Cytomic Orion

Funcionalidad principal de la versión

• Dashboards
  Mejora en los dashboards de información del consumo de datos de la organización: consumo por cliente.
  
  
  1. Se ha añadido un nuevo Dashboard que permite analizar el consumo de las consultas lanzadas para los distintos clientes de la organización.
  
  
  2. El detalle de consumo se puede ver de forma muy similar a como aparece en la pestaña Usuarios. Se muestra el nombre e Id del cliente, una gráfica para ver la evolución y los totales de consumo y número de consultas.
  
  Nuevo Dashboard con información acerca de los datos asignados para la organización.
  
  
  1. Este dashboard muestra el flujo de datos asignados a la organización durante los últimos 365 días.
• Notificaciones
  Notificaciones por e-mail al superar el 80%, 90% o 100% de los datos asignados.
  
  
  1. Los usuarios recibirán a partir de ahora un e-mail informándoles de que su organización ha superado el 80%, 90% o 100% (según corresponda) de los datos que tienen asignados.
• Hunting rules
  Borrado de Hunting Rules.
  
  
  1. Se ha habilitado la posibilidad de borrar Hunting Rules. Sólo podrán realizar esta acción aquellos usuarios que dispongan del permiso Gestionar Hunting Rules. Puede realizarse el borrado desde la barra de acciones o desde el menú contextual.
• Auditoria de actividad
  Nueva sección: registro de actividad en Configuración.
  
  Se ha añadido un nuevo registro de actividad a nivel de organización en la sección Configuración. En esta primera versión se mostrarán las siguientes:
  
  
  1. Inicio de sesión de un usuario.
  
  
  2. Cierre de sesión de un usuario.
  
  
  3. Cierre de sesión de un usuario por inactividad.

Funcionalidad principal de la versión

• SSO desde Cytomic Central
  Esta versión trae los cambios necesarios para habilitar el acceso a Orion desde Cytomic Central (https://central.cytomic.ai).
  Cytomic Central es el punto de entrada común a los productos Cytomic y tras la publicación de está versión se habilitará el acceso via SSO a Orion (previsto el día 07-04-22).
• Notebooks
  Se han introducido mejoras en el proceso de ejecución de notebooks.

Funcionalidad principal de la versión

• Dashboards
  
  1. Mejora del widget de consumo de datos de la organización. Se ha incluido en el widget de consumo de datos una barra que permite visualizar gráficamente lo consumido con respecto al límite de la organización.
     El widget estará visible para todos los usuarios y, como hasta ahora, muestra el total consumido en el mes en curso (desde el día 1).
     Según el porcentaje de consumo, la barra cambiará de color, pasando de morado a naranja cuando la organización se aproxime al 90% de consumo de los datos disponibles y al rojo al superar el 90%.
  
  
  2. Nuevos dashboards con información del consumo de datos de la organización. Se han añadido dos nuevos dashboards que permiten analizar el consumo de las consultas lanzadas desde usuarios o aplicaciones de la organización.
     El usuario necesitará disponer del nuevo permiso “Ver el dashboard de consumo de datos” “View the dashboard for data consumption” para poder pinchar sobre el widget y acceder al detalle del consumo.
     Hay un dashboard de consumo por usuario, donde se podrá ver el detalle del consumo por usuario (o nombre de aplicación), y otro dashboard que mostrará el consumo de cada consulta.
• Shell Remota
  
  1. Auditoria de comandos de Shell Remota. A partir de esta versión será posible visualizar las acciones llevadas a cabo en una sesión remota (operaciones con ficheros, procesos y servicios).
• Hunting rules
  
  1. Posibilidad de excluir clientes del ámbito de una Hunting Rule. Se ha habilitado la posibilidad de excluir determinados clientes en la definición de las Hunting Rules. Basta con seleccionar la opción “Todos los clientes excepto estos” en el desplegable de Clientes.
• Investigaciones
  
  1. Mejora en el entorno de trabajo de una investigación: Doble grupo de pestañas. Con esta nueva funcionalidad es posible crear hasta dos grupos de pestañas en el detalle de una investigación. Esto permite adaptar y personalizar el entorno de trabajo de la investigación conforme el usuario desee, pudiendo ver dos pestañas de la investigación al mismo tiempo.
• Grafos
  
  1. Nuevo evento de descarga en los grafos: Se ha incluido el evento de Descarga en el grafo de actividad de un proceso.

Funcionalidad principal de la versión

• Hunting rules
  
  1. Añadida columna “Sistemas Operativos” en el listado de Hunting Rules, lo que permite al usuario ordenar o filtrar el listado en función de los sistemas operativos.
• Indicios
  
  1. Añadida columna “Sistemas Operativos” en el listado de Indicios, de forma que el usuario puede ordenar, filtrar y agrupar el listado en función de los sistemas operativos.
• Grafos
  
  1. Ejecución de notebooks automatizados desde un grafo con información del contexto. Cuando un usuario está visualizando un grafo, podrá pivotar entre el grafo y un notebook. Para ello, se ha añadido la opción “Investigación Automatizada” dentro del menú contextual de un nodo.
• Investigaciones
  
  1. Nuevas tablas en las exploraciones avanzadas. Las nuevas tablas “Evidences” e “Indicators” contienen información sin agregar de las evidencias que han detonado los indicios y los propios indicios.

