImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect






Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten






Date

(CEF)





Cytomic SIEMConnect


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha



Cytomic SIEMConnect









Client


Numeacuterico

Operation



Enumeracioacuten

Result


bull OKbull No ok

Enumeracioacuten



OSPlatform



Enumeracioacuten







Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)



Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico


Enumeracioacuten




Numeacuterico














Cytomic SIEMConnect






















RemoteMachineName






Cytomic SIEMConnect



(child)








Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)



Cytomic SIEMConnect




domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect


ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







Cytomic SIEMConnect






ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect











ServiceLevel





Enumeracioacuten




Enumeracioacuten





Cytomic SIEMConnect



















Date

(CEF)


User

(CEF)




Cytomic SIEMConnect




MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect


















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType





Enumeracioacuten



Cytomic SIEMConnect












ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten
















Cytomic SIEMConnect









Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src



Cytomic SIEMConnect




identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico











Cytomic SIEMConnect


ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten



Cytomic SIEMConnect








ConfigString








Numeacuterico











Numeacuterico





Cytomic SIEMConnect














Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect






ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect







ParentCat



Enumeracioacuten



RegAction



Enumeracioacuten





ConfigString








Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)



domain

(LEEF)



src

(LEEF)


identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten

ParentMWName









Cytomic SIEMConnect






ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten





Cytomic SIEMConnect



comprimido (child)


ChildCat



Enumeracioacuten

ChildMWName



ResponseCat



Enumeracioacuten



Numeacuterico





Date

(CEF)



Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect


















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect
















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1


Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect









Numeacuterico


Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect


DriveType







Enumeracioacuten





ImageType



Enumeracioacuten

ExeType



Enumeracioacuten





Cytomic SIEMConnect






Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten










Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



DriveType






Enumeracioacuten








Cytomic SIEMConnect



ImageType



Enumeracioacuten



Enumeracioacuten



Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten



Cytomic SIEMConnect







Cat



Enumeracioacuten









Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect



script













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)



Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten



Cytomic SIEMConnect






ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten



ServiceLevel





Enumeracioacuten






Cytomic SIEMConnect



tipo script



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc



Cytomic SIEMConnect




identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType







Enumeracioacuten





Cytomic SIEMConnect







ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten





Cytomic SIEMConnect








Enumeracioacuten







Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1




Cytomic SIEMConnect


devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect





bull TCPbull UDP

Enumeracioacuten



Direction



Enumeracioacuten



DriveType






Enumeracioacuten










Cytomic SIEMConnect










ImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





instalado


Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten







Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico




ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect




Interface)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1


Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect





Enumeracioacuten












Cytomic SIEMConnect



















RemoteMachineName









Cytomic SIEMConnect




Date

(CEF)


