Objetivo
Usar un método repetible para gestionar una alerta de Malwarebytes (Nebula / OneView):
- Evaluar rápidamente la gravedad
- Recopilar las evidencias adecuadas (proceso, ruta, usuario, cronología)
- Decidir: falso positivo vs PUP vs malware vs intrusión
- Contener y luego remediar
- Documentar (ticket + mapeo MITRE ATT&CK)
Paso 1 — Triaje rápido (2–5 minutos)
- Abre la consola de Malwarebytes.
- Ve a Detections / Suspicious activity.
- Abre el evento y captura:
- Endpoint / nombre del host
- Cuenta de usuario
- Ruta del proceso + nombre del binario
- Hora de detección
- Acción tomada (bloqueado / puesto en cuarentena / permitido)
- Gravedad
Pistas de decisión rápida
- PUP/adware en una estación de trabajo: normalmente baja/media, remediación estándar.
- Ejecutable desconocido en una ruta sospechosa: escalar.
- Etiquetas MITRE como "Initial Access" / "Lateral Movement": tratar como gravedad alta.
Paso 2 — Revisar el contexto del endpoint
- ¿Es un servidor crítico o una estación de trabajo estándar?
- Revisa el historial:
- detecciones recientes
- última conexión / actualización del agente
Paso 3 — Paquete mínimo de evidencias
Recopila:
- Ruta completa del binario
- Hash (si está disponible)
- Proceso padre (árbol/gráfico de procesos)
- Línea de comandos (si se muestra)
- Artefactos de archivo/red (si están disponibles)
Paso 4 — Contención (si la sospecha es alta)
Según tus capacidades:
- Aísla el endpoint (aislamiento de red) si está disponible.
- Deshabilita temporalmente la cuenta de usuario si el compromiso es probable.
- Bloquea los IOC:
- hash, URL, dominio
- Notifica a las partes interesadas según el runbook interno.
Paso 5 — Remediación
PUP / adware
- Ejecuta un escaneo completo.
- Pon en cuarentena/elimina las detecciones.
- Limpia:
- extensiones del navegador
- programas instalados
- Revisa las tareas programadas y las claves Run/RunOnce.
Malware / ejecutable sospechoso
- Pon en cuarentena/elimina.
- Reinicia si es necesario.
- Verifica:
- persistencia (servicios, tareas)
- conexiones salientes anómalas
- Considera reimagenar si la confianza es baja.
Paso 6 — Mapeo MITRE (documentación)
En tu ticket, registra:
- Táctica (p. ej., Initial Access)
- Técnica (si se conoce)
- Justificación (qué evidencia la respalda)
Paso 7 — Cierre y prevención
- Actualiza reglas/exclusiones (solo si el falso positivo está comprobado)
- Añade monitorización correlacionada (RMM/SIEM)
- Mantén un runbook de N1:
- paquete de evidencias
- pasos de contención
- criterios de escalado