Funcionalidad principal de la versión

• Grafos
  
  1. Filtros predefinidos en grafos. Mediante la barra de búsqueda del grafo se podrán aplicar filtros predefinidos por tipo de nodo (procesos, IPs,...etc.) y clasificación (goodware, malware, sospechoso,...etc.). Como resultado de la búsqueda se mostrarán los nodos que cumplan con los filtros aplicados.
• Consola
  
  1. Envío de notificaciones de consola por correo electrónico. El usuario podrá configurar si desea ser informado vía correo electrónico de la existencia de nuevas notificaciones publicadas en consola.
• Gestión de usuarios
  
  1. Mejora en la interfaz de gestión de usuarios: se ha mejorado el listado de usuarios para que muestre en una vista centralizada el rol del usuario y los grupos de clientes sobre los que éste tiene visibilidad. El listado se podrá ordenar, filtrar y exportar.
• Consultas avanzadas
  
  1. Nuevas tablas en las exploraciones avanzadas. Las nuevas tablas “Evidences” e “Indicators” contienen información sin agregar de las evidencias que han detonado los indicios y los propios indicios.
• API
  
  1. Nuevo método “machines”. Este método tiene dos funcionalidades:
  
  
  1. Dado un ID de cliente, este método devolverá todos los equipos del cliente y la primera/última vez que se han visto.
  
  
  2. Dado un ID de cliente y añadiendo como parámetro un nombre de máquina, el método devolverá todos los equipos del cliente que contengan la cadena indicada por el usuario como parámetro, y la primera/última vez que se han visto.
• NotebookLib
  
  1. Componentes de orden de ejecución y timeline configurables: dentro de la NotebookLib, el usuario podrá configurar mediante qué campo quiere que se tengan en cuenta los componentes de orden de ejecución y timeline, de tal forma que, dependiendo del contexto, se puedan ordenar por un campo o por otro.

Funcionalidad principal de la versión

• API IOCs
  
  1. Cumplimiento de la visibilidad de un usuario en búsquedas de IOCs desde la API: cuando un usuario utilice el endpoint para buscar de manera retrospectiva un IOC (IP/Dominio/md5/URL), los resultados de dicha búsqueda se restringirán ÚNICAMENTE a los clientes sobre los que el usuario tiene visibilidad.
  
  
  2. Client ID incluido en DTO de respuesta: en el DTO de respuesta de una búsqueda retrospectiva de IOCs se ha añadido el cliente al que pertenece el equipo.
  
  
  3. Fecha de expiración como parámetro al importar un IOC: hasta ahora, a la hora de importar un IOC, se metía la fecha de expiración como parte de la URL, como, por ejemplo:
  1. https://..................../iocs/Url?ttlDays=10.
  A partir de esta versión, el parámetro se configurará a nivel de IOC, de tal forma que se pueda establecer para cada IOC una fecha distinta en una misma importación, añadiendo el parámetro “DaysToExpiration”:10 al body de cada IOC en la request.

Funcionalidad principal de la versión

• Grafos
  
  1. Ocultar nodos tras una búsqueda. Hasta ahora, al buscar dentro de un grafo de Orion los resultados se resaltaban dentro del grafo. A partir de esta versión, se podrá además ocultar los nodos que no coinciden con los resultados de la búsqueda.
• Consola
  
  1. Notificaciones en consola. Esta nueva funcionalidad permitirá a todos los usuarios recibir notificaciones desde Cytomic. De este modo, dispondremos de un canal nuevo de comunicación para informar de nuevas versiones, mantenimientos programados, incidencias en el servicio, etc…

Funcionalidad principal de la versión

• Grafos
  
  1. Selección de resultados de una búsqueda. Tras hacer una búsqueda en un grafo se permitirá seleccionar los resultados. Esto es útil, por ejemplo, para borrar los nodos seleccionados o solicitar información sobre sus hijos, o a futuro poder agrupar los nodos.
  2. Mejora en los tiempos en la creación de un grafo.
  3. Mejora el zoom por defecto de un grafo. Cuando se crea un grafo actualmente ocupa gran parte de la pantalla. Se ha ajustado la forma de representar el grafo para que quede mejor ajustado.
• Visibilidad de clientes
  
  1. Respetar la visibilidad de clientes en la ejecución de exploraciones: Cuando un usuario ejecute cualquier exploración (ya sea desde notebook, API o consulta avanzada desde consola) solo se mostrarán resultados de los clientes sobre los que tenga acceso.

