Watchguard SIEMFeeder Event Guía del usuario
- Tipo
- Guía del usuario
WatchGuard Endpoint Security
WatchGuard SIEMFeeder
Manual de descripción de eventos
Para WatchGuard EPDR y WatchGuard EDR
Manual revisado: mayo 2023
Versión: 4.30.00
2 WatchGuard Technologies, Inc.
Acerca de este manual
El objetivo de este manual es facilitar la explotación de la información de seguridad suministrada porWatchGuard, y
su integración en la infraestructura de almacenamiento implantada en la empresa. En esta documentación se hace
referencia al producto WatchGuard Endpoint Security de forma genérica, para referirse tanto a WatchGuard EDR
como a WatchGuard EPDR.
La información de este manual puede cambiar sin previo aviso. Las empresas, los nombres, y los datos usados en
los ejemplos de este documento son ficticios salvo cuando se indique otra cosa. Ninguna parte de esta guía puede
reproducirse ni transmitirse de ninguna forma ni por ningún medio, electrónico o mecánico, con ningún fin, sin el
permiso expreso por escrito de WatchGuard Technologies, Inc.
Manual revisado: 25/05/2023
Información sobre copyright, marcas comerciales y patentes
Copyright © 2023 WatchGuard Technologies, Inc. Todos los derechos reservados.
Todas las marcas comerciales y nombres comerciales mencionados en este documento, en su caso, son propiedad
de sus respectivos propietarios. Puedes encontrar información completa sobre copyright, marcas comerciales y
licencias en la Guía de Copyright y Licencias, disponible en línea en:
http://www.watchguard.com/help/documentation/.
Acerca de WatchGuard
WatchGuard® Technologies, Inc. es un líder mundial en seguridad
de la red, que ofrece productos y servicios de Gestión Unificada de
Amenazas, Firewall de Última Generación, secure Wi-Fi, e
inteligencia de red de la mejor calidad a más de 75.000 clientes en
todo el mundo. La misión de la empresa es hacer la seguridad de
nivel empresarial accesible a empresas de todo tipo y tamaño
mediante la sencillez, lo que convierte a WatchGuard en una
solución ideal para Empresas Distribuidas y Pymes. WatchGuard
tiene su sede en Seattle, Washington, y oficinas en Norteamérica,
Europa, Asia-Pacífico, y Latinoamérica. Para obtener más
información, visita WatchGuard.com.
Para obtener información adicional, promociones y actualizaciones,
sigue a WatchGuard en Twitter, @WatchGuard en Facebook, o en la
página de Empresa de LinkedIn. También puedes visitar nuestro
blog sobre InfoSec, Secplicity, para obtener información en tiempo
real sobre las amenazas más recientes y sobre cómo enfrentarte a
ellas en www.secplicity.org.
Dirección
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
Soporte
www.watchguard.com/support
EE.UU. y Canadá: +877.232.3531
Todos los Otros Países: +1.206.521.3575
Ventas
EE.UU. y Canadá: +1.800.734.9905
Todos los Otros Países: +1.206.613.0895
2 Panda Security
WatchGuard SIEMFeeder manual de descripción de eventos 3
Índice
Cómo usar este manual 5
Beneficios y arquitectura general 7
Eventos e información extendida 9
Estructura de un evento WatchGuard SIEMFeeder 10
Formato de los logs en WatchGuard SIEMFeeder 11
Categorías de eventos 14
Suscripción a categorías de eventos 18
Estructura de los eventos y sintaxis de los campos 21
Alertadvpolicy ADVPolicy Detected 23
Alertdeepinspection DeepInspection Detected 28
Alertexploit Exploit Detected 35
Alertmalware Malware Detected 40
Alertprodappcontrol ProdAppControl Detected 47
Alertpup PUP Detected 52
Alertrdpattack RDPAttack Detected 59
Alertsecappcontrol SecAppControl Detected 62
Block 67
Createcmp 72
Createdir 82
CreatePE 92
CreateprocessbyWMI 102
Createremotethread 112
Criticalsoft 122
DeletePE 125
Deviceops 135
Dnsops 139
Exec 142
HeuHooks 152
Hostfiles 161
Install 165
Loadlib 167
Loginoutops 177
Modifype 182
ModLinuxCfg 192
ModOSXCfg 201
Monitoredopen 210
Monitoredregistry 215
Notblocked 219
Opencmp 224
Openlsass 234
ProcessNetBytes 244
Registryc 246
Registrym 250
Renamepe 254
Scriptcreation 264
Scriptlaunch 270
Socket 276
SvcControl 281
Systemops 290
Thalert 294
Urldownload 299
4 Panda Security
Cómo usar este manual
WatchGuard SIEMFeeder manual de descripción de eventos 5
Cómo usar este manual
Esta documentación está dirigida a empresas que tienen contratado el servicio WatchGuard SIEMFeeder de
WatchGuard para los productos WatchGuard EDR y WatchGuard EPDR.
Dentro de las organizaciones, la información recogida en este manual está dirigida a:
nEl especialista en seguridad informática que necesita una descripción detallada de la información que
WatchGuard SIEMFeeder envía a la plataforma SIEM de su organización.
nEl administrador de la solución SIEM adoptada en la empresa, que requiere conocer el formato de la
información que recibe para poder incorporarla a su base de datos.
Mienstras no se especifique lo contrario, todos los procedimientos e indicaciones mostradas en este manual son
aplicables de forma indistinta a:
nClientes con licencias de WatchGuard EDR contratadas.
nClientes con licencias de WatchGuard EPDR contratadas.
nClientes con el servicio WatchGuard SIEMFeeder contratado.
Convenciones del documento
Este documento usa estas convenciones de formato para resaltar tipos específicos de información:
Esto es una nota. Resalta información importante o útil.
Esto es una advertencia. Léela atentamente. Existe el riesgo de que pierdas datos, pongas
en peligro la integridad del sistema, o afectes al rendimiento del dispositivo si no sigues las
instrucciones o las recomendaciones.
Cómo usar este manual
6 Panda Security
Beneficios y arquitectura general
WatchGuard SIEMFeeder manual de descripción de eventos 7
Beneficios y arquitectura general
WatchGuard SIEMFeeder es el servicio de WatchGuard que envía a la plataforma SIEM de los clientes la
información y el conocimiento generado por los productos WatchGuard Endpoint Security.
SIEMFeeder envía a la plataforma SIEM de sus clientes inteligencia de seguridad sobre los procesos ejecutados en
los equipos de los usuarios. Con esta información, el administrador de la seguridad obtiene una mayor visibilidad de
lo que ocurre en la infraestructura informática que gestiona.
La información de inteligencia de seguridad suministrada al cliente facilita el descubrimiento de amenazas
desconocidas, malware avanzado de tipo APT (Advanced Persistent Threats) y ataques dirigidos específicamente
diseñados para extraer información confidencial de las empresas.
Para conseguir este objetivo,SIEMFeeder obtiene el registro de la actividad de las aplicaciones ejecutadas, gracias a
la monitorización permanente del software de seguridad WatchGuard Endpoint Security instalado en los equipos.
Esta información se completa con inteligencia de seguridad generada enWatchGuard, y se envía a la plataforma
SIEM del cliente, donde se integra para su explotación.
Beneficios
Con la inteligencia de seguridad suministrada, el administrador de la seguridad será capaz de:
nVisualizar la evolución del estado del malware detectado en la red, indicando si fue ejecutado o no, el
vector de infección y las acciones ejecutadas por el proceso, para facilitar la implementación de estrategias de
resolución y posterior adaptación de las políticas de seguridad de la empresa.
nVisualizar las acciones ejecutadas por cada proceso con el objetivo de centrarse en las actividades
sospechosas de los programas desconocidos de muy reciente aparición, y recopilar los indicios que permitan
obtener conclusiones acerca de su potencial peligrosidad.
nVisualizar los accesos de los procesos a la información confidencial de la empresa para prevenir su
extracción o robo. Se muestran los ficheros de ofimática accedidos, bases de datos y otros repositorios de
información confidencial.
nVisualizar las conexiones de red establecidas por los procesos para identificar destinos sospechosos y
susceptibles de estar realizando ex filtración de datos.
nLocalizar todos los programas ejecutados, y especialmente aquellos instalados en los equipos de los
usuarios y que contengan vulnerabilidades conocidas, para ayudar en el diseño de un plan de actualización
de software y afinar las políticas de seguridad establecidas.
Flujo de información generado por SIEMFeeder
WatchGuard Endpoint Security monitoriza de forma constante las acciones realizadas por los procesos ejecutados
en los equipos de los usuarios. Estas acciones se envían a la plataforma WatchGuard, donde se analizan y explotan
para extraer de forma automatizada inteligencia de seguridad avanzada.
SIEMFeeder reúne la información de los eventos monitorizados por WatchGuard Endpoint Security y la información
de seguridad generada para crear un único flujo de datos compatible con el servidor SIEM del cliente.
Para conocer en detalle el flujo completo de información generado por SIEMFeeder consulta
Help Center (https://www.watchguard.com/help/docs/help-center/en-US/Content/en-
US/Endpoint-Security/security-modules/siemfeeder/siemfeeder-about.html).
Requisitos
SIEMFeeder no requiere cambios en los equipos monitorizados, ya que el servicio recibe los datos automáticamente
desde cada estación de trabajo o servidor. Sin embargo, dependiendo del tipo de producto contratado, es necesario
instalar y configurar varios elementos en la infraestructura informática de las empresas.
Se requieren los siguientes recursos en la infraestructura IT del cliente:
nInstalar y configurar el software WatchGuard Importer preferiblemente en un equipo de tipo servidor.
nSi el flujo de eventos recibidos es grande, se recomienda instalar un gestor de colas compatible con
WatchGuard Importer.
nInstalar un servidor SIEM compatible con los formatos de log CEF y LEEF.
Para conocer en detalle el proceso de instalación y configuración de WatchGuard Importer
consulta Help Center (https://www.watchguard.com/help/docs/help-center/en-
US/Content/en-US/Endpoint-Security/security-modules/siemfeeder/siemfeeder-about.html).
Beneficios y arquitectura general
8 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 9
Eventos e información extendida
WatchGuard SIEMFeeder transforma el flujo de telemetría recibida desde los equipos protegidos con WatchGuard
Endpoint Security en ficheros de texto, que contienen eventos formateados compatibles con servidores SIEM.
La unidad básica de información que recibe el cliente es el evento: cada acción relevante que realizan los procesos
ejecutados en el equipo del usuario se transforma en un evento, que se entrega finalmente al servidor SIEM.
Estructura de un evento WatchGuard SIEMFeeder
Un evento es una acción registrada en el equipo de un cliente y descrita mediante una serie de pares campo-valor.
Existen múltiples tipos de eventos, y cada tipo incluye pares campo-valor concretos. A esta colección de pares
campo-valor, WatchGuard SIEMFeeder le agrega un preámbulo o cabecera, que contiene la información necesaria
para encapsular la información en un evento compatible con los formatos comúnmente aceptados por los servidores
SIEM: CEF o LEEF.
Para conocer en detalle el formato LEEF, consulta el enlace:
https://www.ibm.com/docs/en/dsm?topic=leef-overview
Para conocer en detalle el formato CEF, consulta el enlace:
https://community.microfocus.com/cfs-file/__key/communityserver-wikis-components-
files/00-00-00-00-23/3731.CommonEventFormatV25.pdf
Agrupación de eventos
Un fichero de registro, también llamado “log”, es una agrupación de eventos que se entrega al servidor SIEM del
cliente. Los logs generados por WatchGuard SIEMFeeder tienen un tamaño variable y pueden agrupar uno o varios
eventos de categorías diferentes. A su vez, el origen de los eventos dentro de un mismo log puede ser uno o más
equipos de la red del cliente.
Secuencia y tiempos de entrega de la información
El máximo retardo desde que un proceso realiza una acción en el equipo protegido con WatchGuard Endpoint
Security hasta que WatchGuard SIEMFeeder formatea el evento asociado y lo completa con inteligencia de
seguridad es de 20 minutos.
Los eventos recibidos de los equipos de los clientes se procesan siguiendo una estrategia FIFO.
Los logs enviados al servidor SIEM del cliente no tienen una secuencia predefinida, pero todos los eventos contienen
un campo con marca de tiempo (timestap) que permite ubicar el evento de forma precisa en una línea temporal.
Eventos e información extendida
10 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 11
Formato de los logs en WatchGuard SIEMFeeder
WatchGuard SIEMFeeder entrega la información en uno de los dos formatos disponibles: CEF o LEEF. Consulta
telefónicamente o por email a tu comercial asignado para cambiar el formato de los logs recibidos (panda.AD_
Todos los ficheros de registro enviados por WatchGuard SIEMFeeder siguen la codificación
UTF-8.
Formato Common Event Format (CEF)
El formato CEF está constituido por los bloques de datos mostrados a continuación:
nBloque Prefijo: también conocido como “cabecera”. Identifica la categoría del evento y define al log como de
tipo CEF. Los campos incluidos en este bloque están separados por pipes “|” y el significado de cada campo
viene dado por su posición.
nBloque de extensiones del evento: común a los dos tipos de log (CEF y LEEF). Incluye pares campo=valor
separados por espacios.
WatchGuard SIEMFeeder no incluye la cabecera syslog en los logs CEF.
A continuación se muestra un ejemplo del evento registryc (createExekey) en formato CEF:
CEF:1|Panda Security|paps|02.45.00.0000|registryc|registryc|1|Client=1212122
Date=2018-09-27 02:26:52.200188 MachineName=DESKTOP-PC MachineIP=192.168.0.11 User=NT
AUTHORITY\SYSTEM MUID=713FC2B45B429J291EB53467357AC1B7 Op=CreateExeKey
Hash=C86854DF4F3AEC59D523DBAD1F5031FD DriveType=Fixed
Path=SYSTEMX86|\CompatTelRunner.exe ValidSig=true Company=Microsoft Corporation
Broken=true ImageType=EXE 32 ExeType=Unknown Prevalence=Medium PrevLastDay=Low
Cat=Goodware MWName= TargetPath=3|PROGRAM_FILESX86|\Windows Defender\MsMpeng.exe
RegKey=\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AppCompatFlags\WicaAvPathsExpiredTemp?0
Bloque Prefijo
CEF:1|WatchGuard Technologies, Ltd.|paps|02.45.00.0000|registryc|registryc|1|
Los campos dentro del bloque prefijo van separados por pipes “|”.
