Guias de Gestion de Eventos COLF

ASUNT0: Ticket #xxxx COLF - Alarma 00: Alerta IOC
Estimado cliente,
Hemos detectado una alerta referente a IOC
Prioridad del caso: Alta
Host(s) involucrado(s):
Fecha y Hora IP Origen IP destino Acción Categoría

Se deben validar las IP relacionadas en el log sobre las siguientes paginas autorizadas:
 Virus Total: https://www.virustotal.com/gui/home/search

 Talos Intelligence: https://talosintelligence.com/
 IBM XForce: https://exchange.xforce.ibmcloud.com/
Nota: si no está catalogada como maliciosa en por lo menos 2 sitios no se debe
reportar al cliente (en virus total debe estar en más de 2 analizadores para tenerse
en cuenta)
De no encontrarse reportes negativos sobre los analizadores se deberá reenviar la alerta

a los siguientes contactos relacionando que la IP no está catalogada como maliciosa, sin
generar ticket:
ciberseguridad@it-ss.co;dguerrero@it-ss.co;Investigacion@it-ss.co;htrujillo@it-ss.co
De encontrarse reportadas por los analizadores con malware se procederá a realizar el

análisis y reporte al cliente relacionado a continuación.
 Mi IP: https://www.cual-es-mi-ip.net/geolocalizar-ip-mapa (de esta se

valida la geolocalización y el ISP)
Pegar pantallazos donde se evidencia que es una amenaza.

Hallazgos:
Dentro de los hallazgos se encontraron conexiones de la compañía a los siguientes tipos

de amenazas
La IP 204.79.197.200 es una dirección que contacta el malware, sin embargo, esta no
presenta actividad maliciosa de acuerdo a la información ofrecida por Talos Intelligence, la
misma puede ser consultada en el siguiente enlace:
https://blog.talosintelligence.com/2020/07/threat-roundup-0724-0731.html . No obstante,
se verificó un segundo análisis de dicha IP donde se puede ver la relación de la misma
con Ursnif: https://reaqta.com/2018/11/ursnif-reloaded-tracing-latest-campaigns/
La dirección 205.185.216.10 es una IP propiedad de StachPath la cual corresponde a la

red de entrega de contenido de High Winds, estos entregan contenido para Valve,
Facebook LiveRail, BlipTV, Hudl y otros servicios de contenido publicitario; de acuerdo a
la siguiente información (https://docs.microsoft.com/en-us/windows/privacy/windows-
endpoints-1709-non-enterprise-editions) .Se puede observar que Microsoft utiliza dicho
servicio para actualizaciones de Windows en sus ediciones no Enterprise. Por otro lado,
de acuerdo a la evaluación revisada durante la reunión ( Maltiverse) esta dirección estaría
siendo utilizada para distribuir diferentes muestras de malware
https://maltiverse.com/ip/205.185.216.10
Amenazas detectadas
Virus total:
 IP 205.185.216.10: Esta ip no coincide con ninguna base de datos de malware de

virus total, no se clasifica en ocho bases de datos.
 IP 204.79.197.200: Esta ip coincide con la base de datos ESTsecurity-Threat
Inside, y está relacionada con malware.
valkirye verdic:
 IP 204.79.197.200: En su historia reputacional esta ip está relacionada con

malware, drop, Compromised Host, teniendo una puntuación de 100; cataloga
como una ip maliciosa la cual debería ser bloqueada y agregada a la lista negra de
la organización.
 IP 205.185.216.10: En su historia reputacional esta ip está relacionada con
software malicioso, Spyware y Botnet; cataloga como una ip maliciosa la cual
debería ser bloqueada y agregada a la lista negra de la organización.
Showmyip:
IP C o untry C ity Re g io n ISP Org Lat it ud e Lo ng itud e
Microsoft Microsoft
204.79.197.200 United States New York New York 407.128 -74.006
Corporation Corporation
Highwinds Network Highwinds Network
205.185.216.10 United Kingdom London England 515.074 -0.127758
Group, Inc. Group, Inc
Se adjunta Excel con el detalle del log.
Acciones solicitadas:
 Se solicita validar si las conexiones presentadas se encuentran autorizadas dentro

de lo establecido por la organización.
 En cuanto a las afectaciones, se recomienda realizar el bloqueo de estas

direcciones, debido a que las mismas podrían estar relacionadas con malware, sin
embargo, en el caso de las actualizaciones de Windows, no se verían afectadas
considerando que en entornos corporativos las mismas son manejadas por un
Wsus para mayor control y evitar impactos negativos en el tráfico de red durante el
proceso de descarga de updates.
Agradecemos su atención y colaboración.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co
ASUNT0: Ticket #xxxx COLF - Alarma 1: Posible SPAM
Estimado cliente,
Case # XXX - COLF - Posible SPAM
Conclusiones:
No se encuentra asociados eventos maliciosos sin embargo la IP de origen no está

autorizada por Google para enviar correos.
Recomendaciones.:
 Los usuarios pueden recibir formación para identificar técnicas de ingeniería social
y correos electrónicos de phishing.
 Determine si ciertos sitios web o tipos de archivos adjuntos (p. Ej.,

Scr, .exe, .pif, .cpl, etc.) que pueden usarse para phishing son necesarios para
operaciones comerciales y considere bloquear el acceso si la actividad no se
puede monitorear bien o si plantea un riesgo significativo.
 Los sistemas de prevención de intrusiones en la red y los sistemas diseñados para

escanear y eliminar archivos adjuntos o enlaces de correo electrónico maliciosos
pueden usarse para bloquear la actividad.
 El antivirus puede poner en cuarentena automáticamente los archivos

sospechosos.
 Activar filtro SPF
Detalle análisis:
Se debe adjuntar la evidencia del análisis y la descripción del mismo, ejm:

Cordialmente,
Destinatarios:
ASUNTO: Ticket #xxxx COLF - Alarma 2: Cambio de Hora
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con el cambio de hora en servidores windows
Prioridad del caso: Baja

Información del evento:
Hostnam
Ruta Hora previa Hora nueva
e


 Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con

el fin de continuar con la gestión del caso o confirmar un falso positivo.

Se adjunta archivo Excel con el detalle del evento.


