Rubrik · Security · ficha YoctoIT

Anomaly Detection

El machine learning que vigila los backups: cifrados anómalos, borrados masivos y patrones sospechosos emergen en horas — con el blast radius ya calculado.

FOCUS · EL ATAQUE VISTO DESDE LOS DATOSCada snapshot comparada con la historia: cuando los datos cambian de forma extraña, lo sabes enseguida
Material YoctoIT para clientes y partners · Rubrik y los demás productos citados son marcas de Rubrik, Inc.
01 · Qué es

Anomaly Detection, en claro.

El ransomware moderno trabaja en silencio: cifra a baja intensidad, borra las copias y después golpea. Anomaly Detection analiza cada backup con modelos ML entrenados sobre entropía, tasas de cambio y patrones de borrado: cuando algo no cuadra, la alerta llega con la lista exacta de archivos y sistemas implicados — el blast radius — y el último punto de recuperación limpio ya identificado.

Horas
no semanas: el tiempo para detectar el cifrado sigiloso
Blast radius
archivos y sistemas impactados, listados — no estimados
0 impacto
el análisis corre sobre los backups, no sobre producción
Anomaly Detection
IMAGEN OFICIAL RUBRIK
UI OFICIAL RUBRIK · THREAT SUMMARY · FUENTE: RUBRIK
UI OFICIAL RUBRIK · THREAT SUMMARY · FUENTE: RUBRIK
02 · Cómo usarlo bien

Las cosas que marcan la diferencia.

El radar sobre los datos

Cada nuevo backupsnapshot tras snapshot
Entropía
Tasas de cambio
Patrones de borrado
ML entrenado sobre TU historia de datos
Anomaly Detectionla comparación continua
Alerta accionableblast radius + punto limpio sugerido
El ataque visto antes del desastre

Baseline personal

El modelo aprende el ritmo normal de TUS datos: menos falsos positivos, más señal.

Integración SOC

Alertas hacia SIEM/SOAR y nuestro NOC: la anomalía entra en el proceso, no en un correo perdido.

Diagnóstico en un clic

Qué VM, qué shares, qué archivos: el recuento de daños listo para el incident response.

Punto limpio sugerido

La última snapshot sana indicada por la plataforma: la recuperación arranca sin debates.

03 · En profundidad

Cómo el ML reconoce el cifrado en los backups

En cada snapshot la plataforma calcula features por archivo y por sistema: entropía de los contenidos (los datos cifrados se distinguen estadísticamente), proporción de creaciones/modificaciones/borrados, extensiones nuevas y renombrados masivos; los modelos comparan con la baseline histórica de cada carga y señalan desviaciones; el análisis es retroactivo sobre el catálogo: se ve CUÁNDO empezó la anomalía, el perímetro exacto y el punto de recuperación inmediatamente anterior.

  • Entropía por archivo — los contenidos cifrados no mienten: la estadística los desenmascara
  • Baseline por carga — la BD que cambia mucho no es falsa alarma: el modelo lo sabe
  • Análisis retroactivo — ¿cuándo empezó? El catálogo responde con la fecha
  • Perímetro exacto — la lista de archivos y sistemas: la base del incident response
  • Webhooks y SIEM — la alerta donde trabaja el SOC: Splunk, Sentinel, nuestro NOC
  • Cero producción — todo corre sobre las copias: sin agentes, sin carga
04 · Números y ciclo de vida

Los números que cuentan.

24/7
cada backup analizado, ninguna ventana descubierta
días→h
de días a horas el tiempo de detección típico
100%
del catálogo consultable retroactivamente
1 clic
del blast radius al plan de recuperación
Darse cuenta tarde es el coste real de un ataque: los backups lo ven todo — basta escucharlos.
05 · Casos de uso

Dónde rinde de verdad.

Ransomware silencioso

El cifrado a baja intensidad descubierto en horas.

Insider

Borrados masivos: vistos, trazados, reversibles.

Incident response

Blast radius y punto limpio: el recuento listo.

¿Tu backup te diría hoy si estás bajo ataque? Con Anomaly Detection sí — hablemos.