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


Client


Numeacuterico




Cytomic SIEMConnect












EvidenceData






Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico


ParentDriveType






Enumeracioacuten





ParentImageType



Enumeracioacuten



Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten







Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Aviso legal

Marcas registradas








Proacutelogo



Iconos














Bloque Prefijo



Bloque Cabecera
















Block

Createcmp

Createdir

CreateprocessbyWMI

CreatePE

Createremotethread

Criticalsoft

DeletePE

Deviceops

Dnsops

Exec

Hostfiles

Install

Loadlib

Loginoutops

Modifype

ModLinuxCfg

ModOSXCfg

Monitoredopen

Monitoredregistry

Notblocked

Opencmp

Openlsass

ProcessNetBytes

Registryc

Registrym

Renamepe

Scriptcreation

Scriptlaunch

Socket

SvcControl

Systemops

Thalert

Urldownload

Cytomic SIEMConnect









CYTOMIC Nexus












Base





Cytomic SIEMConnect



Cytomic SIEMConnect


Tabla de contenidos






Cytomic SIEMConnect



Cytomic SIEMConnect


Proacutelogo

Capiacutetulo 1 | 9



















Proacutelogo


Cytomic SIEMConnect












SIEMConnect


Cytomic SIEMConnect













gestiona










Cytomic SIEMConnect













SIEM del cliente








Cytomic SIEMConnect



















Cytomic SIEMConnect


Cytomic SIEMConnect







SIEM















Cytomic SIEMConnect






























Cytomic SIEMConnect





























Cytomic SIEMConnect











formato variacutea








Cytomic SIEMConnect





Bloque Prefijo





















Name y Name 2



registryc


1




Cytomic SIEMConnect






Bloque Cabecera
























Cytomic SIEMConnect








campo



















thalert






Cytomic SIEMConnect


























Cytomic SIEMConnect





Acceso a datos

Otros

























Cytomic SIEMConnect





ser
























Cytomic SIEMConnect








bull Mw malware

bull Sec segundos








bull Dst destino






Date

(CEF)


HostIp

(CEF)


sev





Cytomic SIEMConnect


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten





Cytomic SIEMConnect
























Cytomic SIEMConnect










MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres



Cytomic SIEMConnect






la red



Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres




Cytomic SIEMConnect


Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect







MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect








Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Cytomic SIEMConnect


ExecutionStatus





















Cytomic SIEMConnect






















Cytomic SIEMConnect






MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)



Cytomic SIEMConnect




HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect












MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect






Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres


Cytomic SIEMConnect




Client


Numeacuterico


Cadena decaracteres


ExecutionStatus




















Cytomic SIEMConnect
















Cytomic SIEMConnect









MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres







Cytomic SIEMConnect






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres




Cytomic SIEMConnect







MWHash (LEEF)


MWName (LEEF)

ItemName (CEF)




Cadena decaracteres

MWPath (LEEF)






Cadena decaracteres










Cytomic SIEMConnect




Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten


Cytomic SIEMConnect























Cytomic SIEMConnect













MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cytomic SIEMConnect









Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico




Enumeracioacuten





goodware








Enumeracioacuten



proceso





Cytomic SIEMConnect





Enumeracioacuten






Enumeracioacuten





metaExploit






Enumeracioacuten



Cytomic SIEMConnect





(child)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src

(LEEF)


identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect






ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten





Cytomic SIEMConnect


ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect
























Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten















Cytomic SIEMConnect





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)



Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect










Enumeracioacuten






Enumeracioacuten









Cytomic SIEMConnect



sistema WMI











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico






Cytomic SIEMConnect



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten




Cytomic SIEMConnect





ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect








Enumeracioacuten






Enumeracioacuten







Cytomic SIEMConnect





(child)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico




Cytomic SIEMConnect





ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Enumeracioacuten



Cytomic SIEMConnect












ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten















Cytomic SIEMConnect





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)



Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect






Enumeracioacuten





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect









Enumeracioacuten






Enumeracioacuten










Cytomic SIEMConnect













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)



src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect



(child)





bull

Booleano









FilePlatform



Enumeracioacuten





Date

(CEF)



Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect





















Cytomic SIEMConnect





ServiceLevel





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect
















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect





proceso

NotificationType




Enumeracioacuten



Enumeracioacuten

















Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect





(child)

LocalDateTime


Fecha





Client


Numeacuterico






QueriedDomainCount









Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect



fichero hosts











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico






Cytomic SIEMConnect



Drivetype







Enumeracioacuten





ImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect






Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten






Date

(CEF)





Cytomic SIEMConnect


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha



Cytomic SIEMConnect









Client


Numeacuterico

Operation



Enumeracioacuten

Result


bull OKbull No ok

Enumeracioacuten



OSPlatform



Enumeracioacuten







Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)



Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico


Enumeracioacuten




Numeacuterico














Cytomic SIEMConnect






















RemoteMachineName






Cytomic SIEMConnect



(child)








Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)



Cytomic SIEMConnect




domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect


ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







Cytomic SIEMConnect






ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect











ServiceLevel





Enumeracioacuten




Enumeracioacuten





Cytomic SIEMConnect



















Date

(CEF)


User

(CEF)