Campo Descripción Valor de ejemplo
Formato:versión Identificador del formato del log y de la versión. CEF:1
Device vendor Nombre del proveedor del servicio. WatchGuard
Technologies, Ltd.
Device Product Nombre interno del dispositivo o software. paps
Signature Versión de la protección que generó el evento. 2.43.00.0000
Name y Name 2 En los eventos de tipo alerta, el nombre del evento
se distribuye en los campos Name y Name 2. Por
tanto, para obtener el nombre completo de la alerta
es necesario concatenar los campos Name y Name
2.
En el resto de tipos de evento, Name 2 tiene una
copia del contenido del campo Name.
registryc
Severity Excepto para los eventos de tipo alerta, el campo
Severity siempre contiene en valor 1. Para los
eventos de tipo alerta el campo se calcula en
función del tipo de alerta y de la acción que tomó el
software de seguridad en el equipo del usuario. Esta
acción se indica en el segundo enumerado del
campo ExecutionStatus del evento. Para conocer
los posibles valores del campo Severity consulta la
ayuda del evento de tipo alerta.
Numérico
Bloque extensiones del evento
Para obtener información acerca de los eventos soportados, campos existentes y una descripción detallada de los
mismos consulta Estructura de los eventos y sintaxis de los campos.
Formato Log Event Extended Format (LEEF)
El formato LEEF está constituido por los bloques de datos mostrados a continuación:
nBloque Cabecera: identifica la categoría del evento y define al log como de tipo LEEF. Los campos incluidos
en este bloque están separados por pipes “|” y el significado de cada campo viene dado por su posición.
nBloque de atributos del evento: común a los dos tipos de log (CEF y LEEF). Incluyen los campos del evento
y sus valores.
WatchGuard SIEMFeeder no incluye la cabecera syslog en los logs LEEF.
Eventos e información extendida
12 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 13
A continuación se muestra un ejemplo del evento registryc (createExekey) en formato LEEF:
LEEF:1.0|Panda Security|paps|02.43.00.0000|registryc|Client=1212122 sev=1
devTime=2016-09-22 15:25:11.000628 devTimeFormat=yyyy-MM-dd HH:mm:ss.SSS
usrName=LOCAL SERVICE domain=NT AUTHORITY src=10.219.202.149 identSrc=10.219.202.149
identHostName=PXE68XXX HostName= PXE68XXX MUID=1F109BA4E0XXXX37F9995D31FXXXX319
Op=CreateExeKey Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed
Path=SYSTEM|\svchost.exe ValidSig= Company=Microsoft Corporation Broken=true
ImageType=EXE 64 ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872
Skeptic= AVDets=0 JIDFI=3431993 1NFI=116241 JIDMW=11195630 1NMW=4308325 Class=100
Cat=Goodware MWName= TargetPath=0|pune.com RegKey=\ REGISTRY\ MACHINE\ SYSTEM\
ControlSet001\services\Tcpip\Parameters?DhcpDomain
Bloque Cabecera
LEEF:1.0|WatchGuard Technologies, Ltd.|paps|02.43.00.0000|registryc|
En el formato LEEF la severidad del evento no se indica en el campo Severity del bloque
Cabecera, sino que se especifica en el campo Sev=número en el bloque Atributos. Para
conocer los posibles valores del campo Sev consulta la ayuda del evento de tipo alerta.
Campo Descripción Valor de ejemplo
Formato:versión Identificador del formato del log y de la versión LEEF:1
Vendor Nombre del proveedor del servicio WatchGuard
Technologies, Ltd.
Product Nombre interno del dispositivo o software paps
Version Versión de la protección que generó el evento 2.43.00.0000
Event ID
Description
Nombre completo del evento enviado registryc
Bloque Atributos del evento
Para obtener información acerca de los eventos soportados, campos existentes y una descripción detallada de los
mismos consulta Estructura de los eventos y sintaxis de los campos.
Categorías de eventos
El tipo de evento recibido viene especificado en el campo Name yName 2 del bloque Preámbulo en el formato CEF
o en el campo Event ID Description del bloque Cabecera en el formato LEEF. Así mismo, el tipo del evento también
se incluye en el campo op del bloque de atributos en el formato LEEF, o del bloque de extensiones en el formato
CEF, si bien no todos los tipos de evento incluyen este campo.
A continuación se muestran todos los eventos posibles en el campo Name / Event ID Description y su significando,
agrupados por su tipo.
Despliegue del agente
Campo Descripción
install Instalación y desinstalación del agente WatchGuard Endpoint Security.
Creación de alertas
Campo Descripción
alertmalware Malware Detected Detección de malware.
alertpup PUP Detected Detección de PUP (programa no deseado).
alertrdpattack RDPAttack Detected Detección de ataque RDP por fuerza bruta.
alertadvpolicy ADVPolicy Detected Detección realizada por las políticas de seguridad
avanzadas.
alertsecappcontrol SecAppControl
Detected
Detección realizada por un nombre de proceso o MD5
definidos por el administrador en las políticas avanzadas
de seguridad.
alertprodappcontrol ProdAppControl
Detected
Detección realizada por la configuración Bloqueo de
programas establecida por el administrador.
Eventos e información extendida
14 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 15
Campo Descripción
alertexploit Exploit Detected Detección de exploit.
alertdeepinspection DeepInspection
Detected
Detección de ataque de red.
block Bloqueo de ejecución de programa por no estar aun
clasificado o ser sospechoso de malware.
thalert Detecciones de los siguientes tipos:
nIndicios generados por el Radar de ciber-ataques
en Orion.
nIOCs cargados en la plataforma a través de la
APIde Orion.
nIOAs detectados por WatchGuard Endpoint
Security.
nIOAs avanzados detectados por WatchGuard
Endpoint Security.
Modificaciones en el sistema operativo de los usuarios
Campo Descripción
hostfiles Modificación del fichero HOSTS.
monitoredregistry Acceso a ramas del registro sensibles y relacionadas con el intento
de ganar persistencia en el equipo tras un reinicio.
registrym Modificación de rama en el registro del equipo que apunta a un
fichero ejecutable.
registryc Creación de rama en el registro del equipo que apunta a un fichero
ejecutable.
openlsass Acceso al proceso LSASS para intentar comprometer las
credenciales de una cuenta de usuario.
modLinuxCfg Modificación de un fichero de configuración del sistema operativo
Linux.
modOSXCfg Modificación de un fichero de configuración del sistema operativo
macOS.
systemops Modificación del sistema operativo a través de WMI (Windows
Management Interface).
Manipulación de procesos
Campo Descripción
createremotethread Creación de hilo de ejecución remoto.
exec Ejecución de proceso.
createprocessbyWMI Creación de proceso a través del sistema WMI.
scriptcreation Creación de un script.
scriptlaunch Ejecución de script.
createpe Creación de programa ejecutable.
modifype Modificación de fichero ejecutable.
renamepe Cambio de nombre de fichero ejecutable.
deletepe Borrado de programa ejecutable.
loadlib Carga de librería.
heuhooks Detección de intento de exploit.
Descarga de ficheros
Campo Descripción
urldownload Descarga de fichero.
Acceso a datos
Campo Descripción
createcmp Creación de fichero comprimido.
opencmp Apertura de fichero comprimido.
monitoredopen Acceso a ficheros de datos monitorizados.
createdir Creación de directorio en el sistema de ficheros.
socket Operación de comunicación por red.
Eventos e información extendida
16 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 17
Otros
Campo Descripción
criticalsoft Detección de aplicación vulnerables instalada en el equipo.
processnetbytes Consumo de datos de red por proceso.
dnsops Proceso con peticiones de resolución DNS erróneas.
loginoutsops Inicio y fin de sesión en el equipo del usuario.
deviceops Conexión y/o desconexión de dispositivo externo.
notblocked Evento que WatchGuard Endpoint Security deja sin analizar debido a
situaciones excepcionales.
svcControl Intento de modificación de los ficheros que pertenecen al producto de
seguridad instalado.
Suscripción a categorías de eventos
SIEMFeeder puede generar una gran cantidad de eventos en función de la actividad detectada en la infraestructura
IT del cliente. Esta situación podría afectar al rendimiento de la red del cliente y a los servicios encargados del
almacenamiento y procesamiento de los eventos. Por esta razón, el cliente tiene la opción de suscribirse solo a los
eventos que considere más importantes.
Los tipos de eventos disponibles se agrupan en categorías. Un cliente puede suscribirse a una, varias o todas las
categorías de eventos. Por defecto el cliente estará suscrito a todas las categorías.
Cambiar la suscripción a eventos
Envía un correo a la dirección [email protected] indicando el número de las categorías de
eventos a las que quieres suscribirte.
Eventos e información extendida
18 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 19
Categorías de eventos disponibles
Campo Categoría Descripción
Detecciones de
amenazas
(Malware, PUPS,
Exploits)
1 Alertas de malware / PUP, Exploit, ataques RDP, bloqueo
por políticas avanzadas y ataques de red.
nalertmalware Malware Detected
nalertpup PUP Detected
nblock
nalertdeepinspection DeepInspection Detected
nalertrdpattack RDPAttack Detected
nalertadvpolicy ADVPolicy Detected
nalertsecappcontrol SecAppControl Detected
nalertprodappcontrol ProdAppControl Detected
nalertexploit Exploit Detected
Carga y ejecución
de ejecutables PE
y scripts
2 Carga y ejecución de ficheros ejecutables binarios y no
binarios (scripts).
ncreateremotethread
nexec
nloadlib
nscriptlaunch
Comunicaciones 3 Eventos de apertura y uso de sockets.
nsockets
nprocessnetbytes
ndnsops
Acceso a datos 4 Acceso a datos contenidos en ficheros y en el registro de
Windows.
nmonitoredopen
nmonitoredregistry
Creación y
modificación de
ejecutables PE y
scripts
5 Creación y modificación de ficheros ejecutables binarios y
scripts.
ncreatepe
nmodifype
Campo Categoría Descripción
nrenamepe
ndeletepe
nscriptcreation
Accesos al registro
de Windows
6 Eventos relacionados con acceso al registro de Windows.
nregistryc
nregistrym
Sin filtros 7 Se envían todos los eventos.
Eventos del
sistema
8 Eventos relacionados con el acceso a dispositivos, motor
WMI e inicios y finales de sesión.
ndeviceops
nloginoutsops
nsystemops
Indicios de
malware
9 Alertas generadas por las reglas de Threat Hunting en
Orion y por los IOAs e IOCs definidos en WatchGuard
Endpoint Security.
nTHAlert
Eventos e información extendida
20 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 21
Estructura de los eventos y sintaxis de los campos
Estructura interna de los eventos
WatchGuard SIEMFeeder describe cada evento mediante pares campo-valor.
Para entender la lógica de la información generada por SIEMFeeder, los eventos se pueden dividir en dos tipos:
eventos de tipo activo y eventos de tipo pasivo
Eventos de tipo activo
La mayor parte de los eventos recibidos describen situaciones en las que un proceso denominado padre (parent),
realiza una acción sobre un elemento hijo (child). El tipo del elemento que recibe la acción varía dependiendo de la
categoría del evento. De esta forma el elemento hijo (child) puede ser:
nOtro proceso: en eventos de tipo carga y descarga de procesos, carga de librerías etc.
nFichero ejecutable: en eventos de tipo creación, borrado, modificación de programas.
nFichero del sistema: en eventos que reflejan la manipulación del fichero hosts y del registro del equipo de
usuario.
nFichero de datos: en eventos que reflejan el acceso a ficheros de ofimática, bases de datos, etc.
nFichero de descarga: en eventos que se generan cuando se detecta la descarga de datos de un proceso.
nFichero comprimido: en eventos que reflejan la creación, modificación y borrado de ficheros comprimidos.
nDirectorio: en eventos que reflejan la creación, modificación y borrado de carpetas.
Dependiendo del tipo de evento, se incluirán o no ciertos campos que describan las características tanto del
elemento padre como del hijo. Por ejemplo, en un evento de tipo creación de directorio, los campos asociados al
evento describirán las características del proceso padre (si es o no malware, ruta del proceso, metadatos del
proceso, etc) así como las características del hijo. En este caso, al tratarse de un directorio, algunos campos que se
incluyen en el evento no llevarán información, como por ejemplo los campos que describen al elemento como
malware, o los metadatos del fichero, información que no es posible suministrar al tratarse de un directorio. Otra
información, como por ejemplo la ruta del directorio, sí será incluida en el evento.
Eventos de tipo pasivo
Son eventos que en muchos casos no tienen procesos padre o hijo claramente definidos ya que se corresponden al
registro pasivo de una situación que se produce en el equipo del usuario.
Ejemplos de eventos de tipo registro son los eventos de generación de alertas por malware o la instalación,
actualización y modificación del agente WatchGuard Endpoint Security entre otros.
Prefijos parent y child
En los eventos de tipo activo que involucran a dos ficheros o procesos generalmente se utilizan los prefijos parent y
child para diferenciar la información relativa a cada proceso:
nParent: los campos que comienzan con la etiqueta Parent describen un atributo del proceso padre.
nChild: los campos que comienzan con la etiqueta Child describen un atributo del elemento hijo.
Otros prefijos y afijos
En muchos campos y valores se utilizan abreviaturas; conocer su significado ayuda a interpretar el campo en
cuestión:
nSig: signature (firma digital)
nExe y pe: ejecutable
nMw: malware
nSec: segundos
nOp: operación
nCat: categoría
nPUP: Potential Unwanted Program (programa potencialmente no deseado)
nVer: versión
nSP: service Pack
nCfg: configuración
nCmp y comp: comprimido
nDst: destino
Eventos e información extendida
22 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 23
Alertadvpolicy ADVPolicy Detected
Evento de tipo pasivo que describe los parámetros de la alerta que WatchGuard Endpoint Security crea cuando
detecta una amenaza mediante las políticas avanzadas de seguridad, definidas por el administrador en la sección
Protección avanzada, Políticas avanzadas de seguridad de la configuración Estaciones y servidores.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
Fecha del equipo del usuario cuando se
generó el evento.
Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde se
genera el evento.
Dirección IP
sev
(LEEF)
Severidad del evento. 9
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de
caracteres “yyyy-
MM-dd”
src
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera el
evento registrado.
Cadena de
caracteres
HostName Nombre del equipo de usuario donde se
genera el evento registrado.
Cadena de
caracteres
ThreatType Tipo de malware detectado. Cadena de
caracteres
“ProdAppControl”
ExecutionStatus Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
Enumeración
Campo Descripción Valor
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
Eventos e información extendida
24 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 25
Campo Descripción Valor
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
Campo Descripción Valor
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
DwellTimeSecs Tiempo transcurrido desde la primera vez que
la amenaza fue vista en la red del cliente.
Segundos
MWHash (LEEF)
ItemHash (CEF)
Hash del malware. Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si está ya catalogado
como una amenaza.
Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)
Ruta del malware. Cadena de
caracteres
SourceIP Si el malware vino desde el exterior indica la
dirección IP del equipo remoto.
Dirección IP
SourceMachineName Si el malware vino desde el exterior indica el
nombre del equipo remoto.
Cadena de
caracteres
SourceUserName Si el malware vino desde el exterior indica el
usuario del equipo remoto.
Cadena de
caracteres
UrlList Lista de URLs accedidas en el momento de
detectar un exploit desde el navegador.
Cadena de
caracteres
DocList Lista de documentos accedidos en el
momento de detectar un exploit de fichero.
Cadena de
caracteres
Version Contenido del atributo Version de los
metadatos del proceso.
Cadena de
caracteres
Eventos e información extendida
26 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 27
Campo Descripción Valor
Vulnerable Indica si la aplicación se considera vulnerable. Booleano
MUID Identificador interno del equipo del cliente. Cadena de
caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Alertdeepinspection DeepInspection Detected
Evento de tipo pasivo que describe los parámetros de la alerta que WatchGuard Endpoint Security crea cuando
detecta el intento de explotación de una vulnerabilidad a través de la red.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
Fecha del equipo del usuario cuando se
generó el evento.
Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde se
genera el evento.
Dirección IP
sev
(LEEF)
Severidad del evento. Consulta Cálculo del
campo Severity /Sev.
Numérico
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de
caracteres “yyyy-
MM-dd”
src
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera el
evento registrado.
Cadena de
caracteres
HostName Nombre del equipo de usuario donde se
genera el evento registrado.
Cadena de
caracteres
ThreatType Tipo de malware detectado. Cadena de
caracteres “Exploit”
ExecutionStatus Acción realizada por el agente WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó a
tiempo.
Enumeración
Eventos e información extendida
28 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 29
Campo Descripción Valor
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación de
proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de explotación
de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
Campo Descripción Valor
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
Eventos e información extendida
30 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 31
Campo Descripción Valor
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
DwellTimeSecs Tiempo transcurrido desde la primera vez que
la amenaza fue vista en la red del cliente.
Segundos
MWHash (LEEF)
ItemHash (CEF)
Hash del malware. Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)
Ruta del malware. Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si está ya catalogado
como una amenaza.
Cadena de
caracteres
SourceIP Si el malware vino desde el exterior indica la
dirección IP del equipo remoto.
Dirección IP
SourceMachineName Si el malware vino desde el exterior indica el
nombre del equipo remoto.
Cadena de
caracteres
SourceUserName Si el malware vino desde el exterior indica el
usuario del equipo remoto.
Cadena de
caracteres
UrlList Lista de URLs accedidas en el momento de
detectar un exploit desde el navegador.
Cadena de
caracteres
DocList Lista de documentos accedidos en el momento
de detectar un exploit de fichero.
Cadena de
caracteres
Version Contenido del atributo Version de los
metadatos del proceso.
Cadena de
caracteres
Campo Descripción Valor
Vulnerable Indica si la aplicación se considera vulnerable. Booleano
MUID Identificador interno del equipo del cliente. Cadena de
caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Cálculo del campo Severity /Sev
Dependiendo del valor del campo ExecutionStatus - Action, el valor de Severity /Sev varía según la tabla mostrada a
continuación:
Eventos e información extendida
32 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 33
ExecutionStatus - Action Severity
nAllow
nAllowWL
nAllowByUser
nInformed
nUnquarantine
nRename
nBlockURL
nBlockExploit
nRebootNeeded
nAllowSonGwInstaller
nInformNewPE
nSonMSIGW
nRDPOff
8
nBlock
nBlockBL
nBlockTimeout
nDelete
nDisinfect
nQuarantine
nKillProcess
nEmbebedBlocked
nSuspendProcess
nBlockedIp
nRenameRegistry
nAllowSWAutoriced
7
nExploitAllowByUser
nExploitInformed
nEmbebedInformed
nModifyMarkFile
nUncertainAction
10
ExecutionStatus - Action Severity
nResponseLast
nIsolateHost
nModifyRegistry
nAllowFGW 6
nExploitAllowByAdmin 5
Eventos e información extendida
34 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 35
Alertexploit Exploit Detected
Evento de tipo pasivo que describe los parámetros de la alerta que WatchGuard Endpoint Security crea cuando
detecta el intento de explotación de una vulnerabilidad en un programa instalado en un equipo de la red.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
Fecha del equipo del usuario cuando se
generó el evento.
Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde se
genera el evento.
Dirección IP
sev
(LEEF)
Severidad del evento. 9
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de
caracteres “yyyy-
MM-dd”
src
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera el
evento registrado.
Cadena de
caracteres
HostName Nombre del equipo de usuario donde se
genera el evento registrado.
Cadena de
caracteres
ThreatType Tipo de malware detectado. Cadena de
caracteres “Exploit”
ExecutionStatus Acción realizada por el agente WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó a
tiempo.
Enumeración
Campo Descripción Valor
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación de
proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de explotación
de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
Eventos e información extendida
36 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 37
Campo Descripción Valor
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
Campo Descripción Valor
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
DwellTimeSecs Tiempo transcurrido desde la primera vez que
la amenaza fue vista en la red del cliente.
Segundos
MWHash (LEEF)
ItemHash (CEF)
Hash del malware. Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)
Ruta del malware. Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si está ya catalogado
como una amenaza.
Cadena de
caracteres
SourceIP Si el malware vino desde el exterior indica la
dirección IP del equipo remoto.
Dirección IP
SourceMachineName Si el malware vino desde el exterior indica el
nombre del equipo remoto.
Cadena de
caracteres
SourceUserName Si el malware vino desde el exterior indica el
usuario del equipo remoto.
Cadena de
caracteres
UrlList Lista de URLs accedidas en el momento de
detectar un exploit desde el navegador.
Cadena de
caracteres
DocList Lista de documentos accedidos en el momento
de detectar un exploit de fichero.
Cadena de
caracteres
Version Contenido del atributo Version de los
metadatos del proceso.
Cadena de
caracteres
Eventos e información extendida
38 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 39
Campo Descripción Valor
Vulnerable Indica si la aplicación se considera vulnerable. Booleano
MUID Identificador interno del equipo del cliente. Cadena de
caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Alertmalware Malware Detected
Evento de tipo pasivo que describe los parámetros de la alerta que WatchGuard Endpoint Security crea cuando
detecta un elemento clasificado como malware.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
Fecha del equipo del usuario cuando se
generó el evento.
Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde se
genera el evento.
Dirección IP
sev
(LEEF)
Severidad del evento.Consulta Cálculo del
campo Severity /Sev.
Numérico
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de
caracteres “yyyy-
MM-dd”
src
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera el
evento registrado.
Cadena de
caracteres
HostName Nombre del equipo de usuario donde se
genera el evento registrado.
Cadena de
caracteres
ThreatType Tipo de malware detectado. Cadena de
caracteres
“Malware”
ExecutionStatus La amenaza detectada se llegó a ejecutar o
no:
nExecuted
nNot executed
Enumeración -
Enumeración
Eventos e información extendida
40 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 41
Campo Descripción Valor
Acción realizada por el agente WatchGuard:
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación de
proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de explotación
de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
Campo Descripción Valor
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
Eventos e información extendida
42 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 43
Campo Descripción Valor
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
DwellTimeSecs Tiempo transcurrido desde la primera vez que
la amenaza fue vista en la red del cliente.
Segundos
MWHash (LEEF)
ItemHash (CEF)
Hash del malware. Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)
Ruta del malware. Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si está ya catalogado
como una amenaza.
Cadena de
caracteres
SourceIP Si el malware vino desde el exterior indica la
dirección IP del equipo remoto.
Dirección IP
SourceMachineName Si el malware vino desde el exterior indica el
nombre del equipo remoto.
Cadena de
caracteres
SourceUserName Si el malware vino desde el exterior indica el
usuario del equipo remoto.
Cadena de
caracteres
UrlList Lista de URLs accedidas en el momento de
detectar un exploit desde el navegador.
Cadena de
caracteres
DocList Lista de documentos accedidos en el momento
de detectar un exploit de fichero.
Cadena de
caracteres
Version Contenido del atributo Version de los
metadatos del proceso.
Cadena de
caracteres
Campo Descripción Valor
Vulnerable Indica si la aplicación se considera vulnerable. Booleano
MUID Identificador interno del equipo del cliente. Cadena de
caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Cálculo del campo Severity /Sev
Dependiendo del valor del campo ExecutionStatus - Action, el valor de Severity /Sev varía según la tabla mostrada a
continuación:
Eventos e información extendida
44 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 45
ExecutionStatus - Action Severity
nAllow
nAllowWL
nAllowByUser
nInformed
nUnquarantine
nRename
nBlockURL
nBlockExploit
nRebootNeeded
nAllowSonGwInstaller
nInformNewPE
nSonMSIGW
nRDPOff
8
nBlock
nBlockBL
nBlockTimeout
nDelete
nDisinfect
nQuarantine
nKillProcess
nEmbebedBlocked
nSuspendProcess
nBlockedIp
nRenameRegistry
nAllowSWAutoriced
7
nExploitAllowByUser
nExploitInformed
nEmbebedInformed
nModifyMarkFile
nUncertainAction
10
ExecutionStatus - Action Severity
nResponseLast
nIsolateHost
nModifyRegistry
nAllowFGW 6
nExploitAllowByAdmin 5
Eventos e información extendida
46 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 47
Alertprodappcontrol ProdAppControl Detected
Evento de tipo pasivo que describe los parámetros de la alerta que WatchGuard Endpoint Security crea cuando
bloquea elementos según un nombre o MD5, definidos por el administrador en la configuración Bloqueo de
programas.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
Fecha del equipo del usuario cuando se
generó el evento.
Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde se
genera el evento.
Dirección IP
sev
(LEEF)
Severidad del evento. 9
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de
caracteres “yyyy-
MM-dd”
src
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera el
evento registrado.
Cadena de
caracteres
HostName Nombre del equipo de usuario donde se
genera el evento registrado.
Cadena de
caracteres
ThreatType Tipo de malware detectado. Cadena de
caracteres
“ProdAppControl”
ExecutionStatus Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
Enumeración
Campo Descripción Valor
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
Eventos e información extendida
48 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 49
Campo Descripción Valor
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
Campo Descripción Valor
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
DwellTimeSecs Tiempo transcurrido desde la primera vez que
la amenaza fue vista en la red del cliente.
Segundos
MWHash (LEEF)
ItemHash (CEF)
Hash del malware. Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si está ya catalogado
como una amenaza.
Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)
Ruta del malware. Cadena de
caracteres
SourceIP Si el malware vino desde el exterior indica la
dirección IP del equipo remoto.
Dirección IP
SourceMachineName Si el malware vino desde el exterior indica el
nombre del equipo remoto.
Cadena de
caracteres
SourceUserName Si el malware vino desde el exterior indica el
usuario del equipo remoto.
Cadena de
caracteres
UrlList Lista de URLs accedidas en el momento de
detectar un exploit desde el navegador.
Cadena de
caracteres
DocList Lista de documentos accedidos en el
momento de detectar un exploit de fichero.
Cadena de
caracteres
Version Contenido del atributo Version de los
metadatos del proceso.
Cadena de
caracteres
Eventos e información extendida
50 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 51
Campo Descripción Valor
Vulnerable Indica si la aplicación se considera vulnerable. Booleano
MUID Identificador interno del equipo del cliente. Cadena de
caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Alertpup PUP Detected
Evento de tipo pasivo que describe los parámetros de la alerta que WatchGuard Endpoint Security crea cuando
detecta un elemento clasificado como programa no deseado (PUP).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
Fecha del equipo del usuario cuando se
generó el evento.
Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde se
genera el evento.
Dirección IP
sev
(LEEF)
Severidad del evento.Consulta Cálculo del
campo Severity /Sev.
Numérico
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de
caracteres “yyyy-
MM-dd”
src
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera el
evento registrado.
Cadena de
caracteres
Client Identificador utilizado para distinguir los
eventos recibidos de cada cliente del partner.
Este campo únicamente se utiliza en el
producto Panda SIEMFeeder for Partners.
Numérico
HostName Nombre del equipo de usuario donde se
genera el evento registrado.
Cadena de
caracteres
ThreatType Tipo de malware detectado. Cadena de
caracteres “PUP”
ExecutionStatus La amenaza detectada se llegó a ejecutar o
no:
Enumeración -
Enumeración
Eventos e información extendida
52 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 53
Campo Descripción Valor
nExecuted
nNot executed
Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación de
proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de explotación
de proceso vulnerable.
Campo Descripción Valor
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
Eventos e información extendida
54 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 55
Campo Descripción Valor
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
DwellTimeSecs Tiempo transcurrido desde la primera vez que
la amenaza fue vista en la red del cliente.
Segundos
MWHash (LEEF)
ItemHash (CEF)
Hash del malware. Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)
Ruta del malware. Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si está ya catalogado
como una amenaza.
Cadena de
caracteres
SourceIP Si el malware vino desde el exterior indica la
dirección IP del equipo remoto.