Funcionalidad principal de la versión

• Hunting Rules
  
  1. Reglas de notificación de indicios via email. Se permitirá a los usuarios crear reglas de notificación basadas en condiciones de los propios indicios (Clientes, Severidad o Hunting Rules). Se podrá asociar a cada regla N correos electrónicos a los que les llegará la notificación, así como configurar el límite de notificaciones.
• Notebook/Grafos
  
  1. Guardado opcional. Al cerrar un documento recién creado (ya sea un grafo o un notebook), se mostrarán tres opciones: Guardar, no guardar o cancelar.
• API
  
  1. Nuevo método para obtener la información de máquina de un listado de dispositivos. (Hasta ahora existía un método que te permitía conocer en una misma llamada la información de un solo dispositivo).

Funcionalidad principal de la versión

• Investigaciones
  
  1. Se ha añadido la columna "Asignado a" al selector de investigaciones existentes al querer añadir un indicio a investigaciones ya abiertas.
• Gestión de usuarios
  
  1. Se ha creado el Rol "Control Total", el cual tendrá acceso a toda la funcionalidad disponible en Orion, de tal forma que un usuario que tenga asignado ese rol, automáticamente tendrá acceso a toda la funcionalidad de Orion, incluida cualquier nueva funcionalidad que se incluya. Este Rol no puede ser modificado.

Funcionalidad principal de la versión

• Representación gráfica (Grafos)
  
  1. Al salir de un grafo nos preguntará si queremos guardar los cambios realizados.
  2. Posibilidad de realizar acciones sobre múltiples nodos: una vez seleccionados varios nodos nos dejará, si todos los nodos elegidos lo permiten, realizar acciones sobre todos ellos al mismo tiempo, como por ejemplo sacar su padre, sus hijos, mostrar toda su actividad, ...etc.
• Indicios
  
  1. Posibilidad de eliminar indicios manualmente. El comportamiento al eliminar indicios será similar al de los indicios excluidos: una vez que se supriman, se mandarán a la papelera, donde permanecerán durante 7 días. Pasado este tiempo se eliminarán definitivamente. Hasta ese momento, se podrán sacar indicios que se encuentren en la papelera.

Funcionalidad principal de la versión

• Representación gráfica (Grafos)
  
  1. Dar visibilidad en el grafo al usuario de si un proceso tiene o no hijos. El objetivo de esta funcionalidad es que el usuario sepa cuales son los nodos terminales (no tiene más hijos) y los nodos no terminales (un proceso con más eventos hijos).
  2. En los nodos NO TERMINALES se indicará cuantos hijos tiene de cada tipo (Ej N procesos, Y comunicaciones, Z acceso a datos...).
• Investigaciones
  
  1. Dejar de trabajar en una investigación. Cuando un usuario está trabajando sobre la consola y comienza a abrir investigaciones, éstas se reflejan en la barra de navegación. Con esta nueva funcionalidad el usuario podrá "cerrar las investigaciones" de tal manera que se libere toda la memoria ocupada por dicha investigación en el navegador del usuario.
• Indicios
  
  1. Admitir listados de Muids y MachineNames en reglas de eliminación. Hasta ahora únicamente se puede asociar un único Muid/MachineName a una regla de eliminación. Mediante esta funcionalidad se podrán asociar N Muids/MachineNames a una misma regla.
  1. NOTA: Se permite pegar un listado separados por comas.
  2. Funcionalidad de Select-all. Posibilidad de seleccionar todas las líneas tanto por grupos como en todos los elementos de una vista desde la funcionalidad de indicios, con el objetivo de añadir "todos" los indicios seleccionados a una investigación, crear una nueva investigación o eliminar dichos indicios (funcionalidad disponible en la próxima versión).
• Gestión de usuarios
  
  1. Grupo All Clients. Existirá un grupo ALL CLIENTS para todas las organizaciones que contendrá todos los clientes (tanto existentes como futuros) que se provisionen para la organización. Dicho grupo será de solo lectura.