Cytomic SIEMConnect




MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect


















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType





Enumeracioacuten



Cytomic SIEMConnect












ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten
















Cytomic SIEMConnect









Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src



Cytomic SIEMConnect




identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico











Cytomic SIEMConnect


ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten



Cytomic SIEMConnect








ConfigString








Numeacuterico











Numeacuterico





Cytomic SIEMConnect














Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect






ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect







ParentCat



Enumeracioacuten



RegAction



Enumeracioacuten





ConfigString








Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)



domain

(LEEF)



src

(LEEF)


identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten

ParentMWName









Cytomic SIEMConnect






ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten





Cytomic SIEMConnect



comprimido (child)


ChildCat



Enumeracioacuten

ChildMWName



ResponseCat



Enumeracioacuten



Numeacuterico





Date

(CEF)



Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect


















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect
















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1


Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect









Numeacuterico


Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect


DriveType







Enumeracioacuten





ImageType



Enumeracioacuten

ExeType



Enumeracioacuten





Cytomic SIEMConnect






Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten










Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



DriveType






Enumeracioacuten








Cytomic SIEMConnect



ImageType



Enumeracioacuten



Enumeracioacuten



Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten



Cytomic SIEMConnect







Cat



Enumeracioacuten









Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect



script













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)



Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten



Cytomic SIEMConnect






ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten



ServiceLevel





Enumeracioacuten






Cytomic SIEMConnect



tipo script



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc



Cytomic SIEMConnect




identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType







Enumeracioacuten





Cytomic SIEMConnect







ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten





Cytomic SIEMConnect








Enumeracioacuten







Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1




Cytomic SIEMConnect


devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect





bull TCPbull UDP

Enumeracioacuten



Direction



Enumeracioacuten



DriveType






Enumeracioacuten










Cytomic SIEMConnect










ImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





instalado


Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten







Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico




ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect




Interface)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1


Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect





Enumeracioacuten












Cytomic SIEMConnect



















RemoteMachineName









Cytomic SIEMConnect




Date

(CEF)


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


Client


Numeacuterico




Cytomic SIEMConnect












EvidenceData






Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico


ParentDriveType






Enumeracioacuten





ParentImageType



Enumeracioacuten



Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten







Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Aviso legal

Marcas registradas








Proacutelogo



Iconos














Bloque Prefijo



Bloque Cabecera
















Block

Createcmp

Createdir

CreateprocessbyWMI

CreatePE

Createremotethread

Criticalsoft

DeletePE

Deviceops

Dnsops

Exec

Hostfiles

Install

Loadlib

Loginoutops

Modifype

ModLinuxCfg

ModOSXCfg

Monitoredopen

Monitoredregistry

Notblocked

Opencmp

Openlsass

ProcessNetBytes

Registryc

Registrym

Renamepe

Scriptcreation

Scriptlaunch

Socket

SvcControl

Systemops

Thalert

Urldownload

Cytomic SIEMConnect



Cytomic SIEMConnect


Tabla de contenidos






Cytomic SIEMConnect



Cytomic SIEMConnect


Proacutelogo

Capiacutetulo 1 | 9



















Proacutelogo


Cytomic SIEMConnect












SIEMConnect


Cytomic SIEMConnect













gestiona










Cytomic SIEMConnect













SIEM del cliente








Cytomic SIEMConnect



















Cytomic SIEMConnect


Cytomic SIEMConnect







SIEM















Cytomic SIEMConnect






























Cytomic SIEMConnect





























Cytomic SIEMConnect











formato variacutea








Cytomic SIEMConnect





Bloque Prefijo





















Name y Name 2



registryc


1




Cytomic SIEMConnect






Bloque Cabecera
























Cytomic SIEMConnect








campo



















thalert






Cytomic SIEMConnect


























Cytomic SIEMConnect





Acceso a datos

Otros

























Cytomic SIEMConnect





ser
























Cytomic SIEMConnect








bull Mw malware

bull Sec segundos








bull Dst destino






Date

(CEF)


HostIp

(CEF)


sev





Cytomic SIEMConnect


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten





Cytomic SIEMConnect
























Cytomic SIEMConnect










MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres



Cytomic SIEMConnect






la red



Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres




Cytomic SIEMConnect


Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect







MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect








Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Cytomic SIEMConnect


ExecutionStatus





















Cytomic SIEMConnect






















Cytomic SIEMConnect






MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)



