Búsqueda de ficheros

Requisitos de las búsquedas

Para realizar una búsqueda de ficheros en los equipos de la red es necesario cumplir con los siguientes requisitos:

  • La cuenta de usuario que lanza la búsqueda desde la consola web tiene que tener asignado un rol con el permiso Buscar información en los equipos. Consulta Acceso, control y supervisión de la consola de administración para obtener más información sobre los roles.

  • Los equipos sobre los que se ejecutan las búsquedas deben de contar con una licencia de Cytomic Data Watch asignada.

  • Los equipos sobre los que se ejecutan las búsquedas deben de tener asignada una configuración de Cytomic Data Watch con la opción Permitir realizar búsquedas de información en los equipos habilitada. Consulta Configuración de Cytomic Data Watch

Widget de búsquedas

Es el punto de entrada para toda la funcionalidad, y permite visualizar búsquedas y gestionarlas.

Para acceder al widget Búsquedas haz clic en el menú superior Estado, panel lateral Cytomic Data Watch

Panel Búsquedas

El widget contiene los controles mostrados a continuación:

  • (1) Caja de texto para introducir los términos a buscar. Consulta Sintaxis de las búsquedaspara una descripción de los comandos aceptados por Cytomic Data Watch.

  • (2) Búsqueda avanzada: limita el ámbito de búsqueda.

  • (3) Configuración: acceso al listado de perfiles de configuración de Cytomic Data Watch. Para más información consulta Configuración de Cytomic Data Watch.

  • (4) Ayuda: enlace a la página web de soporte de Cytomic donde se muestra la sintaxis de las búsquedas de Cytomic Data Watch actualizada con los últimos cambios introducidos.

  • (5) Búsquedas almacenadas: búsquedas definidas anteriormente y que pueden ser relanzadas en el parque informático.

  • (6) Menú de contexto de la búsqueda: permite editar el nombre de la búsqueda, cambiar sus parámetros, volverla a lanzar y eliminarla.

Propiedades y requisitos de las búsquedas

Para completar con éxito una búsqueda es necesario cumplir con los siguientes requisitos:

  • La cuenta de usuario que lanza la búsqueda desde la consola web tiene que tener asignado un rol con el permiso Buscar información en los equipos. Consulta Acceso, control y supervisión de la consola de administración para obtener más información sobre los roles.

  • Los equipos sobre los que se efectúan las búsquedas deben de contar con una licencia de Cytomic Data Watch asignada.

  • Los equipos sobre los que se efectúan las búsquedas deben de tener asignada una configuración de Cytomic Data Watch con la opción Permitir realizar búsquedas de información en los equipos habilitada.

Propiedades de las búsquedas

  • El número de búsquedas concurrentes por cada cuenta de usuario es 10. Pasado este número se mostrará un mensaje de error en la consola web.

  • El número máximo de búsquedas guardadas por cuenta de usuario es 30. Pasado este número se mostrará un mensaje de error en la consola web.

  • El número máximo de resultados en total por cada búsqueda es 10.000. Los resultados más allá de este número no se mostrarán en la consola web.

  • El número máximo de resultados por cada equipo es 10.000 / número de equipos sobre los que se ejecuta la búsqueda. De esta forma, si se busca sobre un parque de 100 equipos, el número máximo de resultados mostrados será 10.000 / 100 = 100 resultados por equipo.

  • El número mínimo de resultados mostrados por equipo, independientemente del número de equipos de la red es 10.

  • El número máximo de equipos sobre los que se ejecutan búsquedas de forma simultánea es 50. Si el número total de equipos que participaran en la búsqueda es mayor, las búsquedas más allá de este límite se mantendrán en espera hasta que las primeras se vayan completando.

Proceso de normalización

El proceso de normalización no influye en la detección de entidades.

Cytomic Data Watch aplica una serie de reglas a los datos recibidos del proceso de indexación para homogeneizarlos. Debido a que las búsquedas ejecutadas por el administrador se aplican sobre los datos ya normalizados, es necesario conocer estas reglas dado que pueden influir en los resultados mostrados en la consola web.

Transformación de las cadenas a minúsculas

Antes de almacenar una cadena en la base de datos, ésta se transforma a minúsculas.

Caracteres de separación

Cytomic Data Watch detecta un grupo de caracteres especiales que considera como separadores entre palabras y que retira completamente del índice, excepto si esos caracteres forma parte de una entidad:

  • Retorno de carro: \r

  • Salto de línea: \n

  • Tabulador: \t

  • Caracteres: " : ; ! ? - + _ * = ( ) [ ] { } , . | % \ / ’

Por ejemplo “Cytomic.Data(Watch” se almacenará como tres palabras sueltas sin los caracteres de puntuación: “cytomic”, “data” y “watch”.