Cordialmente,
Destinatarios:
LOG
Nombre alerta en Kibana: COLF-SEC-WIN-CAMBIO-HORA

ASUNTO: Ticket #xxxx COLF - Alarma 3: Modificación de Usuarios
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con la modificación de una cuenta de usuario

Hostnam Usuario Modificación

Usuario ejecutante
e Afectado realizada






Cordialmente,
Destinatarios:
LOG
Nombre alerta en Kibana: COLF-SEC-WIN-MODIFICACION-USUARIOS

ASUNTO: Ticket #xxxx COLF - Alarma 4: Intentos de inicio de sesion fallidos
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con usuarios que realizaron 20 o más intentos de
inicios de sesión fallidos en 5 minutos por usuario, sobre varios activos
Prioridad del caso: Media

Host que reporta el

Usuario Cantidad
evento
admjobsql AF0104009 23
admjobsql HOSTINGDESA 23


- Se solicita validar la razón por la que están fallando los inicios de sesión 20 o más
veces en 5 minutos.
- Confirmar si dichos intentos se relacionan a actividades legítimas de la
organización.
- Confirmar si los responsables de los equipos tienen conocimiento de esta
actividad.
Lo anterior para continuar con la gestión del caso y descartar cualquier

tipo de ataque de fuerza bruta.
Recomendaciones:

- Se recomienda crear una política interna de bloqueo de usuarios por intentos
fallidos.

Se adjunta Excel con el detalle del evento.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-WIN-LOGIN-FAILED

LOG
ASUNTO: Ticket #xxxx COLF - Alarma 5: Eventlog Detenido
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con la detención en el servicio de EventLog en
máquinas Windows
Eventos(s) involucrado(s):
Fecha Hostname Accion






Cordialmente,
Destinatarios:
LOG
Nombre alerta en Kibana: COLF-SEC-EVENTLOG-DETENIDO

ASUNTO: Ticket #xxxx COLF - Alarma 6: Aplicacion instalada
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con la instalación de aplicaciones en windows
Aplicació
Fecha Hostname
n






Cordialmente,
Destinatarios:
LOG
Nombre alerta en Kibana: COLF-SEC-INSTALACION-APLICACIONES
ASUNTO: Ticket #xxxx COLF - Alarma 7: Servicio DHCP detenido
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con el stop del servicio dhcp en servidores de
windows
Fecha Hostname Usuario






Cordialmente,
Destinatarios:
LOG
Nombre alerta en Kibana: COLF-SEC-SERVICIO-DHCP-DETENIDO
ASUNTO: Ticket #xxxx COLF - Alarma 8: Creacion de Usuarios
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con cuentas creadas en servidores de Windows
Usuario
Hostnam
Usuario ejecutante Afectad
e
o






Cordialmente,
Destinatarios:
LOG
Nombre alerta en Kibana: COLF-SEC-CREACION-USUARIOS
ASUNTO: Ticket #xxxx COLF - Alarma 9: Eliminacion de Usuarios
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con cuentas eliminadas en servidores de
Windows
Usuario
Hostname Usuario ejecutante
Afectado






Cordialmente,
Destinatarios:
LOG
Nombre alerta en Kibana: COLF-SEC-ELIMINACION-USUARIOS
Ticket #xxxx COLF - Alarma 10: Posible ataque Ransomware Deteccion de volcado
de contraseñas antivirus
Estimado cliente,

Hemos detectado una alerta relacionada con un posible ataque Ransomware, detecta una
alerta antivirus de gran relevancia que informa sobre un descargador de contraseñas
Prioridad del caso: Critica.

- Aislar el equipo de la red de datos de la organización.

- Bloquear en la red perimetral toda comunicación que tenga como origen o destino
las direcciones IP relacionadas con el malware.
Se adjunta archivo excel con el detalle del evento
Agradecemos su atención y colaboración
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-RAMSOMWARE-AV-PASSWORD-DUMPER

CORREO
Ticket #xxxx COLF - Alarma 11: Posible ataque Ransomware Deteccion de shell
web antivirus
Estimado cliente,

Hemos detectado una alerta relacionada con un posible ataque Ransomware Av Webshell


Se adjunta archivo Excel con el detalle del evento
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-RAMSOMWARE-AV-WEBSHELL

CORREO
Ticket #xxxx COLF - Alarma 12: Posible ataque Ransomware CobaltStrike Process
Injection
Estimado cliente,

Hemos detectado una alerta relacionada con un posible ataque Ransomware, posible
creación de amenaza remota con ciertas características que son típicas de las balizas de
Cobalt Strike


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-RAMSOMWARE-SYSMON-COBALTSTRIKE-
PROCESS-INJECTION
CORREO
Ticket #xxxx COLF - Alarma 13: Posible ataque Ransomware Sysmon Cred Dump
Tools Named Pipes
Estimado cliente,

Hemos detectado una alerta relacionada con un posible ataque Ransomware, detecta la
ejecución de herramientas de volcado de credenciales conocidas a través de conductos
con nombre específicos

Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-RAMSOMWARE-SYSMON-CRED-DUMP-TOOLS-

NAMED-PIPES
CORREO
Ticket #xxxx COLF - Alarma 14: Posible ataque Ransomware Sysmon Mal Named
Pipes
Estimado cliente,

Hemos detectado una alerta relacionada con un posible ataque Ransomware, detecta la
creación de un Pipe con nombre usado por un malware APT conocido.


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-RAMSOMWARE-SYSMON-MAL-NAMEDPIPES
CORREO
Ticket #xxxx COLF - Alarma 15: Posible ataque Ransomware Sysmon Susp
Vssadmin Ntds Activity
Estimado cliente,

Hemos detectado una alerta relacionada con un posible ataque Ransomware, actividad
relacionada con la recuperación del hash del dominio NTDS.dit


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-RAMSOMWARE-SYSMON-SUSP-VSSADMIN-NTDS-

ACTIVITY
CORREO
Ticket #xxxx COLF - Alarma 16: Posible ataque Ransomware Linea de comandos
Mimikatz
Estimado cliente,

Hemos detectado una alerta relacionada con un posible ataque Ransomware, detección
de argumentos de línea de comando mimikatz conocidos.



Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-RAMSOMWARE-WIN-MIMIKATZ-COMMAND-LINE

CORREO
Ticket #xxxx COLF - Alarma 17: Posible ataque Ransomware Ejecucion de la

herramienta PsExec
Estimado cliente,

Hemos detectado una alerta relacionada con un posible ataque Ransomware, detecta
eventos de instalación y ejecución del servicio PsExec (servicio y Sysmon)



Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-RAMSOMWARE-WIN-TOOL-PSEXEC

CORREO
Ticket #xxxx COLF - Alarma 18: Intentos de inicio de sesión exitosos Windows
Estimado cliente,

Hemos detectado una alerta relacionada con usuarios que realizaron intentos de inicios
de sesión exitosos Windows en horarios no permitidos (7pm a 7am).



