Manual de descripción de eventos Panda SIEMFeeder

Manual de descripción de eventosPanda SIEMFeeder

Versión: 4.01.00-00

Autor: Panda Security

Fecha: 13/12/2021

Panda SIEMFeeder

Manual de descripción de eventos iii

Aviso legal.Ni los documentos ni los programas a los que usted pueda acceder pueden ser copiados,

reproducidos, traducidos o transferidos por cualquier medio electrónico o legible sin el permiso previo

y por escrito de Panda Security, Santiago de Compostela, 12, 48003 Bilbao (Bizkaia), ESPAÑA.

Marcas registradas. Windows Vista y el logotipo de Windows son marcas o marcas registradas de Microsoft Corporation en

los Estados Unidos y otros países. Todos los demás nombres de productos pueden ser marcas

registradas de sus respectivas compañías.

© Panda Security 2021. Todos los derechos reservados

Información de contacto.Oficinas centrales:

Panda Security

Calle Santiago de Compostela 12

Bilbao (Bizkaia) 48003 España.https://www.pandasecurity.com/spain/about/contact/

https://www.pandasecurity.com/spain/about/contact/

Panda SIEMFeeder

iv Manual de descripción de eventos

Panda SIEMFeeder

Manual de descripción de eventos v

Acerca del Manual de descripción de eventosPara obtener la versión más reciente de esta guía consulta la dirección web:

https://www.pandasecurity.com/rfiles/enterprise/solutions/adaptivedefense/SIEMFeederAD-ManualDescripcionEventos-ES.pdf

Guía de infraestructura Panda SIEMFeederLa Guía de infraestructura Panda SIEMFeeder completa el Manual de descripción de eventos Azure

mostrando los recursos necesarios en la red del cliente para habilitar la recepción de información

generada por el servicio.

https://www.pandasecurity.com/rfiles/enterprise/solutions/adaptivedefense/SIEMFeeder-Manual-ES.PDF

Guía de uso de Panda Partner CenterPara configurar el servicio Panda SIEMFeeder for Partners es necesario acceder al producto Panda

Partner Center.

• Para obtener la versión más reciente de esta guía consulta la dirección web:

http://documents.managedprotection.pandasecurity.com/AdvancedGuide/PARTNERCENTER-Manual-ES.pdf

• Para consultar un tema específico, accede a la ayuda online del producto en la dirección web:

http://documents.managedprotection.pandasecurity.com/Help/v77000//Partners/es-es/index.htm

Panda Adaptive Defense y Panda Adaptive Defense 360Panda SIEMFeeder es un servicio que requiere los productos de seguridad Panda Adaptive Defense o

Panda Adaptive Defense 360 Consulta las guías en:

https://www.pandasecurity.com/rfiles/enterprise/solutions/adaptivedefense/latest/ADAPTIVEDEFENSE360oAP-guia-ES.pdf

https://www.pandasecurity.com/rfiles/enterprise/solutions/adaptivedefense/latest/ADAPTIVEDEFENSEoAP-guia-ES.pdf

Soporte técnicoPanda Security ofrece un soporte técnico global cuyo objetivo principal es responder a cuestiones

especificas sobre el funcionamiento de sus productos. El equipo de soporte técnico también genera

documentación sobre detalles técnicos del producto, que ofrece a través de su portal eKnowledge

Base.

Para acceder al portal eKnowledge Base consulta la siguiente URL:

https://www.pandasecurity.com/es/support/siemfeeder.htm


https://www.pandasecurity.com/es/support/siemfeeder.htm



https://www.pandasecurity.com/rfiles/enterprise/solutions/adaptivedefense/latest/ADAPTIVEDEFENSE360oAP-guia-ES.pdf

https://www.pandasecurity.com/rfiles/enterprise/solutions/adaptivedefense/SIEMFeederAD-ManualDescripcionEventos-ES.pdf


https://www.pandasecurity.com/rfiles/enterprise/solutions/adaptivedefense/latest/ADAPTIVEDEFENSEoAP-guia-ES.pdf

Panda SIEMFeeder

vi Manual de descripción de eventos

Encuesta sobre la Guía para el administrador de la redEvalúa esta guía para administradores y enviamos sugerencias y peticiones para próximas versiones

de la documentación en:

https://es.surveymonkey.com/r/feedbackSIEMFeederEvManES

https://es.surveymonkey.com/r/feedbackSIEMFeederEvManES

Panda SIEMFeeder

Manual de descripción de eventos vii

Tabla de contenidos

Capítulo 1: Prólogo - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 9¿A quién está dirigida esta guía?...........................................................................................................................................9Objetivo de la documentación ............................................................................................................................................ 10Iconos ....................................................................................................................................................................................... 10

Capítulo 2: Beneficios y arquitectura general - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 11Objetivos del servicio Panda SIEMFeeder............................................................................................................................ 11Beneficios de Panda SIEMFeeder ......................................................................................................................................... 12Flujo de información generado por Panda SIEMFeeder ...................................................................................................12Requisitos de Panda SIEMFeeder.......................................................................................................................................... 12

Capítulo 3: Eventos e información extendida - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 15Estructura de un evento Panda SIEMFeeder....................................................................................................................... 17Formato de los logs en Panda SIEMFeeder ......................................................................................................................... 18

Formato Common Event Format (CEF) .................................................................................................................... 18Formato Log Event Extended Format (LEEF) ............................................................................................................ 19

Categorías de eventos .......................................................................................................................................................... 20Estructura de los eventos y sintaxis de los campos............................................................................................................. 23Alertexploit Exploit Detected................................................................................................................................................. 25Alertmalware Malware Detected......................................................................................................................................... 29Alertprodappcontrol ProdAppControl Detected............................................................................................................... 32Alertpup PUP Detected.......................................................................................................................................................... 36Alertrdpattack RDPAttack Detected ...................................................................................................................................40Block .........................................................................................................................................................................................41Createcmp..............................................................................................................................................................................45Createdir .................................................................................................................................................................................. 54CreateprocessbyWMI............................................................................................................................................................. 63CreatePE .................................................................................................................................................................................. 72Createremotethread..............................................................................................................................................................81Criticalsoft ................................................................................................................................................................................ 89DeletePE................................................................................................................................................................................... 92Deviceops.............................................................................................................................................................................. 100Dnsops .................................................................................................................................................................................... 103Exec ........................................................................................................................................................................................ 105Hostfiles................................................................................................................................................................................... 114Install ....................................................................................................................................................................................... 117Loadlib.................................................................................................................................................................................... 119Loginoutops ........................................................................................................................................................................... 128Modifype................................................................................................................................................................................ 132ModLinuxCfg ......................................................................................................................................................................... 141ModOSXCfg........................................................................................................................................................................... 149Monitoredopen ..................................................................................................................................................................... 158Monitoredregistry .................................................................................................................................................................. 163Notblocked............................................................................................................................................................................ 166Opencmp .............................................................................................................................................................................. 171Openlsass ............................................................................................................................................................................... 180ProcessNetBytes .................................................................................................................................................................... 189Registryc................................................................................................................................................................................. 191Registrym................................................................................................................................................................................ 194Renamepe............................................................................................................................................................................. 198Scriptcreation ........................................................................................................................................................................ 207Scriptlaunch........................................................................................................................................................................... 213Socket..................................................................................................................................................................................... 218

Panda SIEMFeeder

Manual de descripción de eventos viii

SvcControl.............................................................................................................................................................................. 222Systemops .............................................................................................................................................................................. 231Urldownload .......................................................................................................................................................................... 235

Panda SIEMFeeder

Manual de descripción de eventos

Prólogo

Capítulo 1 | 9

Capítulo 1Prólogo

Panda SIEMFeeder y Panda SIEMFeeder for Partners son dos servicios que almacenan y suministran a

sus clientes información detallada relativa a los eventos de seguridad registrados en sus

infraestructuras informáticas.

CONTENIDO DEL CAPÍTULO

¿A quién está dirigida esta guía? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 9Objetivo de la documentación - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -10Iconos - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -10

¿A quién está dirigida esta guía?Esta documentación está dirigida a dos tipos de organizaciones:

• Empresas que tienen contratado el servicio Panda SIEMFeeder de Panda Security para losproductos Panda Adaptive Defense y Panda Adaptive Defense 360.

• Partners que tienen contratado Panda SIEMFeeder for Partners para ofrecer el servicio de PandaSIEMFeeder a sus clientes.

Dentro de las organizaciones, la información recogida en este manual está dirigida a:

• El especialista en seguridad informática que necesita una descripción detallada de la informaciónque Panda SIEMFeeder envía a la plataforma SIEM de su organización.

• El administrador de la solución SIEM adoptada en la empresa, que requiere conocer el formato dela información que recibe para poder incorporarla a su base de datos.

Mienstras no se especifique lo contrario, todos los procedimientos e indicaciones mostradas en este

manual son aplicables de forma indistinta a:

• Clientes con licencias de Panda Adaptive Defense contratadas.

• Clientes con licencias de Panda Adaptive Defense 360 contratadas.

• Clientes con el servicio Panda SIEMFeeder contratado.

• Clientes con el servicio Panda SIEMFeeder for Partners contratado.

Prólogo

10 | Capítulo 1

Panda SIEMFeeder


Objetivo de la documentaciónEl objetivo de esta guía es facilitar la explotación de la información de seguridad suministrada por

Panda Security, y su integración en la infraestructura de almacenamiento implantada en la empresa.

En esta documentación se hace referencia al producto “Panda Adaptive Defense” de forma

genérica, para referirse tanto a Panda Adaptive Defense como a Panda Adaptive Defense 360.

Igualmente, se utiliza “Panda SIEMFeeder” para referirse no solo a este producto, sino también a

Panda SIEMFeeder for Partners.

IconosEn esta guía se utilizan los siguientes iconos;

Aclaraciones e información adicional, como, por ejemplo, un método alternativo para

realizar una determinada tarea.

Sugerencias y recomendaciones.

Consejo importante de cara a un uso correcto de las opciones de Panda SIEMFeeder.

Consulta en otro capítulo o punto del manual.

Panda SIEMFeeder


Beneficios y arquitectura general

Capítulo 2 | 11

Capítulo 2Beneficios y arquitectura general

Panda SIEMFeeder es el servicio de Panda Security que envía a la plataforma SIEM de los clientes la

información y el conocimiento generado por los productos Panda Adaptive Defense y Panda

Adaptive Defense 360.

CONTENIDO DEL CAPÍTULO

Objetivos del servicio Panda SIEMFeeder - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -11Beneficios de Panda SIEMFeeder - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12Flujo de información generado por Panda SIEMFeeder - - - - - - - - - - - - - - - - - - - - - -12Requisitos de Panda SIEMFeeder - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12

Panda SIEMFeeder para clientes finales .......................................................................................13Panda SIEMFeeder para partners (Panda SIEMFeeder for Partners) .........................................13

Objetivos del servicio Panda SIEMFeederPanda SIEMFeeder envía a la plataforma SIEM de sus clientes inteligencia de seguridad sobre los

procesos ejecutados en los equipos de los usuarios. Con esta información, el administrador de la

seguridad obtiene una mayor visibilidad de lo que ocurre en la infraestructura informática que

gestiona.

La información de inteligencia de seguridad suministrada al cliente facilita el descubrimiento de

amenazas desconocidas, malware avanzado de tipo APT (Advanced Persistent Threats) y ataques

dirigidos específicamente diseñados para extraer información confidencial de las empresas.

Para conseguir este objetivo, Panda SIEMFeeder obtiene el registro de la actividad de las

aplicaciones ejecutadas, gracias a la monitorización permanente del software de seguridad Panda

Adaptive Defense instalado en los equipos. Esta información se completa con inteligencia de

seguridad generada en Panda Security, y se envía a la plataforma SIEM del cliente, donde se integra

para su explotación.


12 | Capítulo 2

Panda SIEMFeeder


Beneficios de Panda SIEMFeederCon la inteligencia de seguridad suministrada, el administrador de la seguridad será capaz de:

• Visualizar la evolución del estado del malware detectado en la red, indicando si fue ejecutado ono, el vector de infección y las acciones ejecutadas por el proceso, para facilitar laimplementación de estrategias de resolución y posterior adaptación de las políticas de seguridadde la empresa.

• Visualizar las acciones ejecutadas por cada proceso con el objetivo de centrarse en lasactividades sospechosas de los programas desconocidos de muy reciente aparición, y recopilar losindicios que permitan obtener conclusiones acerca de su potencial peligrosidad.

• Visualizar los accesos de los procesos a la información confidencial de la empresa para prevenir suextracción o robo. Se muestran los ficheros de ofimática accedidos, bases de datos y otrosrepositorios de información confidencial.

• Visualizar las conexiones de red establecidas por los procesos para identificar destinos sospechososy susceptibles de estar realizando ex filtración de datos.

• Localizar todos los programas ejecutados, y especialmente aquellos instalados en los equipos delos usuarios y que contengan vulnerabilidades conocidas, para ayudar en el diseño de un plan deactualización de software y afinar las políticas de seguridad establecidas.

Flujo de información generado por Panda SIEMFeederPanda Adaptive Defense monitoriza de forma constante las acciones realizadas por los procesos

ejecutados en los equipos de los usuarios. Estas acciones se envían a la plataforma Cloud de Panda

Security, donde se analizan y explotan para extraer de forma automatizada inteligencia de seguridad

avanzada.

