Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estimado cliente,
Host(s) involucrado(s):
Se deben validar las IP relacionadas en el log sobre las siguientes paginas autorizadas:
ciberseguridad@it-ss.co;dguerrero@it-ss.co;Investigacion@it-ss.co;htrujillo@it-ss.co
Amenazas detectadas
Virus total:
valkirye verdic:
Acciones solicitadas:
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNT0: Ticket #xxxx COLF - Alarma 1: Posible SPAM
Estimado cliente,
Conclusiones:
Recomendaciones.:
Los usuarios pueden recibir formación para identificar técnicas de ingeniería social
y correos electrónicos de phishing.
Detalle análisis:
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 2: Cambio de Hora
Estimado cliente,
Hemos detectado una alerta relacionada con el cambio de hora en servidores windows
Hostnam
Ruta Hora previa Hora nueva
e
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
LOG
Estimado cliente,
Hemos detectado una alerta relacionada con la modificación de una cuenta de usuario
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
LOG
Estimado cliente,
Hemos detectado una alerta relacionada con usuarios que realizaron 20 o más intentos de
inicios de sesión fallidos en 5 minutos por usuario, sobre varios activos
Recomendaciones:
- Se recomienda crear una política interna de bloqueo de usuarios por intentos
fallidos.
Se adjunta Excel con el detalle del evento.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con la detención en el servicio de EventLog en
máquinas Windows
Eventos(s) involucrado(s):
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
LOG
Estimado cliente,
Hemos detectado una alerta relacionada con la instalación de aplicaciones en windows
Eventos(s) involucrado(s):
Aplicació
Fecha Hostname
n
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
LOG
Nombre alerta en Kibana: COLF-SEC-INSTALACION-APLICACIONES
ASUNTO: Ticket #xxxx COLF - Alarma 7: Servicio DHCP detenido
Estimado cliente,
Hemos detectado una alerta relacionada con el stop del servicio dhcp en servidores de
windows
Eventos(s) involucrado(s):
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
LOG
Estimado cliente,
Hemos detectado una alerta relacionada con cuentas creadas en servidores de Windows
Eventos(s) involucrado(s):
Usuario
Hostnam
Usuario ejecutante Afectad
e
o
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
LOG
Estimado cliente,
Hemos detectado una alerta relacionada con cuentas eliminadas en servidores de
Windows
Eventos(s) involucrado(s):
Usuario
Hostname Usuario ejecutante
Afectado
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
LOG
Ticket #xxxx COLF - Alarma 10: Posible ataque Ransomware Deteccion de volcado
de contraseñas antivirus
Estimado cliente,
Hemos detectado una alerta relacionada con un posible ataque Ransomware, detecta una
alerta antivirus de gran relevancia que informa sobre un descargador de contraseñas
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Ticket #xxxx COLF - Alarma 11: Posible ataque Ransomware Deteccion de shell
web antivirus
Estimado cliente,
Hemos detectado una alerta relacionada con un posible ataque Ransomware Av Webshell
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Ticket #xxxx COLF - Alarma 12: Posible ataque Ransomware CobaltStrike Process
Injection
Estimado cliente,
Hemos detectado una alerta relacionada con un posible ataque Ransomware, posible
creación de amenaza remota con ciertas características que son típicas de las balizas de
Cobalt Strike
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Nombre alerta en Kibana: COLF-RAMSOMWARE-SYSMON-COBALTSTRIKE-
PROCESS-INJECTION
CORREO
Ticket #xxxx COLF - Alarma 13: Posible ataque Ransomware Sysmon Cred Dump
Tools Named Pipes
Estimado cliente,
Hemos detectado una alerta relacionada con un posible ataque Ransomware, detecta la
ejecución de herramientas de volcado de credenciales conocidas a través de conductos
con nombre específicos
- Bloquear en la red perimetral toda comunicación que tenga como origen o destino
las direcciones IP relacionadas con el malware.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
CORREO
Ticket #xxxx COLF - Alarma 14: Posible ataque Ransomware Sysmon Mal Named
Pipes
Estimado cliente,
Hemos detectado una alerta relacionada con un posible ataque Ransomware, detecta la
creación de un Pipe con nombre usado por un malware APT conocido.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
CORREO
Ticket #xxxx COLF - Alarma 15: Posible ataque Ransomware Sysmon Susp
Vssadmin Ntds Activity
Estimado cliente,
Hemos detectado una alerta relacionada con un posible ataque Ransomware, actividad
relacionada con la recuperación del hash del dominio NTDS.dit
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
CORREO
Ticket #xxxx COLF - Alarma 16: Posible ataque Ransomware Linea de comandos
Mimikatz
Estimado cliente,
Hemos detectado una alerta relacionada con un posible ataque Ransomware, detección
de argumentos de línea de comando mimikatz conocidos.
