InicioAgentesToolsdetect_anomaly_patterns

Detectar Patrones de Anomalía

Cloud · cybersecurity · detect_anomaly_patterns
← Volver

Descripción

Identifica patrones de comportamiento anómalo en tráfico de red a nivel de campaña de ataque.

Parámetros de la Tool

Entrada — lo que recibe
ParámetroTipoReq.Default
trafficLogsarray✓ Sí
baselineWindowHoursinteger168
Salida — lo que devuelve
CampoTipoFormato
patternsFoundinteger
attackTypestring
confidencenumber

Guía de Implementación

¿Por qué estos parámetros de entrada?

trafficLogs es el array de registros de tráfico de red (netflow, logs de firewall, SIEM) que el agente analiza. baselineWindowHours define cuántas horas de tráfico normal usar para establecer la línea base — 24h captura patrones diarios, 168h (1 semana) captura también patrones semanales.

Cálculos y lógica a implementar

Calcular estadísticas de baseline (volumen de tráfico, IPs únicas, puertos usados, protocolos) sobre baselineWindowHours. Aplicar detección de anomalías sobre el tráfico reciente: comparar contra baseline usando Z-score, DBSCAN o Isolation Forest. Clasificar el tipo de ataque si se detecta patrón conocido: port scan, DDoS, lateral movement, C2 communication.

¿Por qué estos parámetros de salida?

patternsFound indica si el agente detectó actividad anómala que requiere investigación. attackType es la clasificación que el SOC usa para seleccionar el playbook de respuesta correcto. confidence determina si el agente debe actuar automáticamente (alta confianza) o solo alertar al equipo humano (baja confianza).

Interfaz gráfica recomendada

Gráfica de volumen de tráfico temporal con anotaciones en las anomalías detectadas. Mapa de calor de actividad por hora del día y día de la semana. Panel de alertas con attackType, confianza e IPs involucradas. Timeline de eventos anómalos.

Conexiones con otras Tools

Recibe de
inspect_gateway_traffic
PACKETS_INSPECTEDHTTPS

Payloads sospechosos enviados a análisis de patrones en cloud

Envía a
analyze_network_risk
PATTERNS_FOUNDMQTT

Patrones de ataque identificados disparan análisis de riesgo

Evento ISO que genera esta tool

Cuando esta tool detecta un evento relevante, emite el siguiente evento al Simulador ISO. El campostandardEvent.module.iddebe usar este nombre exacto.
anomaly_pattern_alert→ se visualiza en el Dashboard ISO y Reporte de Auditoría

Cláusulas ISO que cubre este evento

IEC 62443-3-3:2013§SR 6.2Monitoreo continuo de red OT

Detección continua de patrones de anomalía en la red industrial.

ISO 27001:2022§A.12.4Registro y monitoreo

Análisis de logs y detección de comportamientos anómalos en sistemas industriales.

Al ejecutar el demo de esta tool, el evento se guardará en el Simulador ISO con este identificador.

Demo en vivo

Listo

Presiona Ejecutar Demo para ver cómo actúa esta tool en tiempo real

Agentes que usan esta tool

🔐 Agente de Ciberseguridad IndustrialHybrid
Detectar Patrones de Anomalía
Hola, soy el asistente de  Detectar Patrones de Anomalía. ¿En qué puedo ayudarte?