Panda SIEMFeeder reúne la información de los eventos monitorizados por Panda Adaptive Defense y

la información de seguridad generada para crear un único flujo de datos compatible con el servidor

SIEM del cliente.

Requisitos de Panda SIEMFeederPanda SIEMFeeder no requiere cambios en los equipos monitorizados, ya que el servicio recibe los

datos automáticamente desde cada estación de trabajo o servidor. Sin embargo, dependiendo del

tipo de producto contratado, es necesario instalar y configurar varios elementos en la infraestructura

informática de las empresas.

Para conocer en detalle el flujo completo de información generado por Panda

SIEMFeeder consulta la Guía de infraestructura Panda SIEMFeeder (https://

www.pandasecurity.com/rfiles/enterprise/solutions/adaptivedefense/SIEMFeeder-Manual-ES.PDF).



Panda SIEMFeeder



Capítulo 2 | 13

Panda SIEMFeeder para clientes finalesSe requieren los siguientes recursos en la infraestructura IT del cliente:

• Instalar y configurar el software Panda Importer preferiblemente en un equipo de tipo servidor.

• Si el flujo de eventos recibidos es grande, se recomienda instalar un gestor de colas compatible conPanda Importer.

• Instalar un servidor SIEM compatible con los formatos de log CEF y LEEF.

Panda SIEMFeeder para partners (Panda SIEMFeeder for Partners)Se requieren los siguientes recursos en la infraestructura IT del partner. El cliente no requiere cambios

en su infraestructura informática:

• Instalar y configurar el software Panda Importer preferiblemente en un equipo de tipo servidor.

• Instalar un gestor de colas compatible.

• Instalar un servidor SIEM compatible con los formatos de log CEF y LEEF.

• Configurar el servicio Panda SIEMFeeder for Partners. Consulta http://documents.managedprotection.pandasecurity.com/AdvancedGuide/PARTNERCENTER-Manual-ES.pdf.

Para conocer en detalle el proceso de instalación y configuración de Panda Importer

consulta la Guía de infraestructura Panda SIEMFeeder (https://www.pandasecurity.com/

rfiles/enterprise/solutions/adaptivedefense/SIEMFeeder-Manual-ES.PDF).






14 | Capítulo 2

Panda SIEMFeeder


Panda SIEMFeeder


Eventos e información extendida

Capítulo 3 | 15

Capítulo 3Eventos e información extendida

Panda SIEMFeeder transforma el flujo de telemetría recibida desde los equipos protegidos con Panda

Adaptive Defense en ficheros de texto, que contienen eventos formateados compatibles con

servidores SIEM.

La unidad básica de información que recibe el cliente es el evento: cada acción relevante que

realizan los procesos ejecutados en el equipo del usuario se transforma en un evento, que se entrega

finalmente al servidor SIEM.

Estructura de un evento Panda SIEMFeeder - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -17Agrupación de eventos ..................................................................................................................17Secuencia y tiempos de entrega de la información ...................................................................17

Formato de los logs en Panda SIEMFeeder - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -18Formato Common Event Format (CEF) .....................................................................................................18

Bloque Prefijo ....................................................................................................................................19Bloque extensiones del evento .......................................................................................................19

Formato Log Event Extended Format (LEEF) .............................................................................................19Bloque Cabecera ............................................................................................................................20Bloque Atributos del evento ............................................................................................................20

Categorías de eventos - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -20Despliegue del agente ....................................................................................................................21Creación de Alertas .........................................................................................................................21Modificaciones en el sistema operativo de los usuarios .............................................................21Manipulación de procesos .............................................................................................................22Descarga de ficheros ......................................................................................................................22Acceso a datos ................................................................................................................................22Otros ...................................................................................................................................................23

Estructura de los eventos y sintaxis de los campos - - - - - - - - - - - - - - - - - - - - - - - - -23Estructura interna de los eventos ...................................................................................................23Eventos de tipo activo .....................................................................................................................23Eventos de tipo pasivo .....................................................................................................................24Prefijos parent y child .......................................................................................................................24Otros prefijos y afijos .........................................................................................................................24 ............................................................................................................................................................25

Alertexploit Exploit Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -25Descripción de los campos del evento .........................................................................................25

Alertmalware Malware Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -29Descripción de los campos del evento .........................................................................................29

Alertprodappcontrol ProdAppControl Detected - - - - - - - - - - - - - - - - - - - - - - - - - - -32


16 | Capítulo 3

Panda SIEMFeeder


Descripción de los campos del evento .........................................................................................32Alertpup PUP Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 36

Descripción de los campos del evento .........................................................................................36Alertrdpattack RDPAttack Detected - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 40

Descripción de los campos del evento .........................................................................................40Block - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 41

Descripción de los campos del evento .........................................................................................42Createcmp - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 45

Descripción de los campos del evento .........................................................................................45Createdir - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 54

Descripción de los campos del evento .........................................................................................54CreateprocessbyWMI - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 63

Descripción de los campos del evento .........................................................................................63CreatePE - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 72

Descripción de los campos del evento .........................................................................................72Createremotethread - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 81

Descripción de los campos del evento .........................................................................................81Criticalsoft - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 89

Descripción de los campos del evento .........................................................................................89DeletePE - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 92

Descripción de los campos del evento .........................................................................................92Deviceops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -100

Descripción de los campos del evento .......................................................................................100Dnsops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -103

Descripción de los campos del evento .......................................................................................103Exec - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -105

Descripción de los campos del evento .......................................................................................105Hostfiles - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -114

Descripción de los campos del evento .......................................................................................114Install - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -117

Descripción de los campos del evento .......................................................................................117Loadlib - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -119

Descripción de los campos del evento .......................................................................................120Loginoutops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -128

Descripción de los campos del evento .......................................................................................128Modifype - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -132

Descripción de los campos del evento .......................................................................................132ModLinuxCfg - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -141

Descripción de los campos del evento .......................................................................................141ModOSXCfg - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -149

Descripción de los campos del evento .......................................................................................149Monitoredopen - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -158

Descripción de los campos del evento .......................................................................................158Monitoredregistry - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -163

Descripción de los campos del evento .......................................................................................163Notblocked - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -166

Descripción de los campos del evento .......................................................................................166Opencmp - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -171

Descripción de los campos del evento .......................................................................................171Openlsass - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -180

Descripción de los campos del evento .......................................................................................180ProcessNetBytes - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -189

Descripción de los campos del evento .......................................................................................189Registryc - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -191

Descripción de los campos del evento .......................................................................................191Registrym - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -194

Panda SIEMFeeder



Capítulo 3 | 17

Descripción de los campos del evento .......................................................................................195Renamepe - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 198

Descripción de los campos del evento .......................................................................................198Scriptcreation - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 207

Descripción de los campo del evento ........................................................................................207Scriptlaunch - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 213

Descripción de los campos del evento .......................................................................................213Socket - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 218

Descripción de los campos del evento .......................................................................................218SvcControl - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 222

Descripción de los campos del evento .......................................................................................223Systemops - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 231

Descripción de los campos del evento .......................................................................................231Urldownload - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 235

Descripción de los campos del evento .......................................................................................235

Estructura de un evento Panda SIEMFeederUn evento es una acción registrada en el equipo de un cliente y descrita mediante una serie de pares

campo-valor. Existen múltiples tipos de eventos, y cada tipo incluye pares campo-valor concretos. A

esta colección de pares campo-valor, Panda SIEMFeeder le agrega un preámbulo o cabecera, que

contiene la información necesaria para encapsular la información en un evento compatible con los

formatos comúnmente aceptados por los servidores SIEM: CEF o LEEF.

Agrupación de eventosUn fichero de registro, también llamado “log”, es una agrupación de eventos que se entrega al

servidor SIEM del cliente. Los logs generados por Panda SIEMFeeder tienen un tamaño variable y

pueden agrupar uno o varios eventos de categorías diferentes. A su vez, el origen de los eventos

dentro de un mismo log puede ser uno o más equipos de la red del cliente.

Secuencia y tiempos de entrega de la informaciónEl máximo retardo desde que un proceso realiza una acción en el equipo protegido con Panda

Adaptive Defense hasta que Panda SIEMFeeder formatea el evento asociado y lo completa con

inteligencia de seguridad es de 20 minutos.

Los eventos recibidos de los equipos de los clientes se procesan siguiendo una estrategia FIFO.

Para conocer en detalle el formato LEEF, consulta el enlace:

https://www.ibm.com/docs/en/dsm?topic=leef-overview

Para conocer en detalle el formato CEF, consulta el enlace:

https://community.microfocus.com/cfs-file/__key/communityserver-wikis-components-files/00-00-00-00-23/3731.CommonEventFormatV25.pdf

https://www.ibm.com/docs/en/dsm?topic=leef-overview

https://community.microfocus.com/cfs-file/__key/communityserver-wikis-components-files/00-00-00-00-23/3731.CommonEventFormatV25.pdf


18 | Capítulo 3

Panda SIEMFeeder


Los logs enviados al servidor SIEM del cliente no tienen una secuencia predefinida, pero todos los

eventos contienen un campo con marca de tiempo (timestap) que permite ubicar el evento de

forma precisa en una línea temporal.

Formato de los logs en Panda SIEMFeederPanda SIEMFeeder entrega la información en uno de los dos formatos disponibles: CEF o LEEF.

Dependiendo del tipo de cliente al que va destinado el servicio, el procedimiento para seleccionar el

formato varía:

• Panda SIEMFeeder: consulta telefónicamente o por email a tu comercial asignado para cambiar elformato de los logs recibidos.

• Panda SIEMFeeder for Partners: configura el servicio mediante Panda Partner Center. Consulta http://documents.managedprotection.pandasecurity.com/AdvancedGuide/PARTNERCENTER-Manual-ES.pdf.

Todos los ficheros de registro enviados por Panda SIEMFeeder siguen la codificación UTF-8.

Formato Common Event Format (CEF)El formato CEF está constituido por los bloques de datos mostrados a continuación:

• Bloque Prefijo: también conocido como “cabecera”. Identifica la categoría del evento y define allog como de tipo CEF. Los campos incluidos en este bloque están separados por pipes “|” y elsignificado de cada campo viene dado por su posición.

• Bloque de extensiones del evento: común a los dos tipos de log (CEF y LEEF). Incluye parescampo=valor separados por espacios.

Panda SIEMFeeder no incluye la cabecera syslog en los logs CEF.

A continuación se muestra un ejemplo del evento registryc (createExekey) en formato CEF:

CEF:1|Panda Security|paps|02.45.00.0000|registryc|registryc|1|Client=1212122

Date=2018-09-27 02:26:52.200188 MachineName=DESKTOP-PC MachineIP=192.168.0.11

User=NT AUTHORITY\SYSTEM MUID=713FC2B45B429J291EB53467357AC1B7 Op=CreateExeKey

Hash=C86854DF4F3AEC59D523DBAD1F5031FD DriveType=Fixed

Path=SYSTEMX86|\CompatTelRunner.exe ValidSig=true Company=Microsoft Corporation

Broken=true ImageType=EXE 32 ExeType=Unknown Prevalence=Medium PrevLastDay=Low

Cat=Goodware MWName= TargetPath=3|PROGRAM_FILESX86|\Windows Defender\MsMpeng.exe

RegKey=\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\AppCompatFlags\WicaAvPathsExpiredTemp?0



Panda SIEMFeeder



Capítulo 3 | 19

Bloque Prefijo

Los campos dentro del bloque prefijo van separados por pipes “|”.

Bloque extensiones del eventoPara obtener información acerca de los eventos soportados, campos existentes y una descripción

detallada de los mismos consulta “Estructura de los eventos y sintaxis de los campos”.

Formato Log Event Extended Format (LEEF)El formato LEEF está constituido por los bloques de datos mostrados a continuación:

• Bloque Cabecera: identifica la categoría del evento y define al log como de tipo LEEF. Los camposincluidos en este bloque están separados por pipes “|” y el significado de cada campo vienedado por su posición.

• Bloque de atributos del evento: común a los dos tipos de log (CEF y LEEF). Incluyen los campos delevento y sus valores.

Panda SIEMFeeder no incluye la cabecera syslog en los logs LEEF.

CEF:1|Panda Security|paps|02.45.00.0000|registryc|registryc|1|

Campo Descripción Valor de ejemplo

Formato:versión Identificador del formato del log y de la versión. CEF:1

Device vendor Nombre del proveedor del servicio. Panda Security

Device Product Nombre interno del dispositivo o software. paps

Signature Versión de la protección que generó el evento. 2.43.00.0000

Name y Name 2

En los eventos de tipo alerta, el nombre del evento sedistribuye en los campos Name y Name 2. Por tanto,para obtener el nombre completo de la alerta esnecesario concatenar los campos Name y Name 2.

En el resto de tipos de evento, Name 2 tiene unacopia del contenido del campo Name.

registryc

SeveritySeveridad del evento. Excepto para los eventos detipo alerta, siempre contiene en valor "1". Consultamás adelante los tipos de eventos.

1

Tabla 3.1: formato del bloque prefijo (preámbulo) del estándar CEF


20 | Capítulo 3

Panda SIEMFeeder


A continuación se muestra un ejemplo del evento registryc (createExekey) en formato LEEF:

Bloque Cabecera

Bloque Atributos del eventoPara obtener información acerca de los eventos soportados, campos existentes y una descripción

detallada de los mismos consulta “Estructura de los eventos y sintaxis de los campos”.