Dirección IP
SourceMachineName Si el malware vino desde el exterior indica el
nombre del equipo remoto.
Cadena de
caracteres
SourceUserName Si el malware vino desde el exterior indica el
usuario del equipo remoto.
Cadena de
caracteres
UrlList Lista de URLs accedidas en el momento de
detectar un exploit desde el navegador.
Cadena de
caracteres
DocList Lista de documentos accedidos en el
momento de detectar un exploit de fichero.
Cadena de
caracteres
Version Contenido del atributo Version de los
metadatos del proceso.
Cadena de
caracteres
Campo Descripción Valor
Vulnerable Indica si la aplicación se considera vulnerable. Booleano
MUID Identificador interno del equipo del cliente. Cadena de
caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Cálculo del campo Severity /Sev
Dependiendo del valor del campo ExecutionStatus - Action, el valor de Severity /Sev varía según la tabla mostrada a
continuación:
Eventos e información extendida
56 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 57
ExecutionStatus - Action Severity
nAllow
nAllowWL
nAllowByUser
nInformed
nUnquarantine
nRename
nBlockURL
nBlockExploit
nRebootNeeded
nAllowSonGwInstaller
nInformNewPE
nSonMSIGW
nRDPOff
6
nBlock
nBlockBL
nBlockTimeout
nDelete
nDisinfect
nQuarantine
nKillProcess
nEmbebedBlocked
nSuspendProcess
nBlockedIp
nRenameRegistry
nAllowSWAutoriced
5
nExploitAllowByUser
nExploitInformed
nEmbebedInformed
nModifyMarkFile
nUncertainAction
8
ExecutionStatus - Action Severity
nResponseLast
nIsolateHost
nModifyRegistry
nAllowFGW 4
nExploitAllowByAdmin 3
Eventos e información extendida
58 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 59
Alertrdpattack RDPAttack Detected
Evento de tipo pasivo que describe los parámetros de la alerta que WatchGuard Endpoint Security crea cuando
detecta un ataque por fuerza bruta a través del protocolo RDP (Remote Desktop Protocol).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
Fecha del equipo del usuario cuando se generó
el evento.
Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde se
genera el evento.
Dirección IP
sev
(LEEF)
Severidad del evento. 9
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de
caracteres “yyyy-
MM-dd”
src
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera el
evento registrado.
Cadena de
caracteres
HostName Nombre del equipo de usuario donde se genera
el evento registrado.
Cadena de
caracteres
ThreatType Tipo de ataque detectado. Cadena de
caracteres
“RDPAttack”
ExecutionStatus Tipo de acción ejecutada. Cadena de
caracteres
“Blocked by ip”
DwellTimeSecs Sin uso. Segundos
Campo Descripción Valor
MWHash (LEEF)
ItemHash (CEF)
Sin uso
MWName (LEEF)
ItemName (CEF)
Nombre del ataque registrado:
nExploit/BruteForce_RDP: intento de
intrusión por fuerza bruta utilizando el
protocolo RDP.
nExploit/RemoteDesktopIntrusion:
intrusión detectada mediante el
protocolo RDP.
Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)
Nombre del ataque empleado. Cadena de
caracteres
“Malicious Network
Rdp Attack”
SourceIP Dirección IP del equipo atacante. Dirección IP
SourceMachineName Nombre del equipo atacante. Cadena de
caracteres
SourceUserName Nombre de la cuenta de usuario utilizado en el
ataque.
Cadena de
caracteres
UrlList Sin uso. Cadena de
caracteres
DocList Sin uso. Cadena de
caracteres
Version Sin uso. Cadena de
caracteres
Eventos e información extendida
60 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 61
Campo Descripción Valor
Vulnerable Sin uso. Booleano
MUID Identificador interno del equipo del cliente. Cadena de
caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como por
ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Alertsecappcontrol SecAppControl Detected
Evento de tipo pasivo que describe los parámetros de la alerta que WatchGuard Endpoint Security crea cuando
bloquea elementos según un nombre o MD5, definido por el administrador en la sección Protección avanzada,
Políticas avanzadas, Bloquear programas de la configuración Estaciones y servidores.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
Fecha del equipo del usuario cuando se
generó el evento.
Fecha
HostIp
(CEF)
IP del equipo de usuario o servidor donde se
genera el evento.
Dirección IP
sev
(LEEF)
Severidad del evento. 9
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de
caracteres “yyyy-
MM-dd”
src
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que genera
el evento registrado.
Cadena de
caracteres
identHostName
(LEEF)
Nombre del equipo de usuario que genera el
evento registrado.
Cadena de
caracteres
HostName Nombre del equipo de usuario donde se
genera el evento registrado.
Cadena de
caracteres
ThreatType Tipo de malware detectado. Cadena de
caracteres
“ProdAppControl”
ExecutionStatus Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
Enumeración
Eventos e información extendida
62 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 63
Campo Descripción Valor
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
Campo Descripción Valor
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
Eventos e información extendida
64 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 65
Campo Descripción Valor
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
DwellTimeSecs Tiempo transcurrido desde la primera vez que
la amenaza fue vista en la red del cliente.
Segundos
MWHash (LEEF)
ItemHash (CEF)
Hash del malware. Cadena de
caracteres
MWName (LEEF)
ItemName (CEF)
Nombre del malware si está ya catalogado
como una amenaza.
Cadena de
caracteres
MWPath (LEEF)
ItemPath (CEF)
Ruta del malware. Cadena de
caracteres
SourceIP Si el malware vino desde el exterior indica la
dirección IP del equipo remoto.
Dirección IP
SourceMachineName Si el malware vino desde el exterior indica el
nombre del equipo remoto.
Cadena de
caracteres
SourceUserName Si el malware vino desde el exterior indica el
usuario del equipo remoto.
Cadena de
caracteres
UrlList Lista de URLs accedidas en el momento de
detectar un exploit desde el navegador.
Cadena de
caracteres
DocList Lista de documentos accedidos en el
momento de detectar un exploit de fichero.
Cadena de
caracteres
Version Contenido del atributo Version de los
metadatos del proceso.
Cadena de
caracteres
Campo Descripción Valor
Vulnerable Indica si la aplicación se considera vulnerable. Booleano
MUID Identificador interno del equipo del cliente. Cadena de
caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Eventos e información extendida
66 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 67
Block
Evento de tipo pasivo que describe los parámetros de la alerta que WatchGuard Endpoint Security crea cuando
bloquea un proceso que no ha sido clasificado todavía.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 8
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por el
proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
LocalCat Categoría del elemento calculada por el agente
WatchGuard:
nNotClassified: fichero en proceso de
clasificación.
nGoodware
nMalware
nSuspect: fichero en proceso de
clasificación con alta probabilidad de
resultar malware.
nCompromised: proceso comprometido
por un ataque de tipo exploit.
nGoodwareNotConfirmed: fichero en
apariencia goodware pero pendiente de
clasificar.
nPUP
nGoodwareUnwanted: equivalente a
PUP.
nGoodwareRanked: proceso clasificado
como goodware.
Enumeración
cloudAcces Indica si hay acceso a la nube. Booleano
Eventos e información extendida
68 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 69
Campo Descripción Valor
DetId Identificador de la detección. Numérico
FirstSeen Fecha en la que se vio por primera vez el
fichero.
Fecha
LastQueryDate Fecha de la última consulta del agente
WatchGuard a la nube.
Fecha
ToastBlockReason Motivo de la aparición del mensaje emergente
en el puesto de usuario o servidor.
0: bloqueo por fichero desconocido en modo
bloqueo.
1: Bloqueo por reglas locales.
2: Bloqueo por regla de origen del fichero no
fiable.
3: Bloqueo por regla de contexto.
4: Bloqueo por exploit.
5: Bloqueo por pregunta al usuario de cerrar el
proceso.
Enumeración
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard Endpoint
Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
Enumeración
Campo Descripción Valor
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Hash Hash / digest del fichero. MD5
Path Ruta del elemento que desencadenó la
operación registrada.
Cadena de caracteres
(Ruta)
Eventos e información extendida
70 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 71
Campo Descripción Valor
MUID Identificador interno del equipo del cliente. Cadena de caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como por
ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
Createcmp
Evento de tipo activo que se genera cuando un proceso (parent) crea un nuevo fichero comprimido (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo de usuario que
desencadena el evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo de usuario que
desencadena el evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo de usuario o servidor que
desencadena el evento registrado.
Cadena de caracteres
identSrc
(LEEF)
IP del equipo de usuario o servidor que
desencadena el evento registrado.
Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo de usuario que
desencadena el evento registrado.
Cadena de caracteres
Eventos e información extendida
72 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 73
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“createcmp”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDDLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
74 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 75
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es Null
el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
Campo Descripción Valor
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es Null
el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Eventos e información extendida
76 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 77
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
Enumeración -
Enumeración
Campo Descripción Valor
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación de
proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de explotación
de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
Eventos e información extendida
78 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 79
Campo Descripción Valor
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Campo Descripción Valor
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
Eventos e información extendida
80 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 81
Campo Descripción Valor
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque escrito
en la matriz MITRE. El evento se vuelve
a enviar con los campos TTPs e IOAIds
completados.
n2: evento acumulado. Para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta un
patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Createdir
Evento de tipo activo que se genera cuando un proceso (parent) crea un directorio (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
82 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 83
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Client Identificador utilizado para distinguir los
eventos recibidos de cada cliente del partner.
Este campo únicamente se utiliza en el
producto Panda SIEMFeeder for Partners.
Numérico
Op Operación registrada. Cadena de caracteres:
“Createdir”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
Enumeración
Campo Descripción Valor
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
Enumeración
Eventos e información extendida
84 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 85
Campo Descripción Valor
nMedium
nLow
ParentCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
Campo Descripción Valor
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
Eventos e información extendida
86 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 87
Campo Descripción Valor
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
Enumeración
Campo Descripción Valor
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
Eventos e información extendida
88 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 89
Campo Descripción Valor
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
Enumeración
Campo Descripción Valor
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Eventos e información extendida
90 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 91
Campo Descripción Valor
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque escrito
en la matriz MITRE. El evento se vuelve
a enviar con los campos TTPs e IOAIds
completados.
n2: evento acumulado. Para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
CreatePE
Evento de tipo activo que se genera cuando un proceso (parent) crea un nuevo fichero ejecutable (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
92 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 93
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Client Identificador utilizado para distinguir los
eventos recibidos de cada cliente del partner.
Este campo únicamente se utiliza en el
producto Panda SIEMFeeder for Partners.
Numérico
Op Operación registrada. Cadena de caracteres:
“CreatePE”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
Enumeración
Campo Descripción Valor
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
Enumeración
Eventos e información extendida
94 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 95
Campo Descripción Valor
nMedium
nLow
ParentCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
Campo Descripción Valor
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
Eventos e información extendida
96 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 97
Campo Descripción Valor
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
Enumeración
Campo Descripción Valor
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
Eventos e información extendida
98 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 99
Campo Descripción Valor
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
Enumeración
Campo Descripción Valor
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Eventos e información extendida
100 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 101
Campo Descripción Valor
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque escrito
en la matriz MITRE. El evento se vuelve
a enviar con los campos TTPs e IOAIds
completados.
n2: evento acumulado. Para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
CreateprocessbyWMI
Evento de tipo activo que se genera cuando un proceso (parent) crea un proceso (child) a través del sistema WMI.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio
al que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso
que realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado
por el proceso que realizó la operación
registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
102 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 103
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo
en el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto
puede ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no soportada
por tratarse de un evento
antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“CreateprocessbyWMI”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la
operación registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la
operación registrada.
Cadena de caracteres
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o
defectuoso.
Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en
los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la Enumeración
Eventos e información extendida
104 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 105
Campo Descripción Valor
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si
ya está catalogado como una amenaza. Si
es Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la
operación registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la
operación registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
Enumeración
Campo Descripción Valor
nDLLx32
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software Booleano
Eventos e información extendida
106 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 107
Campo Descripción Valor
considerado como vulnerable.
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente
WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un
mensaje emergente al usuario pero
no contestó a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un
mensaje emergente al usuario y
contesto “permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de
la cuarentena.
Enumeración
Campo Descripción Valor
nRename: elemento renombrado por
no poderse mover a cuarentena,
borrar o desinfectar.
nBlockURL: se bloqueó el acceso a
una URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un
reinicio del equipo para bloquear el
intento de explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es
un script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento
intentó suspender alguno de los
servicios del software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software
de protección.
nRenameRegistry: el elemento
intentó renombrar una clave de
registro protegida que pertenece al
software de protección.
Eventos e información extendida
108 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 109
Campo Descripción Valor
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento
intentó una acción sin definir sobre
un fichero que pertenece al software
de protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en
la caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo
que viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la
dirección IP de origen por detectarse
un ataque de fuerza bruta mediante
el protocolo RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse
de un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el
elemento se permite porque el
software de seguridad está
configurado en modo Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos
los ejecutables sin clasificar y los
clasificados como malware.
Enumeración
Campo Descripción Valor
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea
confiable y los clasificados como
malware.
nLearning: el agente no bloquea
ningún programa pero monitoriza los
procesos ejecutados.
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en
modo Lock en el momento del
bloqueo.
nCache: clasificación cacheada en
local.
nCloud: clasificación descargada de
la nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto
en la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación
de intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de
identificación de ficheros GW
desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con
el framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
Enumeración
Eventos e información extendida
110 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 111
Campo Descripción Valor
nAMSI: detección encontrada
mediante Antimalware Scan
Interface.
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Createremotethread
Evento de tipo activo que se genera cuando un proceso (parent) crea un hilo de ejecución remoto.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso
que realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación
registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
112 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 113
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo
en el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“Createremotethread”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la
operación registrada.
Cadena de caracteres
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en
los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
114 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 115
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si
ya está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software
considerado como vulnerable.
Booleano
Eventos e información extendida
116 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 117
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de
la cuarentena.
Enumeración
Campo Descripción Valor
nRename: elemento renombrado por
no poderse mover a cuarentena,
borrar o desinfectar.
nBlockURL: se bloqueó el acceso a
una URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un
reinicio del equipo para bloquear el
intento de explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es
un script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software
de protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software
de protección.