Funcionalidad principal de la versión

• Hunting rules
  Actualmente, cualquier condición de una Hunting Rule es “Key sensitive”, es decir, se respeta tanto en la condición como en el evento si un carácter está en mayúscula o minúscula. A partir de esta versión, al crear una Hunting Rule es posible decidir si la condición es “Key sensitive” o no, es decir, si se diferenciará entre mayúsculas o minúsculas o no, tanto en la condición como en los eventos que intenten hacer match con la regla.
• Representación gráfica (Grafos)
  Múltiples capas en los nodos. El usuario podrá mostrar/ocultar información dentro del grafo. La información que se quiera mostrar/ocultar dentro de un grafo quedará persistida a nivel de grafo. Se podrán mostrar/ocultar las siguientes capas:
  
  
  1. Secuencia de ejecución
  2. Nombres en los labels de las aristas del grafo
  3. Nombre de los nodos
• Indicios
  
  1. Gestión de reglas de eliminación desde "Configuración": Posibilidad de poder gestionar las reglas de eliminación desde la sección de configuración:
  1. Listado de reglas de eliminación: poder listar todas las reglas de eliminación que un usuario puede ver. Se podrá hacer cualquier tipo de filtro y búsqueda dentro del grid.
  2. Edición/Eliminación de reglas de eliminación.
  Para poder editar/eliminar una regla de eliminación el usuario deberá tener el permiso de gestión de reglas de eliminación.
  2. Poder hacer select-all en el grid: a partir de esta versión se podrá hacer "select-all" sobre todos los elementos de la vista de indicios con cualquier tipo de filtro que se haya aplicado en el mismo.
  1. NOTA: En esta versión no se permitirá aún hacer "select-all" sobre todos los elementos de un grupo.

Funcionalidad principal de la versión

• Custom Hunting Rules por cliente. A partir de esta versión, al crear una custom hunting rule, es posible decidir a qué cliente o conjunto de clientes queremos que se aplique, incluyendo la posibilidad de aplicarla a todos los clientes de la organización.
• Representación gráfica (Grafos). Se han incluido las siguientes mejoras en la funcionalidad de grafos:
  
    - Nuevos eventos relacionado con PE en grafo de actividad de un proceso:
      · Creación
      · Renombrado
      · Modificación
      · Eliminación
  
    - Secuencia de eventos en el grafo de actividad de un proceso: se asignará a cada arista un número secuencial teniendo en cuenta la fecha en la que ocurrió el evento.
  
    - Se cambian los iconos de los nodos por iconos representativos de las aplicaciones más utilizadas.

Funcionalidad principal de la versión

• Representación gráfica (grafos). Se han incluido las siguientes mejoras en la funcionalidad de grafos:
  
    - Identificar la clasificación de ficheros sobre los nodos: Identificar mediante un color naranja (para ficheros desconocidos/pup..) o rojo (para ficheros malware) el fondo de un nodo.
    - Identificar la acción llevada a cabo sobre un elemento mediante un icono en el nodo (si ha sido bloqueado, si se ha matado el proceso, mandado a cuarentena, etc.).
    - Se añade la posibilidad de solicitar “Toda la actividad” hecha por un proceso en el grafo de actividad de un proceso.
    - Mejoras del menú contextual de los nodos (mejora en el aspecto visual, ordenación de las opciones...)
• OSQuery. A partir de esta versión es posible obtener todo el detalle de un job de OSQuery para saber el estado del mismo en cada una de las máquinas en las que se ha lanzado la consulta:
  
    - Saber todas las máquinas en las que se ha lanzado la consulta
    - Saber todas las máquinas en las que ha ido OK
    - Saber todas las máquinas en las que ha ido mal y por qué
    - Saber las máquinas que están pendientes o directamente se ha cancelado la consulta por superar el tiempo máximo de vida de la consulta

Funcionalidad principal de la versión

• Representación gráfica (grafos). A partir de esta versión, los analistas dispondrán de grafos que les ayudarán de forma gráfica en la investigación. Dispondremos en esta versión de dos casos de uso:
  
    - Nuevos usuarios en un cliente: en este caso, dadas dos ventanas de tiempo, se obtendrán los usuarios que han realizado actividad nueva en la segunda ventana de tiempo.
    - Actividad de un proceso: dado un proceso, se obtendrá toda la actividad que ha realizado dicho proceso. Además, se podrá seguir "interrogando" a los elementos del grafo y poder seguir iterando sobre él (por ejemplo, para conocer la actividad de los hijos de un proceso).
• Hunting Rules. Posibilidad de añadir técnicas/tácticas de mitre en la creación/edición de Hunting Rules. Además, las técnicas se visualizarán en el listado de reglas.

Funcionalidad principal de la versión

• Custom Hunting Rules
  
    - A partir de esta versión, los analistas podrán crear sus propias reglas de Hunting mediante un “Constructor de Reglas”, asignarlas un riesgo, y activarlas o desactivarlas cuando deseen. Estas reglas serán analizadas en tiempo real sobre su streaming de eventos.
  
    - La creación de reglas incluye un proceso de validación de las mismas, para garantizar que la regla genera un número de indicios manejable, y recomendando su revisión en caso contrario.
  
    - Además, los usuarios de una organización dispondrán de un listado con todas las Hunting rules disponibles, tanto las creadas por los usuarios de su organización, como las creadas desde Cytomic, y la posibilidad de exportar dicho listado.