Categorías de eventosEl tipo de evento recibido viene especificado en el campo Name y Name 2 del bloque Preámbulo en

el formato CEF o en el campo Event ID Description del bloque Cabecera en el formato LEEF. Así

mismo, el tipo del evento también se incluye en el campo op del bloque de atributos en el formato

LEEF:1.0|Panda Security|paps|02.43.00.0000|registryc|Client=1212122 sev=1

devTime=2016-09-22 15:25:11.000628 devTimeFormat=yyyy-MM-dd HH:mm:ss.SSS

usrName=LOCAL SERVICE domain=NT AUTHORITY src=10.219.202.149

identSrc=10.219.202.149 identHostName=PXE68XXX HostName= PXE68XXX

MUID=1F109BA4E0XXXX37F9995D31FXXXX319 Op=CreateExeKey

Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed Path=SYSTEM|\svchost.exe

ValidSig= Company=Microsoft Corporation Broken=true ImageType=EXE 64

ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872 Skeptic=

AVDets=0 JIDFI=3431993 1NFI=116241 JIDMW=11195630 1NMW=4308325 Class=100

Cat=Goodware MWName= TargetPath=0|pune.com RegKey=\ REGISTRY\ MACHINE\ SYSTEM\

ControlSet001\services\Tcpip\Parameters?DhcpDomain

LEEF:1.0|Panda Security|paps|02.43.00.0000|registryc|

En el formato LEEF la severidad del evento no se indica con un campo en el bloque

Cabecera, sino que se incluye en bloque Atributos mediante el campo Sev=número.

Campo Descripción Valor de ejemplo

Formato:versión Identificador del formato del log y de la versión LEEF:1

Vendor Nombre del proveedor del servicio Panda Security

Product Nombre interno del dispositivo o software paps

Version Versión de la protección que generó el evento 2.43.00.0000

Event ID Description Nombre completo del evento enviado registryc

Tabla 3.2: formato del bloque cabecera (preámbulo) del estándar LEEF

Panda SIEMFeeder



Capítulo 3 | 21

LEEF, o del bloque de extensiones en el formato CEF, si bien no todos los tipos de evento incluyen este

campo.

A continuación se muestran todos los eventos posibles en el campo Name / Event ID Description y su

significando, agrupados por su tipo.

Despliegue del agente

Creación de Alertas

Modificaciones en el sistema operativo de los usuarios

Campo Descripción

install Instalación y desinstalación del agente Panda Adaptive Defense.

Tabla 3.3: eventos relacionados con el despliegue del agente de protección

Campo Descripción

alertmalware Malware Detected Detección de malware.

alertpup PUP Detected Detección de PUP (programa no deseado).

alertrdpattack RDPAttack Detected Detección de ataque RDP por fuerza bruta.

alertprodappcontrol ProdAppControl Detected

Detección realizada por la configuración Bloqueo deprogramas establecida por el administrador.

alertexploit Exploit Detected Detección de exploit.

block Bloqueo de ejecución de programa por no estar aunclasificado o ser sospechoso de malware.

Tabla 3.4: eventos relacionados con la generación de alertas

Campo Descripción

hostfiles Modificación del fichero HOSTS.

monitoredregistry Acceso a ramas del registro sensibles y relacionadas con el intento deganar persistencia en el equipo tras un reinicio.

registrym Modificación de rama en el registro del equipo que apunta a unfichero ejecutable.

registryc Creación de rama en el registro del equipo que apunta a un ficheroejecutable.

openlsass Acceso al proceso LSASS para intentar comprometer las credencialesde una cuenta de usuario.

Tabla 3.5: eventos relacionados con modificaciones en el sistema operativo


22 | Capítulo 3

Panda SIEMFeeder


Manipulación de procesos

Descarga de ficheros

Acceso a datos

modLinuxCfg Modificación de un fichero de configuración del sistema operativoLinux.

modOSXCfg Modificación de un fichero de configuración del sistema operativomacOS.

systemops Modificación del sistema operativo a través de WMI (WindowsManagement Interface).

Campo Descripción

createremotethread Creación de hilo de ejecución remoto.

exec Ejecución de proceso.

createprocessbyWMI Creación de proceso a través del sistema WMI.

scriptcreation Creación de un script.

scriptlaunch Ejecución de script.

createpe Creación de programa ejecutable.

modifype Modificación de fichero ejecutable.

renamepe Cambio de nombre de fichero ejecutable.

deletepe Borrado de programa ejecutable.

loadlib Carga de librería.

Tabla 3.6: eventos relacionados con la manipulación de procesos

Campo Descripción

urldownload Descarga de fichero.

Tabla 3.7: eventos relacionados con la descarga de ficheros

Campo Descripción

createcmp Creación de fichero comprimido.

opencmp Apertura de fichero comprimido.

monitoredopen Acceso a ficheros de datos monitorizados.

Campo Descripción

Tabla 3.5: eventos relacionados con modificaciones en el sistema operativo

Panda SIEMFeeder



Capítulo 3 | 23

Otros

Estructura de los eventos y sintaxis de los camposEstructura interna de los eventosPanda SIEMFeeder describe cada evento mediante pares campo-valor.

Para entender la lógica de la información generada por Panda SIEMFeeder, los eventos se pueden

dividir en dos tipos: eventos de tipo activo y eventos de tipo pasivo

Eventos de tipo activoLa mayor parte de los eventos recibidos describen situaciones en las que un proceso denominado

padre (parent), realiza una acción sobre un elemento hijo (child). El tipo del elemento que recibe la

acción varía dependiendo de la categoría del evento. De esta forma el elemento hijo (child) puede

ser:

• Otro proceso: en eventos de tipo carga y descarga de procesos, carga de librerías etc.

• Fichero ejecutable: en eventos de tipo creación, borrado, modificación de programas.

• Fichero del sistema: en eventos que reflejan la manipulación del fichero hosts y del registro delequipo de usuario.

• Fichero de datos: en eventos que reflejan el acceso a ficheros de ofimática, bases de datos, etc.

createdir Creación de directorio en el sistema de ficheros.

socket Operación de comunicación por red.

Tabla 3.8: eventos relacionados con el acceso al sistema de ficheros

Campo Descripción

criticalsoft Detección de aplicación vulnerables instalada en el equipo.

processnetbytes Consumo de datos de red por proceso.

dnsops Proceso con peticiones de resolución DNS erróneas.

loginoutsops Inicio y fin de sesión en el equipo del usuario.

deviceops Conexión y/o desconexión de dispositivo externo.

notblocked Evento que Panda Adaptive Defense deja sin analizar debido a situacionesexcepcionales.

svcControl Intento de modificación de los ficheros que pertenecen al producto deseguridad instalado.

Tabla 3.9: otros eventos

Campo Descripción


24 | Capítulo 3

Panda SIEMFeeder


• Fichero de descarga: en eventos que se generan cuando se detecta la descarga de datos de unproceso.

• Fichero comprimido: en eventos que reflejan la creación, modificación y borrado de ficheroscomprimidos.

• Directorio: en eventos que reflejan la creación, modificación y borrado de carpetas.

Dependiendo del tipo de evento, se incluirán o no ciertos campos que describan las características

tanto del elemento padre como del hijo. Por ejemplo, en un evento de tipo creación de directorio, los

campos asociados al evento describirán las características del proceso padre (si es o no malware,

ruta del proceso, metadatos del proceso, etc) así como las características del hijo. En este caso, al

tratarse de un directorio, algunos campos que se incluyen en el evento no llevarán información,

como por ejemplo los campos que describen al elemento como malware, o los metadatos del

fichero, información que no es posible suministrar al tratarse de un directorio. Otra información, como

por ejemplo la ruta del directorio, sí será incluida en el evento.

Eventos de tipo pasivoSon eventos que en muchos casos no tienen procesos padre o hijo claramente definidos ya que se

corresponden al registro pasivo de una situación que se produce en el equipo del usuario.

Ejemplos de eventos de tipo registro son los eventos de generación de alertas por malware o la

instalación, actualización y modificación del agente Panda Adaptive Defense entre otros.

Prefijos parent y childEn los eventos de tipo activo que involucran a dos ficheros o procesos generalmente se utilizan los

prefijos parent y child para diferenciar la información relativa a cada proceso:

• Parent: los campos que comienzan con la etiqueta Parent describen un atributo del proceso padre.

• Child: los campos que comienzan con la etiqueta Child describen un atributo del elemento hijo.

Otros prefijos y afijosEn muchos campos y valores se utilizan abreviaturas; conocer su significado ayuda a interpretar el

campo en cuestión:

• Sig: signature (firma digital).

• Exe y pe: ejecutable

• Mw: malware

• Sec: segundos

• Op: operación

• Cat: categoría

• PUP: Potential Unwanted Program (programa potencialmente no deseado).

• Ver: versión

Panda SIEMFeeder



Capítulo 3 | 25

• SP: service Pack

• Cfg: configuración

• Cmp y comp: comprimido

• Dst: destino

Alertexploit Exploit DetectedEvento de tipo pasivo que describe los parámetros de la alerta que Panda Adaptive Defense crea

cuando detecta el intento de explotación de una vulnerabilidad en un programa instalado en un

equipo de la red.

Descripción de los campos del evento

Campo Descripción Valor

Date

(CEF)

Fecha del equipo del usuario cuando se generóel evento. Fecha

HostIp

(CEF)

IP del equipo de usuario o servidor donde segenera el evento. Dirección IP

sev

(LEEF)Severidad del evento. Numérico

devTime

(LEEF)

TimeStamp de la creación del evento en elequipo del usuario. Fecha

devTimeFormat

(LEEF)Formato del timestamp enviado.

Cadena decaracteres “yyyy-MM-dd”

src

(LEEF)

IP del equipo de usuario o servidor que genera elevento registrado.

Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)

Nombre del equipo de usuario que genera elevento registrado.

Cadena decaracteres

Tabla 3.10: campos del evento Alertexploit Exploit Detected


26 | Capítulo 3

Panda SIEMFeeder


Client

Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner. Estecampo únicamente se utiliza en el productoPanda SIEMFeeder for Partners.

Numérico

HostName Nombre del equipo de usuario donde se generael evento registrado.

Cadena decaracteres

ThreatType Tipo de malware detectado. Cadena decaracteres “Exploit”

ExecutionStatus Acción realizada por el agente Panda AdaptiveDefense.

• Allow• Block• BlockTimeout: se mostró un mensaje

emergente al usuario pero no contestó atiempo.

Enumeración

• AllowWL: elemento permitido por encontrarseen la lista blanca del administrador.

• Disinfect• Delete• Quarantine

• AllowByUser: se mostró un mensaje emergenteal usuario y contesto “permitir ejecución”.

• Informed: se mostró un mensaje emergente alusuario.

• Unquarantine: el fichero se sacó de lacuarentena.

• Rename: elemento renombrado por nopoderse mover a cuarentena, borrar odesinfectar.

• BlockURL: se bloqueó el acceso a una URL.• KillProcess: cierre de proceso.• BlockExploit: intento de explotación de

proceso vulnerable detenido.• ExploitAllowByUser: el usuario no permitió el

cierre del proceso explotado.



Panda SIEMFeeder



Capítulo 3 | 27

• RebootNeeded: se requiere un reinicio delequipo para bloquear el intento deexplotación.

• ExploitInformed: se mostró un mensajeemergente al usuario informando de un intentode explotación de proceso vulnerable.

• AllowSonGWInstaller: el programa forma partede un paquete de instalación clasificadocomo Goodware.

• EmbebedInformed: el elemento es un script enpowershell que ejecuta comandos.

• SuspedProcess: el elemento intentó suspenderalguno de los servicios del software deprotección.

• ModifyDiskResource: el elemento intentómodificar un fichero protegido que perteneceal software de protección.

• ModifyRegistry: el elemento intentó modificaruna clave de registro protegida quepertenece al software de protección.

• RenameRegistry: el elemento intentórenombrar una clave de registro protegidaque pertenece al software de protección.

• .ModifyMarkFile: el elemento intentórenombrar un fichero protegido quepertenece al software de protección.

• UncertainAction: el elemento intentó unaacción sin definir sobre un fichero quepertenece al software de protección.

• AllowGWFilter: se permite la ejecución delelemento por estar en la caché de goodware.

• AllowSWAuthoriced: se permite la ejecucióndel elemento por estar autorizado por eladministrador (configuración SoftwareAutorizado).




28 | Capítulo 3

Panda SIEMFeeder


• NewPE: aparición de un nuevo programaejecutable en el equipo que viene del exterior.

• AllowedByAdmin: se permite la ejecución delelemento porque el administrador excluyó latécnica de explotación detectada.

• Blocked by ip: se bloqueó la dirección IP deorigen por detectarse un ataque de fuerzabruta mediante el protocolo RDP.

• AllowSonMsiGW: se permite la ejecución delelemento por tratarse de un ejecutable queproviene de un paquete de instalaciónconfiable.

DwellTimeSecs Tiempo transcurrido desde la primera vez que laamenaza fue vista en la red del cliente. Segundos

MWHash (LEEF)

ItemHash (CEF)Hash del malware. Cadena de

caracteres

MWPath (LEEF)

ItemPath (CEF)Ruta del malware. Cadena de

caracteres

MWName (LEEF)

ItemName (CEF)

Nombre del malware si está ya catalogadocomo una amenaza.