Eventos e información extendida
118 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 119
Campo Descripción Valor
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la
dirección IP de origen por detectarse
un ataque de fuerza bruta mediante el
protocolo RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el
elemento se permite porque el
software de seguridad está
configurado en modo Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable
y los clasificados como malware.
Enumeración
Campo Descripción Valor
nLearning: el agente no bloquea
ningún programa pero monitoriza los
procesos ejecutados.
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en
modo Lock en el momento del
bloqueo.
nCache: clasificación cacheada en
local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto
en la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación
de intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de
identificación de ficheros GW
desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas Cadena de caracteres
Eventos e información extendida
120 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 121
Campo Descripción Valor
asociadas al evento MITRE.
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos
que lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado. Para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene
hasta que el software de seguridad
detecta un patrón de ataque
MITRE.En ese momento se envían
todos los eventos acumulados.
Enumeración
Criticalsoft
Evento de tipo pasivo que se genera cuando se ejecuta una aplicación vulnerable.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio
al que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso
que realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado
por el proceso que realizó la operación
registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
122 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 123
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo
en el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto
puede ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date
y LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
CriticalSoftEventType True: el software vulnerable se ejecuto en
el equipo.
False: el software vulnerable fue visto en
el equipo pero no se ejecutó.
Booleano
ItemHash Hash / digest de la amenaza o programa
vulnerable encontrada.
Cadena de caracteres
Filename Nombre del fichero vulnerable. Cadena de caracteres
FilePath Ruta completa donde se encuentra el
fichero vulnerable.
Cadena de caracteres
Size Tamaño del fichero vulnerable. Numérico
InternalName Contenido del atributo Name de los
metadatos del fichero vulnerable.
Numérico
CompanyName Contenido del atributo Company de los
metadatos del fichero vulnerable.
Cadena de caracteres
Campo Descripción Valor
FileVersion Contenido del atributo Version de los
metadatos del fichero vulnerable.
Cadena de caracteres
ProductVersion Contenido del atributo ProductVersion de
los metadatos del fichero vulnerable.
Cadena de caracteres
FilePlatform Arquitectura interna del fichero
Win32NT
Win64NT
Enumeración
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Eventos e información extendida
124 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 125
DeletePE
Evento de tipo activo que se genera cuando un proceso (parent) borra un programa ejecutable (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“DeletePE”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Eventos e información extendida
126 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 127
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es Null
el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
Eventos e información extendida
128 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 129
Campo Descripción Valor
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es Null
el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
Enumeración
Eventos e información extendida
130 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 131
Campo Descripción Valor
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación de
proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de explotación
de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
Campo Descripción Valor
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Eventos e información extendida
132 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 133
Campo Descripción Valor
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
Campo Descripción Valor
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el producto
de seguridad crea un indicio (IOA) y añade su
identificador a todos los eventos que lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que pertenece
a un patrón de ataque escrito en la
matriz MITRE. El evento se vuelve a
enviar con los campos TTPs e IOAIds
completados.
n2: evento acumulado. Para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta un
patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Eventos e información extendida
134 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 135
Deviceops
Evento de tipo activo que se genera cuando se ejecuta una operación sobre un dispositivo externo por parte de un
proceso.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por el
proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
NotificationType Tipo de operación realizada.
40067: conexión del dispositivo.
40068: desconexión correcta del dispositivo.
40070: desconexión del dispositivo sin
desmontarlo previamente.
Enumeración
DeviceType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
0: desconocido.
1: unidad de CD o DVD.
2: dispositivo de almacenamiento SB.
3: fichero imagen.
4: dispositivo bluetooth.
5: modem.
6: impresora USB.
7: teléfono móvil.
8: teclado.
Enumeración
Eventos e información extendida
136 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 137
Campo Descripción Valor
9: teclado y ratón.
10: ratón.
UniqueId Identificador único del dispositivo. Cadena de caracteres
IsDenied Indica si se ha denegado la acción reportada
sobre el dispositivo.
Booleano
IdName Nombre del dispositivo. Cadena de caracteres
ClassName Clase del dispositivo. Se corresponde con la
clase indicada en el fichero .inf asociado al
dispositivo.
Cadena de caracteres
FriendlyName Nombre comprensible del dispositivo. Cadena de caracteres
Description Descripción del dispositivo. Cadena de caracteres
Manufacturer Fabricante del dispositivo. Cadena de caracteres
PhoneDescription Descripción del teléfono si la operación
involucró a un dispositivo de este tipo.
Cadena de caracteres
Campo Descripción Valor
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el producto
de seguridad crea un indicio (IOA) y añade su
identificador a todos los eventos que lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que pertenece
a un patrón de ataque escrito en la
matriz MITRE. El evento se vuelve a
enviar con los campos TTPs e IOAIds
completados.
n2: evento acumulado. Para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta un
patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Eventos e información extendida
138 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 139
Dnsops
Evento de tipo pasivo que se genera con cada petición de una resolución dns por parte de un proceso.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento
en el equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y
dominio al que pertenece utilizada
para ejecutar el proceso que genero el
evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena
el evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena
el evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento
en el equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres “yyyy-
MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el
proceso que realizó la operación
registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario
utilizado por el proceso que realizó la
operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el
evento.
Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el
evento.
Cadena de caracteres
identHostName Nombre del equipo que desencadena Cadena de caracteres
Campo Descripción Valor
(LEEF) el evento registrado.
HostName
(LEEF)
Nombre del equipo que desencadena
el evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el
equipo en el momento en que se
produjo el evento registrado. Esta
fecha depende de la configuración del
equipo y por lo tanto puede ser
errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime,
Date y LocalDateTime
0: fecha real no soportada
por tratarse de un evento
antiguo.
1: fecha real no disponible el
servidor WatchGuard y
obtenida mediante un
cálculo.
2: fecha real proporcionada
por el servidor WatchGuard.
ProcessCount Número de procesos en el equipo con
fallos de resolución dns en la última
hora.
Numérico
ProcessMD5 MD5 del proceso con operaciones de
DNS fallidas.
Cadena de caracteres
ProcessPid Identificador del proceso con
operaciones de DNS fallidas.
Numérico
ProcessPath Ruta del proceso con operaciones de
DNS fallidas.
Cadena de caracteres
FailedQueries Número de peticiones de resolución
DNS fallidas producidas por el
proceso en la última hora.
Numérico
QueriedDomainCount Número de dominios diferentes con
resolución fallida del proceso en la
última hora.
Numérico
DomainList Lista de dominios enviados por el
proceso al servidor DNS para su
resolución y número de resoluciones
por cada dominio.
{nombre_
dominio,numero#nombre_
dominio,numero}
Eventos e información extendida
140 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 141
Campo Descripción Valor
MUID Identificador interno del equipo del
cliente.
Cadena de caracteres
TTPs Lista de las técnicas, tácticas y
subtécnicas asociadas al evento
MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos
sigue un patrón descrito en la matriz
MITRE, el producto de seguridad crea
un indicio (IOA) y añade su
identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El
evento no pertenece a un
indicio que siga un patrón
descrito en la matriz MITRE.
n1: evento reenviado. El
evento se envió inicialmente
como tipo 0 (telemetría
normal), pero tiempo después
se ha detectado que pertenece
a un patrón de ataque escrito
en la matriz MITRE. El evento
se vuelve a enviar con los
campos TTPs e IOAIds
completados.
n2: evento acumulado. Para
ahorrar recursos, parte de la
telemetría generada en el
cliente se retiene hasta que el
software de seguridad detecta
un patrón de ataque
MITRE.En ese momento se
envían todos los eventos
acumulados.
Enumeración
Exec
Evento de tipo activo que se genera cada vez que un proceso (parent) ejecuta un nuevo proceso (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
142 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 143
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“Exec”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
144 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 145
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Eventos e información extendida
146 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 147
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
Enumeración
Campo Descripción Valor
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
Eventos e información extendida
148 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 149
Campo Descripción Valor
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Campo Descripción Valor
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
Eventos e información extendida
150 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 151
Campo Descripción Valor
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
HeuHooks
Evento de tipo activo que se genera cuando una función de una dll interceptada es analizada y se considera que
podría estar implicada en la ejecución de un ataque al equipo. Dependiendo de la configuración del módulo
antiexploit del producto de seguridad instalado en el equipo protegido, la operación se bloqueará o se notificará al
usuario.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
Eventos e información extendida
152 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 153
Campo Descripción Valor
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“DeletePE”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
Campo Descripción Valor
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
Eventos e información extendida
154 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 155
Campo Descripción Valor
ParentCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es Null
el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
Enumeración
Campo Descripción Valor
nDLLx32
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es Null
el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado Booleano
Eventos e información extendida
156 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 157
Campo Descripción Valor
como vulnerable.
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
Enumeración
Campo Descripción Valor
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación de
proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de explotación
de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
Eventos e información extendida
158 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 159
Campo Descripción Valor
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la ejecución
del elemento por estar en la caché de
goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Campo Descripción Valor
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Eventos e información extendida
160 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 161
Hostfiles
Evento de tipo activo que se genera cuando un proceso (parent) detecta una modificación del fichero hosts.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por el
proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
HostName Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
Hash Hash / digest del fichero. Cadena de caracteres
Drivetype Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como por
ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
Path Ruta del elemento que desencadenó la
operación registrada.
Cadena de caracteres
Eventos e información extendida
162 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 163
Campo Descripción Valor
ValidSig Proceso firmado digitalmente. Booleano
Company Contenido del atributo Company de los
metadatos del proceso.
Cadena de caracteres
Broken El fichero esta corrupto o defectuoso. Cadena de caracteres
ImageType Arquitectura interna del proceso.
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ExeType Estructura interna / tipo del proceso.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
Prevalence Prevalencia histórica del proceso en los
sistemas de WatchGuard Technologies, Ltd..
nHigh
nMedium
nLow
Enumeración
PrevLastDay Prevalencia del proceso en el día anterior en
los sistemas de WatchGuard Technologies,
Ltd..
nHigh
nMedium
nLow
Enumeración
Cat Categoría del fichero que realizó la operación
registrada.
Enumeración
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
MWName Nombre del malware si está ya catalogado
como una amenaza.
Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el producto
de seguridad crea un indicio (IOA) y añade su
identificador a todos los eventos que lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que pertenece
a un patrón de ataque escrito en la
matriz MITRE. El evento se vuelve a
enviar con los campos TTPs e IOAIds
completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta un
patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Eventos e información extendida
164 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 165
Install
Evento de tipo pasivo que se genera cuando se instala el software de protección WatchGuard Endpoint Security.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por el
proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Operation Tipo de operación:
Install
Uninstall
Enumeración
Result Resultado de la operación:
nOK
nNo ok
Enumeración
OSVersion Versión del sistema operativo instalado en el
equipo del usuario.
Cadena de caracteres
OSServicePack Service Pack del sistema operativo del equipo
de usuario.
Cadena de caracteres
OSPlatform Plataforma del sistema operativo del equipo de
usuario.
nWIN32
nWIN64
Enumeración
MachineIP0 IP del equipo donde se registró el evento. Dirección IP
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Eventos e información extendida
166 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 167
Loadlib
Evento de tipo activo que se genera cuando un proceso (parent) carga una librería (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“Loadlib”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Eventos e información extendida
168 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 169
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Campo Descripción Valor
Goodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Eventos e información extendida
170 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 171
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
Enumeración
Eventos e información extendida
172 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 173
Campo Descripción Valor
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
Campo Descripción Valor
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
Enumeración
Eventos e información extendida
174 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 175
Campo Descripción Valor
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Campo Descripción Valor
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Eventos e información extendida
176 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 177
Loginoutops
Evento de tipo activo que se genera cuando se detecta un inicio de sesión en el equipo.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que generó el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso
que realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado
por el proceso que realizó la operación
registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo
en el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto
puede ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
ActionType 0: inicio de sesión.
1: fin de sesión.
Enumeración
SessionType Tipo de inicio de sesión:
2: sesión creada físicamente mediante un
teclado o a través de KVM sobre IP.
3: sesión creada remotamente en carpetas
o impresoras compartidas. Este tipo de
inicio de sesión tiene autenticación segura.
4: sesión creada por el programador de
tareas de Windows.
5: sesión creada cuando arranca un servicio
que requiere ejecutarse en la sesión de
usuario. La sesión es eliminada cuando el
servicio se detiene.
7: sesión creada cuando un usuario intenta
entrar en una sesión que ya está creada y
ha sido bloqueada.
8: idéntico al tipo 3 pero la contraseña viaja
en texto plano.
Numérico
Eventos e información extendida
178 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 179
Campo Descripción Valor
9: sesión creada cuando se usa el comando
“RunAs” bajo una cuenta diferente a la
utilizada para iniciar la sesión, y
especificando el parámetro “/netonly”. Sin el
parámetro “/netonly” se genera un tipo de
sesión 2.
10: sesión creada cuando se accede
mediante “Terminal Service”, “Remote
desktop” o “Remote Assistance”. Identifica
una conexión de usuario remota.
11: sesión de usuario creada con
credenciales de dominio cacheadas en el
equipo, pero sin conexión con el controlador
de dominio.
ErrorCode 0xC0000064: el nombre de usuario no
existe.
0XC000005E: el servidor necesario para
validar el inicio de sesión no está disponible.
0xC000006A: el usuario es correcto pero la
contraseña es incorrecta.
0XC000006D: el usuario o la información de
autenticación es errónea.
0XC000006E: nombre desconocido o
contraseña errónea.
0xC0000234: acceso bloqueado.
0xC0000072: cuenta deshabilitada.
0xC000006F: intento de inicio de sesión en
horario restringido.
0xC0000070: intento de inicio de sesión
desde un equipo no autorizado.
0xC00000DC: error en el servidor de
validación. No se puede realizar la
operación.
0xC0000193: cuenta caducada.
0xC0000071: contraseña caducada.
0xC0000133: el reloj de los equipos
conectados tienen un desfase demasiado
Numérico
(hexadecimal)
Campo Descripción Valor
grande.