Usuario Host que reporta el evento Cantidad
ISATRANSFER ASCOBOG030.colfondos.loc 22336
ISATRANSFER VTXCOBOG001.colfondos.loc 20304
CMADMIN VASCOBOG024.colfondos.loc 10550
ISATRANSFER ASCOBOG007.colfondos.loc 9508
CONSOLUSU VDCCOBOG004.colfondos.loc 4084
ADMINTRANSFER VTXCOBOG001.colfondos.loc 2555
HealthMailbox8ffd1ff VHEXCOBOG01.colfondos.loc 1189
spgranja_prd VDBCOBOG026.colfondos.loc 555
ISATRANSFER VASCOBOG031.colfondos.loc 508
ADConnectDA VDCCOBOG004.colfondos.loc 486


 Se solicita validar si se encuentra una actividad anormal o sospechosa en estos
accesos fuera de su horario laboral, o que no sean reconocidos o ejecutados por
los dueños de dichos usuarios.
 Confirmar si los responsables de los usuarios tienen conocimiento de esta
actividad.
 Confirmar si los usuarios que realizaron la conexión están autorizados para
realizar este tipo de conexiones.



Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-LOGIN-EXITOSOS

CORREO
Ticket #xxxx COLF - Alarma 19: Intentos de inicio de sesión exitosos Linux
Estimado cliente,
Hemos detectado una alerta relacionada con usuarios que realizaron intentos de inicios
de sesión exitosos Linux en horarios no permitidos (7pm a 7am).

Usuario Host que reporta el evento Cantidad

 Se solicita validar si se encuentra una actividad anormal o sospechosa en estos

accesos fuera de su horario laboral, o que no sean reconocidos o ejecutados por
los dueños de dichos usuarios.
 Confirmar si los responsables de los usuarios tienen conocimiento de esta
actividad.
 Confirmar si los usuarios que realizaron la conexión están autorizados para

Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-LOGIN-EXITOSOS-LINUX

CORREO
Ticket #xxxx COLF - Alarma 20: Inicio de sesión exitoso por VPN
Estimado cliente,
Hemos detectado alertas relacionadas con uno o más usuarios que realizaron inicios de
sesión exitosos a través de conexiones VPN diferentes a Colombia.
Prioridad del caso: Baja.

Usuario Acción IP Destino Grupo

190.157.73.14
ibmsecaaavpn login successfully Grp_IBM_Security
7


- Se solicita validar si se encuentra una actividad anormal o sospechosa en
estos accesos. EJ: Accesos de usuarios no autorizados, accesos fuera de
su horario laboral, o que no sean reconocidos o ejecutados por los dueños
de dichos usuarios
- Confirmar si los responsables de los usuarios tienen conocimiento de esta
actividad.
- Confirmar si los usuarios que realizaron la conexión están autorizados para


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-CONEXIONES-VPN

CORREO
Ticket #xxxx COLF - Alarma 21: Conexiones hacia puertos inseguros
Estimado cliente,
Hemos detectado conexiones realizadas hacia puertos inseguros en la organización.
Prioridad del caso: Alta.
Fecha y Hora IP Origen IP Destino Puerto País Origen País Destino Acción

- Solicitamos validar las conexiones identificadas.

- De ser necesario bloquear las IP relacionadas, no identificadas como tráfico
común.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-CONEXIONES-PUERTOS-INSEGUROS

CORREO
Ticket #xxxx COLF - Alarma 22: Conexiones de países que más generan ataques
Estimado cliente,

Hemos detectado alertas relacionadas conexiones de los países que se considera que
generan más ataques detectados.

Fecha y Hora IP Origen IP Destino País Origen País Destino Acción


- Solicitamos validar las conexiones internas.
- Se recomienda crear una política de bloqueo de tráfico desde las direcciones IPs.

Se adjunta EXCEL con tópicos del evento y Excel con el detalle del evento.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-CONEXIONES-PAISES-NO-AUTORIZADOS

CORREO
Ticket #xxxx COLF - Alarma 23: Creación de usuarios en servidores Linux

Estimado cliente,

Hemos detectado una alerta relacionada a la Creación de varios usuarios locales dentro
los servidores Linux.


Fecha y Hora Hostname Usuario Creado


- Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con
Se adjunta EXCEL con el detalle del evento.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-CREACION-USUARIOS-LINUX
CORREO
Ticket #xxxx COLF - Alarma 24: Aplicaciones desinstaladas sobre servidores Linux
Estimado cliente,

Hemos detectado una alerta relacionada a desinstalación de varias aplicaciones en
servidores Linux.


Fecha Aplicación Host Acción Ruta


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-DESINSTALACION-APLICACIONES-LINUX

CORREO
Ticket #xxxx COLF - Alarma 25: Elevación de privilegios en Servidores Linux
Estimado cliente,
Hemos detectado elevación privilegios a usuarios servidores Linux.
Fecha y Hora Hostname Acción

 Se solicita validar si la acción ejecutada fue autorizada.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-ELEVACION-PRIVILEGIOS-LINUX

CORREO
Ticket #xxxx COLF - Alarma 26: Aplicaciones instaladas sobre servidores Linux
Estimado cliente,

Hemos detectado una alerta relacionada a instalación de varias aplicaciones en
servidores Linux.


Fecha Aplicación Host Acción Ruta


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-INSTALACION-APLICACIONES-LINUX
CORREO
Ticket #xxxx COLF - Alarma 27: Eliminación de usuarios en servidores Linux

Estimado cliente,

Hemos detectado una alerta relacionada a la Eliminación de varios usuarios locales
dentro los servidores Linux.


Fecha y Hora Hostname Usuario Eliminación


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-ELIMINACION-USUARIOS-LINUX
CORREO
Ticket #xxxx COLF - Alarma 28: Modificación de usuarios en servidores Linux

Estimado cliente,

Hemos detectado una alerta relacionada a la Eliminación de varios usuarios locales
dentro los servidores Linux.