Cytomic SIEMConnect




HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect












MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect






Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres


Cytomic SIEMConnect




Client


Numeacuterico


Cadena decaracteres


ExecutionStatus




















Cytomic SIEMConnect
















Cytomic SIEMConnect









MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres







Cytomic SIEMConnect






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres




Cytomic SIEMConnect







MWHash (LEEF)


MWName (LEEF)

ItemName (CEF)




Cadena decaracteres

MWPath (LEEF)






Cadena decaracteres










Cytomic SIEMConnect




Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten


Cytomic SIEMConnect























Cytomic SIEMConnect













MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cytomic SIEMConnect









Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico




Enumeracioacuten





goodware








Enumeracioacuten



proceso





Cytomic SIEMConnect





Enumeracioacuten






Enumeracioacuten





metaExploit






Enumeracioacuten



Cytomic SIEMConnect





(child)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src

(LEEF)


identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect






ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten





Cytomic SIEMConnect


ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect
























Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten















Cytomic SIEMConnect





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)



Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect










Enumeracioacuten






Enumeracioacuten









Cytomic SIEMConnect



sistema WMI











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico






Cytomic SIEMConnect



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten




Cytomic SIEMConnect





ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect








Enumeracioacuten






Enumeracioacuten







Cytomic SIEMConnect





(child)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico




Cytomic SIEMConnect





ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Enumeracioacuten



Cytomic SIEMConnect












ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten















Cytomic SIEMConnect





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)



Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect






Enumeracioacuten





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect









Enumeracioacuten






Enumeracioacuten










Cytomic SIEMConnect













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)



src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect



(child)





bull

Booleano









FilePlatform



Enumeracioacuten





Date

(CEF)



Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect





















Cytomic SIEMConnect





ServiceLevel





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect
















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect





proceso

NotificationType




Enumeracioacuten



Enumeracioacuten

















Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect





(child)

LocalDateTime


Fecha





Client


Numeacuterico






QueriedDomainCount









Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect



fichero hosts











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico






Cytomic SIEMConnect



Drivetype







Enumeracioacuten





ImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect






Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten






Date

(CEF)





Cytomic SIEMConnect


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha



Cytomic SIEMConnect









Client


Numeacuterico

Operation



Enumeracioacuten

Result


bull OKbull No ok

Enumeracioacuten



OSPlatform



Enumeracioacuten







Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)



Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico


Enumeracioacuten




Numeacuterico














Cytomic SIEMConnect






















RemoteMachineName






Cytomic SIEMConnect



(child)








Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)



Cytomic SIEMConnect




domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect


ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







Cytomic SIEMConnect






ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect











ServiceLevel





Enumeracioacuten




Enumeracioacuten





Cytomic SIEMConnect



















Date

(CEF)


User

(CEF)




Cytomic SIEMConnect




MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect


















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType





Enumeracioacuten



Cytomic SIEMConnect












ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten
















Cytomic SIEMConnect









Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src



Cytomic SIEMConnect




identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico











Cytomic SIEMConnect


ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten



Cytomic SIEMConnect








ConfigString








Numeacuterico











Numeacuterico





Cytomic SIEMConnect














Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect






ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect







ParentCat



Enumeracioacuten



RegAction



Enumeracioacuten





ConfigString








Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)



domain

(LEEF)



src

(LEEF)


identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten

ParentMWName









Cytomic SIEMConnect






ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten





Cytomic SIEMConnect



comprimido (child)


ChildCat



Enumeracioacuten

ChildMWName



ResponseCat



Enumeracioacuten



Numeacuterico





Date

(CEF)



Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect


















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect
















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1


Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect









Numeacuterico


Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect


DriveType







Enumeracioacuten





ImageType



Enumeracioacuten

ExeType



Enumeracioacuten





Cytomic SIEMConnect






Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten










Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



DriveType






Enumeracioacuten








Cytomic SIEMConnect



ImageType



Enumeracioacuten



Enumeracioacuten



Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten



Cytomic SIEMConnect







Cat



Enumeracioacuten









Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect



script













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)



Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten



Cytomic SIEMConnect






ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten



ServiceLevel





Enumeracioacuten






Cytomic SIEMConnect



tipo script



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc



Cytomic SIEMConnect




identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType







Enumeracioacuten





Cytomic SIEMConnect







ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten





Cytomic SIEMConnect








Enumeracioacuten







Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1




Cytomic SIEMConnect


devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect





bull TCPbull UDP

Enumeracioacuten



Direction



Enumeracioacuten



DriveType






Enumeracioacuten










Cytomic SIEMConnect










ImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





instalado


Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten







Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico




ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect




Interface)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1


Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect





Enumeracioacuten












Cytomic SIEMConnect



















RemoteMachineName









Cytomic SIEMConnect




Date

(CEF)


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


Client


Numeacuterico




Cytomic SIEMConnect












EvidenceData






Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico


ParentDriveType






Enumeracioacuten





ParentImageType



Enumeracioacuten



Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten







Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Aviso legal

Marcas registradas








Proacutelogo



Iconos














Bloque Prefijo



Bloque Cabecera
















Block

Createcmp

Createdir

CreateprocessbyWMI

CreatePE

Createremotethread

Criticalsoft

DeletePE

Deviceops

Dnsops

Exec

Hostfiles

Install

Loadlib

Loginoutops

Modifype

ModLinuxCfg

ModOSXCfg

Monitoredopen

Monitoredregistry

Notblocked

Opencmp

Openlsass

ProcessNetBytes

Registryc

Registrym

Renamepe

Scriptcreation

Scriptlaunch

Socket

SvcControl

Systemops

Thalert

Urldownload

Cytomic SIEMConnect


Tabla de contenidos






Cytomic SIEMConnect



Cytomic SIEMConnect


Proacutelogo

Capiacutetulo 1 | 9



















Proacutelogo


Cytomic SIEMConnect












SIEMConnect


Cytomic SIEMConnect













gestiona










Cytomic SIEMConnect













SIEM del cliente








Cytomic SIEMConnect



















Cytomic SIEMConnect


Cytomic SIEMConnect







SIEM















Cytomic SIEMConnect






























Cytomic SIEMConnect





























Cytomic SIEMConnect











formato variacutea








Cytomic SIEMConnect





Bloque Prefijo





















Name y Name 2



registryc


1




Cytomic SIEMConnect






Bloque Cabecera
























Cytomic SIEMConnect








campo



















thalert






Cytomic SIEMConnect


























Cytomic SIEMConnect





Acceso a datos

Otros

























Cytomic SIEMConnect





ser
























Cytomic SIEMConnect








bull Mw malware

bull Sec segundos








bull Dst destino






Date

(CEF)


HostIp

(CEF)


sev





Cytomic SIEMConnect


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten





Cytomic SIEMConnect
























Cytomic SIEMConnect










MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres



Cytomic SIEMConnect






la red



Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres




Cytomic SIEMConnect


Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect







MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect








Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Cytomic SIEMConnect


ExecutionStatus





















Cytomic SIEMConnect






















Cytomic SIEMConnect






MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)



Cytomic SIEMConnect




HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect












MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres





Cytomic SIEMConnect






Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres


Cytomic SIEMConnect




Client


Numeacuterico


Cadena decaracteres


ExecutionStatus




















Cytomic SIEMConnect
















Cytomic SIEMConnect









MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres







Cytomic SIEMConnect






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres




Cytomic SIEMConnect







MWHash (LEEF)


MWName (LEEF)

ItemName (CEF)




Cadena decaracteres

MWPath (LEEF)






Cadena decaracteres










Cytomic SIEMConnect




Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numeacuterico


Cadena decaracteres





Enumeracioacuten


Cytomic SIEMConnect























Cytomic SIEMConnect













MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cytomic SIEMConnect









Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico




Enumeracioacuten





goodware








Enumeracioacuten



proceso





Cytomic SIEMConnect





Enumeracioacuten






Enumeracioacuten





metaExploit






Enumeracioacuten



Cytomic SIEMConnect





(child)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src

(LEEF)


identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect






ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten





Cytomic SIEMConnect


ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect
























Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten















Cytomic SIEMConnect





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)



Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect










Enumeracioacuten






Enumeracioacuten









Cytomic SIEMConnect



sistema WMI











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico






Cytomic SIEMConnect



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten




Cytomic SIEMConnect





ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect








Enumeracioacuten






Enumeracioacuten







Cytomic SIEMConnect





(child)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico




Cytomic SIEMConnect





ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Enumeracioacuten



Cytomic SIEMConnect












ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten















Cytomic SIEMConnect





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)



Cytomic SIEMConnect




HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect






Enumeracioacuten





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect









Enumeracioacuten






Enumeracioacuten










Cytomic SIEMConnect













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)



src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect



(child)





bull

Booleano









FilePlatform



Enumeracioacuten





Date

(CEF)



Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect





















Cytomic SIEMConnect





ServiceLevel





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect
















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)





Cytomic SIEMConnect


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect





proceso

NotificationType




Enumeracioacuten



Enumeracioacuten

















Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect





(child)

LocalDateTime


Fecha





Client


Numeacuterico






QueriedDomainCount









Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten

ParentExeType



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect



fichero hosts











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico






Cytomic SIEMConnect



Drivetype







Enumeracioacuten





ImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect






Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten






Date

(CEF)





Cytomic SIEMConnect


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha



Cytomic SIEMConnect









Client


Numeacuterico

Operation



Enumeracioacuten

Result


bull OKbull No ok

Enumeracioacuten



OSPlatform



Enumeracioacuten







Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)



Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico


Enumeracioacuten




Numeacuterico














Cytomic SIEMConnect






















RemoteMachineName






Cytomic SIEMConnect



(child)








Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)



Cytomic SIEMConnect




domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect


ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







Cytomic SIEMConnect






ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten




Enumeracioacuten







Cytomic SIEMConnect




















Cytomic SIEMConnect











ServiceLevel





Enumeracioacuten




Enumeracioacuten





Cytomic SIEMConnect



















Date

(CEF)


User

(CEF)




Cytomic SIEMConnect




MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect


















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten




ChildDriveType





Enumeracioacuten



Cytomic SIEMConnect












ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten





Cytomic SIEMConnect


ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







ToastResult





Enumeracioacuten



Cytomic SIEMConnect







Enumeracioacuten

















Cytomic SIEMConnect

















Cytomic SIEMConnect




ServiceLevel





Enumeracioacuten




Enumeracioacuten
















Cytomic SIEMConnect









Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src



Cytomic SIEMConnect




identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico











Cytomic SIEMConnect


ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten



Cytomic SIEMConnect








ConfigString








Numeacuterico











Numeacuterico





Cytomic SIEMConnect














Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect






ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect







ParentCat



Enumeracioacuten



RegAction



Enumeracioacuten





ConfigString








Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)



domain

(LEEF)



src

(LEEF)


identSrc

(LEEF)


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten

ParentMWName









Cytomic SIEMConnect






ChildImageType



Enumeracioacuten



Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten





Cytomic SIEMConnect



comprimido (child)


ChildCat



Enumeracioacuten

ChildMWName



ResponseCat



Enumeracioacuten



Numeacuterico





Date

(CEF)



Cytomic SIEMConnect




User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Cytomic SIEMConnect






Client


Numeacuterico



ParentDriveType






Enumeracioacuten








Cytomic SIEMConnect




ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten





Cytomic SIEMConnect





ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten











Cytomic SIEMConnect


ToastResult





Enumeracioacuten




Enumeracioacuten












Cytomic SIEMConnect




















Cytomic SIEMConnect






ServiceLevel





Enumeracioacuten




Enumeracioacuten






Cytomic SIEMConnect


















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect
















Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1


Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect









Numeacuterico


Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)