0xC0000224: se requiere que el usuario
cambie la contraseña en el siguiente
reinicio.
0xC0000225: error de Windows que no
implica riesgo.
0xc000018c: la solicitud de inicio de sesión
falló porque la relación de confianza entre el
dominio primario y el dominio confiable falló.
0XC0000192: se intentó iniciar sesión, pero
el servicio Netlogon no se inició.
0XC00002EE: se produjo un error durante el
inicio de sesión.
0XC0000413: el equipo en la que se está
iniciando sesión está protegida por un
firewall de autenticación. La cuenta
especificada no puede autenticarse en el
equipo.
0xc000015b: el usuario no tiene permisos
para ese tipo de inicio de sesión.
User Dominio\usuario con el que se ha creado la
sesión.
Cadena de caracteres
Interactive Indica si es un inicio de sesión de usuario
interactiva.
Booleano
RemoteMachineName Si el evento es un inicio de sesión remoto
indica el nombre del equipo remoto.
Cadena de caracteres
RemoteIP Si el evento es un inicio de sesión remoto
indica la IP del equipo remoto.
Dirección IP
RemotePort Si el evento es un inicio de sesión remoto
indica el puerto del equipo remoto.
Numérico
Eventos e información extendida
180 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 181
Campo Descripción Valor
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA)
y añade su identificador a todos los eventos
que lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene
hasta que el software de seguridad
detecta un patrón de ataque
MITRE.En ese momento se envían
todos los eventos acumulados.
Enumeración
Modifype
Evento de tipo activo que se genera cuando un proceso (parent) modifica un programa ejecutable (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
182 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 183
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“Modifype”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
184 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 185
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Eventos e información extendida
186 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 187
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
Enumeración
Campo Descripción Valor
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
Eventos e información extendida
188 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 189
Campo Descripción Valor
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
Enumeración
Campo Descripción Valor
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Eventos e información extendida
190 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 191
Campo Descripción Valor
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
ModLinuxCfg
Evento de tipo activo que se genera cuando se detecta una modificación de un fichero de configuración en un
sistema operativo Linux.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
192 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 193
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“ModLinuxCfg”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
194 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 195
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Eventos e información extendida
196 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 197
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el WatchGuard Endpoint
Security.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
Enumeración
Campo Descripción Valor
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
Eventos e información extendida
198 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 199
Campo Descripción Valor
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
Enumeración
Campo Descripción Valor
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Eventos e información extendida
200 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 201
ModOSXCfg
Evento de tipo activo que se genera cuando se detecta una modificación de un fichero de configuración en un
sistema operativo macOS.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“ModOSXCfg”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Eventos e información extendida
202 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 203
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Eventos e información extendida
204 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 205
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard
Endpoint Security.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
Enumeración
Eventos e información extendida
206 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 207
Campo Descripción Valor
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
Campo Descripción Valor
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
Enumeración
Eventos e información extendida
208 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 209
Campo Descripción Valor
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Monitoredopen
Evento de tipo activo que se genera cuando se detecta que un proceso (parent) accede a un fichero de datos (child).
El campo childpath solo contiene la extensión del fichero accedido para preservar la
privacidad de los datos del cliente. Para incluir la ruta y nombre concreto del fichero
accedido, consulta la guía avanzada del administrador de WatchGuard Endpoint Security.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
Eventos e información extendida
210 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 211
Campo Descripción Valor
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
ParentPid Identificador del proceso padre. Numérico
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemWatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
Eventos e información extendida
212 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 213
Campo Descripción Valor
LoggedUser Usuario logeado en el equipo en el momento
de la generación del evento.
Cadena de caracteres
ConfigString Indica la versión del juego de reglas que
estaban activas cuando se registró el evento.
Utilizado para tareas de diagnóstico por parte
del departamento de soporte de WatchGuard.
Cadena de caracteres
“Mx” (M0, M1, M2 etc.)
ParentAttibutes Flags de atributos del proceso padre.
0x0000: nivel de integridad del proceso
Untrusted.
0x1000: nivel de integridad del proceso Low
integrity.
0x2000: nivel de integridad del proceso
Medium integrity.
0x3000: nivel de integridad del proceso High
integrity.
0x4000: nivel de integridad del proceso
System integrity.
0x5000: nivel de integridad del proceso
Protected.
0x00000100: evento acumulativo.
0x00000200: Indica si el proceso ha sido
creado local o remotamente.
0x00000400: Indica que la operación se ha
producido antes del arranque del servicio.
Numérico
ChildAttributes Flags de atributos del proceso hijo.
0x0000: nivel de integridad del proceso
Untrusted.
0x1000: nivel de integridad del proceso Low
integrity.
0x2000: nivel de integridad del proceso
Medium integrity.
0x3000: nivel de integridad del proceso High
integrity.
0x4000: nivel de integridad del proceso
System integrity.
Numérico
Campo Descripción Valor
0x5000: nivel de integridad del proceso
Protected.
0x00000100: evento acumulativo.
0x00000200: Indica si el proceso ha sido
creado local o remotamente.
0x00000400: Indica que la operación se ha
producido antes del arranque del servicio.
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Eventos e información extendida
214 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 215
Monitoredregistry
Evento de tipo activo que se genera cuando se detecta un proceso (parent) que accede al registro del equipo del
usuario para leer una rama.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
ParentPid Identificador del proceso padre. Numérico
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentPath Ruta del fichero padre que realizó la
operación registrada.
Cadena de caracteres
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
Enumeración
Eventos e información extendida
216 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 217
Campo Descripción Valor
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
RegAction Tipo de operación realizada en el registro del
equipo.
nCreateKey
nCreateValue
nModifyValue
Enumeración
Key Rama o clave del registro afectado. Cadena de caracteres
Campo Descripción Valor
Value Nombre del valor afectado dentro de la clave
del registro.
Cadena de caracteres
ValueData Contenido del valor de la clave del registro. Cadena de caracteres
LoggedUser Usuario logeado en el equipo en el momento
de la generación del evento.
Cadena de caracteres
ConfigString Indica la versión del juego de reglas que
estaban activas cuando se registró el evento.
Utilizado para tareas de diagnóstico por parte
del departamento de soporte de WatchGuard.
Cadena de caracteres
“Mx” (M0, M1, M2 etc.)
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Eventos e información extendida
218 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 219
Notblocked
Evento de tipo activo que se genera con cada acción que WatchGuard EPDR deja sin analizar debido a situaciones
excepcionales (durante el tiempo de arranque del servicio en la protección, cambios de configuración etc.).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del
evento en el equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y
dominio al que pertenece
utilizada para ejecutar el proceso
que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que
desencadena el evento
registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que
desencadena el evento
registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del
evento en el equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el
proceso que realizó la operación
registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario
utilizado por el proceso que
realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el
evento.
Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el
evento.
Cadena de caracteres
Campo Descripción Valor
identHostName
(LEEF)
Nombre del equipo que
desencadena el evento
registrado.
Cadena de caracteres
HostName
(LEEF)
Nombre del equipo que
desencadena el evento
registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía
el equipo en el momento en que
se produjo el evento registrado.
Esta fecha depende de la
configuración del equipo y por lo
tanto puede ser errónea
Fecha
PandaTimeStatus Contenido de los campos
DateTime, Date y LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
ParentHash Digest / hash del fichero padre. Cadena de caracteres
ParentPath Ruta del proceso padre. Cadena de caracteres
ParentValidSig Proceso padre firmado
digitalmente.
Booleano
ParentCompany Contenido del atributo Company
de los metadatos del proceso
padre
Cadena de caracteres
ParentBroken El proceso padre está corrupto o
defectuoso.
Booleano
ParentImageType Arquitectura interna del proceso
padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
Eventos e información extendida
220 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 221
Campo Descripción Valor
ParentExeType Estructura interna / tipo del
proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso
padre en los sistemas de
WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en
el día anterior en los sistemas de
WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que
realizó la operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ParentMWName Nombre del malware en el
proceso padre si ya está
catalogado como una amenaza.
Si es Null el elemento no es
Cadena de caracteres
Campo Descripción Valor
malware.
ChildHash Hash del proceso que actúa como
hijo.
Cadena de caracteres
ChildPath Ruta del fichero hijo que realizó la
operación registrada.
Cadena de caracteres
(Ruta)
ChildValidSig El proceso hijo está firmado
digitalmente.
Booleano
ChildCompany Contenido del atributo Company
de los metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o
defectuoso.
Booleano
ChildImageType Arquitectura interna del proceso
hijo:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ChildExeType Estructura interna / tipo del
proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso
hijo en los sistemas de
WatchGuard.
nHigh
nMedium
Enumeración
Eventos e información extendida
222 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 223
Campo Descripción Valor
nLow
ChildPrevLastDay Prevalencia histórica del proceso
hijo en los sistemas de
WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que
realizó la operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el
proceso hijo si ya está catalogado
como una amenaza. Si es Null el
elemento no es malware.
Cadena de caracteres
ResponseCat Categoría del fichero asignada
según las tecnologías locales
implementadas en del software
de protección.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
NumCacheClassifiedElements Numero de identificadores
cacheados en el equipo del
usuario en el momento en que se
generó el evento.
Numérico
MUID Identificador interno del equipo
del cliente.
Cadena de caracteres
Opencmp
Evento de tipo activo que se genera cuando se detecta un proceso (parent) que abre un fichero comprimido (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
224 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 225
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“Opencmp”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
226 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 227
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Eventos e información extendida
228 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 229
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
Enumeración
Campo Descripción Valor
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
Eventos e información extendida
230 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 231
Campo Descripción Valor
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Campo Descripción Valor
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
Eventos e información extendida
232 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 233
Campo Descripción Valor
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Openlsass
Evento de tipo activo que se genera cuando se detecta un proceso (parent) que acede al proceso LSASS para
intentar comprometer las credenciales de una cuenta de usuario.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
234 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 235
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“Openlsass”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
236 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 237
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Eventos e información extendida
238 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 239
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
Enumeración
Campo Descripción Valor
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
Eventos e información extendida
240 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 241
Campo Descripción Valor
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Campo Descripción Valor
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
Eventos e información extendida
242 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 243
Campo Descripción Valor
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
ProcessNetBytes
Evento de tipo activo que se genera cuando un proceso consume datos de red. Se envía un evento por proceso cada
cuatro horas aproximadamente, con la suma de datos transferida desde el último envío del registro. El total de bytes
enviados y recibidos por proceso es la suma de todas las cantidades registradas.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por el
proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName Nombre del equipo que desencadena el evento Cadena de caracteres
Eventos e información extendida
244 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 245
Campo Descripción Valor
(LEEF) registrado.
HostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en el
momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Hash Hash / digest del fichero. Cadena de caracteres
Path Ruta del elemento que desencadenó la
operación registrada.
Cadena de caracteres
PID Identificador del proceso. Numérico
BytesSent Acumulado de bytes enviados por el proceso
desde la generación del ultimo evento
ProcessNetBytes.
Numérico
BytesReceived Acumulado de bytes recibidos por el proceso
desde la generación del ultimo evento
ProcessNetBytes.
Numérico
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Registryc
Evento de tipo activo que se genera cuando un proceso (parent) crea una rama del registro que apunta a un fichero
ejecutable (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por el
proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
Eventos e información extendida
246 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 247
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
op Operación registrada. CreateExeKey
Hash Hash del proceso que actúa como padre. Cadena de caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como por
ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
Path Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
ValidSig El proceso padre está firmado digitalmente. Booleano
Campo Descripción Valor
Company Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
Broken El proceso padre está corrupto o defectuoso. Booleano
ImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
Prevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard Endpoint Security.
nHigh
nMedium
nLow
Enumeración
PrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
Cat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
Enumeración
Eventos e información extendida
248 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 249
Campo Descripción Valor
nPUP
nUnknown
nMonitoring
MWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es Null
el elemento no es malware.
Cadena de caracteres
TargetPath Ruta del ejecutable apuntado en el registro. Cadena de caracteres
Regkey Clave de registro. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el producto
de seguridad crea un indicio (IOA) y añade su
identificador a todos los eventos que lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que pertenece
a un patrón de ataque escrito en la
matriz MITRE. El evento se vuelve a
enviar con los campos TTPs e IOAIds
completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta un
patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Registrym
Evento de tipo activo que se genera cuando se detecta un proceso (parent) que modifica una rama del registro que
apunta a un fichero ejecutable (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por el
proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
Eventos e información extendida
250 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 251
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“ModifyExeKey”
Hash Hash del proceso que actúa como padre. Cadena de caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como por
ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
Path Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Campo Descripción Valor
ValidSig El proceso padre está firmado digitalmente. Booleano
Company Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
Broken El proceso padre está corrupto o defectuoso. Booleano
ImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
Prevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
PrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
Cat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
Enumeración
Eventos e información extendida
252 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 253
Campo Descripción Valor
nMalware
nPUP
nUnknown
nMonitoring
MWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es Null
el elemento no es malware.
Cadena de caracteres
TargetPath Ruta del ejecutable apuntado en el registro. Cadena de caracteres
Regkey Clave de registro. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el producto
de seguridad crea un indicio (IOA) y añade su
identificador a todos los eventos que lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que pertenece
a un patrón de ataque escrito en la
matriz MITRE. El evento se vuelve a
enviar con los campos TTPs e IOAIds
completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta un
patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Renamepe
Evento de tipo activo que se genera cuando se detecta un proceso (parent) que cambia el nombre de un programa
ejecutable (child).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
254 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 255
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“Renamepe”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
Campo Descripción Valor
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
256 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 257
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
Eventos e información extendida
258 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 259
Campo Descripción Valor
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
Enumeración
Campo Descripción Valor
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
Eventos e información extendida
260 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 261
Campo Descripción Valor
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
Enumeración
Campo Descripción Valor
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
Eventos e información extendida
262 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 263
Campo Descripción Valor
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Scriptcreation
Evento de tipo activo que se genera cuando un proceso (parent) crea un proceso (child) de tipo script.
Descripción de los campo del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso
que realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
264 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 265
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“scriptcreation”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la
operación registrada.