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con un posible ataque Ransomware, detecta
eventos de instalación y ejecución del servicio PsExec (servicio y Sysmon)
incidentesseguridad@colfondos.com.co
Ticket #xxxx COLF - Alarma 18: Intentos de inicio de sesión exitosos Windows
Estimado cliente,
Hemos detectado una alerta relacionada con usuarios que realizaron intentos de inicios
de sesión exitosos Windows en horarios no permitidos (7pm a 7am).
Prioridad del caso: Media
Información del evento:
Usuario Host que reporta el evento Cantidad
ISATRANSFER ASCOBOG030.colfondos.loc 22336
ISATRANSFER VTXCOBOG001.colfondos.loc 20304
CMADMIN VASCOBOG024.colfondos.loc 10550
ISATRANSFER ASCOBOG007.colfondos.loc 9508
CONSOLUSU VDCCOBOG004.colfondos.loc 4084
ADMINTRANSFER VTXCOBOG001.colfondos.loc 2555
HealthMailbox8ffd1ff VHEXCOBOG01.colfondos.loc 1189
spgranja_prd VDBCOBOG026.colfondos.loc 555
ISATRANSFER VASCOBOG031.colfondos.loc 508
ADConnectDA VDCCOBOG004.colfondos.loc 486
Acciones solicitadas:
Se solicita validar si se encuentra una actividad anormal o sospechosa en estos
accesos fuera de su horario laboral, o que no sean reconocidos o ejecutados por
los dueños de dichos usuarios.
Confirmar si los responsables de los usuarios tienen conocimiento de esta
actividad.
Confirmar si los usuarios que realizaron la conexión están autorizados para
realizar este tipo de conexiones.
Se adjunta Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Ticket #xxxx COLF - Alarma 19: Intentos de inicio de sesión exitosos Linux
Estimado cliente,
Hemos detectado una alerta relacionada con usuarios que realizaron intentos de inicios
de sesión exitosos Linux en horarios no permitidos (7pm a 7am).
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Ticket #xxxx COLF - Alarma 20: Inicio de sesión exitoso por VPN
Estimado cliente,
Hemos detectado alertas relacionadas con uno o más usuarios que realizaron inicios de
sesión exitosos a través de conexiones VPN diferentes a Colombia.
Acciones solicitadas:
- Se solicita validar si se encuentra una actividad anormal o sospechosa en
estos accesos. EJ: Accesos de usuarios no autorizados, accesos fuera de
su horario laboral, o que no sean reconocidos o ejecutados por los dueños
de dichos usuarios
- Confirmar si los responsables de los usuarios tienen conocimiento de esta
actividad.
- Confirmar si los usuarios que realizaron la conexión están autorizados para
realizar este tipo de conexiones.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Fecha y Hora IP Origen IP Destino Puerto País Origen País Destino Acción
Acciones solicitadas:
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Se adjunta EXCEL con tópicos del evento y Excel con el detalle del evento.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con
el fin de continuar con la gestión del caso o confirmar un falso positivo.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-CREACION-USUARIOS-LINUX
CORREO
Ticket #xxxx COLF - Alarma 24: Aplicaciones desinstaladas sobre servidores Linux
Estimado cliente,
Hemos detectado una alerta relacionada a desinstalación de varias aplicaciones en
servidores Linux.
Prioridad del caso: Alta.
Información del evento:
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con
el fin de continuar con la gestión del caso o confirmar un falso positivo.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Acciones solicitadas:
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Ticket #xxxx COLF - Alarma 26: Aplicaciones instaladas sobre servidores Linux
Estimado cliente,
Hemos detectado una alerta relacionada a instalación de varias aplicaciones en
servidores Linux.
Prioridad del caso: Alta.