Cadena decaracteres

SourceIP Si el malware vino desde el exterior indica ladirección IP del equipo remoto. Dirección IP

SourceMachineName Si el malware vino desde el exterior indica elnombre del equipo remoto.

Cadena decaracteres

SourceUserName Si el malware vino desde el exterior indica elusuario del equipo remoto.

Cadena decaracteres

UrlList Lista de URLs accedidas en el momento dedetectar un exploit desde el navegador.

Cadena decaracteres

DocList Lista de documentos accedidos en el momentode detectar un exploit de fichero.

Cadena decaracteres

Version Contenido del atributo Version de los metadatosdel proceso.

Cadena decaracteres

Vulnerable Indica si la aplicación se considera vulnerable. Booleano

MUID Identificador interno del equipo del cliente. Cadena decaracteres



Panda SIEMFeeder



Capítulo 3 | 29

Alertmalware Malware DetectedEvento de tipo pasivo que describe los parámetros de la alerta que Panda Adaptive Defense crea

cuando detecta un elemento clasificado como malware.



Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numérico


Cadena decaracteres

ThreatType Tipo de malware detectado.Cadena decaracteres“Malware”

Tabla 3.11: campos del evento Alertmalware


30 | Capítulo 3

Panda SIEMFeeder


ExecutionStatus

La amenaza detectada se llegó a ejecutar o no:

• Executed • Not executed

Enumeración -Enumeración

Acción realizada por el agente Panda AdaptiveDefense.

















Panda SIEMFeeder



Capítulo 3 | 31


















32 | Capítulo 3

Panda SIEMFeeder


Alertprodappcontrol ProdAppControl DetectedEvento de tipo pasivo que describe los parámetros de la alerta que Panda Adaptive Defense crea

cuando bloquea elementos según un nombre o MD5, definidos por el administrador en la

configuración Bloqueo de programas.


MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






Date

(CEF)


Tabla 3.12: campos del evento Alertprodappcontrol ProdAppControl

Panda SIEMFeeder



Capítulo 3 | 33

HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numérico


Cadena decaracteres

ThreatType Tipo de malware detectado.Cadena decaracteres“ProdAppControl”

ExecutionStatus Acción realizada por el agente Panda AdaptiveDefense.



Enumeración






34 | Capítulo 3

Panda SIEMFeeder




















Panda SIEMFeeder



Capítulo 3 | 35









MWHash (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)


Cadena decaracteres

MWPath (LEEF)


caracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres




36 | Capítulo 3

Panda SIEMFeeder


Alertpup PUP DetectedEvento de tipo pasivo que describe los parámetros de la alerta que Panda Adaptive Defense crea

cuando detecta un elemento clasificado como programa no deseado (PUP).



Cadena decaracteres






Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Tabla 3.13: campos del evento Alertpup PUP Detected

Panda SIEMFeeder



Capítulo 3 | 37

Client


Numérico


Cadena decaracteres

ThreatType Tipo de malware detectado. Cadena decaracteres “PUP”

ExecutionStatus

La amenaza detectada se llegó a ejecutar o no:

• Executed • Not executed


Acción realizada por el agente Panda AdaptiveDefense.















38 | Capítulo 3

Panda SIEMFeeder








• ModifyRegistry: el elemento intentó modificaruna clave de registro protegida que perteneceal software de protección.

• RenameRegistry: el elemento intentórenombrar una clave de registro protegida quepertenece al software de protección.

• .ModifyMarkFile: el elemento intentó renombrarun fichero protegido que pertenece alsoftware de protección.



• AllowSWAuthoriced: se permite la ejecución delelemento por estar autorizado por eladministrador (configuración SoftwareAutorizado).



Panda SIEMFeeder



Capítulo 3 | 39






MWHash (LEEF)


caracteres

MWPath (LEEF)


caracteres

MWName (LEEF)

ItemName (CEF)

Nombre del malware si está ya catalogado comouna amenaza.

Cadena decaracteres



Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres


Cadena decaracteres






40 | Capítulo 3

Panda SIEMFeeder


Alertrdpattack RDPAttack DetectedEvento de tipo pasivo que describe los parámetros de la alerta que Panda Adaptive Defense crea

cuando detecta un ataque por fuerza bruta a través del protocolo RDP (Remote Desktop Protocol).



Date

(CEF)


HostIp

(CEF)


sev


devTime

(LEEF)


devTimeFormat



src

(LEEF)


Cadena decaracteres

identSrc

(LEEF)


Cadena decaracteres

identHostName

(LEEF)


Cadena decaracteres

Client


Numérico


Cadena decaracteres

ThreatType Tipo de ataque detectado.Cadena decaracteres“RDPAttack”

ExecutionStatus Tipo de acción ejecutada.Cadena decaracteres “Blockedby ip”

Tabla 3.14: campos del evento alertrdpattack RDPAttack Detected

Panda SIEMFeeder



Capítulo 3 | 41

BlockEvento de tipo pasivo que describe los parámetros de la alerta que Panda Adaptive Defense crea

cuando bloquea un proceso que no ha sido clasificado todavía.

DwellTimeSecs Sin uso. Segundos

MWHash (LEEF)

ItemHash (CEF)Sin uso

MWName (LEEF)

ItemName (CEF)

Nombre del ataque registrado:

• Exploit/BruteForce_RDP: intento de intrusión porfuerza bruta utilizando el protocolo RDP.

• Exploit/RemoteDesktopIntrusion: intrusióndetectada mediante el protocolo RDP.

Cadena decaracteres

MWPath (LEEF)

ItemPath (CEF)Nombre del ataque empleado.

Cadena decaracteres “MaliciousNetwork Rdp Attack”

SourceIP Dirección IP del equipo atacante. Dirección IP

SourceMachineName Nombre del equipo atacante. Cadena decaracteres

SourceUserName Nombre de la cuenta de usuario utilizado en elataque.

Cadena decaracteres

UrlList Sin uso. Cadena decaracteres

DocList Sin uso. Cadena decaracteres

Version Sin uso. Cadena decaracteres

Vulnerable Sin uso. Booleano



Tabla 3.14: campos del evento alertrdpattack RDPAttack Detected


42 | Capítulo 3

Panda SIEMFeeder




Date

(CEF)

TimeStamp de la creación del evento en el equipodel usuario. Fecha

User

(CEF)

Nombre de la cuenta de usuario y dominio al quepertenece utilizada para ejecutar el proceso quegenero el evento registrado.

Cadena de caracteres

MachineIP

(CEF)

Nombre del equipo que desencadena el eventoregistrado. Dirección IP

MachineName

(CEF)

Nombre del equipo que desencadena el eventoregistrado. Cadena de caracteres

sev

(LEEF)

Severidad del evento. Excepto para los eventos detipo alerta siempre contiene en valor “1”. Consultamás adelante los tipos de eventos para obtenermás información.

1

devTime

(LEEF)

TimeStamp de la creación del evento en el equipodel usuario. Fecha

devTimeFormat

(LEEF)Formato del timestamp enviado. Cadena de caracteres

“yyyy-MM-dd”

usrName

(LEEF)

Cuenta de usuario utilizada por el proceso querealizó la operación registrada. Cadena de caracteres

domain

(LEEF)

Dominio de la cuenta de usuario utilizado por elproceso que realizó la operación registrada. Cadena de caracteres

src

(LEEF)IP del equipo donde se registró el evento. Cadena de caracteres

identSrc


identHostName

(LEEF)


HostName

(LEEF)


Tabla 3.15: campos del evento Block

Panda SIEMFeeder



Capítulo 3 | 43

LocalDateTime

Fecha en formato UTC que tenía el equipo en elmomento en que se produjo el evento registrado.Esta fecha depende de la configuración delequipo y por lo tanto puede ser errónea

Fecha

PandaTimeStatus Contenido de los campos DateTime, Date yLocalDateTime

• 0: fecha real nosoportada portratarse de un eventoantiguo.

• 1: fecha real nodisponible el servidorPanda y obtenidamediante un cálculo.

• 2: fecha realproporcionada por elservidor Panda.

Client

Identificador utilizado para distinguir los eventosrecibidos de cada cliente del partner. Este campoúnicamente se utiliza en el producto PandaSIEMFeeder for Partners.

Numérico

LocalCat Categoría del elemento calculada por el agentePanda Adaptive Defense:

• NotClassified: fichero en proceso declasificación.

• Goodware• Malware

Enumeración

• Suspect: fichero en proceso de clasificación conalta probabilidad de resultar malware.

• Compromised: proceso comprometido por unataque de tipo exploit.

• GoodwareNotConfirmed: fichero en aparienciagoodware pero pendiente de clasificar.

• PUP• GoodwareUnwanted: equivalente a PUP.• GoodwareRanked: proceso clasificado como

goodware.

cloudAcces Indica si hay acceso a la nube. Booleano

DetId Identificador de la detección. Numérico

FirstSeen Fecha en la que se vio por primera vez el fichero. Fecha

LastQueryDate Fecha de la última consulta del agente PandaAdaptive Defense a la nube. Fecha




44 | Capítulo 3

Panda SIEMFeeder


ToastBlockReason Motivo de la aparición del mensaje emergente enel puesto de usuario o servidor.

• 0: bloqueo por fichero desconocido en modobloqueo.

• 1: Bloqueo por reglas locales.

Enumeración

• 2: Bloqueo por regla de origen del fichero nofiable.

• 3: Bloqueo por regla de contexto.• 4: Bloqueo por exploit.• 5: Bloqueo por pregunta al usuario de cerrar el

proceso.

ToastResult Respuesta del usuario ante el mensaje emergentemostrado por Panda Adaptive Defense.

• Ok: el cliente acepta el mensaje.• Timeout: el mensaje emergente desaparece por

la no acción del usuario.

Enumeración

• Angry: el usuario rechaza el bloqueo desde elmensaje emergente.

• Block• Allow

WinningTech Tecnología que provocó el evento.

• Blockmode: el agente estaba en modo Lock enel momento del bloqueo.

• Cache: clasificación cacheada en local.• Cloud: clasificación descargada de la nube.

Enumeración

• Context: regla de contexto local.• ContextMinerva: regla de contexto en la nube.• Digital Signature: fichero firmado digitalmente.• Exploit: tecnología de identificación de intento

de explotación de proceso vulnerable.

• ExploitLegacy• GWFilter: tecnologías de identificación de

ficheros GW desconocidos.• LegacyUser: permiso solicitado al usuario.• Local Signature: firma local.• MetaEsploit: ataque generado con el framework

metaExploit.



Panda SIEMFeeder



Capítulo 3 | 45

CreatecmpEvento de tipo activo que se genera cuando un proceso (parent) crea un nuevo fichero comprimido

(child).


• NetNative: tipo de binario.• Serializer: tipo de binario.• User: permiso solicitado al usuario.• RDP: ataque de fuerza bruta por el protocolo

RDP.• AMSI: detección encontrada mediante

Antimalware Scan Interface.

ServiceLevel Modo de ejecución del agente:

• Blocking: el agente bloquea todos losejecutables sin clasificar y los clasificados comomalware.

Enumeración

• Hardening: el agente bloquea la ejecución detodos los programas sin clasificar cuyo origen nosea confiable y los clasificados como malware.

• Learning: el agente no bloquea ningúnprograma pero monitoriza los procesosejecutados.

Hash Hash / digest del fichero. MD5

Path Ruta del elemento que desencadenó laoperación registrada.

Cadena de caracteres(Ruta)

MUID Identificador interno del equipo del cliente. Cadena de caracteres




Date

(CEF)


User

(CEF)

Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar el procesoque genero el evento registrado.


Tabla 3.16: campos del evento Createcmp


46 | Capítulo 3

Panda SIEMFeeder


MachineIP

(CEF)

Nombre del equipo de usuario quedesencadena el evento registrado. Dirección IP

MachineName

(CEF)

Nombre del equipo de usuario quedesencadena el evento registrado. Cadena de caracteres

sev

(LEEF)

Severidad del evento. Excepto para los eventosde tipo alerta siempre contiene en valor “1”.Consulta más adelante los tipos de eventos paraobtener más información.

1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src

(LEEF)

IP del equipo de usuario o servidor quedesencadena el evento registrado. Cadena de caracteres

identSrc

(LEEF)

IP del equipo de usuario o servidor quedesencadena el evento registrado. Cadena de caracteres

identHostName

(LEEF)

Nombre del equipo de usuario quedesencadena el evento registrado. Cadena de caracteres

HostName

(LEEF)


LocalDateTime

Fecha en formato UTC que tenía el equipo en elmomento en que se produjo el eventoregistrado. Esta fecha depende de laconfiguración del equipo y por lo tanto puedeser errónea

Fecha



Panda SIEMFeeder



Capítulo 3 | 47


• 0: fecha real nosoportada portratarse de unevento antiguo.

• 1: fecha real nodisponible el servidorPanda y obtenidamediante uncálculo.

• 2: fecha realproporcionada porel servidor Panda.

Client


Numérico

Op Operación registrada. Cadena de caracteres:“createcmp”

ParentHash Hash del proceso que actúa como padre. Cadena de caracteres

ParentDriveType

Tipo de unidad donde reside el proceso o ficheropadre que desencadenó la operación regis-trada.