Cadena de caracteres
Campo Descripción Valor
ParentFlags Flags de uso interno al servicio. Cadena de caracteres
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booelano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
266 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 267
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
ChildFlags Flags de uso interno al servicio. Cadena de caracteres
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ServiceLevel Modo de ejecución del agente: Enumeración
Eventos e información extendida
268 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 269
Campo Descripción Valor
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable
y los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Scriptlaunch
Evento de tipo activo que se genera cuando se un proceso (parent) ejecuta un proceso (child) de tipo script.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
270 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 271
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Op Operación registrada. Cadena de caracteres:
“scriptlauch”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM.
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la
operación registrada.
Cadena de caracteres
Campo Descripción Valor
ParentFlags Flags de uso interno al servicio. Cadena de caracteres
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
Enumeración
Eventos e información extendida
272 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 273
Campo Descripción Valor
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
ChildFlags Flags de uso interno al servicio. Cadena de caracteres
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
Enumeración
Campo Descripción Valor
nDLLx64
ChildExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard Technologies, Ltd..
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard Technologies, Ltd..
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ServiceLevel Modo de ejecución del agente: Enumeración
Eventos e información extendida
274 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 275
Campo Descripción Valor
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable
y los clasificados como malware.
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Socket
Evento de tipo activo que se genera cuando se detecta un proceso (parent) que abre un socket.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por el
proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
Eventos e información extendida
276 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 277
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y obtenida
mediante un cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
Protocol Protocolo de comunicaciones utilizado por el
proceso.
nTCP
nUDP
nICMP
nICMPv6
nIGMP
nRF
Enumeración
Localport Puerto local del proceso. Numérico
Direction Sentido de la conexión de red.
nUp
nDown
nBoth
Enumeración
LocalIP Dirección IP local del proceso. Dirección IP
Hash Hash / digest del fichero. Cadena de caracteres
DriveType Tipo de unidad donde reside el proceso o
fichero que desencadenó la operación
registrada.
Enumeración
Campo Descripción Valor
nFixed: dispositivo no extraible, como por
ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible, como
por ejemplo un pen drive o un diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible en
la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Path Ruta del elemento que desencadenó la
operación registrada.
Cadena de caracteres
Hostname Nombre del equipo remoto que inició la
conexión.
Cadena de caracteres
IP Dirección IP de la comunicación. Dirección IP
Port Puerto de comunicaciones utilizado por el
proceso.
Numérico
Times Número de veces que se ha producido el
mismo evento de comunicación en la última
hora.
Para que dos eventos de comunicación se
consideren iguales es necesario que coincidan
los siguientes parámetros, teniendo en cuenta
la dirección de la comunicación:
nEl nombre del proceso.
nLa dirección IP local del proceso.
nLa ruta del proceso.
nLa dirección IP de destino de la
comunicación.
nEl puerto destino de la comunicación.
Con cada primera comunicación diferente
registrada se envía un evento con el campo
times a 1. Posteriormente, por cada hora
transcurrida desde el primer evento, el campo
times indicará el numero de eventos de
comunicación iguales menos 1 producidos en
ese intervalo, con la fecha del último evento
Numérico
Eventos e información extendida
278 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 279
Campo Descripción Valor
registrado.
Pid Identificador del proceso. Numérico
ValidSig El proceso padre está firmado digitalmente. Booleano
Company Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
Broken El proceso padre está corrupto o defectuoso. Cadena de caracteres
ImageType Arquitectura interna del proceso.
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
Prevalence Prevalencia histórica del proceso en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
PrevLastDay Prevalencia del proceso en el día anterior en
los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
Campo Descripción Valor
Cat Categoría del fichero que realizó la operación
registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
MWName Nombre del malware si está ya catalogado
como una amenaza.
Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el producto
de seguridad crea un indicio (IOA) y añade su
identificador a todos los eventos que lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que pertenece
a un patrón de ataque escrito en la
matriz MITRE. El evento se vuelve a
enviar con los campos TTPs e IOAIds
completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta un
patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Eventos e información extendida
280 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 281
SvcControl
Evento correspondiente a un intento de modificación de los ficheros del producto de seguridad instalado.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
HostName Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Op Operación registrada. Cadena de caracteres:
“Loadlib”
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
Eventos e información extendida
282 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 283
Campo Descripción Valor
ParentPath Ruta del fichero padre que realizó la operación
registrada.
Cadena de caracteres
ParentPID Identificador del proceso padre. Numérico
ParentValidSig El proceso padre está firmado digitalmente. Booleano
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
Campo Descripción Valor
ParentCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildPID Identificador del proceso hijo. Numérico
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
Enumeración
Eventos e información extendida
284 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 285
Campo Descripción Valor
nEXEx64
nDLLx32
nDLLx64
ChildExeType Estructura interna / tipo del proceso hijo.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
Campo Descripción Valor
OCS_Exec Se ejecutó en el equipo software considerado
como vulnerable.
Booleano
OCS_Name Nombre del software vulnerable ejecutado. Cadena de caracteres
OCS_Version Versión del sistema operativo del equipo
donde se ejecutó el software vulnerable.
Cadena de caracteres
Params Parámetros de ejecución del proceso en la
linea de comandos.
Cadena de caracteres
ToastResult Respuesta del usuario ante el mensaje
emergente mostrado por WatchGuard
Endpoint Security.
nOk: el cliente acepta el mensaje.
nTimeout: el mensaje emergente
desaparece por la no acción del
usuario.
nAngry: el usuario rechaza el bloqueo
desde el mensaje emergente.
nBlock
nAllow
Enumeración
Action Acción realizada por el agente WatchGuard.
nAllow
nBlock
nBlockTimeout: se mostró un mensaje
emergente al usuario pero no contestó
a tiempo.
nAllowWL: elemento permitido por
encontrarse en la lista blanca del
administrador.
nDisinfect
nDelete
nQuarantine
nAllowByUser: se mostró un mensaje
emergente al usuario y contesto
“permitir ejecución”.
nInformed: se mostró un mensaje
emergente al usuario.
nUnquarantine: el fichero se sacó de la
cuarentena.
Enumeración
Eventos e información extendida
286 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 287
Campo Descripción Valor
nRename: elemento renombrado por no
poderse mover a cuarentena, borrar o
desinfectar.
nBlockURL: se bloqueó el acceso a una
URL.
nKillProcess: cierre de proceso.
nBlockExploit: intento de explotación
de proceso vulnerable detenido.
nExploitAllowByUser: el usuario no
permitió el cierre del proceso
explotado.
nRebootNeeded: se requiere un reinicio
del equipo para bloquear el intento de
explotación.
nExploitInformed: se mostró un
mensaje emergente al usuario
informando de un intento de
explotación de proceso vulnerable.
nAllowSonGWInstaller: el programa
forma parte de un paquete de
instalación clasificado como
Goodware.
nEmbebedInformed: el elemento es un
script en powershell que ejecuta
comandos.
nSuspedProcess: el elemento intentó
suspender alguno de los servicios del
software de protección.
nModifyDiskResource: el elemento
intentó modificar un fichero protegido
que pertenece al software de
protección.
nModifyRegistry: el elemento intentó
modificar una clave de registro
protegida que pertenece al software de
protección.
nRenameRegistry: el elemento intentó
renombrar una clave de registro
protegida que pertenece al software de
protección.
Campo Descripción Valor
nModifyMarkFile: el elemento intentó
renombrar un fichero protegido que
pertenece al software de protección.
nUncertainAction: el elemento intentó
una acción sin definir sobre un fichero
que pertenece al software de
protección.
nAllowGWFilter: se permite la
ejecución del elemento por estar en la
caché de goodware.
nAllowSWAuthoriced: se permite la
ejecución del elemento por estar
autorizado por el administrador
(configuración Software Autorizado).
nNewPE: aparición de un nuevo
programa ejecutable en el equipo que
viene del exterior.
nAllowedByAdmin: se permite la
ejecución del elemento porque el
administrador excluyó la técnica de
explotación detectada.
nBlocked by ip: se bloqueó la dirección
IP de origen por detectarse un ataque
de fuerza bruta mediante el protocolo
RDP.
nAllowSonMsiGW: se permite la
ejecución del elemento por tratarse de
un ejecutable que proviene de un
paquete de instalación confiable.
nAllowed by Global Audit:el elemento
se permite porque el software de
seguridad está configurado en modo
Global Audit.
ServiceLevel Modo de ejecución del agente:
nBlocking: el agente bloquea todos los
ejecutables sin clasificar y los
clasificados como malware.
nHardening: el agente bloquea la
ejecución de todos los programas sin
clasificar cuyo origen no sea confiable y
los clasificados como malware.
Enumeración
Eventos e información extendida
288 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 289
Campo Descripción Valor
nLearning: el agente no bloquea ningún
programa pero monitoriza los procesos
ejecutados.
WinningTech Tecnología que provocó el evento.
nBlockmode: el agente estaba en modo
Lock en el momento del bloqueo.
nCache: clasificación cacheada en local.
nCloud: clasificación descargada de la
nube.
nContext: regla de contexto local.
nContextMinerva: regla de contexto en
la nube.
nDigital Signature: fichero firmado
digitalmente.
nExploit: tecnología de identificación de
intento de explotación de proceso
vulnerable.
nExploitLegacy
nGWFilter: tecnologías de identificación
de ficheros GW desconocidos.
nLegacyUser: permiso solicitado al
usuario.
nLocal Signature: firma local.
nMetaEsploit: ataque generado con el
framework metaExploit.
nNetNative: tipo de binario.
nSerializer: tipo de binario.
nUser: permiso solicitado al usuario.
nRDP: ataque de fuerza bruta por el
protocolo RDP.
nAMSI: detección encontrada mediante
Antimalware Scan Interface.
Enumeración
DetId Identificador de la detección. Cadena de caracteres
MUID Identificador interno del equipo del cliente. Cadena de caracteres
Systemops
Evento de tipo activo que se genera cuando se detecta la ejecución de acciones que afectan o modifican procesos y
ficheros del sistema operativo a través del sistema WMI (Windows Management Interface).
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso
que realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación
registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Eventos e información extendida
290 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 291
Campo Descripción Valor
(LEEF)
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo
en el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
HostName Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Type Tipo de operación realizada por el proceso:
0 (WMI_COMMAND_LINE_EVENT_
CREATION): evento que se genera cada
vez que se crea un
"CommandLineEventConsumer", que es
una línea de comandos que va a lanzar WMI
al producirse un evento en la base de datos.
1 (WMI_ACTIVE_SCRIPT_EVENT_
CREATION ): se ha creado una consulta
que lanzará un script.
2 (CREATE_WMI_EVENT_CONSUMER_
TO_FILTER_CONSUMER): se va a ejecutar
una consulta registrada para lanzar en el
equipo un proceso, un fichero JS/VBS o un
script de JS/VBS embebido dentro de la
propia BBDD (sin fichero en disco).
3 (CREATE_WMI_EVENT_CONSUMER_
Enumeración
Campo Descripción Valor
TO_FILTER_QUERY): se ha registrado un
filtro que es una consulta.
4 (WMI_EVENT_CREATE_USER): se ha
creado una cuenta de usuario.
5 (WMI_EVENT_DELETE_USER): se ha
borrado una cuenta de usuario.
6 (WMI_EVENT_ADD_USER_GROUP): se
ha añadido una cuenta a un grupo de
usuarios.
7 (WMI_EVENT_DELETE_USER_
GROUP): se ha borrado una cuenta de un
grupo de usuarios.
8 (WMI_EVENT_USER_GROUP_ADMIN):
se ha añadido un usuario a un grupo de
usuarios administradores.
9 (WMI_EVENT_USER_GROUP_RDP): se
ha añadido un usuario a un grupo de
usuarios con acceso al equipo por RDP.
10 (WMI_EVENT_CREATE_SERVICE): se
instaló un nuevo servicio en el sistema.
11 (WMI_EVENT_USER_ACCOUNT_
CHANGED: se modificó una cuenta de
usuario.
12 (WMI_EVENT_USER_PASSWORD_
RESET_ATTEMPT): se intentó borrar la
contraseña de una cuenta de usuario.
ObjectName Nombre único del objeto dentro de la
jerarquía WMI.
Cadena de caracteres
CommandLine Línea de comandos configurada como tarea
para ser ejecutada a través de WMI.
Cadena de caracteres
MachineName Nombre del equipo que ejecutó el proceso.
User Usuario con el que se lanza. Cadena de caracteres
IsLocal Indica si la tarea se crea local o
remotamente.
Booleano
ExtendedInfo Información extendida. Depende de la
operación.
Cadena de caracteres
Eventos e información extendida
292 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 293
Campo Descripción Valor
ChildMD5 Hash del fichero cuando proceda. Cadena de caracteres
ParentPid PID del proceso padre. Numérico
RemoteMachineName Nombre del equipo remoto que genera el
evento.
Cadena de caracteres
RemoteIP IP remota que genera el evento. Cadena de caracteres
SessionInteractive Indica si la sesión es interactiva o no. Booleano
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA)
y añade su identificador a todos los eventos
que lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene
hasta que el software de seguridad
detecta un patrón de ataque
MITRE.En ese momento se envían
todos los eventos acumulados.
Enumeración
Thalert
Evento de tipo pasivo. Describe los indicios generados por las siguientes tecnologías de detección:
nHRs (Hunting Rules): implementadas en Orion y utilizadas por el Radar de ciber-ataques para generar
indicios de ataque o infección.
nIOCs (Indicartor Of Compromise):implementadas en Orion. Son reglas creadas por el cliente que buscan
indicios de equipos comprometidos en la red administrada.
nIOAs (Indicator of Attack): implementadas en WatchGuard Endpoint Security y vinculadas a MITRE, son
reglas que buscan indicios de ataque recibidos en la red administrada.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
MachineIP
(CEF)
IP del equipo de usuario que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo de usuario que desencadena
el evento registrado.
Cadena de
caracteres
sev
(LEEF)
Severidad del evento.Consulta Cálculo del
campo Severity /Sev.
Numérico
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de
caracteres “yyyy-
MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de
caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por el
proceso que realizó la operación registrada.