Normalización de entidades

El proceso de normalización de entidades sigue reglas independientes:

Entidad Caracteres de separación Configuración de la indexación

  • Cuentas bancarias

  • Tarjetas de crédito

  • Número de identidad personal

  • Números de teléfono

  • Números de carnet de conducir

  • Números de pasaporte

  • Números de la seguridad social

Se eliminan. La entidad se almacena en el índice como un único elemento.

No se tiene en cuenta

  • Direcciones IP

  • Direcciones de correo electrónico

Se respetan. La entidad se almacena en el índice como un único elemento.

No se tiene en cuenta

  • Nombres y apellidos

  • Direcciones físicas

Se utilizan como carácter separador. La entidad se almacena en el índice como varios elementos.

Si se tiene en cuenta

Reglas de normalización de entidades
Ejemplos de normalización de entidades

  • “1.42.67.116-C” se almacena como la entidad de tipo IDCARD “14267116C”.

  • “192.168.1.1” se almacena como la entidad de tipo IP “192.168.1.1”.

  • “Calle Santiago de Compostela 5 1º Izquierda” se almacenará como “calle”, “santiago”, “de”, “compostela”, “izquierda” si el método de indexación es Solo texto o como “calle”, “santiago”, “de”, “compostela”, “5”, “1”, “izquierda” si el método de indexación es Todo.

Crear una búsqueda

Crear una búsqueda libre

  • Haz clic en el menú superior Estado, panel lateral Cytomic Data Watch.

  • Introduce en la caja de texto del widget Búsquedas los términos de búsqueda según la sintaxis mostrada en Sintaxis de las búsquedas.

  • Haz clic en el icono o pulsa la tecla Enter.

Una vez introducida la búsqueda se abrirá la ventana Resultados de la búsqueda. Consulta Búsquedas almacenadas para editar la búsqueda introducida.

Crear una búsqueda guiada

  • Haz clic en el menú superior Estado, panel lateral Cytomic Data Watch.

  • Haz clic en el enlace Búsqueda avanzada.

  • Elige en el selector Búsqueda guiada.

  • Configura los parámetros de la búsqueda.

Parámetros de búsqueda avanzada:
Parámetro Descripción

Nombre de la búsqueda

Establece un nombre para la búsqueda almacenada.

Buscar archivos con

Introduce el contenido a buscar. Se incluyen tres cajas de texto.

  • Todas estas palabras o frases exactas: busca los ficheros que contienen todas las palabras o entidades indicadas.

  • Alguna de estas palabras o frases exactas: busca los ficheros que contienen alguna o todas las palabras o entidades indicadas.

  • Ninguna de estas palabras o frases exactas: busca los ficheros que no contienen ninguna de las palabras.

Información personal

Marca las casillas de selección para indicar las entidades que deberán aparecer en los ficheros PII buscados.

  • Todos: todas las entidades seleccionadas deberán detectarse en el fichero PII (lógica AND) para que el fichero se incluya en la lista de encontrados.

  • Alguno: algunas o todas las entidades seleccionadas deberán detectarse en el fichero PII (lógica OR) para que el fichero se incluya en la lista de encontrados.

Limitar la búsqueda a

Equipos:

  • Todos: busca el contenido introducido en todos los equipos que tengan una licencia de Cytomic Data Watch asignada y esté habilitada la opción de búsqueda en su configuración.

  • Los siguientes equipos: muestra un listado de los equipos que tengan una licencia de Cytomic Data Watch asignada. Indica con las casillas de selección los equipos en los que se buscará el contenido introducido.

  • Los siguientes grupos de equipos: muestra el árbol de grupos con la jerarquía de equipos configurada en Advanced EDR. Indica con la casilla de selección los grupos donde se buscará el contenido introducido.

Cancelar automáticamente la búsqueda

Indica el tiempo de espera para los equipos apagados o sin conexión antes de cancelar la búsqueda.

Parámetros de la búsqueda avanzada

Búsquedas almacenadas

Tanto las búsquedas libres como las guiadas se almacenan para poder ser lanzadas posteriormente de forma rápida.

Una vez creada una nueva búsqueda, ésta aparecerá en el widget Búsquedas con la fecha y hora de su creación, junto al nombre y una leyenda indicando su estado (En curso, Cancelada) o sin estado (Finalizada).

Cambiar el nombre de una búsqueda almacenada

Haz clic en el menú de contexto (6 en Panel Búsquedas) de la búsqueda y elige Cambiar nombre.