• Fixed: dispositivo no extraible, como porejemplo un disco duro interno.

• Remote: unidad de red.• Removable: dispositivo extraible, como por

ejemplo un pen drive o un diskette.• Unknown: dispositivo de tipo desconocido.• NoRootDir: dispositivo no disponible en la ruta

indicada. • Cdrom: unidad de CD-ROM• Ramdisk: unidad de disco RAM.

Enumeración

ParentPath Ruta del fichero padre que realizó la operaciónregistrada. Cadena de caracteres

ParentPID Identificador del proceso padre. Numérico

ParentValidSig El proceso padre está firmado digitalmente. Booleano

ParentCompany Contenido del atributo Company de losmetadatos del proceso padre. Cadena de caracteres

ParentBroken El proceso padre está corrupto o defectuoso. Booleano




48 | Capítulo 3

Panda SIEMFeeder


ParentImageType

Arquitectura interna del proceso padre:

• EXEx32• EXEx64• DLLx32• DDLx64

Enumeración

ParentExeType

Estructura interna / tipo del proceso padre.

• Delphi• DOTNET• VisualC

Enumeración

• VB• CBuilder• Mingw• Mssetup

• Setupfactory• Lcc32• Vc7setupproject • Unknown

ParentPrevalence

Prevalencia histórica del proceso padre en los sis-temas de Panda Security.

• High• Medium• Low

Enumeración

ParentPrevLastDay

Prevalencia del proceso padre en el día anterioren los sistemas de Panda Security.


Enumeración

ParentCat

Categoría del fichero padre que realizó la opera-ción registrada.

• Goodware• Malware• PUP• Unknown• Monitoring

Enumeración



Panda SIEMFeeder



Capítulo 3 | 49

ParentMWNameNombre del malware en el proceso padre si yaestá catalogado como una amenaza. Si es Nullel elemento no es malware.


ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres

ChildDriveType






Enumeración

ChildPath Ruta del fichero hijo que realizó la operaciónregistrada.


ChildPID Identificador del proceso hijo. Numérico

ChildValidSig El proceso hijo está firmado digitalmente. Booleano

ChildCompany Contenido del atributo Company de losmetadatos del proceso hijo. Cadena de caracteres

ChildBroken El proceso hijo está corrupto o defectuoso. Booleano

ChildImageType

Arquitectura interna del proceso hijo:

• EXEx32• EXEx64• DLLx32• DLLx64

Enumeración

ChildExeType Estructura interna / tipo del proceso hijo.

• Delphi• DOTNET• VisualC• VB

Enumeración

• CBuilder• Mingw• Mssetup




50 | Capítulo 3

Panda SIEMFeeder



ChildPrevalence

Prevalencia histórica del proceso hijo en los siste-mas de Panda Security.


Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración

ChildMWNameNombre del malware en el proceso hijo si ya estácatalogado como una amenaza. Si es Null elelemento no es malware.


OCS_Exec Se ejecutó en el equipo software consideradocomo vulnerable. Booleano

OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres

OCS_Version Versión del sistema operativo del equipo dondese ejecutó el software vulnerable. Cadena de caracteres

Params Parámetros de ejecución del proceso en la lineade comandos. Cadena de caracteres



Panda SIEMFeeder



Capítulo 3 | 51

ToastResult

Respuesta del usuario ante el mensaje emer-gente mostrado por Panda Adaptive Defense.

• Ok: el cliente acepta el mensaje.• Timeout: el mensaje emergente desaparece

por la no acción del usuario.• Angry: el usuario rechaza el bloqueo desde el

mensaje emergente.• Block• Allow

Enumeración

Action Acción realizada por el agente Panda AdaptiveDefense.
















52 | Capítulo 3

Panda SIEMFeeder



• ExploitInformed: se mostró un mensajeemergente al usuario informando de unintento de explotación de proceso vulnerable.













Panda SIEMFeeder



Capítulo 3 | 53





ServiceLevel

Modo de ejecución del agente:

• Blocking: el agente bloquea todos losejecutables sin clasificar y los clasificadoscomo malware.

• Hardening: el agente bloquea la ejecución detodos los programas sin clasificar cuyo origenno sea confiable y los clasificados comomalware.


Enumeración


• Blockmode: el agente estaba en modo Locken el momento del bloqueo.


Enumeración




ficheros GW desconocidos.• LegacyUser: permiso solicitado al usuario.• Local Signature: firma local.




54 | Capítulo 3

Panda SIEMFeeder


CreatedirEvento de tipo activo que se genera cuando un proceso (parent) crea un directorio (child).


• MetaEsploit: ataque generado con elframework metaExploit.




DetId Identificador de la detección. Cadena de caracteres





Date

(CEF)


User

(CEF)

Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar elproceso que genero el evento registrado.


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 3.17: campos del evento Createdir

Panda SIEMFeeder



Capítulo 3 | 55

devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“Createdir”




56 | Capítulo 3

Panda SIEMFeeder



ParentDriveType






Enumeración






ParentImageType



Enumeración

ParentExeType



Enumeración




Panda SIEMFeeder



Capítulo 3 | 57


ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat

Categoría del fichero padre que realizó la ope-ración registrada.


Enumeración







58 | Capítulo 3

Panda SIEMFeeder


ChildDriveType






Enumeración







ChildImageType



Enumeración



Enumeración





Panda SIEMFeeder



Capítulo 3 | 59

ChildPrevalence



Enumeración

ChildPrevLastDay

Prevalencia histórica del proceso hijo en lossistemas de Panda Security.


Enumeración

ChildCat



Enumeración










60 | Capítulo 3

Panda SIEMFeeder


ToastResult

Respuesta del usuario ante el mensaje emer-gente mostrado por Panda Security.




Enumeración




Enumeración












Panda SIEMFeeder



Capítulo 3 | 61
















62 | Capítulo 3

Panda SIEMFeeder








Enumeración






Enumeración







Panda SIEMFeeder



Capítulo 3 | 63

CreateprocessbyWMIEvento de tipo activo que se genera cuando un proceso (parent) crea un proceso (child) a través del

sistema WMI.











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 3.18: campos del evento CreateprocessbyWMI


64 | Capítulo 3

Panda SIEMFeeder


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“CreateprocessbyWMI”



Panda SIEMFeeder



Capítulo 3 | 65


ParentDriveType






Enumeración






ParentImageType



Enumeración

ParentExeType



Enumeración





66 | Capítulo 3

Panda SIEMFeeder



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración






Panda SIEMFeeder



Capítulo 3 | 67

ChildDriveType






Enumeración







ChildImageType



Enumeración



Enumeración






68 | Capítulo 3

Panda SIEMFeeder


ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración









Panda SIEMFeeder



Capítulo 3 | 69

ToastResult





Enumeración




Enumeración













70 | Capítulo 3

Panda SIEMFeeder
















Panda SIEMFeeder



Capítulo 3 | 71







Enumeración






Enumeración








72 | Capítulo 3

Panda SIEMFeeder


CreatePE Evento de tipo activo que se genera cuando un proceso (parent) crea un nuevo fichero ejecutable

(child).











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 3.19: campos del evento CreatePE

Panda SIEMFeeder



Capítulo 3 | 73

devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“CreatePE”




74 | Capítulo 3

Panda SIEMFeeder



ParentDriveType






Enumeración






ParentImageType



Enumeración

ParentExeType Estructura interna / tipo del proceso padre.


Enumeración




Panda SIEMFeeder



Capítulo 3 | 75


ParentPrevalence

Prevalencia histórica del proceso padre en lossistemas de Panda Security.


Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración




ChildDriveType Tipo de unidad donde reside el proceso o ficheropadre que desencadenó la operación regis-trada.



ejemplo un pen drive o un diskette.

Enumeración




76 | Capítulo 3

Panda SIEMFeeder


• Unknown: dispositivo de tipo desconocido.• NoRootDir: dispositivo no disponible en la ruta








ChildImageType



Enumeración



Enumeración



ChildPrevalence



Enumeración



Panda SIEMFeeder



Capítulo 3 | 77

ChildPrevLastDay



Enumeración

ChildCat



Enumeración







ToastResult





Enumeración




78 | Capítulo 3

Panda SIEMFeeder





Enumeración















Panda SIEMFeeder



Capítulo 3 | 79

















80 | Capítulo 3

Panda SIEMFeeder


ServiceLevel





Enumeración




Enumeración













Panda SIEMFeeder



Capítulo 3 | 81

CreateremotethreadEvento de tipo activo que se genera cuando un proceso (parent) crea un hilo de ejecución remoto.



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


Tabla 3.20: campos del evento Createremotethread


82 | Capítulo 3

Panda SIEMFeeder


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“Createremotethread”


ParentDriveType






Enumeración





Panda SIEMFeeder



Capítulo 3 | 83




ParentImageType



Enumeración



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración




84 | Capítulo 3

Panda SIEMFeeder


ParentCat Categoría del fichero padre que realizó laoperación registrada.

• Goodware• Malware

Enumeración

• PUP• Unknown• Monitoring




ChildDriveType






Enumeración







ChildImageType



Enumeración



Panda SIEMFeeder



Capítulo 3 | 85



Enumeración



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración








86 | Capítulo 3

Panda SIEMFeeder




ToastResult

Respuesta del usuario ante el mensajeemergente mostrado por Panda AdaptiveDefense.




Enumeración




Enumeración









Panda SIEMFeeder



Capítulo 3 | 87
















88 | Capítulo 3

Panda SIEMFeeder





• NewPE: aparición de un nuevo programaejecutable en el equipo que viene delexterior.






Enumeración






Enumeración



Panda SIEMFeeder



Capítulo 3 | 89

CriticalsoftEvento de tipo pasivo que se genera cuando se ejecuta una aplicación vulnerable.


• Context: regla de contexto local.• ContextMinerva: regla de contexto en la

nube.• Digital Signature: fichero firmado digitalmente.• Exploit: tecnología de identificación de

intento de explotación de proceso vulnerable.












Date

(CEF)


User

(CEF)

Nombre de la cuenta de usuario y dominioal que pertenece utilizada para ejecutar elproceso que genero el evento registrado.


Tabla 3.21: campos del evento Criticalsoft


90 | Capítulo 3

Panda SIEMFeeder


MachineIP

(CEF)

Nombre del equipo que desencadena elevento registrado. Dirección IP

MachineName

(CEF)

Nombre del equipo que desencadena elevento registrado. Cadena de caracteres

sev

(LEEF)

Severidad del evento. Excepto para loseventos de tipo alerta siempre contiene envalor “1”. Consulta más adelante los tipos deeventos para obtener más información.

1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)

Cuenta de usuario utilizada por el procesoque realizó la operación registrada. Cadena de caracteres

domain

(LEEF)

Dominio de la cuenta de usuario utilizadopor el proceso que realizó la operaciónregistrada.


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime

Fecha en formato UTC que tenía el equipoen el momento en que se produjo el eventoregistrado. Esta fecha depende de laconfiguración del equipo y por lo tantopuede ser errónea

Fecha



Panda SIEMFeeder



Capítulo 3 | 91





Client

Identificador utilizado para distinguir loseventos recibidos de cada cliente delpartner. Este campo únicamente se utilizaen el producto Panda SIEMFeeder forPartners.

Numérico

CriticalSoftEventType

• True: el software vulnerable se ejecuto enel equipo.

• False: el software vulnerable fue visto en elequipo pero no se ejecutó.

•

Booleano

ItemHash Hash / digest de la amenaza o programavulnerable encontrada. Cadena de caracteres

Filename Nombre del fichero vulnerable. Cadena de caracteres

FilePath Ruta completa donde se encuentra elfichero vulnerable. Cadena de caracteres

Size Tamaño del fichero vulnerable. Numérico

InternalName Contenido del atributo Name de losmetadatos del fichero vulnerable. Numérico

CompanyName Contenido del atributo Company de losmetadatos del fichero vulnerable. Cadena de caracteres

FileVersion Contenido del atributo Version de losmetadatos del fichero vulnerable. Cadena de caracteres

ProductVersion Contenido del atributo ProductVersion delos metadatos del fichero vulnerable. Cadena de caracteres

FilePlatform

Arquitectura interna del fichero

• Win32NT• Win64NT

Enumeración





92 | Capítulo 3

Panda SIEMFeeder


DeletePEEvento de tipo activo que se genera cuando un proceso (parent) borra un programa ejecutable

(child).



Date

(CEF)


User

(CEF)

Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar el procesoque genero el evento registrado.


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


Tabla 3.22: campos del evento DeletePE

Panda SIEMFeeder



Capítulo 3 | 93

identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“DeletePE”


ParentDriveType






Enumeración




94 | Capítulo 3

Panda SIEMFeeder







ParentImageType



Enumeración



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración



Panda SIEMFeeder



Capítulo 3 | 95

ParentCat



Enumeración




ChildDriveType






Enumeración







ChildImageType



Enumeración




96 | Capítulo 3

Panda SIEMFeeder




Enumeración



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración







Panda SIEMFeeder



Capítulo 3 | 97



ToastResult





Enumeración




Enumeración










98 | Capítulo 3

Panda SIEMFeeder
















Panda SIEMFeeder



Capítulo 3 | 99








ServiceLevel





Enumeración




Enumeración




100 | Capítulo 3

Panda SIEMFeeder


DeviceopsEvento de tipo activo que se genera cuando se ejecuta una operación sobre un dispositivo externo

por parte de un proceso.