Contenido

• Exploración. A partir de esta versión, al utilizar la búsqueda por cliente, dentro del asistente de consultas, únicamente se podrá buscar por los clientes sobre los que el usuario tiene permiso.
• Análisis forense/investigación manual en eventos
  
    - Se ha añadido, en el grid de resultados, la posibilidad de agrupar por columnas, al igual que se hace en otras funcionalidades (indicios, exploraciones...).
    - A partir de ahora es posible acceder a los eventos de una máquina y un fichero parametrizando una URL: https://orion.cytomicmodel.com/forensics/muid/{MUID}/md5/{MD5}, donde habría que modificar el muid y md5 por sus valores correspondientes. El usuario deberá estar autenticado para acceder a la funcionalidad.
    - Se consolidan todos los datos del Datalake para que todos los eventos de tipo NetworkOps iguales se muestren de forma agregada, mostrándose un evento cada 15 minutos. En el campo "times" se podrá ver el número de eventos producidos en esos 15 minutos.
• API
  
    - Se incluye la posibilidad de obtener el detalle completo de una máquina (MUID).
    - Se añade la posibildad de ejecutar exploraciones avanzadas.
• DPA. Se ha incluido dentro del login de usuario la aceptación del acuerdo de tratamiento de datos (DPA).

Contenido

• Indicios y Hunting Rules
  
    - Exclusiones: Por defecto se parametrizan con máxima restricción (todos los filtros preseleccionados) y posteriormente se pueden cambiar.
  
    - Usabilidad: Los filtros se mantienen en toda la sesión del usuario para permitirle navegar de sección en sección sin tener que repetir los filtros.
  
    - Hunting Rules de Descubrimiento y escalado de privilegios en Linux: se han habilitado 4 nuevas reglas de Hunting Rules para dispositivos Linux:
  
      - TA0007 – Discovery
       · T1087 - Account Discovery – Hunting Rule: CatShadowRule. Detecta la ejecución del comando "cat" de Linux para ver el contenido del archivo / etc / shadow en Linux. Este archivo almacena contraseñas cifradas y proporciona información sobre la caducidad y validez de la cuenta.
       · T1087 - Account Discovery – Hunting Rule: GetentPasswdRule. Detecta la ejecución del comando getent passwd Linux, que habilita el acceso a bases de datos de usuarios, grupos, dispositivos, etc. Esto permitiría a un adversario obtener todos estos datos de cuenta de usuario.
       · T1087 - Account Discovery – Hunting Rule: CatPasswdRule. Detecta la ejecución del comando "cat" de Linux para ver el contenido del archivo / etc / passwd. Este es el archivo donde están registrados los usuarios del sistema, así como contraseñas y privilegios. Por lo tanto, determina quién puede acceder legítimamente al sistema y qué se le permite hacer.
  
      - TA0004 - Privilege Escalation
       · T1169 – Sudo – Hunting Rule: CatSudoersRule. Detecta la exposición del contenido del archivo sudoers, ejecutando el comando "cat" de Linux. Esto podría provocar una escalada de privilegios en el sistema.
• Exploración. Ahora se puede cambiar el tamaño de los paneles de las consultas, al igual que se hace ya en Indicios.
• Análisis forense/investigación manual en eventos
    - Se ha optimizado la navegación en el árbol de proceso.
    - Ahora se puede cambiar el tamaño de los paneles, al igual que se hace ya en Indicios.
    - A partir de ahora, siempre y cuando estemos validados en Orion, será posible acceder al análisis forense, sin estar en una investigación, mediante una URL que admite como parámetros el identificador de la máquina (MUID) y las fecha “desde” y “hasta” del análisis.
    También será posible, indicar como parámetro, un md5 y obtener los equipos donde el hash ha sido identificado.
• Investigación con Notebooks. Se incluye una opción para exportar a HTML.
• Informes. Se incluye un informe para consultar el consumo de plataformas por usuario.
• API
    - Se incluye la consulta al Threat Intelligence de Cytomic por un listado de hashes. Hasta ahora solo era posible uno a uno.
    - Se incluye la consulta del MUID a partir de un MachineName.

Contenido

• A partir de ahora se permite la creación de usuarios, con mismo login, en diferentes organizaciones.
• Mejorar en la funcionalidad de eliminación de Indicios:
    - Reglas de eliminación multi cliente teniendo en cuenta visibilidad del usuario sobre el cliente.
    - Escapado/Des-Escapado automático en reglas de eliminación.
• En las consultas avanzadas al data lake, los resultados ahora se presentar por orden descendente del número total de elementos.
• En el análisis forense, al seleccionar la fecha “desde”, la fecha “hasta” cambia automáticamente al mismo valor que la fecha “desde”.

