Sección Investigación (5)

Muestra la telemetría recogida en el equipo para que el administrador pueda investigar el origen de los ataques y su alcance.

Para conocer el significado de los campos que forman parte de la telemetría, consulta Formato de los eventos recogidos en la telemetría.

Para visualizar la telemetría, el administrador dispone de las herramientas siguientes:

El administrador puede utilizar una o varias herramientas. La barra de pestañas aloja las herramientas utilizadas en la sesión. Al hacer clic en la pestaña Investigación, la consola añade automáticamente la herramienta Consola de investigación en el equipo gestionado. Para cambiar de herramienta, haz clic en la pestaña correspondiente. Para añadir una nueva herramienta, haz clic en el icono .

Barra de pestañas con las herramientas Consola de investigación y Consultas avanzadas SQL abiertas

Consola de investigación

La consola de investigación de Cytomic Orion muestra un listado con todos los eventos registrados en el equipo durante el intervalo de 1 día. El administrador puede cambiar la fecha de inicio del intervalo hasta 7 días atrás, para acceder a la telemetría registrada en días anteriores.

Para obtener información sobre la consola de investigación de Cytomic Orion consulta Estructura de la consola de investigación.

Abrir una nueva consola de investigación

Conforme la investigación del administrador progresa, es posible que necesite abrir otras consolas de investigación sobre distintos equipos de la redEsquema de base de datos

Para crear una nueva consola de investigación:

  • Haz clic en la pestaña Investigación del equipo seleccionado. Se abrirá la consola de Cytomic Orion.

  • Haz clic en el icono . Se mostrará el menú de contexto.

  • Selecciona Investigación de equipos. Se abrirá la ventana Investigar equipo.

Ventana de selección del nuevo equipo a investigar

  • Para investigar todos los eventos de un equipo en un día:

    • Selecciona MUID o Nombre de equipo (la herramienta de consultas avanzadas SQL trabaja con MUIDs. Consulta Identificadores de dispositivos (MUID)).

    • Escribe en la caja de texto el Nombre de equipo o el MUID.

    • Elige el intervalo de tiempo que la consola de investigación utilizará para recuperar datos del océano de eventos. El administrador puede cambiar la fecha de inicio del intervalo hasta 7 días atrás para acceder a la telemetría registrada en días anteriores. El mayor intervalo soportado es de 1 día.

    • Establece la zona horaria del intervalo.

    • Haz clic en el botón OK. Se añadirá una nueva pestaña con la consola de investigación configurada para mostrar la telemetría del equipo seleccionado.

  • Para investigar un fichero si no conoces el equipo que lo contiene:

    • Selecciona MD5 y escribe en la caja de texto el MD5.

    • Haz clic en el botón OK. Se añadirá una nueva pestaña con la consola de investigación mostrando dos paneles.

    • En el panel de la izquierda, selecciona el equipo que quieres investigar. El panel de la derecha mostrará todos los eventos relacionados con ese fichero en el equipo.

  • Para investigar un fichero si conoces el equipo que lo contiene:

    • Selecciona MUID + MD5 y escribe el MUID del equipo y el MD5 del fichero en las cajas de texto.

    • Haz clic en el botón OK. Se abrirá la consola de investigación con los eventos que involucran al fichero en el equipo.

Consultas avanzadas SQL

El administrador puede navegar por el océano de datos para localizar mediante su MUID eventos específicos del equipo seleccionado, o de cualquier otro que pertenezca a la red administrada. Con la herramienta de consultas avanzadas SQL, el administrador puede acceder a la telemetría registrada en el día actual y en los 7 días previos. Para ello es necesario utilizar el lenguaje SQL y conocer el esquema de base de datos utilizado. Consulta Esquema de base de datos

Para acceder a la herramienta de consultas avanzadas SQL:

  • Haz clic en la pestaña Investigación del equipo seleccionado. Se abrirá la consola de investigación de Cytomic Orion.

  • Haz clic en el icono . Se mostrará el menú de contexto.

  • Selecciona Consulta avanzada SQL. Se abrirá la herramienta de consultas avanzadas SQL.

Menú desplegable Investigación

Para obtener información sobre cómo utilizar la herramienta de consultas avanzadas SQL, consulta Módulo de consultas avanzadas SQL.

Algunas funcionalidades de la herramienta de consultas avanzadas SQL solo están disponibles para los clientes que acceden directamente a ella a través de la consola de Cytomic Orion.

Para conocer la sintaxis de la variante del lenguaje SQL utilizado en Cytomic Orion, consulta Sintaxis SQL del módulo Consultas avanzadas.

Esquema de base de datos

Cuando el administrador accede a la herramienta de consultas avanzadas SQL desde Advanced EDR, los eventos registrados en el equipo se almacenan en dos tablas:

  • Telemetry: almacena la telemetría registrada en los equipos.

  • Indicators: contiene los indicios registrados en los equipos. Los registros se muestran agrupados. Para conocer el algoritmo de agrupación consulta Agrupación de indicios.

El campo EventType de la tabla Telemetry es un enumerado que indica el tipo de evento almacenado en la fila correspondiente. Para conocer todos los tipos de eventos, consulta Formato de los eventos recogidos en la telemetría.

Identificadores de dispositivos (MUID)

La herramienta de consultas avanzadas muestra los eventos del océano de datos tal y como se almacenan en la base de datos. Algunas tablas almacenan las referencias a los equipos de la red utilizando su MUID (Machine Universal Identifier). Para obtener el nombre del equipo que corresponde a un MUID, busca el MUID en la consola de Advanced EDR. Consulta Equipos.

Grafos

Esta herramienta utiliza un diagrama de grafos para representar de forma gráfica mediante nodos y flechas los procesos involucrados en el análisis del administrador y sus relaciones. La información mostrada en un diagrama de grafos es equivalente a la incluida en la consola de investigación o en las consultas avanzadas, pero ordenada y presentada de forma más clara y fácil de interpretar para el administrador.

Abrir un diagrama de grafos

  • Haz clic en la pestaña Investigación del equipo seleccionado. Se abrirá la consola de investigación de Cytomic Orion.

  • Haz clic en el icono . Se mostrará el menú de contexto.

  • Selecciona Grafos. Se abrirá la ventana Nueva Investigación gráfica con el listado de plantillas de grafos definidas.

  • Selecciona una plantilla según el tipo de datos a mostrar en el diagrama. Para conocer las plantillas disponibles consulta Información contenida en diagramas de grafos. Si la plantilla requiere parámetros, se mostrará una ventana de tipo formulario para introducirlos.

Menú desplegable Investigación

Para obtener más información acerca de la herramienta Grafos consulta Diagramas de grafos.