Fecha y Hora Hostname Usuario Medicación


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-MODIFICACION-USUARIOS-LINUX
CORREO
Ticket #xxxx COLF - Alarma 29: Restablecimiento de contraseña servidores Linux
Estimado cliente,
Hemos detectado intentos restablecimiento de contraseña en servidores Linux.
Pendiente Tabla a espera de eventos en Elastic
 Se solicita validar si la acción ejecutada fue autorizada.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-RESTABLECIMIENTO-CONTRASENA-LINUX

CORREO
Ticket #xxxx COLF - Alarma 30: Detección de escaneo de redes en Linux
Estimado cliente,

Hemos detectado una alerta relacionada con Escaneo de Red en Linux.



 Solicitamos validar las conexiones están permitidas por las políticas de
organización.
 De no encontrarse autorizadas se recomienda proceder con el bloqueo de dichas

IP.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-DETECCION-ESCANEO-REDES-LINUX

CORREO
Ticket #xxxx COLF - Alarma 31: Detección y modificación del servicio IPTABLES
Estimado cliente,

Hemos detectado una alerta relacionada con detección y modificación del servicio
IPTABLES




Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-LINUX-DETECCION-MODIFICACION-SERVICIO-

IPTABLES
CORREO
Ticket #xxxx COLF - Alarma 32: Modificación de políticas de auditoria o de dominio
Estimado cliente,

Hemos detectado una alerta relacionada a la modificación de políticas de auditoria o de
dominio en Windows.

HOST ACCION TIPO DE POLITICA


- Solicitamos validar si el evento se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-MODIFICACION-POLITICAS-AUDITORIA-

DOMINIO
CORREO
Ticket #xxxx COLF - Alarma 33: Modificación de grupos en Windows
Estimado cliente,

Hemos detectado una alerta relacionada a modificación de grupos en Windows.

Usuario Acción
Fecha y Hora Hostname Usuario ejecutante Afectad
o


- Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-WIN-MODIFICACION-GRUPOS

CORREO
Ticket #xxxx COLF - Alarma 34: Posible ataque fuerza bruta
Estimado cliente,

Hemos detectado una alerta relacionada con posible ataque fuerza bruta.

Usuario Cantidad

Host Cantidad

IP Cantidad


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-WIN-POSIBLE-ATAQUE-FUERZA-BRUTA
CORREO
Ticket #xxxx COLF - Alarma 35: Posible ataque fuerza bruta por IP
Estimado cliente,

Hemos detectado una alerta relacionada con posible ataque fuerza bruta por IP.

IP (s) involucrado(s):
IP Cantidad


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-WIN-POSIBLE-ATAQUE-FUERZA-BRUTA-IP
CORREO
Ticket #xxxx COLF - Alarma 36: Posible ataque fuerza bruta por equipo
Estimado cliente,

Hemos detectado una alerta relacionada con posible ataque fuerza bruta por equipo.

Equipo Cantidad


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-WIN-POSIBLE-ATAQUE-FUERZA-BRUTA-EQUIPO

CORREO
Ticket #xxxx COLF - Alarma 37: Trafico detectado por el puerto 25

Estimado cliente,

Hemos detectado una alerta relacionada con trafico detectado por el puerto 25.
Prioridad del caso: Critica

IP IP Puerto Acción Protocolo Categori Regla Sub

Origen Destino Destino a Tipo


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-TRAFICO-PUERTO-25
CORREO
Ticket #xxxx COLF - Alarma 38: Posible ataque DDOS
Estimado cliente,

Hemos detectado una alerta relacionada con un posible ataque DDOS
Prioridad del caso:

Información del evento: Alta
Pendiente según eventos


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-DETECCION-DDOS
CORREO
Ticket #xxxx COLF - Alarma 39: Trafico detectado por el puerto 53
Estimado cliente,

Hemos detectado una alerta relacionada con Trafico detectado por el puerto 53 DNS no
autorizado

Fecha y Hora IP de Origen IP destino Acción

Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-DNS-NO-AUTORIZADO

CORREO
Ticket #xxxx COLF - Alarma 40: Eventos Criticos del IPS
Estimado cliente,

Hemos detectado una alerta relacionada con Registros con severidad crítica, con acción de
firma, con el subtipo “ips” y la regla Detect

IP ORIGEN IP DESTINO PUERTO

Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COL-SEC-DETECCION-CONEXIONES-ANOMALAS

CORREO
Ticket #xxxx COLF - Alarma 41: Monitoreo de Acciones realizadas por usuarios en
CyberArk
Estimado cliente,

Hemos detectado una alerta relacionada con Login fallidos, creación, eliminación y
actualización de usuarios en CyberArk

Usuario Accion IP

Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-CYBERARK-CONTROL-ACCESO-CAMBIOS-USUARIOS

Evento
Correo
Ticket #xxxx COLF - Alarma 42: Inicio de Sesion Fallido por Usuarios
Administradores
Estimado cliente,

Hemos detectado una alerta relacionada con 20 intentos de inicio de sesión en 5 minutos
por uno o varios usuarios

Usuario Hostname Cantidad de Intentos

Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-CYBERARK-CONTROL-ACCESO-CAMBIOS-USUARIOS

CORREO
Evento
Ticket #xxxx COLF - Alarma 43: Inicio de Sesion Fallido IBM
Estimado cliente,

Hemos detectado una alerta relacionada con 20 intentos de inicio de sesión en 5 minutos
por uno o varios usuarios IBM

Usuario Hostname Cantidad de Intentos


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-LOGIN-FAILED-IBM-I

CORREO
Ticket #xxxx COLF - Alarma 44: Creacion, Eliminacion o modificacion de perfiles de

usuario realizada por cualquier usuario IBM
Estimado cliente,

Hemos detectado una alerta relacionada con Creación, Eliminación o modificación de
perfiles de usuario realizada por cualquier usuario IBM

IP USUARIO ACCION PERFIL DE

USUARIO

Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-CREACION-MODIFICACION-ELIMINACION-USUARIOS-

IBM-I
CORREO
Ticket #xxxx COLF - Alarma 55: Posible ataque de fuerza bruta por SSH
Estimado cliente,

Hemos detectado una alerta relacionada con posible ataque fuerza bruta por SSH con 10 o
más intentos por usuario en 5 minutos.

Cantidad
Usuario IP
Intentos


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-POSIBLE-ATAQUE-FUERZA-BRUTA-SSH-LINUX
Ticket #xxxx COLF - Alarma 56: Navegacion de Riesgo
Estimado cliente,

Hemos detectado una alerta relacionada con los usuario y equipos que naveguen a sitios
que represente un riesgo para la compañía

Tabla


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-NAVEGACION-RIESGO-PERMITIDA-FORTINET
Ticket #xxxx COLF - Alarma 57: Caida de internet
Estimado cliente,

Hemos detectado una alerta relacionada con una posible caída de Internet o cambio
anormal en logs, por menos de 500 eventos en el puerto 443.