Información del evento:
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con
el fin de continuar con la gestión del caso o confirmar un falso positivo.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-INSTALACION-APLICACIONES-LINUX
CORREO
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con
el fin de continuar con la gestión del caso o confirmar un falso positivo.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-ELIMINACION-USUARIOS-LINUX
CORREO
Acciones solicitadas:
Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con
el fin de continuar con la gestión del caso o confirmar un falso positivo.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-MODIFICACION-USUARIOS-LINUX
CORREO
Estimado cliente,
Acciones solicitadas:
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con Escaneo de Red en Linux.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Ticket #xxxx COLF - Alarma 31: Detección y modificación del servicio IPTABLES
Estimado cliente,
Hemos detectado una alerta relacionada con detección y modificación del servicio
IPTABLES
Prioridad del caso: Alta.
Información del evento:
Se adjunta EXCEL con el detalle del evento.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada a la modificación de políticas de auditoria o de
dominio en Windows.
Acciones solicitadas:
- Solicitamos validar si el evento se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada a modificación de grupos en Windows.
Usuario Acción
Fecha y Hora Hostname Usuario ejecutante Afectad
o
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con posible ataque fuerza bruta.
Usuario Cantidad
Host Cantidad
IP Cantidad
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-WIN-POSIBLE-ATAQUE-FUERZA-BRUTA
CORREO
Ticket #xxxx COLF - Alarma 35: Posible ataque fuerza bruta por IP
Estimado cliente,
Hemos detectado una alerta relacionada con posible ataque fuerza bruta por IP.
IP Cantidad
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
CORREO
Ticket #xxxx COLF - Alarma 36: Posible ataque fuerza bruta por equipo
Estimado cliente,
Hemos detectado una alerta relacionada con posible ataque fuerza bruta por equipo.
Equipo Cantidad
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
CORREO
Ticket #xxxx COLF - Alarma 38: Posible ataque DDOS
Estimado cliente,
Hemos detectado una alerta relacionada con un posible ataque DDOS
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
CORREO
Ticket #xxxx COLF - Alarma 39: Trafico detectado por el puerto 53
Estimado cliente,
Hemos detectado una alerta relacionada con Trafico detectado por el puerto 53 DNS no
autorizado
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con Registros con severidad crítica, con acción de
firma, con el subtipo “ips” y la regla Detect
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con Login fallidos, creación, eliminación y
actualización de usuarios en CyberArk
Usuario Accion IP
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Correo
Ticket #xxxx COLF - Alarma 42: Inicio de Sesion Fallido por Usuarios
Administradores
Estimado cliente,
Hemos detectado una alerta relacionada con 20 intentos de inicio de sesión en 5 minutos
por uno o varios usuarios
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con 20 intentos de inicio de sesión en 5 minutos
por uno o varios usuarios IBM
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con Creación, Eliminación o modificación de
perfiles de usuario realizada por cualquier usuario IBM
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
CORREO
Ticket #xxxx COLF - Alarma 55: Posible ataque de fuerza bruta por SSH
Estimado cliente,
Hemos detectado una alerta relacionada con posible ataque fuerza bruta por SSH con 10 o
más intentos por usuario en 5 minutos.
Cantidad
Usuario IP
Intentos
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-POSIBLE-ATAQUE-FUERZA-BRUTA-SSH-LINUX
Estimado cliente,
Hemos detectado una alerta relacionada con los usuario y equipos que naveguen a sitios
que represente un riesgo para la compañía
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con una posible caída de Internet o cambio
anormal en logs, por menos de 500 eventos en el puerto 443.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con posibles intrusos que lograron ingresar la
seguridad perimetral, eventos con criticidad critica del IPS diferentes a la acción deny y
close.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Ticket #xxxx COLF - Alarma 60: No fue posible eliminar la amenaza de un archivo
malicioso
Estimado cliente,
Hemos identificado que el agente de Antivirus de un equipo corporativo detectó un archivo
malicioso y no tuvo éxito en limpiarlo o en eliminarlo, lo cual podría a un brote de malware
con consecuencias desconocidas.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos identificado que el agente de Antivirus de un equipo corporativo detectó un
Desbordamiento de Buffer (Buffer Overflow) y no tuvo éxito en contenerlo, lo cual podría
llevar a una Denegación de Servicio (DoS) sobre el activo.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con una posible desinstalación, deshabilite el
análisis de tiempo real.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 64: Inicios de sesión fallidos en la boveda de
contraseñas
Estimado cliente,
Hemos detectado una alerta relacionada con usuarios que realizaron 20 o más intentos de
inicios de sesión fallidos en 5 minutos por usuario en la bóveda de contraseñas.