Cytomic SIEMConnect




devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico







Cytomic SIEMConnect


DriveType







Enumeracioacuten





ImageType



Enumeracioacuten

ExeType



Enumeracioacuten





Cytomic SIEMConnect






Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten










Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico



DriveType






Enumeracioacuten








Cytomic SIEMConnect



ImageType



Enumeracioacuten



Enumeracioacuten



Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten



Cytomic SIEMConnect







Cat



Enumeracioacuten









Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten






Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten









Cytomic SIEMConnect




ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect
















Cytomic SIEMConnect








ServiceLevel





Enumeracioacuten




Enumeracioacuten








Cytomic SIEMConnect



script













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)



Cytomic SIEMConnect




sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha









Cytomic SIEMConnect


Client


Numeacuterico



ParentDriveType






Enumeracioacuten






ParentImageType



Enumeracioacuten



Enumeracioacuten



Cytomic SIEMConnect






ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten








Cytomic SIEMConnect


ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten



Enumeracioacuten





Cytomic SIEMConnect




ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten



ServiceLevel





Enumeracioacuten






Cytomic SIEMConnect



tipo script



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc



Cytomic SIEMConnect




identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



ParentDriveType







Enumeracioacuten





Cytomic SIEMConnect







ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten





Cytomic SIEMConnect








Enumeracioacuten







Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1




Cytomic SIEMConnect


devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico



Cytomic SIEMConnect





bull TCPbull UDP

Enumeracioacuten



Direction



Enumeracioacuten



DriveType






Enumeracioacuten










Cytomic SIEMConnect










ImageType



Enumeracioacuten



Enumeracioacuten




Cytomic SIEMConnect





instalado


Prevalence



Enumeracioacuten

PrevLastDay



Enumeracioacuten

Cat



Enumeracioacuten







Cytomic SIEMConnect




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)



Cytomic SIEMConnect




LocalDateTime


Fecha





Client


Numeacuterico




ParentDriveType






Enumeracioacuten







Cytomic SIEMConnect





ParentImageType



Enumeracioacuten



Enumeracioacuten



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten



Cytomic SIEMConnect




ParentCat



Enumeracioacuten




ChildDriveType






Enumeracioacuten







ChildImageType



Enumeracioacuten





Cytomic SIEMConnect




Enumeracioacuten



ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Cytomic SIEMConnect






ToastResult





Enumeracioacuten




Enumeracioacuten














Cytomic SIEMConnect

















Cytomic SIEMConnect







ServiceLevel





Enumeracioacuten




Enumeracioacuten










Cytomic SIEMConnect




Interface)











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1


Cytomic SIEMConnect




devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numeacuterico





Cytomic SIEMConnect





Enumeracioacuten












Cytomic SIEMConnect



















RemoteMachineName









Cytomic SIEMConnect




Date

(CEF)


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


Client


Numeacuterico




Cytomic SIEMConnect












EvidenceData






Numeacuterico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)





Cytomic SIEMConnect


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat



usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Cytomic SIEMConnect




Client


Numeacuterico


ParentDriveType






Enumeracioacuten





ParentImageType



Enumeracioacuten



Enumeracioacuten






Cytomic SIEMConnect



ParentPrevalence



Enumeracioacuten

ParentPrevLastDay



Enumeracioacuten

ParentCat



Enumeracioacuten







Cytomic SIEMConnect




ChildDriveType






Enumeracioacuten






ChildImageType



Enumeracioacuten



Enumeracioacuten







Cytomic SIEMConnect


ChildPrevalence



Enumeracioacuten

ChildPrevLastDay



Enumeracioacuten

ChildCat



Enumeracioacuten







Aviso legal

Marcas registradas








Proacutelogo



Iconos














Bloque Prefijo



Bloque Cabecera
















Block

Createcmp

Createdir

CreateprocessbyWMI

CreatePE

Createremotethread

Criticalsoft

DeletePE

Deviceops

Dnsops

Exec

Hostfiles

Install

Loadlib

Loginoutops

Modifype

ModLinuxCfg

ModOSXCfg

Monitoredopen

Monitoredregistry

Notblocked

Opencmp

Openlsass

ProcessNetBytes

Registryc

Registrym

Renamepe

Scriptcreation

Scriptlaunch

Socket

SvcControl

Systemops

Thalert

Urldownload

siemconnect cytomic

Documents