Imagen evento


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-CAIDA-INTERNET
Ticket #xxxx COLF - Alarma 58: Eventos criticos de IPS
Estimado cliente,

Hemos detectado una alerta relacionada con posibles intrusos que lograron ingresar la
seguridad perimetral, eventos con criticidad critica del IPS diferentes a la acción deny y
close.

Tabla



Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-EVENTOS-CRITICOS-IPS
Ticket #xxxx COLF - Alarma 60: No fue posible eliminar la amenaza de un archivo
malicioso
Estimado cliente,

Hemos identificado que el agente de Antivirus de un equipo corporativo detectó un archivo
malicioso y no tuvo éxito en limpiarlo o en eliminarlo, lo cual podría a un brote de malware
con consecuencias desconocidas.

Tabla


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-MCAFEE-ARCHIVO-MALICIOSO

Ticket #xxxx COLF - Alarma 61: No fue posible contener un Desbordamiento de
Buffer
Estimado cliente,

Hemos identificado que el agente de Antivirus de un equipo corporativo detectó un
Desbordamiento de Buffer (Buffer Overflow) y no tuvo éxito en contenerlo, lo cual podría
llevar a una Denegación de Servicio (DoS) sobre el activo.

Tabla


Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-MCAFEE-DESBORDAMIENTO-BUFFER
Ticket #xxxx COLF - Alarma 62: Se deshabilito el analisis del ATP
Estimado cliente,

Hemos detectado una alerta relacionada con una posible desinstalación, deshabilite el
análisis de tiempo real.

Tabla



Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-MCAFEE-ANALISIS-TIEMPO-REAL-DESHABILITADO
ASUNTO: Ticket #xxxx COLF - Alarma 64: Inicios de sesión fallidos en la boveda de
contraseñas
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con usuarios que realizaron 20 o más intentos de
inicios de sesión fallidos en 5 minutos por usuario en la bóveda de contraseñas.

Host que reporta el

Usuario Cantidad
evento
admjobsql HOSTINGDESA 23


- Se solicita validar la razón por la que están fallando los inicios de sesión 20 o más
veces en 5 minutos.
organización.
- Confirmar si los responsables de los equipos tienen conocimiento de esta
actividad.

Recomendaciones:

- Se recomienda crear una política interna de bloqueo de usuarios por intentos
fallidos.

Se adjunta Excel con el detalle del evento
Cordialmente,
Destinatarios:
Ticket #xxxx COLF - Alarma 66: Clave expuesta desde una ubicación NO autorizada
Estimado cliente,

Hemos detectado una alerta relacionada con la exposición de una contraseña desde una
ubicación NO autorizada.

Usuario Origen Usuario Destino Accion Archivo

Cordialmente,
Destinatarios:
ASUNTO: Ticket #xxxx COLF - Alarma 67: Conexión exitosa desde países
no autorizados
Estimado cliente,

Hemos detectado una alerta relacionada con Conexiones exitosas desde países no
autorizados.

Usuario(s) involucrado(s):
Fecha y Hora Usuario Puerto IP Origen IP Destino País Origen


- Se solicita validar si dichas conexiones se encuentran permitidas, de no ser así
proceder con el respectivo bloqueo.

Se adjunta archivo excel con el detalle del evento.
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co; rrivera@colfondos.com.co.
Nombre en Kibana: COLF-SEC-CISE-CONEXIONES-PAISES-NO-AUTORIZADOS
ASUNTO: Ticket #xxxx COLF - Alarma 68: Demasiados intentos fallidos

de conexión de red
Estimado cliente,

Hemos detectado una alerta relacionada con 20 o más intentos fallidos de conexión de
red en 5 minutos.
Prioridad del caso: Media.

Fecha y Hora Usuario Puerto Acción ID


- Se solicita validar la razón por la que están fallando las conexiones de red, 20 o
más veces en 5 minutos.
organización.
Se adjunta archivo excel con el detalle del evento.
Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-CISE-LOGIN-FALLIDOS
ASUNTO: Ticket #xxxx COLF - Alarma 72: Auditoria Exchange Office 365 cambio de
reglas en buzones.
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con identificación de cambios en las reglas de
reenvío de correo y las reglas de transporte de correo.

Fecha Hostname Usuario Acción






Cordialmente,
Destinatarios:
wrojas@colfondos.com.co; rrivera@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-O365-AUDITORIA-CAMBIO-DE-REGLAS-EN-

BUZONES.
ASUNTO: Ticket #xxxx COLF - Alarma 73: Auditoria Exchange Office 365 cambio de
politicas en buzones
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con monitoreo de los cambios en las políticas de
Exchange para correos electrónicos.







Cordialmente,
Destinatarios:
wrojas@colfondos.com.co; rrivera@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-O365-AUDITORIA-CAMBIO-DE-POLITICAS-EN-

BUZONE
ASUNTO: Ticket #xxxx COLF - Alarma 74: Auditoria de One Drive, actividades
relacionadas con personas externas a la organización
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con actividades relacionadas con personas
externas a la organización.







Cordialmente,
Destinatarios:
Nombre alerta en Kibana: COLF-SEC-O365-AUDITORIA-ONE-DRIVE-PERSONAS-

EXTERNA.
ASUNTO: Ticket #xxxx COLF - Alarma 76: Correo Malicioso
Estimado cliente,

Se realiza validación de correo malicioso.
Conclusiones:
No se encuentra asociados eventos maliciosos sin embargo la IP de origen no está

autorizada por Google para enviar correos.
Recomendaciones:
 Los usuarios pueden recibir formación para identificar técnicas de ingeniería social
y correos electrónicos de phishing.
 Determine si ciertos sitios web o tipos de archivos adjuntos (p. Ej.,

Scr, .exe, .pif, .cpl, etc.) que pueden usarse para phishing son necesarios para
operaciones comerciales y considere bloquear el acceso si la actividad no se
puede monitorear bien o si plantea un riesgo significativo.
 Los sistemas de prevención de intrusiones en la red y los sistemas diseñados para

escanear y eliminar archivos adjuntos o enlaces de correo electrónico maliciosos
pueden usarse para bloquear la actividad.
 El antivirus puede poner en cuarentena automáticamente los archivos

sospechosos.
 Activar filtro SPF
Se adjunta documento pdf con detalle del análisis.