Date

(CEF)


User

(CEF)



Tabla 3.23: campos del evento Deviceops

Panda SIEMFeeder



Capítulo 3 | 101

MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha




102 | Capítulo 3

Panda SIEMFeeder






Client


Numérico

NotificationType

Tipo de operación realizada.

• 40067: conexión del dispositivo.• 40068: desconexión correcta del dispositivo.• 40070: desconexión del dispositivo sin

desmontarlo previamente.

Enumeración

DeviceType Tipo de unidad donde reside el proceso o ficheroque desencadenó la operación registrada.

• 0: desconocido.• 1: unidad de CD o DVD.• 2: dispositivo de almacenamiento SB.

Enumeración

• 3: fichero imagen.• 4: dispositivo bluetooth.• 5: modem.

• 6: impresora USB.• 7: teléfono móvil.• 8: teclado.• 9: teclado y ratón.• 10: ratón.

UniqueId Identificador único del dispositivo. Cadena de caracteres

IsDenied Indica si se ha denegado la acción reportadasobre el dispositivo. Booleano

IdName Nombre del dispositivo. Cadena de caracteres



Panda SIEMFeeder



Capítulo 3 | 103

DnsopsEvento de tipo pasivo que se genera con cada petición de una resolución dns por parte de un

proceso.


ClassNameClase del dispositivo. Se corresponde con laclase indicada en el fichero .inf asociado aldispositivo.


FriendlyName Nombre comprensible del dispositivo. Cadena de caracteres

Description Descripción del dispositivo. Cadena de caracteres

Manufacturer Fabricante del dispositivo. Cadena de caracteres

PhoneDescription Descripción del teléfono si la operación involucróa un dispositivo de este tipo. Cadena de caracteres





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 3.24: campos del evento Dnsops


104 | Capítulo 3

Panda SIEMFeeder


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

ProcessCount Número de procesos en el equipo con fallos deresolución dns en la última hora. Numérico



Panda SIEMFeeder



Capítulo 3 | 105

ExecEvento de tipo activo que se genera cada vez que un proceso (parent) ejecuta un nuevo proceso

(child).


ProcessMD5 MD5 del proceso con operaciones de DNSfallidas. Cadena de caracteres

ProcessPid Identificador del proceso con operaciones deDNS fallidas. Numérico

ProcessPath Ruta del proceso con operaciones de DNSfallidas. Cadena de caracteres

FailedQueries Número de peticiones de resolución DNS fallidasproducidas por el proceso en la última hora. Numérico

QueriedDomainCount

Número de dominios diferentes con resoluciónfallida del proceso en la última hora. Numérico

DomainListLista de dominios enviados por el proceso al ser-vidor DNS para su resolución y número de resolu-ciones por cada dominio.

{nombre_dominio,numero#nombre_dominio,numero}





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

Tabla 3.25: campos del evento Exec


106 | Capítulo 3

Panda SIEMFeeder


devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico



Panda SIEMFeeder



Capítulo 3 | 107

Op Operación registrada. Cadena de caracteres:“Exec”


ParentDriveType






Enumeración






ParentImageType



Enumeración

ParentExeType



Enumeración





108 | Capítulo 3

Panda SIEMFeeder



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración






Panda SIEMFeeder



Capítulo 3 | 109

ChildDriveType






Enumeración







ChildImageType



Enumeración



Enumeración






110 | Capítulo 3

Panda SIEMFeeder


ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración









Panda SIEMFeeder



Capítulo 3 | 111

ToastResult





Enumeración




Enumeración













112 | Capítulo 3

Panda SIEMFeeder

















Panda SIEMFeeder



Capítulo 3 | 113




ServiceLevel





Enumeración




Enumeración









114 | Capítulo 3

Panda SIEMFeeder


HostfilesEvento de tipo activo que se genera cuando un proceso (parent) detecta una modificación del

fichero hosts.











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 3.26: campos del evento Hostfiles

Panda SIEMFeeder



Capítulo 3 | 115

devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

HostName Nombre del equipo que desencadena el eventoregistrado. Cadena de caracteres




116 | Capítulo 3

Panda SIEMFeeder


Hash Hash / digest del fichero. Cadena de caracteres

Drivetype

Tipo de unidad donde reside el proceso o ficheroque desencadenó la operación registrada.




indicada. • Cdrom: unidad de CD-ROM

• Ramdisk: unidad de disco RAM.

Enumeración

Path Ruta del elemento que desencadenó laoperación registrada. Cadena de caracteres

ValidSig Proceso firmado digitalmente. Booleano

Company Contenido del atributo Company de losmetadatos del proceso. Cadena de caracteres

Broken El fichero esta corrupto o defectuoso. Cadena de caracteres

ImageType

Arquitectura interna del proceso.


Enumeración

ExeType Estructura interna / tipo del proceso.


Enumeración





Panda SIEMFeeder



Capítulo 3 | 117

InstallEvento de tipo pasivo que se genera cuando se instala el software de protección Panda Adaptive

Defense.


Prevalence

Prevalencia histórica del proceso en los sistemasde Panda Security.


Enumeración

PrevLastDay

Prevalencia del proceso en el día anterior en lossistemas de Panda Security.


Enumeración

Cat

Categoría del fichero que realizó la operaciónregistrada.


Enumeración

MWName Nombre del malware si está ya catalogadocomo una amenaza. Cadena de caracteres





Date

(CEF)


Tabla 3.27: campos del evento Install


118 | Capítulo 3

Panda SIEMFeeder


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha



Panda SIEMFeeder



Capítulo 3 | 119

LoadlibEvento de tipo activo que se genera cuando un proceso (parent) carga una librería (child).





Client


Numérico

Operation

Tipo de operación:

• Install• Uninstall

Enumeración

Result

Resultado de la operación:

• OK• No ok

Enumeración

OSVersion Versión del sistema operativo instalado en elequipo del usuario. Cadena de caracteres

OSServicePack Service Pack del sistema operativo del equipode usuario. Cadena de caracteres

OSPlatform

Plataforma del sistema operativo del equipo deusuario.

• WIN32• WIN64

Enumeración

MachineIP0 IP del equipo donde se registró el evento. Dirección IP





120 | Capítulo 3

Panda SIEMFeeder




Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


Tabla 3.28: campos del evento Loadlib

Panda SIEMFeeder



Capítulo 3 | 121

LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“Loadlib”


ParentDriveType






Enumeración







122 | Capítulo 3

Panda SIEMFeeder




ParentImageType



Enumeración



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración



Panda SIEMFeeder



Capítulo 3 | 123

ParentCat



Enumeración




ChildDriveType






Enumeración







ChildImageType



Enumeración




124 | Capítulo 3

Panda SIEMFeeder




Enumeración



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración







Panda SIEMFeeder



Capítulo 3 | 125



ToastResult





Enumeración




Enumeración










126 | Capítulo 3

Panda SIEMFeeder



















Panda SIEMFeeder



Capítulo 3 | 127





ServiceLevel





Enumeración




Enumeración







128 | Capítulo 3

Panda SIEMFeeder


LoginoutopsEvento de tipo activo que se genera cuando se detecta un inicio de sesión en el equipo.













Date

(CEF)


User

(CEF)

Nombre de la cuenta de usuario y dominio alque pertenece utilizada para ejecutar el procesoque generó el evento registrado.


MachineIP

(CEF)


MachineName

(CEF)


Tabla 3.29: campos del evento Loginoutops

Panda SIEMFeeder



Capítulo 3 | 129

sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha








130 | Capítulo 3

Panda SIEMFeeder


Client


Numérico

ActionType• 0: inicio de sesión.• 1: fin de sesión.

Enumeración

SessionType Tipo de inicio de sesión:

• 2: sesión creada físicamente mediante unteclado o a través de KVM sobre IP.

• 3: sesión creada remotamente en carpetas oimpresoras compartidas. Este tipo de inicio desesión tiene autenticación segura.

Numérico

• 4: sesión creada por el programador de tareasde Windows.

• 5: sesión creada cuando arranca un servicioque requiere ejecutarse en la sesión deusuario. La sesión es eliminada cuando elservicio se detiene.

• 7: sesión creada cuando un usuario intentaentrar en una sesión que ya está creada y hasido bloqueada.

• 8: idéntico al tipo 3 pero la contraseña viaja entexto plano.

• 9: sesión creada cuando se usa el comando“RunAs” bajo una cuenta diferente a lautilizada para iniciar la sesión, y especificandoel parámetro “/netonly”. Sin el parámetro “/netonly” se genera un tipo de sesión 2.

• 10: sesión creada cuando se accedemediante “Terminal Service”, “Remotedesktop” o “Remote Assistance”. Identificauna conexión de usuario remota.

• 11: sesión de usuario creada con credencialesde dominio cacheadas en el equipo, pero sinconexión con el controlador de dominio.

ErrorCode • 0xC0000064: el nombre de usuario no existe.• 0XC000005E: el servidor necesario para validar

el inicio de sesión no está disponible.• 0xC000006A: el usuario es correcto pero la

contraseña es incorrecta.

Numérico(hexadecimal)



Panda SIEMFeeder



Capítulo 3 | 131

• 0XC000006D: el usuario o la información deautenticación es errónea.

• 0XC000006E: nombre desconocido ocontraseña errónea.

• 0xC0000234: acceso bloqueado.

• 0xC0000072: cuenta deshabilitada.• 0xC000006F: intento de inicio de sesión en

horario restringido.• 0xC0000070: intento de inicio de sesión desde

un equipo no autorizado.

• 0xC00000DC: error en el servidor de validación.No se puede realizar la operación.

• 0xC0000193: cuenta caducada.• 0xC0000071: contraseña caducada.

• 0xC0000133: el reloj de los equiposconectados tienen un desfase demasiadogrande.

• 0xC0000224: se requiere que el usuario cambiela contraseña en el siguiente reinicio.

• 0xC0000225: error de Windows que no implicariesgo.

• 0xc000018c: la solicitud de inicio de sesión fallóporque la relación de confianza entre eldominio primario y el dominio confiable falló.

• 0XC0000192: se intentó iniciar sesión, pero elservicio Netlogon no se inició.

• 0XC00002EE: se produjo un error durante elinicio de sesión.

• 0XC0000413: el equipo en la que se estáiniciando sesión está protegida por un firewallde autenticación. La cuenta especificada nopuede autenticarse en el equipo.

• 0xc000015b: el usuario no tiene permisos paraese tipo de inicio de sesión.

User Dominio\usuario con el que se ha creado lasesión. Cadena de caracteres

Interactive Indica si es un inicio de sesión de usuariointeractiva. Booleano

RemoteMachineName

Si el evento es un inicio de sesión remoto indica elnombre del equipo remoto. Cadena de caracteres




132 | Capítulo 3

Panda SIEMFeeder


ModifypeEvento de tipo activo que se genera cuando un proceso (parent) modifica un programa ejecutable

(child).


RemoteIP Si el evento es un inicio de sesión remoto indica laIP del equipo remoto. Dirección IP

RemotePort Si el evento es un inicio de sesión remoto indica elpuerto del equipo remoto. Numérico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


Tabla 3.30: campos del evento Modifype

Panda SIEMFeeder



Capítulo 3 | 133

domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“Modifype”





134 | Capítulo 3

Panda SIEMFeeder


ParentDriveType

Tipo de unidad donde reside el proceso ofichero padre que desencadenó la operaciónregistrada.





Enumeración






ParentImageType



Enumeración



Enumeración





Panda SIEMFeeder



Capítulo 3 | 135

ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración




ChildDriveType






Enumeración






136 | Capítulo 3

Panda SIEMFeeder






ChildImageType



Enumeración



Enumeración



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración



Panda SIEMFeeder



Capítulo 3 | 137

ChildCat



Enumeración







ToastResult





Enumeración




Enumeración




138 | Capítulo 3

Panda SIEMFeeder



















Panda SIEMFeeder



Capítulo 3 | 139





• AllowGWFilter: se permite la ejecución delelemento por estar en la caché degoodware.









140 | Capítulo 3

Panda SIEMFeeder


ServiceLevel





Enumeración




Enumeración














Panda SIEMFeeder



Capítulo 3 | 141

ModLinuxCfgEvento de tipo activo que se genera cuando se detecta una modificación de un fichero de

configuración en un sistema operativo Linux.



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


Tabla 3.31: campos del evento ModLinuxCfg


142 | Capítulo 3

Panda SIEMFeeder


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“ModLinuxCfg”


ParentDriveType






Enumeración



Panda SIEMFeeder



Capítulo 3 | 143






ParentImageType



Enumeración



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración




144 | Capítulo 3

Panda SIEMFeeder


ParentCat



Enumeración




ChildDriveType






Enumeración







ChildImageType



Enumeración



Panda SIEMFeeder



Capítulo 3 | 145



Enumeración



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración








146 | Capítulo 3

Panda SIEMFeeder




ToastResult





Enumeración




Enumeración









Panda SIEMFeeder



Capítulo 3 | 147
















148 | Capítulo 3

Panda SIEMFeeder









ServiceLevel





Enumeración




Enumeración



Panda SIEMFeeder



Capítulo 3 | 149

ModOSXCfgEvento de tipo activo que se genera cuando se detecta una modificación de un fichero de

configuración en un sistema operativo macOS.
