Recomendaciones:
- Se recomienda crear una política interna de bloqueo de usuarios por intentos
fallidos.
Se adjunta Excel con el detalle del evento
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Ticket #xxxx COLF - Alarma 66: Clave expuesta desde una ubicación NO autorizada
Estimado cliente,
Hemos detectado una alerta relacionada con la exposición de una contraseña desde una
ubicación NO autorizada.
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 67: Conexión exitosa desde países
no autorizados
Estimado cliente,
Hemos detectado una alerta relacionada con Conexiones exitosas desde países no
autorizados.
Acciones solicitadas:
- Se solicita validar si dichas conexiones se encuentran permitidas, de no ser así
proceder con el respectivo bloqueo.
Se adjunta archivo excel con el detalle del evento.
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co; rrivera@colfondos.com.co.
Estimado cliente,
Hemos detectado una alerta relacionada con 20 o más intentos fallidos de conexión de
red en 5 minutos.
Acciones solicitadas:
- Se solicita validar la razón por la que están fallando las conexiones de red, 20 o
más veces en 5 minutos.
- Confirmar si dichos intentos se relacionan a actividades legítimas de la
organización.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 72: Auditoria Exchange Office 365 cambio de
reglas en buzones.
CUERPO DEL CORREO:
Estimado cliente,
Hemos detectado una alerta relacionada con identificación de cambios en las reglas de
reenvío de correo y las reglas de transporte de correo.
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co; rrivera@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 73: Auditoria Exchange Office 365 cambio de
politicas en buzones
Estimado cliente,
Hemos detectado una alerta relacionada con monitoreo de los cambios en las políticas de
Exchange para correos electrónicos.
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co; rrivera@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 74: Auditoria de One Drive, actividades
relacionadas con personas externas a la organización
Estimado cliente,
Hemos detectado una alerta relacionada con actividades relacionadas con personas
externas a la organización.
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Se realiza validación de correo malicioso.
Conclusiones:
Recomendaciones:
Los usuarios pueden recibir formación para identificar técnicas de ingeniería social
y correos electrónicos de phishing.
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co; rrivera@colfondos.com.co;
Nombre en kibana: COLF-SEC-O365-ALARMA-76-EXCHANGE-CORREO-MALICIOS
ASUNTO: Ticket #xxxx COLF - Alarma 79: Fuga de datos One Drive
Estimado cliente,
*Tabla*
Acciones solicitadas:
Destinatarios:
wrojas@colfondos.com.co y rrivera@colfondos.com.co
Acciones solicitadas:
- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co y rrivera@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada a anomalías de DoS.
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 83: Posible Caída Portal Colfondos
Estimado cliente,
Hemos detectado una alerta relacionada a la disminución del umbral de los eventos
aceptados a menos de 20 en 5 minutos sobre el portal Colfondos. www.colfondos.com.co.
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada a 20 o más login fallidos de VPN en 5 minutos.
Eventos(s) involucrado(s):
Acciones solicitadas:
Se solicita validar la razón por la que están fallando los inicios de sesión 20 o más
veces en 5 minutos.
Confirmar si dichos intentos se relacionan a actividades legítimas de la
organización.
Confirmar si los responsables tienen conocimiento de esta actividad.
Lo anterior para continuar con la gestión del caso y descartar cualquier
tipo de ataque de fuerza bruta.
Recomendaciones:
Se recomienda crear una política interna de bloqueo de usuarios por
intentos fallidos (por buena práctica se debe activar al tercer intento fallido).
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Nombre Kibana: COLF-SEC-CONEXIONES-VPN-LOGIN-FALLIDO
ASUNTO: Ticket #xxxx COLF - Alarma 88: Conexiones VPN Países no autorizados
Estimado cliente,
Hemos detectado una alerta relacionada a conexiones VPN de países no autorizados.
Eventos(s) involucrado(s):
Acciones solicitadas:
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada al acceso de usuarios a categorías maliciosas
Eventos(s) involucrado(s):
Acciones solicitadas:
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 92: Posible Denegación de Servicio Portal
Colfondos
Estimado cliente,
Hemos detectado una alerta relacionada a una posible denegación de servicio al portal
Colfondos con más de 10.000 eventos en 5 minutos.