Se debe adjuntar de manera organizada la evidencia del análisis y la descripción del
mismo, ejm:
Cordialmente,
Destinatarios:
wrojas@colfondos.com.co; rrivera@colfondos.com.co;
Nombre en kibana: COLF-SEC-O365-ALARMA-76-EXCHANGE-CORREO-MALICIOS
ASUNTO: Ticket #xxxx COLF - Alarma 79: Fuga de datos One Drive
Estimado cliente,
Hemos detectado que usuarios externos a la organización accedieron a documentos

sensibles.
*Tabla*
 Solicitamos validar si se trata de una actividad autorizada o si él/los usuarios

involucrados están cometiendo una infracción.


Cordialmente,
Destinatarios:
wrojas@colfondos.com.co y rrivera@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-O365-ALARMA-79-FUGA-DATOS-ONE-DRIVE
ASUNTO: Ticket #xxxx COLF - Alarma 80: Ataques de fuerza bruta

Estimado cliente,

Hemos detectado una alerta relacionada con ataque de fuerza bruta por usuario.

Usuario Acción País Cantidad


Cordialmente,
Destinatarios:
wrojas@colfondos.com.co y rrivera@colfondos.com.co
Nombre alerta en Kibana: COLF-SEC-O365-ALARMA-80-ATAQUE-DE-FUERZA-

BRUTA-USUARIO
ASUNTO: Ticket #xxxx COLF - Alarma 82: Detección de anomalías DoS
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada a anomalías de DoS.

Fecha y Hora IP Origen IP Destino Puerto País Acción Severidad


 Solicitamos validar si lo anterior se relaciona a una actividad autorizada.
 Se recomienda el bloqueo de todo tráfico que tenga como origen las direcciones IP
reportadas.


Cordialmente,
Destinatarios:
Nombre en kibana: COLF-SEC-ALARMA-82-ANOMALIAS-DOS
ASUNTO: Ticket #xxxx COLF - Alarma 83: Posible Caída Portal Colfondos
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada a la disminución del umbral de los eventos
aceptados a menos de 20 en 5 minutos sobre el portal Colfondos. www.colfondos.com.co.

Fecha y Hora Acción IP Origen IP Destino Pais




Cordialmente,
Destinatarios:
Nombre en Kibana: COLF-SEC-ALARMA-83-POSIBLE-CAIDA-PORTAL-COLFONDOS
ASUNTO: Ticket #xxxx COLF - Alarma 87: Login fallido VPN
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada a 20 o más login fallidos de VPN en 5 minutos.
Fecha y Hora Usuario IP Origen Acción Host


 Se solicita validar la razón por la que están fallando los inicios de sesión 20 o más
veces en 5 minutos.
 Confirmar si dichos intentos se relacionan a actividades legítimas de la
organización.
 Confirmar si los responsables tienen conocimiento de esta actividad.


Recomendaciones:
 Se recomienda crear una política interna de bloqueo de usuarios por
intentos fallidos (por buena práctica se debe activar al tercer intento fallido).



Cordialmente,
Destinatarios:
Nombre Kibana: COLF-SEC-CONEXIONES-VPN-LOGIN-FALLIDO
ASUNTO: Ticket #xxxx COLF - Alarma 88: Conexiones VPN Países no autorizados
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada a conexiones VPN de países no autorizados.
Fecha y Hora Usuario País IP Origen Host

 Solicitamos realizar el bloqueo de la conexión realizada.


Cordialmente,
Destinatarios:
Nombre Kibana: COLF-SEC-CONEXIONES-VPN-PAISES-NO-AUTORIZADOS

ASUNTO: Ticket #xxxx COLF - Alarma 89: Acceso de usuarios a categorías
maliciosas
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada al acceso de usuarios a categorías maliciosas
Prioridad del caso: Baja
Fecha y Hora Usuario Acción Ruta


 Solicitamos validar si lo anterior se relaciona a una actividad autorizada, de lo

contrario se solicita bloquear dichas conexiones.
 Se recomienda ajustar políticas de bloqueo.


Cordialmente,
Destinatarios:
ASUNTO: Ticket #xxxx COLF - Alarma 92: Posible Denegación de Servicio Portal
Colfondos
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada a una posible denegación de servicio al portal
Colfondos con más de 10.000 eventos en 5 minutos.
Fecha y Hora Usuario Acción IP Origen País Origen IP Destino


 Se recomienda el bloqueo del tráfico que tenga como origen las direcciones IP
reportadas.


Cordialmente,
Destinatarios:
Nombre Kibana: COLF-SEC-ALARMA-92-POSIBLE-DENEGACION-SERVICIO-PORTAL-COLFONDOS
ASUNTO: Ticket #xxxx COLF - Alarma 93: Grupo Eliminado en servidores Windows
por usuarios no autorizados
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada a un Grupo Eliminado en servidores Windows
por usuarios no autorizados

Hostnam Grupo
Usuario ejecutante
e Eliminado






Cordialmente,
Destinatarios:
Nombre kibana: COLF-ALARMA-93-GRUPO-ELIMINADO-SRV-WINDOWS-POR-USUARIOS-

NO-AUTORIZADOS
ASUNTO: Ticket #xxxx COLF - Alarma 94: Detención y eliminación registros de

auditoria Windows
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada a la detención o borrado del registro de auditoria.

Fecha y Hora Hostname Event Id Evento






Cordialmente,
Destinatarios:
Nombre kibana: COLF-ALARMA-94-DETENCION-ELIMINACION-REGISTROS-AUDITORIA-

WINDOWS
ASUNTO: Ticket #xxxx COLF - Alarma 95: Servicio FW Detenido servidores
Windows
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada a la detención de los servicios de Firewall en
servidores Windows.

Fecha y Hora Hostname






Cordialmente,
Destinatarios:
Nombre kibana: COLF-ALARMA-95-SERVICIO-FW-DETENIDO-SERVIDORES-WINDOWS
ASUNTO: Ticket #xxxx COLF - Alarma 96: Elevación privilegios a usuarios

servidores Windows
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada a privilegios asignados a un nuevo inicio de
sesión.