Date

(CEF)


User

(CEF)



Tabla 3.32: campos del evento ModOSXCfg


150 | Capítulo 3

Panda SIEMFeeder


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha



Panda SIEMFeeder



Capítulo 3 | 151





Client


Numérico

Op Operación registrada. Cadena de caracteres:“ModOSXCfg”


ParentDriveType






Enumeración









152 | Capítulo 3

Panda SIEMFeeder


ParentImageType



Enumeración



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración



Panda SIEMFeeder



Capítulo 3 | 153




ChildDriveType





Enumeración









ChildImageType



Enumeración



Enumeración





154 | Capítulo 3

Panda SIEMFeeder



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración









Panda SIEMFeeder



Capítulo 3 | 155

ToastResult





Enumeración




Enumeración













156 | Capítulo 3

Panda SIEMFeeder
















Panda SIEMFeeder



Capítulo 3 | 157





ServiceLevel





Enumeración




Enumeración







158 | Capítulo 3

Panda SIEMFeeder


MonitoredopenEvento de tipo activo que se genera cuando se detecta que un proceso (parent) accede a un

fichero de datos (child).












El campo childpath solo contiene la extensión del fichero accedido para preservar la

privacidad de los datos del cliente. Para incluir la ruta y nombre concreto del fichero

accedido, consulta la guía avanzada del administrador de Panda Adaptive Defense.


Date

(CEF)


User

(CEF)



MachineIP

(CEF)


Tabla 3.33: campos del evento Monitoredopen

Panda SIEMFeeder



Capítulo 3 | 159

MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha




160 | Capítulo 3

Panda SIEMFeeder






Client


Numérico

ParentPid Identificador del proceso padre. Numérico






ParentImageType



Enumeración



Enumeración




Panda SIEMFeeder



Capítulo 3 | 161


ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración



ChildPath Ruta del fichero hijo que realizó la operaciónregistrada. Cadena de caracteres

LoggedUser Usuario logeado en el equipo en el momento dela generación del evento. Cadena de caracteres

ConfigString

Indica la versión del juego de reglas que estabanactivas cuando se registró el evento. Utilizadopara tareas de diagnóstico por parte deldepartamento de soporte de Panda Security.

Cadena de caracteres“Mx” (M0, M1, M2 etc.)




162 | Capítulo 3

Panda SIEMFeeder


ParentAttibutes Flags de atributos del proceso padre.

• 0x0000: nivel de integridad del procesoUntrusted.

• 0x1000: nivel de integridad del proceso Lowintegrity.

• 0x2000: nivel de integridad del procesoMedium integrity.

• 0x3000: nivel de integridad del proceso Highintegrity.

Numérico

• 0x4000: nivel de integridad del proceso Systemintegrity.

• 0x5000: nivel de integridad del procesoProtected.

• 0x00000100: evento acumulativo.• 0x00000200: Indica si el proceso ha sido

creado local o remotamente.• 0x00000400: Indica que la operación se ha

producido antes del arranque del servicio.

ChildAttributes Flags de atributos del proceso hijo.

• 0x0000: nivel de integridad del procesoUntrusted.

• 0x1000: nivel de integridad del proceso Lowintegrity.

• 0x2000: nivel de integridad del procesoMedium integrity.

• 0x3000: nivel de integridad del proceso Highintegrity.

Numérico

• 0x4000: nivel de integridad del proceso Systemintegrity.

• 0x5000: nivel de integridad del procesoProtected.

• 0x00000100: evento acumulativo.• 0x00000200: Indica si el proceso ha sido

creado local o remotamente.• 0x00000400: Indica que la operación se ha

producido antes del arranque del servicio.




Panda SIEMFeeder



Capítulo 3 | 163

MonitoredregistryEvento de tipo activo que se genera cuando se detecta un proceso (parent) que accede al registro

del equipo del usuario para leer una rama.



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


Tabla 3.34: campos del evento Monitoredregistry


164 | Capítulo 3

Panda SIEMFeeder


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

ParentPid Identificador del proceso padre. Numérico






ParentImageType



Enumeración



Panda SIEMFeeder



Capítulo 3 | 165



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración






166 | Capítulo 3

Panda SIEMFeeder


NotblockedEvento de tipo activo que se genera con cada acción que Panda Adaptive Defense 360 deja sin

analizar debido a situaciones excepcionales (durante el tiempo de arranque del servicio en la

protección, cambios de configuración etc.).


RegAction

Tipo de operación realizada en el registro delequipo.

• CreateKey• CreateValue• ModifyValue

Enumeración

Key Rama o clave del registro afectado. Cadena de caracteres

Value Nombre del valor afectado dentro de la clavedel registro. Cadena de caracteres

ValueData Contenido del valor de la clave del registro. Cadena de caracteres

LoggedUser Usuario logeado en el equipo en el momento dela generación del evento. Cadena de caracteres

ConfigString

Indica la versión del juego de reglas que estabanactivas cuando se registró el evento. Utilizadopara tareas de diagnóstico por parte deldepartamento de soporte de Panda Security.

Cadena de caracteres“Mx” (M0, M1, M2 etc.)





Date

(CEF)

TimeStamp de la creación delevento en el equipo del usuario. Fecha

User

(CEF)

Nombre de la cuenta de usuario ydominio al que pertenece utilizadapara ejecutar el proceso quegenero el evento registrado.


MachineIP

(CEF)

Nombre del equipo quedesencadena el evento registrado. Dirección IP

Tabla 3.35: Campos del evento Notblocked

Panda SIEMFeeder



Capítulo 3 | 167

MachineName

(CEF)

Nombre del equipo quedesencadena el evento registrado. Cadena de caracteres

sev

(LEEF)

Severidad del evento. Excepto paralos eventos de tipo alerta siemprecontiene en valor “1”. Consulta másadelante los tipos de eventos paraobtener más información.

1

devTime

(LEEF)

TimeStamp de la creación delevento en el equipo del usuario. Fecha

devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)

Cuenta de usuario utilizada por elproceso que realizó la operaciónregistrada.


domain

(LEEF)

Dominio de la cuenta de usuarioutilizado por el proceso que realizóla operación registrada.


src

(LEEF)

IP del equipo donde se registró elevento. Cadena de caracteres

identSrc

(LEEF)

IP del equipo donde se registró elevento. Cadena de caracteres

identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime

Fecha en formato UTC que tenía elequipo en el momento en que seprodujo el evento registrado. Estafecha depende de la configuracióndel equipo y por lo tanto puede sererrónea

Fecha




168 | Capítulo 3

Panda SIEMFeeder


PandaTimeStatus Contenido de los campos DateTime,Date y LocalDateTime

• 0: fecha real nosoportada por tratarsede un evento antiguo.



Client

Identificador utilizado para distinguirlos eventos recibidos de cadacliente del partner. Este campoúnicamente se utiliza en el productoPanda SIEMFeeder for Partners.

Numérico

ParentHash Digest / hash del fichero padre. Cadena de caracteres

ParentPath Ruta del proceso padre. Cadena de caracteres

ParentValidSig Proceso padre firmadodigitalmente. Booleano

ParentCompany Contenido del atributo Companyde los metadatos del proceso padre Cadena de caracteres

ParentBroken El proceso padre está corrupto odefectuoso. Booleano

ParentImageType

Arquitectura interna del procesopadre:


Enumeración

ParentExeType Estructura interna / tipo del procesopadre.


Enumeración




Panda SIEMFeeder



Capítulo 3 | 169


ParentPrevalence

Prevalencia histórica del procesopadre en los sistemas de PandaSecurity.


Enumeración

ParentPrevLastDay

Prevalencia del proceso padre en eldía anterior en los sistemas dePanda Security.


Enumeración

ParentCat

Categoría del fichero padre querealizó la operación registrada.


Enumeración

ParentMWName

Nombre del malware en el procesopadre si ya está catalogado comouna amenaza. Si es Null el elementono es malware.


ChildHash Hash del proceso que actúa comohijo. Cadena de caracteres

ChildPath Ruta del fichero hijo que realizó laoperación registrada.


ChildValidSig El proceso hijo está firmadodigitalmente. Booleano

ChildCompany Contenido del atributo Companyde los metadatos del proceso hijo. Cadena de caracteres

ChildBroken El proceso hijo está corrupto odefectuoso. Booleano




170 | Capítulo 3

Panda SIEMFeeder


ChildImageType

Arquitectura interna del procesohijo:


Enumeración

ChildExeType Estructura interna / tipo del procesohijo.


Enumeración



ChildPrevalence

Prevalencia histórica del procesohijo en los sistemas de Panda Secu-rity.


Enumeración

ChildPrevLastDay

Prevalencia histórica del procesohijo en los sistemas de Panda Secu-rity.


Enumeración



Panda SIEMFeeder



Capítulo 3 | 171

OpencmpEvento de tipo activo que se genera cuando se detecta un proceso (parent) que abre un fichero

comprimido (child).


ChildCat

Categoría del fichero padre querealizó la operación registrada.


Enumeración

ChildMWName

Nombre del malware en el procesohijo si ya está catalogado como unaamenaza. Si es Null el elemento noes malware.


ResponseCat

Categoría del fichero asignadasegún las tecnologías localesimplementadas en del software deprotección.


Enumeración

NumCacheClassifiedElements

Numero de identificadorescacheados en el equipo del usuarioen el momento en que se generó elevento.

Numérico

MUID Identificador interno del equipo delcliente. Cadena de caracteres




Date

(CEF)


Tabla 3.36: campos del evento Opencmp


172 | Capítulo 3

Panda SIEMFeeder


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha



Panda SIEMFeeder



Capítulo 3 | 173





Client


Numérico

Op Operación registrada. Cadena de caracteres:“Opencmp”


ParentDriveType






Enumeración









174 | Capítulo 3

Panda SIEMFeeder


ParentImageType



Enumeración



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración



Panda SIEMFeeder



Capítulo 3 | 175




ChildDriveType






Enumeración







ChildImageType



Enumeración



Enumeración





176 | Capítulo 3

Panda SIEMFeeder



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración









Panda SIEMFeeder



Capítulo 3 | 177

ToastResult





Enumeración




Enumeración













178 | Capítulo 3

Panda SIEMFeeder
















Panda SIEMFeeder



Capítulo 3 | 179





ServiceLevel





Enumeración




Enumeración







180 | Capítulo 3

Panda SIEMFeeder


OpenlsassEvento de tipo activo que se genera cuando se detecta un proceso (parent) que acede al proceso

LSASS para intentar comprometer las credenciales de una cuenta de usuario.













Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)



Panda SIEMFeeder



Capítulo 3 | 181

sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha








182 | Capítulo 3

Panda SIEMFeeder


Client


Numérico

Op Operación registrada. Cadena de caracteres:“Openlsass”


ParentDriveType






Enumeración






ParentImageType



Enumeración



Enumeración



Panda SIEMFeeder



Capítulo 3 | 183



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración







184 | Capítulo 3

Panda SIEMFeeder


ChildDriveType






Enumeración







ChildImageType



Enumeración



Enumeración





Panda SIEMFeeder



Capítulo 3 | 185

ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración










186 | Capítulo 3

Panda SIEMFeeder


ToastResult





Enumeración




Enumeración












Panda SIEMFeeder



Capítulo 3 | 187

















188 | Capítulo 3

Panda SIEMFeeder





ServiceLevel





Enumeración




Enumeración








Panda SIEMFeeder



Capítulo 3 | 189

ProcessNetBytesEvento de tipo activo que se genera cuando un proceso consume datos de red. Se envía un evento

por proceso cada cuatro horas aproximadamente, con la suma de datos transferida desde el último

envío del registro. El total de bytes enviados y recibidos por proceso es la suma de todas las

cantidades registradas.











Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

Tabla 3.38: campos del evento ProcessNetBytes


190 | Capítulo 3

Panda SIEMFeeder


devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico



Panda SIEMFeeder



Capítulo 3 | 191

RegistrycEvento de tipo activo que se genera cuando un proceso (parent) crea una rama del registro que

apunta a un fichero ejecutable (child).




PID Identificador del proceso. Numérico

BytesSentAcumulado de bytes enviados por el procesodesde la generación del ultimo eventoProcessNetBytes.

Numérico

BytesReceivedAcumulado de bytes recibidos por el procesodesde la generación del ultimo eventoProcessNetBytes.

Numérico





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


Tabla 3.39: campos del evento Registryc


192 | Capítulo 3

Panda SIEMFeeder


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

op Operación registrada. CreateExeKey

Hash Hash del proceso que actúa como padre. Cadena de caracteres



Panda SIEMFeeder



Capítulo 3 | 193

DriveType

Tipo de unidad donde reside el proceso o ficheropadre que desencadenó la operaciónregistrada.




indicada. • Cdrom: unidad de CD-ROM

• Ramdisk: unidad de disco RAM.