Contenido

• Integración de OSQuery multi-endpoints y multi-clientes. La nueva versión de Cytomic Orion, amplía sus capacidades con OSQuery, herramienta clave en las investigaciones, permitiendo a las organizaciones consultar en tiempo real sobre numerosas entidades, atributos y estados del sistema de todos los endpoints protegidos.
  Estas nuevas capacidades aumentan las ya existentes en la plataforma Cytomic, la cual permiten tomar acciones de remediación en tiempo real desde la nube, además de simplificar la detección e investigación de incidentes de seguridad en una o múltiples organizaciones y todo desde un solo agente desplegado.
  Es importante tener en cuenta que para que la funcionalidad de OSQuery funcione correctamente, es necesario:
  
  1. Activarlo en el backend. Para ello, contacte con su comercial o con el departamento de soporte de Cytomic.
  2. El agente para Windows debe están en la última versión 1.16.10.0000 o superior.
• Nueva Interfaz para facilitar la gestión de las investigaciones. Hasta ahora la información de cada investigación, en la lista de investigaciones, era escasa y no permitía una buena gestión. La nueva versión, trae una nueva organización de la lista de Investigaciones, donde por cada investigación se incluye información de: Analista asignado, criticidad, estado, clasificación y fecha de creación.
  Por otra parte, el selector de clientes, visualiza el nombre de estos, sin se dispone para ello.
• MITRE ATT&CK para Linux. La nueva versión añade nuevas fuentes de inteligencia de amenazas del framework de MITRE ATT&CK que mejoran la detección de threat actors mediante el análisis, en tiempo real, del comportamiento de endpoints y servidores Linux.
  Los nuevos indicios de amenazas detectados gracias a esta inteligencia, se asignan directamente a las diversas técnicas de ataque descritas por el framework de MITRE ATT&CK para Linux.
  Esta inteligencia de amenazas para Linux, amplía la inteligencia de amenazas ya existente y en continua evolución, basada en el análisis por comportamiento en Windows. Ambas, la de Linux y la de Windows, mapeadas al framework de MITRE ATT&CK
• Borrado de usuarios. A partir de esta versión, los usuario con permiso para ello, podrán borrar otros usuarios. La reactivación de usuarios en la misma organización, conlleva la recuperación de la información que esté tenía antes del borrado.
• Adaptaciones en la API de Orion. A partir del 08 de Julio, el dominio de la API para a ser API.Orion.Cytomic.ai. El actual dominio sigue estando activo hasta el 8 de agosto.
  En los métodos de búsqueda de IOCs, el detalle de los indicios se devuelve también en formato JSON, para facilitar su integración, mediante un parámetro opcional (showDetailsJson).
  En la consulta de indicios acumulados, con el mismo timestamp, se ha corregido para mostrar la hora de la última ocurrencia.
  Además, se han homogenizado URLs, parámetros, etc.:
  
  1. Parámetros (FileHashIoc pasa a ser Hash y DomainIoc pasa a ser Domain).
  2. MUIDs con guiones en la búsquedas retrospectiva de IOCs.
  3. Se homogeinizan URLs en las búsquedas de IOCs. Ejemplo:

     Path actual: /applications/iocs/IpIoc?ttlDays=3000&retrospective=True

     Path homogéneo: /applications/iocs/Ip?ttlDays=3000&retrospective=True

Contenido

• INDICIOS – MITRE ATT&CK. A partir de esta versión, por cada indicio generado, se añade información de las tácticas y técnicas asociadas en la matriz de MITRE ATT&CK for Enterprise.
  Este relación, entre los indicios descubiertos con la inteligencia de amenazas de Cytomic, con la tácticas y técnicas de MITRE ATT&CK agrega información de contexto accionable al analista en el análisis del ciclo de vida de un ciberataque, ayuda a entender los objetivos, los vectores de ataque, como fue la intrusión real y las acciones posteriores a la violación.
  El framework proporciona a los equipos de seguridad una guía para identificar debilidades en los controles de seguridad existentes a resolver antes de que los atacantes puedan aprovecharlas.
  Para conocer más sobre MITRE ATT&CK, visita nuestro blog.
• FITROS EN INVESTIGACIONES PARA MEJORAR LA USABILIDAD. En una investigación, podemos cambiar el estado, su resolución, prioridad, clientes donde se han visto los mismos indicios o delegarla a otros miembros del equipo de operaciones de seguridad. Para facilitar su gestión, se han incorporado filtros de búsqueda atendiendo a estas características.
• NUEVOS ICONOS MÁS INTUITIVOS EN LA CONSOLA DE INVESTIGACIÓN. Hemos cambiado los iconos de los diferentes tipos de eventos, en la consola de investigación, con el objetivo que estos sean más intuitivos.
  En este documento se describen los nuevos iconos y su relación con los anteriores.
• FILTROS EN CONSULTA DE INDICIOS DE LA API_ORION. El método de consulta de Indicios de la API_Orion permite filtrar los resultados mediante parámetros de entrada como: Muid, MachineName, id de indicio y Hunting Rule.
• PERSISTENCIA MODO PRESENTACIÓN EN LOS JUPYTER NOTEBOOKS. La apertura de un notebook en modo presentación, lo muestra con la misma información que tenía cuando se salió de él (persiste).