Fecha y Hora Usuario Host Acción






Cordialmente,
Destinatarios:
Nombre kibana: COLF-ALARMA-96-ELEVACION-PRIVILEGIOS-A-USUARIOS-SERVIDORES-

WINDOWS
ASUNTO: Ticket #xxxx COLF - Alarma 97: Apagado o reinicio servidores Windows
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con el apagado o reinicio de servidores
Windows.

Fecha y Hora Hostname Usuario Acción





Cordialmente,
Destinatarios:
Nombre kibana: COLF-ALARMA-97-APAGADO-REINICIO-SERVIDORES-WINDOWS
ASUNTO: Ticket #xxxx COLF - Alarma 98: Creacion, Modificacion, Eliminacion de

objetos de servicio de directorio en Windows por usuarios no autorizados
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con Creacion, Modificacion, Eliminacion de
objetos de servicio de directorio en Windows por usuarios no autorizados

Fecha y Hora Hostname Usuario Acción






Cordialmente,
Destinatarios:
Nombre kibana: COLF-ALARMA-98-CREACION-MODIFICACION-ELIMINACION-OBJETOS-

DE-SERVICIO-DA-WINDOWS-USUARIOS-NO-AUTORIZADOS
ASUNTO: Ticket #xxxx COLF - Alarma 99: Creación grupo seguridad Windows por
usuarios no autorizados
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con Creación de grupo con seguridad Windows
por usuarios no autorizados.

Fecha y Hora Hostname Usuario Grupo






Cordialmente,
Destinatarios:
Nombre kibana: COLF-ALARMA-99-CREACION-GRUPO-SEGURIDAD-WINDOWS-

USUARIOS-NO-AUTORIZADOS
ASUNTO: Ticket #xxxx COLF - Alarma 100: Conexión desde países del exterior
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con conexiones desde el exterior.

Fecha y Hora Usuario País IP Origen






Cordialmente,
Destinatarios:
Nombre kibana: COLF-SEC-O365-ALARMA-100-CONEXIONES-DESDE-EL-EXTERIOR
ASUNTO: Ticket #xxxx COLF - Alarma 102: Nuevo miembro en un grupo

administradores
CUERPO DEL CORREO:
Estimado cliente,

Hemos detectado una alerta relacionada con nuevo miembro en un grupo administrador.

Fecha y Hora Usuario País IP Origen






Cordialmente,
Destinatarios:
Nombre kibana: COLF-SEC-O365-ALARMA-102-NUEVO-MIEMBRO-A-GRUPO
ASUNTO: Ticket #xxxx COLF - Alarma 104: Equipos con eventos Critical
CUERPO DEL CORREO:
Estimado cliente,
Hemos detectado una alerta relacionada con equipos que presentan eventos Críticos a
nivel de Windows.

Fecha y Hora Hostname Detalle Evento


 Solicitamos validar los equipos en mención e identificar a que se debe que

presenten eventos indicados.
 De igual manera se recomienda corregir las fallas detectadas para minimizar el
riesgo de explotación de vulnerabilidades.



Cordialmente,
Destinatarios:
Nombre kibana: COLF-SEC-ALARMA-104-EQUIPOS-EVENTOS-CRITICAL
Ticket #xxxx COLF - Alarma 250: Alerta Detección SOC
Estimado cliente,

Dentro de los análisis realizados en el área de Incidentes (CSIRT) (Explicación)

Conclusiones y Recomendaciones:

(Explicación)
Se adjunta PDF con el detalle del evento.
Cordialmente,
Destinatarios:
incidentesseguridad@colfondos.com.co, wrojas@colfondos.com.co,
yflorez@colfondos.com.co, ccastro@colfondos.com.co
Ticket #xxxx COLF - Alarma 251: Alerta Detección CLIENTE
Estimado cliente,

El cliente nos reporta el evento “XXX” por lo cual se realiza la respectiva validación por
parte del área de Incidentes (CSIRT) (Explicación)

Conclusiones y Recomendaciones:

(Explicación)
Se adjunta PDF con el detalle del evento.
Cordialmente,
Destinatarios:
ASUNTO: Ticket #xxxx COLF - Alarma 253: Escaneo de Puertos
Estimado cliente,
Hemos detectado un evento relacionado con escaneo de puertos debido a que

una ip de origen intenta conectarse a más de 50 puertos de una misma ip destino.
A continuación, se relaciona una gráfica en la cual se evidencia el incremento de

eventos en este momento:
***********************************************************
Al realizar la validación de los eventos se puede identificar que la ip de origen es

xxx.xxx.xxx.xxx y que las conexiones se encuentran en estado xxxxxx hacia la ip
de destino xxx.xxx.xxx.xxx, tal como se evidencia en las siguientes gráficas:
***********************************************************
A continuación, se relaciona grafica donde relacionan algunos de los puertos de

destino:
***********************************************************
Se lleva a cabo la validación de la ip de origen xxx.xxx.xxx.xxx sobre diferentes

motores de búsqueda para determinar si se encuentra en listas negras
encontrando que corresponde a al país de xxxxxxxx con ISP xxxxxxxxxxxxxxx.
Encontrando los siguientes hallazgos:
***********************************************************
- Solicitamos validar si la ip involucrada está autorizado por la compañía para

realizar dichas conexiones, de lo contrario se requiere proceder con el bloqueo.
Cordialmente,
Destinatarios:
ASUNT0: Ticket #xxxx COLF Alarma 254: Suplantación de Dominio
Estimado cliente,
Se ha detectado un dominio que se encuentra suplantando la identidad de xxx. El

dominio está identificado como: xxxxxxxxxxx.
Dominio Detalle
 Se recomienda validar si dicho dominio se encuentra autorizado por alguna

tarea interna de la compañía, de ser así por favor notificarlo lo antes posible
para poder tomar las acciones necesarias.
Recuerde que, en caso de presentar alguna inquietud o comentario, puede
contactarse con nuestro equipo de trabajo el cual le brindará la mejor solución.
“IT Security Services SAS, un aliado experto en Seguridad de la Información

y Ciberseguridad.”
Cordialmente,
Destinatarios:
ASUNTO: Ticket #XXXX COLF - Alarma 260: Machine Learning
Estimado cliente,

Hemos detectado una alerta relacionada con una anomalía estadística de comportamiento
por conteo bajo o posible desconexión de activo.