Enumeración

Path Ruta del fichero padre que realizó la operaciónregistrada. Cadena de caracteres

ValidSig El proceso padre está firmado digitalmente. Booleano

Company Contenido del atributo Company de losmetadatos del proceso padre. Cadena de caracteres

Broken El proceso padre está corrupto o defectuoso. Booleano

ImageType



Enumeración

ExeType



Enumeración






194 | Capítulo 3

Panda SIEMFeeder


RegistrymEvento de tipo activo que se genera cuando se detecta un proceso (parent) que modifica una rama

del registro que apunta a un fichero ejecutable (child).

Prevalence

Prevalencia histórica del proceso padre en lossistemas de Panda Adaptive Defense.


Enumeración

PrevLastDay



Enumeración

Cat



Enumeración

MWNameNombre del malware en el proceso padre si yaestá catalogado como una amenaza. Si es Nullel elemento no es malware.


TargetPath Ruta del ejecutable apuntado en el registro. Cadena de caracteres

Regkey Clave de registro. Cadena de caracteres




Panda SIEMFeeder



Capítulo 3 | 195



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


Tabla 3.40: campos del evento Registrym


196 | Capítulo 3

Panda SIEMFeeder


LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“ModifyExeKey”

Hash Hash del proceso que actúa como padre. Cadena de caracteres

DriveType






Enumeración

Path Ruta del fichero padre que realizó la operaciónregistrada. Cadena de caracteres





Panda SIEMFeeder



Capítulo 3 | 197

Broken El proceso padre está corrupto o defectuoso. Booleano

ImageType



Enumeración

ExeType Estructura interna / tipo del proceso padre.


Enumeración

• VB• CBuilder• Mingw• Mssetup• Setupfactory

• Lcc32• Vc7setupproject • Unknown

Prevalence



Enumeración

PrevLastDay



Enumeración




198 | Capítulo 3

Panda SIEMFeeder


RenamepeEvento de tipo activo que se genera cuando se detecta un proceso (parent) que cambia el nombre

de un programa ejecutable (child).


Cat



Enumeración

MWNameNombre del malware en el proceso padre si yaestá catalogado como una amenaza. Si es Nullel elemento no es malware.


TargetPath Ruta del ejecutable apuntado en el registro. Cadena de caracteres

Regkey Clave de registro. Cadena de caracteres





Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


Tabla 3.41: campos del evento Renamepe

Panda SIEMFeeder



Capítulo 3 | 199

sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha








200 | Capítulo 3

Panda SIEMFeeder


Client


Numérico

Op Operación registrada. Cadena de caracteres:“Renamepe”


ParentDriveType






Enumeración






ParentImageType



Enumeración



Enumeración



Panda SIEMFeeder



Capítulo 3 | 201



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración







202 | Capítulo 3

Panda SIEMFeeder


ChildDriveType






Enumeración







ChildImageType



Enumeración



Enumeración





Panda SIEMFeeder



Capítulo 3 | 203

ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración










204 | Capítulo 3

Panda SIEMFeeder


ToastResult





Enumeración




Enumeración












Panda SIEMFeeder



Capítulo 3 | 205
















206 | Capítulo 3

Panda SIEMFeeder






ServiceLevel





Enumeración




Enumeración






Panda SIEMFeeder



Capítulo 3 | 207

ScriptcreationEvento de tipo activo que se genera cuando un proceso (parent) crea un proceso (child) de tipo

script.

Descripción de los campo del evento












Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


Tabla 3.42: campos del evento Scriptcreation


208 | Capítulo 3

Panda SIEMFeeder


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha







Panda SIEMFeeder



Capítulo 3 | 209

Client


Numérico

Op Operación registrada. Cadena de caracteres:“scriptcreation”


ParentDriveType






Enumeración


ParentFlags Flags de uso interno al servicio. Cadena de caracteres



ParentBroken El proceso padre está corrupto o defectuoso. Booelano

ParentImageType



Enumeración



Enumeración




210 | Capítulo 3

Panda SIEMFeeder




ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración

ParentCat



Enumeración






Panda SIEMFeeder



Capítulo 3 | 211

ChildDriveType






Enumeración


ChildFlags Flags de uso interno al servicio. Cadena de caracteres




ChildImageType



Enumeración

ChildExeType Estructura interna / tipo del proceso padre.


Enumeración






212 | Capítulo 3

Panda SIEMFeeder


ChildPrevalence

Prevalencia histórica del proceso hijo en los siste-mas de Panda Security


Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración



ServiceLevel





Enumeración




Panda SIEMFeeder



Capítulo 3 | 213

ScriptlaunchEvento de tipo activo que se genera cuando se un proceso (parent) ejecuta un proceso (child) de

tipo script.



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


Tabla 3.43: campos del evento Scriptlauch


214 | Capítulo 3

Panda SIEMFeeder


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico

Op Operación registrada. Cadena de caracteres:“scriptlauch”


ParentDriveType







Enumeración



Panda SIEMFeeder



Capítulo 3 | 215


ParentFlags Flags de uso interno al servicio. Cadena de caracteres




ParentImageType



Enumeración



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración




216 | Capítulo 3

Panda SIEMFeeder


ParentCat



Enumeración




ChildDriveType






Enumeración


ChildFlags Flags de uso interno al servicio. Cadena de caracteres




ChildImageType



Enumeración



Panda SIEMFeeder



Capítulo 3 | 217



Enumeración



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración






218 | Capítulo 3

Panda SIEMFeeder


SocketEvento de tipo activo que se genera cuando se detecta un proceso (parent) que abre un socket.




Enumeración







Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

Tabla 3.44: campos del evento Socket

Panda SIEMFeeder



Capítulo 3 | 219

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico




220 | Capítulo 3

Panda SIEMFeeder


Protocol Protocolo de comunicaciones utilizado por elproceso.

• TCP• UDP

Enumeración

• ICMP• ICMPv6• IGMP• RF

Localport Puerto local del proceso. Numérico

Direction

Sentido de la conexión de red.

• Up• Down• Both

Enumeración

LocalIP Dirección IP local del proceso. Dirección IP


DriveType

Tipo de unidad donde reside el proceso o ficheroque desencadenó la operación registrada.





Enumeración


Hostname Nombre del equipo remoto que inició laconexión. Cadena de caracteres

IP Dirección IP de la comunicación. Dirección IP

Port Puerto de comunicaciones utilizado por elproceso. Numérico

Times Número de veces que se ha producido el mismoevento de comunicación en la última hora. Numérico



Panda SIEMFeeder



Capítulo 3 | 221

Para que dos eventos de comunicación seconsideren iguales es necesario que coincidanlos siguientes parámetros, teniendo en cuenta ladirección de la comunicación:

• El nombre del proceso.• La dirección IP local del proceso.• La ruta del proceso.• La dirección IP de destino de la

comunicación.• El puerto destino de la comunicación.

Con cada primera comunicación diferenteregistrada se envía un evento con el campotimes a 1. Posteriormente, por cada horatranscurrida desde el primer evento, el campotimes indicará el numero de eventos decomunicación iguales menos 1 producidos enese intervalo, con la fecha del último eventoregistrado.

Pid Identificador del proceso. Numérico



Broken El proceso padre está corrupto o defectuoso. Cadena de caracteres

ImageType

Arquitectura interna del proceso.


Enumeración

ExeType Estructura interna / tipo del proceso padre.


Enumeración





222 | Capítulo 3

Panda SIEMFeeder


SvcControlEvento correspondiente a un intento de modificación de los ficheros del producto de seguridad

instalado.


Prevalence

Prevalencia histórica del proceso en los sistemasde Panda Security.


Enumeración

PrevLastDay

Prevalencia del proceso en el día anterior en lossistemas de Panda Security


Enumeración

Cat

Categoría del fichero que realizó la operaciónregistrada.


Enumeración

MWName Nombre del malware si está ya catalogadocomo una amenaza. Cadena de caracteres




Panda SIEMFeeder



Capítulo 3 | 223



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)




224 | Capítulo 3

Panda SIEMFeeder


LocalDateTime


Fecha





Client


Numérico


Op Operación registrada. Cadena de caracteres:“Loadlib”


ParentDriveType






Enumeración





Panda SIEMFeeder



Capítulo 3 | 225




ParentImageType



Enumeración



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración




226 | Capítulo 3

Panda SIEMFeeder


ParentCat



Enumeración




ChildDriveType






Enumeración







ChildImageType



Enumeración



Panda SIEMFeeder



Capítulo 3 | 227



Enumeración



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración








228 | Capítulo 3

Panda SIEMFeeder




ToastResult





Enumeración




Enumeración









Panda SIEMFeeder



Capítulo 3 | 229
















230 | Capítulo 3

Panda SIEMFeeder









ServiceLevel





Enumeración




Enumeración



Panda SIEMFeeder



Capítulo 3 | 231

SystemopsEvento de tipo activo que se genera cuando se detecta la ejecución de acciones que afectan o

modifican procesos y ficheros del sistema operativo a través del sistema WMI (Windows Management

Interface).
















Date

(CEF)


User

(CEF)



Tabla 3.46: campos del evento Systemops


232 | Capítulo 3

Panda SIEMFeeder


MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha



Panda SIEMFeeder



Capítulo 3 | 233





Client


Numérico


Type Tipo de operación realizada por el proceso:

• 0 (WMI_COMMAND_LINE_EVENT_CREATION):evento que se genera cada vez que se creaun "CommandLineEventConsumer", que esuna línea de comandos que va a lanzar WMIal producirse un evento en la base de datos.

Enumeración

• 1 (WMI_ACTIVE_SCRIPT_EVENT_CREATION): seha creado una consulta que lanzará un script.

• 2(CREATE_WMI_EVENT_CONSUMER_TO_FILTER_CONSUMER): se va a ejecutar una consultaregistrada para lanzar en el equipo unproceso, un fichero JS/VBS o un script de JS/VBS embebido dentro de la propia BBDD (sinfichero en disco).

• 3(CREATE_WMI_EVENT_CONSUMER_TO_FILTER_QUERY): se ha registrado un filtro que es unaconsulta.




234 | Capítulo 3

Panda SIEMFeeder


• 4 (WMI_EVENT_CREATE_USER): se ha creadouna cuenta de usuario.

• 5 (WMI_EVENT_DELETE_USER): se ha borradouna cuenta de usuario.

• 6 (WMI_EVENT_ADD_USER_GROUP): se haañadido una cuenta a un grupo de usuarios.

• 7 (WMI_EVENT_DELETE_USER_GROUP): se haborrado una cuenta de un grupo de usuarios.

• 8 (WMI_EVENT_USER_GROUP_ADMIN): se haañadido un usuario a un grupo de usuariosadministradores.

• 9 (WMI_EVENT_USER_GROUP_RDP): se haañadido un usuario a un grupo de usuarioscon acceso al equipo por RDP.

• 10 (WMI_EVENT_CREATE_SERVICE): se instaló unnuevo servicio en el sistema.

• 11 (WMI_EVENT_USER_ACCOUNT_CHANGED: semodificó una cuenta de usuario.

• 12(WMI_EVENT_USER_PASSWORD_RESET_ATTEMPT): se intentó borrar la contraseña de unacuenta de usuario.

ObjectNameNombre único del objeto dentro de la jerarquía

WMI.Cadena de caracteres

CommandLine Línea de comandos configurada como tareapara ser ejecutada a través de WMI. Cadena de caracteres

MachineName Nombre del equipo que ejecutó el proceso.

User Usuario con el que se lanza. Cadena de caracteres

IsLocal Indica si la tarea se crea local o remotamente. Booleano

ExtendedInfo Información extendida. Depende de laoperación. Cadena de caracteres

ChildMD5 Hash del fichero cuando proceda. Cadena de caracteres

ParentPid PID del proceso padre. Numérico

RemoteMachineName

Nombre del equipo remoto que genera elevento. Cadena de caracteres

RemoteIP IP remota que genera el evento. Cadena de caracteres

SessionInteractive Indica si la sesión es interactiva o no. Booleano




Panda SIEMFeeder



Capítulo 3 | 235

Urldownload Evento de tipo activo que se genera cuando un proceso realiza una petición / descarga de un

fichero de datos por HTTP.



Date

(CEF)


User

(CEF)



MachineIP

(CEF)


MachineName

(CEF)


sev

(LEEF)


1

devTime

(LEEF)


devTimeFormat


“yyyy-MM-dd”

usrName

(LEEF)


domain

(LEEF)


src


identSrc


Tabla 3.47: campos del evento Urldownload


236 | Capítulo 3

Panda SIEMFeeder


identHostName

(LEEF)


HostName

(LEEF)


LocalDateTime


Fecha





Client


Numérico


ParentDriveType






Enumeración




Panda SIEMFeeder



Capítulo 3 | 237




ParentImageType



Enumeración



Enumeración



ParentPrevalence



Enumeración

ParentPrevLastDay



Enumeración




238 | Capítulo 3

Panda SIEMFeeder


ParentCat



Enumeración



URL Url de descarga lanzada por el proceso quegeneró el evento registrado. Cadena de caracteres


ChildDriveType






Enumeración






ChildImageType



Enumeración



Panda SIEMFeeder



Capítulo 3 | 239



Enumeración



ChildPrevalence



Enumeración

ChildPrevLastDay



Enumeración

ChildCat



Enumeración



ParentPid Pid del proceso padre que realiza la descargadel fichero.





240 | Capítulo 3

Panda SIEMFeeder


Manual de descripción de eventos Panda SIEMFeeder

Documents

Transcript of Manual de descripción de eventos Panda SIEMFeeder