Eventos(s) involucrado(s):
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 93: Grupo Eliminado en servidores Windows
por usuarios no autorizados
Estimado cliente,
Hemos detectado una alerta relacionada a un Grupo Eliminado en servidores Windows
por usuarios no autorizados
Hostnam Grupo
Usuario ejecutante
e Eliminado
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada a la detención o borrado del registro de auditoria.
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada a la detención de los servicios de Firewall en
servidores Windows.
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada a privilegios asignados a un nuevo inicio de
sesión.
Prioridad del caso: Media
Información del evento:
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 97: Apagado o reinicio servidores Windows
Estimado cliente,
Hemos detectado una alerta relacionada con el apagado o reinicio de servidores
Windows.
Prioridad del caso: Alta
Información del evento:
Acciones solicitadas:
Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con
el fin de continuar con la gestión del caso o confirmar un falso positivo.
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con Creacion, Modificacion, Eliminacion de
objetos de servicio de directorio en Windows por usuarios no autorizados
Prioridad del caso: Alta
Información del evento:
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 99: Creación grupo seguridad Windows por
usuarios no autorizados
Estimado cliente,
Hemos detectado una alerta relacionada con Creación de grupo con seguridad Windows
por usuarios no autorizados.
Prioridad del caso: Alta
Información del evento:
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 100: Conexión desde países del exterior
CUERPO DEL CORREO:
Estimado cliente,
Hemos detectado una alerta relacionada con conexiones desde el exterior.
Prioridad del caso: Alta
Información del evento:
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con nuevo miembro en un grupo administrador.
Prioridad del caso: Alta
Información del evento:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket #xxxx COLF - Alarma 104: Equipos con eventos Critical
CUERPO DEL CORREO:
Estimado cliente,
Hemos detectado una alerta relacionada con equipos que presentan eventos Críticos a
nivel de Windows.
Acciones solicitadas:
Se adjunta archivo Excel con el detalle del evento.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Dentro de los análisis realizados en el área de Incidentes (CSIRT) (Explicación)
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co, wrojas@colfondos.com.co,
yflorez@colfondos.com.co, ccastro@colfondos.com.co
Estimado cliente,
El cliente nos reporta el evento “XXX” por lo cual se realiza la respectiva validación por
parte del área de Incidentes (CSIRT) (Explicación)
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co, wrojas@colfondos.com.co,
yflorez@colfondos.com.co, ccastro@colfondos.com.co
Estimado cliente,
***********************************************************
***********************************************************
***********************************************************
Acciones solicitadas:
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
Estimado cliente,
Host(s) involucrado(s):
Dominio Detalle
Acciones solicitadas:
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co, wrojas@colfondos.com.co,
yflorez@colfondos.com.co, ccastro@colfondos.com.co
Estimado cliente,
Hemos detectado una alerta relacionada con una anomalía estadística de comportamiento
por conteo bajo o posible desconexión de activo.
Evidencias
PTCOBOG005
Últimos 20 Días
Últimas 24 Horas
MSCOBOG003
Últimos 20 Días
Últimas 24 Horas
Cordialmente,
CSIRT IT-SS
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNTO: Ticket # XXXX - Alarma 300 COLF Login fallidos inicio de sesión ML
Estimado cliente,
Hemos detectado una alerta relacionada a anomalías en login fallidos
Se adjunta Excel con detalle del evento.
Destinatarios:
wrojas@colfondos.com.co
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alarma relacionada con anomalías sobre la cantidad de eventos
procesados por el dispositivo.
Prioridad del caso: Alta
Host(s) involucrado(s):
Acciones solicitadas:
Se solicita validar la razón por la cual se presentó el aumento o descenso de eventos del
dispositivo XXXX.
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alarma relacionada con anomalías sobre la cantidad de eventos
reportados por hostname en el índice auditbeat
Prioridad del caso: Alta
Host(s) involucrado(s):
Acciones solicitadas:
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alarma relacionada con anomalías sobre la cantidad de eventos
reportados por hostname en el índice winlogbeat
Prioridad del caso: Alta
Host(s) involucrado(s):
Acciones solicitadas:
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co
incidentesseguridad@colfondos.com.co
Estimado cliente,
Hemos detectado una alarma relacionada con anomalías sobre la cantidad de eventos
reportados por hostname en el índice filebeat
Prioridad del caso: Alta
Host(s) involucrado(s):
Acciones solicitadas:
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co
incidentesseguridad@colfondos.com.co