Activo Criticida Ambiente Calificació Calificació Severida

n n
d estadística estadística d
Típica actual
PTCOBOG005 Critico Producción 1633.6 0 81
MSCOBOG00
Critico Producción 11000 0 92
3

Acciones solicitadas y conclusiones:

- Se solicita validar la razón por la que están posiblemente desconectados los
activos.
- Confirmar si los responsables de los Activos tienen conocimiento de esta actividad.
- Se recomienda validar la disminución de eventos.
Evidencias
PTCOBOG005
Últimos 20 Días
Últimas 24 Horas
MSCOBOG003
Últimos 20 Días
Últimas 24 Horas
Cordialmente,
CSIRT IT-SS
Destinatarios:
ASUNTO: Ticket # XXXX - Alarma 300 COLF Login fallidos inicio de sesión ML
Estimado cliente,

Hemos detectado una alerta relacionada a anomalías en login fallidos

USUARIO HOSTNAME IP CANTIDAD DE INTENTOS FALLIDOS


 Se solicita validar la razón por la que están fallando los inicios de sesión de los
usuarios
 Confirmar si dichos intentos se relacionan a actividades legítimas de la
organización.
 Confirmar si los responsables de los equipos tienen conocimiento de esta
actividad.




Cordialmente,
Destinatarios:
wrojas@colfondos.com.co
ASUNTO: Ticket #xxxx - Alarma 302 COLF - Conexión de usuarios al sistema ML

Estimado cliente,

Hemos detectado eventos relacionados con conexión de usuarios anómalos.



USUARIO IP HOSTNAME CANTIDAD DE LOGIN
Al no ser acciones recurrentes, Machine Learning lo ha encontrado como una

acción anómalas.


 Solicitamos validar si los usuarios son permitidos para la operación.
 Confirmar si las conexiones son legítimas de la compañía.

Se adjunta Excel con detalle del evento.

Cordialmente,
Destinatarios:
ASUNTO: Ticket #xxxx - Alarma 318 COLF - Detección de anomalías de eventos

procesados FW - ML
Estimado cliente,

Hemos detectado una alarma relacionada con anomalías sobre la cantidad de eventos
procesados por el dispositivo.


Indicar el dispositivo involucrado y la anomalía.
Al no ser acciones recurrentes, Machine Learning lo ha encontrado como una acción

anómala.
Se solicita validar la razón por la cual se presentó el aumento o descenso de eventos del
dispositivo XXXX.
Cordialmente,
Destinatarios:

procesados auditbeat
Estimado cliente,

reportados por hostname en el índice auditbeat



anómala.
Se solicita validar la razón por la cual se presentó el aumento o descenso de eventos en

el índice auditbeat.
Cordialmente,
Destinatarios:

procesados winlogbeat
Estimado cliente,

reportados por hostname en el índice winlogbeat



anómala.

el índice winlogbeat.
Cordialmente,
Destinatarios:

procesados filebeat
Estimado cliente,

reportados por hostname en el índice filebeat



anómala.

el índice filebeat.

Cordialmente,
Destinatarios:

Guias de Gestion de Eventos COLF

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guias de Gestion de Eventos COLF

Cargado por

Copyright:

Formatos disponibles

ASUNT0: Ticket #xxxx COLF - Alarma 00: Alerta IOC

Hemos detectado una alerta referente a IOC

Prioridad del caso: Alta

Fecha y Hora IP Origen IP destino Acción Categoría

 Virus Total: https://www.virustotal.com/gui/home/search

De no encontrarse reportes negativos sobre los analizadores se deberá reenviar la alerta

De encontrarse reportadas por los analizadores con malware se procederá a realizar el

 Mi IP: https://www.cual-es-mi-ip.net/geolocalizar-ip-mapa (de esta se

Pegar pantallazos donde se evidencia que es una amenaza.

Dentro de los hallazgos se encontraron conexiones de la compañía a los siguientes tipos

La dirección 205.185.216.10 es una IP propiedad de StachPath la cual corresponde a la

 IP 205.185.216.10: Esta ip no coincide con ninguna base de datos de malware de

 IP 204.79.197.200: En su historia reputacional esta ip está relacionada con

 Se solicita validar si las conexiones presentadas se encuentran autorizadas dentro

 En cuanto a las afectaciones, se recomienda realizar el bloqueo de estas

Agradecemos su atención y colaboración.

Case # XXX - COLF - Posible SPAM

Prioridad del caso: Alta

No se encuentra asociados eventos maliciosos sin embargo la IP de origen no está

 Determine si ciertos sitios web o tipos de archivos adjuntos (p. Ej.,

 Los sistemas de prevención de intrusiones en la red y los sistemas diseñados para

 El antivirus puede poner en cuarentena automáticamente los archivos

 Activar filtro SPF

Se debe adjuntar la evidencia del análisis y la descripción del mismo, ejm:

CUERPO DEL CORREO:

Prioridad del caso: Baja

 Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con

Nombre alerta en Kibana: COLF-SEC-WIN-CAMBIO-HORA

CUERPO DEL CORREO:

Prioridad del caso: Alta

Hostnam Usuario Modificación

 Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con

Nombre alerta en Kibana: COLF-SEC-WIN-MODIFICACION-USUARIOS

CUERPO DEL CORREO:

Prioridad del caso: Media

Host que reporta el

Lo anterior para continuar con la gestión del caso y descartar cualquier

Agradecemos su atención y colaboración.

Nombre alerta en Kibana: COLF-SEC-WIN-LOGIN-FAILED

ASUNTO: Ticket #xxxx COLF - Alarma 5: Eventlog Detenido

CUERPO DEL CORREO:

Prioridad del caso: Alta

Fecha Hostname Accion

 Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con

Nombre alerta en Kibana: COLF-SEC-EVENTLOG-DETENIDO

CUERPO DEL CORREO:

Prioridad del caso: Alta

 Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con

CUERPO DEL CORREO:

Prioridad del caso: Alta

Fecha Hostname Usuario

 Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con

Nombre alerta en Kibana: COLF-SEC-SERVICIO-DHCP-DETENIDO

ASUNTO: Ticket #xxxx COLF - Alarma 8: Creacion de Usuarios

CUERPO DEL CORREO:

Prioridad del caso: Alta

 Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con

Nombre alerta en Kibana: COLF-SEC-CREACION-USUARIOS

ASUNTO: Ticket #xxxx COLF - Alarma 9: Eliminacion de Usuarios

CUERPO DEL CORREO:

Prioridad del caso: Alta

 Solicitamos validar si lo anterior se relaciona a una actividad autorizada. Esto con

Nombre alerta en Kibana: COLF-SEC-ELIMINACION-USUARIOS