Contenido

• INDICIOS. A partir de esta versión, por cada indicio generado, se describe en detalle la inteligencia de amenazas (Threat Intelligence – TI) propia de Cytomic que originó el indicio al procesar, en tiempo real, la telemetría recogida de los endpoints o activos protegidos.
  Esta información se mantiene siempre actualizada. En la próxima versión se incluirá información detallada de la matriz de MITRE ATT&CK for Enterprise.
• ASIGNACIONES DE CASOS Y NOTIFICACIONES POR EMAIL. En organizaciones con varios analistas y niveles de gestión, es necesario permitir la delegación de investigaciones entre analistas.
  Así, por ejemplo, el triage de indicios lo realizan los analistas de nivel 1 que crean investigaciones y las asignan a otros analistas de nivel 2, que, a su vez, investigan en detalle el incidente y da respuesta al atacante. Adicionalmente, se habilita por defecto la notificación entre analistas cuando se producen estas asignaciones.
  Cuando las notificaciones están activadas, el analista al que se delega el caso, recibe un correo de notificación con acceso directo al incidente en Cytomic Orion.
• JUPYTER NOTEBOOK E INFORME EN PDF. Desde el modo de presentación de un análisis con un Jupyter Notebook, estático o interactivo, es posible la generación y descarga del informe en formato PDF. Así, por ejemplo, podremos enviar nuestras conclusiones o informes, a otro miembro del equipo o a un cliente.
• GESTIÓN DE LOS JUPYTER NOTEBOOK EN LAS INVESTIGACIONES. Se facilita la búsqueda, filtrado y organización de los análisis con Jupyter Notebooks, al permitir ahora, su filtrado, ordenación, cambio en columnas, etc.

Corrección de incidencias

• Se corrigen ciertos problemas en la visualización de los detalles de los equipos.

Contenido

• Cambios de nomenclatura. Se han cambiado el nombre de algunas secciones (Alertas por Indicios y Casos por Investigaciones), y también hemos cambiado el nombre de algunas de las acciones disponibles en consola, utilizando términos de la industria.
• Exclusiones de alertas (indicios). Todos los indicios excluidos, ahora se podrán visualizar dentro de una nueva sección llamada Papelera en la sección de Indicios. Desde la papelera podrás ver, eliminar y recuperar los indicios excluidos.
• Las reglas de exclusión ahora puedes ser editadas y también eliminadas.
• Añadido validador para las expresiones regulares de tipo regex que podemos usar dentro de las reglas de exclusión.
• Los indicios excluidos se borran automáticamente tras 7 días. Los indicios que los clientes tuvieran excluidos de previas versiones se borrarán automáticamente al actualizar a esta nueva versión.
• Mejoras en los casos (investigaciones). Ahora podremos establecer una prioridad (crítica / alta / media / baja) y una clasificación (ataque confirmado / ataque potencial / investigación sin ataques confirmados) de forma que podamos identificar fácilmente los casos abiertos que requieren una atención más urgente.
• Posibilidad de añadir comentarios de texto e imágenes en los casos (investigaciones). Todo lo añadido queda registrado indicándose quien, cuando y que comentarios se han agregado a la investigación.
• Mejoras de diseño en la sección de alertas (indicios) mostrándose los filtros y el detalle de los indicios a la derecha.
• Mejoras de diseño también en la sección de casos (investigaciones).
• Añadido acceso directo a las novedades de la versión o release notes desde el menú que se muestra en la parte superior derecha de la consola.
• Control sobre el número máximo de eventos a visualizar de un equipo (150.000).
• Poder solicitar el detalle de los indicios en el método get_alerts tanto en llamadas a la Threat Hunting library desde los notebooks como en llamadas desde la API que se puede utilizar para integraciones.

Corrección de incidencias

• Corrección a fechas que no se mostraban correctamente en casos puntuales.