Cadena de
caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de
caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de
caracteres
Eventos e información extendida
294 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 295
Campo Descripción Valor
identHostName
(LEEF)
Nombre del equipo que desencadena el evento
registrado.
Cadena de
caracteres
AlertDate Fecha en la que se creó el indicio en la
plataforma de Orion.
Fecha
THRuleName Nombre de la regla de Hunting que generó el
indicio.
Cadena de
caracteres
Mitre Técnica y Táctica Mitre asociada a la regla de
Hunting que generó el indicio.
Lista de pares
Técnica/ Táctica
Severity Gravedad del indicio. Cuanto menor es el
número, el indicio es más grave.
Numérico
TimeStamp Marca de tiempo de la acción registrada en el
equipo del cliente que generó el indicio.
Fecha
EvidenceData Datos relevantes relacionados con el indicio y
dependientes de la regla de hunting activada.
Contiene varios campos separados por espacios
con el formato “NombreCampo: valor”.
Cadena de
caracteres
LastHourEvidenceC
ount
Nº de veces que ha ocurrido el mismo indicio en
el equipo del cliente en la última hora.
Numérico
MUID Identificador interno del equipo del cliente. Cadena de
caracteres
Times Número de repeticiones de la alerta. Consulta
Agrupación de alertas.
Numérico
Cálculo del campo Severity /Sev
Dependiendo del valor del campo ExecutionStatus - Action, el valor de Severity /Sev varía según la tabla mostrada a
continuación:
ExecutionStatus - Action Severity
nAllow
nAllowWL
nAllowByUser
nInformed
nUnquarantine
nRename
nBlockURL
nBlockExploit
nRebootNeeded
nAllowSonGwInstaller
nInformNewPE
nSonMSIGW
nRDPOff
8
nBlock
nBlockBL
nBlockTimeout
nDelete
nDisinfect
nQuarantine
nKillProcess
nEmbebedBlocked
nSuspendProcess
nBlockedIp
nRenameRegistry
nAllowSWAutoriced
7
nExploitAllowByUser
nExploitInformed
nEmbebedInformed
nModifyMarkFile
nUncertainAction
10
Eventos e información extendida
296 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 297
ExecutionStatus - Action Severity
nResponseLast
nIsolateHost
nModifyRegistry
nAllowFGW 6
nExploitAllowByAdmin 5
Agrupación de alertas
Para minimizar el consumo de ancho de banda y evitar la saturación de la infraestructura IT que gestiona y almacena
los eventos en el cliente, SIEMFeeder implementa un algoritmo para agrupar alertas de características similares.
Se considera que dos o más alertas son iguales si cumplen todas las condiciones siguientes:
nSon de un mismo tipo.
nSe han registrado en un intervalo de tiempo próximo.
nSe han registrado en el mismo equipo de usuario o servidor.
Agrupación de IOAs avanzados de WatchGuard Endpoint Security
Los IOAs avanzados no se agrupan si el equipo se encuentra en modo auditoría. Cada IOA
recibido en este modo lleva el campo Times a 1. Para obtener más información consulta la
guía de tu producto de seguridad WatchGuard Endpoint Security.
nEl primer IOA registrado genera una alerta THAlert con el campo Times a 1.
nSe agrupan todos los IOAs repetidos en intervalos de 6 horas. Se envía una alerta THAlert al final de cada
intervalo y se indica en el campo Times el acumulado de IOAs registrados hasta el momento.
nSi no se registran IOAs iguales en un intervalo de 6 horas no se envía la alerta THAlert para ese intervalo.
nPasados 4 intervalos (24 horas) se vuelve a iniciar el proceso.
Agrupación de IOAs de WatchGuard Endpoint Security
nEl primer IOA registrado genera una alerta THAlert con el campo Times a 1.
nSe agrupan todos los IOAs repetidos en intervalos de 1 hora. Se envía una alerta THAlert al final de cada
intervalo y se indica en el campo Times el acumulado de IOAs registrados hasta el momento.
nSi no se registran IOAs iguales en un intervalo de 1 hora no se envía la alerta THAlert para ese intervalo.
nPasados 24 horas se vuelve a iniciar el proceso.
Agrupación de IOCs en búsquedas retrospectivas de Orion
Los IOCs se cargan en la plataforma a través de la APIde Orion. Para obtener más
información consulta el manual del producto.
Esta búsqueda examina una única vez el flujo de eventos generado por los equipos del cliente y acumulado durante
el último año desde el momento de la importación y genera una única alerta por cada equipo / IOC encontrado.
Agrupación de IOCs en búsquedas en streaming de Orion
Los IOCs se cargan en la plataforma a través de la APIde Orion. Para obtener más
información consulta el manual del producto.
Esta búsqueda examina en tiempo real la información generada por los procesos en ejecución de los equipos del
cliente y genera una alerta por cada equipo / IOC / hora.
Agrupación de Indicios de Orion
nEl primer Indicio registrado genera una alerta THAlert con el campo Times a 1.
nSe agrupan todos los Indicios repetidos en intervalos de 1 hora. Se envía una alerta THAlert al final de cada
intervalo y se indica en el campo Times el acumulado de Indicios registrados hasta el momento.
nSi no se registran Indicios iguales en un intervalo de 1 hora no se envía la alerta THAlert para ese intervalo.
nPasados 24 horas se vuelve a iniciar el proceso.
Eventos e información extendida
298 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 299
Urldownload
Evento de tipo activo que se genera cuando un proceso realiza una petición / descarga de un fichero de datos por
HTTP.
Descripción de los campos del evento
Campo Descripción Valor
Date
(CEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
User
(CEF)
Nombre de la cuenta de usuario y dominio al
que pertenece utilizada para ejecutar el
proceso que genero el evento registrado.
Cadena de caracteres
MachineIP
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Dirección IP
MachineName
(CEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
sev
(LEEF)
Severidad del evento. 1
devTime
(LEEF)
TimeStamp de la creación del evento en el
equipo del usuario.
Fecha
devTimeFormat
(LEEF)
Formato del timestamp enviado. Cadena de caracteres
“yyyy-MM-dd”
usrName
(LEEF)
Cuenta de usuario utilizada por el proceso que
realizó la operación registrada.
Cadena de caracteres
domain
(LEEF)
Dominio de la cuenta de usuario utilizado por
el proceso que realizó la operación registrada.
Cadena de caracteres
src
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identSrc
(LEEF)
IP del equipo donde se registró el evento. Cadena de caracteres
identHostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
Campo Descripción Valor
HostName
(LEEF)
Nombre del equipo que desencadena el
evento registrado.
Cadena de caracteres
LocalDateTime Fecha en formato UTC que tenía el equipo en
el momento en que se produjo el evento
registrado. Esta fecha depende de la
configuración del equipo y por lo tanto puede
ser errónea
Fecha
PandaTimeStatus Contenido de los campos DateTime, Date y
LocalDateTime
0: fecha real no
soportada por tratarse
de un evento antiguo.
1: fecha real no
disponible el servidor
WatchGuard y
obtenida mediante un
cálculo.
2: fecha real
proporcionada por el
servidor WatchGuard.
ParentHash Hash del proceso que actúa como padre. Cadena de caracteres
ParentDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ParentPath Ruta del fichero padre que realizó la
operación registrada.
Cadena de caracteres
ParentValidSig El proceso padre está firmado digitalmente. Booleano
Eventos e información extendida
300 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 301
Campo Descripción Valor
ParentCompany Contenido del atributo Company de los
metadatos del proceso padre.
Cadena de caracteres
ParentBroken El proceso padre está corrupto o defectuoso. Booleano
ParentImageType Arquitectura interna del proceso padre:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
ParentExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ParentPrevalence Prevalencia histórica del proceso padre en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentPrevLastDay Prevalencia del proceso padre en el día
anterior en los sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ParentCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
Enumeración
Campo Descripción Valor
nPUP
nUnknown
nMonitoring
ParentMWName Nombre del malware en el proceso padre si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
URL Url de descarga lanzada por el proceso que
generó el evento registrado.
Cadena de caracteres
ChildHash Hash del proceso que actúa como hijo. Cadena de caracteres
ChildDriveType Tipo de unidad donde reside el proceso o
fichero padre que desencadenó la operación
registrada.
nFixed: dispositivo no extraible, como
por ejemplo un disco duro interno.
nRemote: unidad de red.
nRemovable: dispositivo extraible,
como por ejemplo un pen drive o un
diskette.
nUnknown: dispositivo de tipo
desconocido.
nNoRootDir: dispositivo no disponible
en la ruta indicada.
nCdrom: unidad de CD-ROM
nRamdisk: unidad de disco RAM.
Enumeración
ChildPath Ruta del fichero hijo que realizó la operación
registrada.
Cadena de caracteres
(Ruta)
ChildValidSig El proceso hijo está firmado digitalmente. Booleano
ChildCompany Contenido del atributo Company de los
metadatos del proceso hijo.
Cadena de caracteres
ChildBroken El proceso hijo está corrupto o defectuoso. Booleano
ChildImageType Arquitectura interna del proceso hijo:
nEXEx32
nEXEx64
nDLLx32
nDLLx64
Enumeración
Eventos e información extendida
302 Panda Security
Eventos e información extendida
WatchGuard SIEMFeeder manual de descripción de eventos 303
Campo Descripción Valor
ChildExeType Estructura interna / tipo del proceso padre.
nDelphi
nDOTNET
nVisualC
nVB
nCBuilder
nMingw
nMssetup
nSetupfactory
nLcc32
nVc7setupproject
nUnknown
Enumeración
ChildPrevalence Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildPrevLastDay Prevalencia histórica del proceso hijo en los
sistemas de WatchGuard.
nHigh
nMedium
nLow
Enumeración
ChildCat Categoría del fichero padre que realizó la
operación registrada.
nGoodware
nMalware
nPUP
nUnknown
nMonitoring
Enumeración
ChildMWName Nombre del malware en el proceso hijo si ya
está catalogado como una amenaza. Si es
Null el elemento no es malware.
Cadena de caracteres
ParentPid Pid del proceso padre que realiza la descarga
del fichero.
Numérico
Campo Descripción Valor
MUID Identificador interno del equipo del cliente. Cadena de caracteres
TTPs Lista de las técnicas, tácticas y subtécnicas
asociadas al evento MITRE.
Cadena de caracteres
IOAIds Cuando una secuencia de eventos sigue un
patrón descrito en la matriz MITRE, el
producto de seguridad crea un indicio (IOA) y
añade su identificador a todos los eventos que
lo forman.
Numérico
TelemetryType n0: telemetría normal. El evento no
pertenece a un indicio que siga un
patrón descrito en la matriz MITRE.
n1: evento reenviado. El evento se
envió inicialmente como tipo 0
(telemetría normal), pero tiempo
después se ha detectado que
pertenece a un patrón de ataque
escrito en la matriz MITRE. El evento
se vuelve a enviar con los campos
TTPs e IOAIds completados.
n2: evento acumulado: para ahorrar
recursos, parte de la telemetría
generada en el cliente se retiene hasta
que el software de seguridad detecta
un patrón de ataque MITRE.En ese
momento se envían todos los eventos
acumulados.
Enumeración
Eventos e información extendida
304 Panda Security
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
-
26
-
27
-
28
-
29
-
30
-
31
-
32
-
33
-
34
-
35
-
36
-
37
-
38
-
39
-
40
-
41
-
42
-
43
-
44
-
45
-
46
-
47
-
48
-
49
-
50
-
51
-
52
-
53
-
54
-
55
-
56
-
57
-
58
-
59
-
60
-
61
-
62
-
63
-
64
-
65
-
66
-
67
-
68
-
69
-
70
-
71
-
72
-
73
-
74
-
75
-
76
-
77
-
78
-
79
-
80
-
81
-
82
-
83
-
84
-
85
-
86
-
87
-
88
-
89
-
90
-
91
-
92
-
93
-
94
-
95
-
96
-
97
-
98
-
99
-
100
-
101
-
102
-
103
-
104
-
105
-
106
-
107
-
108
-
109
-
110
-
111
-
112
-
113
-
114
-
115
-
116
-
117
-
118
-
119
-
120
-
121
-
122
-
123
-
124
-
125
-
126
-
127
-
128
-
129
-
130
-
131
-
132
-
133
-
134
-
135
-
136
-
137
-
138
-
139
-
140
-
141
-
142
-
143
-
144
-
145
-
146
-
147
-
148
-
149
-
150
-
151
-
152
-
153
-
154
-
155
-
156
-
157
-
158
-
159
-
160
-
161
-
162
-
163
-
164
-
165
-
166
-
167
-
168
-
169
-
170
-
171
-
172
-
173
-
174
-
175
-
176
-
177
-
178
-
179
-
180
-
181
-
182
-
183
-
184
-
185
-
186
-
187
-
188
-
189
-
190
-
191
-
192
-
193
-
194
-
195
-
196
-
197
-
198
-
199
-
200
-
201
-
202
-
203
-
204
-
205
-
206
-
207
-
208
-
209
-
210
-
211
-
212
-
213
-
214
-
215
-
216
-
217
-
218
-
219
-
220
-
221
-
222
-
223
-
224
-
225
-
226
-
227
-
228
-
229
-
230
-
231
-
232
-
233
-
234
-
235
-
236
-
237
-
238
-
239
-
240
-
241
-
242
-
243
-
244
-
245
-
246
-
247
-
248
-
249
-
250
-
251
-
252
-
253
-
254
-
255
-
256
-
257
-
258
-
259
-
260
-
261
-
262
-
263
-
264
-
265
-
266
-
267
-
268
-
269
-
270
-
271
-
272
-
273
-
274
-
275
-
276
-
277
-
278
-
279
-
280
-
281
-
282
-
283
-
284
-
285
-
286
-
287
-
288
-
289
-
290
-
291
-
292
-
293
-
294
-
295
-
296
-
297
-
298
-
299
-
300
-
301
-
302
-
303
-
304
-
305
Watchguard SIEMFeeder Event Guía del usuario
- Tipo
- Guía del usuario
Documentos relacionados
-
Watchguard XTM 2 Series (XTM 25-26) Guía de inicio rápido
-
-
-
-
-
-