Contenido

• Disponible el nuevo API RESPONSE. Este API puede ser usado para contener y erradicar amenazas de forma automatizada. Se puede usar en diferentes integraciones, como por ejemplo en SOARs. Esta versión del API RESPONSE dispone de 2 métodos que iremos ampliando en futuras versiones (aislar equipos y reiniciar equipos). Caso de uso de ejemplo: Importo IOCs con el API y si se detecta un IOC, aíslo el equipo.
• Consulta de IOCs via API de manera síncrona. El API me permite ahora obtener de forma síncrona las máquinas en las que se encuentra un IOC de tipo hash de fichero, URL, IP o dominio.
• Optimización en la carga de alertas. En empresas con muchas alertas, la visualización de las mismas tardaba en cargar varios segundos. Se ha optimizado de forma radical descargando sólo 500 alertas inicialmente y descargando en función del scroll que haga el cliente.
• Nuevo modo de presentación de los Jupyter Notebooks que hace que por defecto te muestre los resultados a pantalla completa sin ver el código fuente.
• Al investigar un equipo, se ha añadido en el campo detalles información resumen que te permite investigar de forma más eficiente, al poder ver de un vistazo el detalle del evento.

Contenido

• Disponible el API para poder alimentar de Cyber Threat Intelligence a Orion. El API nos permitirá introducir en Orion IOCs de tipo hash, URL, IP y dominio que serán buscados en la telemetría de forma retrospectiva (365 días atrás) y en tiempo real para la nueva telemetría generada. En caso de match se generará una nueva alerta.
• API para obtener las alertas de Orion. Interesante para poder realizar automatizaciones con la información de las alertas, o para alimentar el SIEM con nuestras alertas vía API.
• API para obtener información extendida sobre ficheros. El API me permite a partir de un hash saber en qué máquinas y paths se ha visto.
• Posibilidad de crear usuarios de tipo aplicación en Orion, necesarios para hacer uso del API de Orion. Estos usuarios pueden tener visibilidad limitada sobre clientes y permisos sobre diferentes APIs.

Contenido

• Incluidos cambios importantes en infraestructura para mejorar la robustez y escalabilidad de la plataforma.
• Sienta las bases para disponer de APIs accesibles desde el exterior.

Contenido

• Configuración de Time Zone de forma que cada usuario/analista pueda ver la hora de los eventos de consola en su Time Zone u otros Time Zone. Interesante para empresas con delegaciones en múltiples países con diferentes Time Zones.
• Calculo automático de la hora “real” en la que se dan las alertas para, en caso de tener una hora local incorrecta, dar información exacta al analista.
• Visualización de la hora local y la hora “real” en consultas e investigaciones avanzadas.
• Posibilidad de importar IOCs desde Notebooks (además que desde API). Tendremos un Notebook que permitirá importar los IOCs de forma sencilla. También se podrá hacer a través de la librería de Threat Hunting que se invoca desde los Notebooks.
• Posibilidad de buscar máquinas por el nombre de la misma, facilitando el proceso actual que requería del identificador interno del equipo (MUID).
• Posibilidad de ver información detallada del equipo y del estado de seguridad de este.

Corrección de incidencias

• Solucionado problema de seguridad por el que se podía acceder a notebooks de otras cuentas de cliente.

Contenido

• Agrupación de permisos en consola para una mejor comprensión de los mismos.
• En los Notebooks parametrizados y otros cuadros de dialogo se mostrarán en los cuadros de texto las entidades de interés para facilitar el autocompletado.
• Mejoras de diseño en los informes exportados a PDF.
• Nueva versión de la librería de Threat Hunting que permite la obtención del nombre de un listado de máquinas en una única consulta, y acepta parámetro MUID para filtrado al obtener máquinas.

Contenido

• Posibilidad de contener una amenaza mediante el aislamiento de uno o varios equipos.
• Posibilidad de erradicar una amenaza activa lanzando una orden de reinicio de uno o varios equipos.
• Capacidad de hacer una investigación detallada en un equipo accediendo remotamente al mismo. Estarán disponibles opciones de remote shell, transferencia de ficheros, y posibilidad de ver todos los procesos y servicios de la máquina pudiendo actuar sobre ellos.
• Desde el remote shell, acceso a herramienta Cytomic con opciones de crear un dump de memoria total, crear un dump de un proceso, poder borrar un fichero por hash o path con opción de UNDO, capturar tráfico, lanzar netinfo, listar puertos abiertos, lista de procesos en ejecución con módulos cargados e historial de navegación.
• Alertas de las detecciones mediante las políticas avanzadas de seguridad de Cytomic EDR/EPDR.
• Posibilidad de generar exclusiones en las alertas mediante expresiones regulares para eliminar “ruido” a los técnicos encargados del Alert triage.
• Poder exportar el contenido de los Notebooks a PDF para generar informes que puedan ser entregados a dirección o a los propios clientes.
• Ayudas contextuales en las áreas principales de la consola.

• Primera versión de Cytomic ORION, una solución que mediante analítica de datos nos permite hacer detecciones avanzadas, Threat Hunting y respuesta a incidentes.
• CYTOMIC Orion complementa a Cytomic EDR / Cytomic EPDR dando visibilidad completa de todos los eventos relevantes que suceden en los endpoints, y detectando actividad anómala mediante Inteligencia Artificial y técnicas de búsqueda de patrones de comportamiento.