Hacer una copia de una búsqueda almacenada

Para duplicar una búsqueda almacenada haz clic en el menú de contexto (6 en Panel Búsquedas) de la búsqueda y elige Hacer una copia. Se mostrará la ventana de configuración de la búsqueda y se renombrará a “Copia de “.

Volver a lanzar una búsqueda almacenada

Haz clic en el menú de contexto de la búsqueda (6 en Panel Búsquedas) y elige Relanzar búsqueda. El estado de la búsqueda cambiará e indicará el porcentaje de la tarea realizada.

Cancelar y eliminar búsquedas almacenadas

Haz clic en el menú de contexto de la búsqueda (6 en Panel Búsquedas) y elige Cancelar para interrumpir la búsqueda o en Borrar para cancelarla y borrarla del widget Búsquedas.

Editar búsquedas almacenadas

Haz clic en el menú de contexto (6 en Panel Búsquedas) y elige Editar búsqueda para abrir la ventana de búsqueda avanzada con sus parámetros cargados y modificarla.

Visualizar los resultados de una búsqueda

Para visualizar el resultado de una búsqueda accede al listado Buscar en los equipos de dos formas:

  • Haciendo clic en una búsqueda almacenada.

  • Creando una nueva búsqueda.

Este listado muestra los equipos que contienen la cadena de búsqueda introducida, junto al nombre del fichero encontrado y otra información útil.

Cabecera de listado

Configura los parámetros de la búsqueda rápida:

Ventana Resultados de una búsqueda

  • (1) Icono : cambia el nombre de la búsqueda.

  • (2) Caja de texto: contenido de la búsqueda.

  • (3) Buscar en: “x equipos”: abre la ventana de búsqueda avanzada para refinarla.

  • (4) Buscando: estado de la búsqueda (En curso, Cancelada). Si la búsqueda no se ha iniciado o ha terminado no se indica el estado.

  • (5) Caja de texto Buscar: filtra los resultados mostrados en la tabla de resultados por el nombre de equipo.

Campos del listado
Campo Comentario Valores

Archivo

Nombre del fichero encontrado.

Cadena de caracteres

Equipo

Nombre del equipo donde se encontró el fichero.

Cadena de caracteres

Grupo

Grupo de Advanced EDR al que pertenece el equipo.

Cadena de caracteres

Ruta

Ruta dentro del dispositivo de almacenamiento donde se encuentra el fichero.

Cadena de caracteres

Campos del listado Búsqueda de información personal en los equipos
Campos mostrados en fichero exportado
Campo Comentario Valores

Archivo

Nombre del fichero encontrado.

Cadena de caracteres

Equipo

Nombre del equipo donde se encontró el fichero.

Cadena de caracteres

Grupo

Grupo de Advanced EDR al que pertenece el equipo.

Cadena de caracteres

Ruta

Ruta dentro del dispositivo de almacenamiento donde se encuentra el fichero.

Cadena de caracteres

DNIs

Indica si se detectó una o más entidades del tipo Documento Nacional de Identidad o equivalentes (Documento de identidad, Cédula de identidad / ciudadanía, Registro civil etc.) en el fichero.

Booleano

Pasaportes

Indica si se detectó una o más entidades del tipo Pasaporte en el fichero.

Booleano

Tarjeta de crédito

Indica si se detectó una o más entidades del tipo Número de tarjeta de crédito en el fichero.

Booleano

Cuentas bancarias

Indica si se detectó una o más entidades del tipo Número de cuenta bancaria en el fichero.

Booleano

Permisos de conducir

Indica si se detectó una o más entidades del tipo Permiso de conducir en el fichero.

Booleano

Números de la Seguridad Social

Indica si se detectó una o más entidades del tipo Número de la seguridad social en el fichero.

Booleano

Direcciones de correo electrónico

Indica si se detectó una o más entidades del tipo Dirección de correo electrónico en el fichero.

Booleano

IPs

Indica si se detectó una o más entidades del tipo Dirección IP en el fichero.

Booleano

Nombres y apellidos

Indica si se detectó una o más entidades del tipo Nombre y apellidos en el fichero.

Booleano

Direcciones

Indica si se detectó una o más entidades del tipo Dirección en el fichero.

Booleano

Números de teléfono

Indica si se detectó una o más entidades de tipo Número de teléfono en el fichero.

Booleano

Campos del fichero exportado Búsqueda de información personal en los equipos

Sintaxis de las búsquedas

Cytomic Data Watch permite búsquedas flexibles de ficheros por contenido utilizando texto plano y modificadores para acotar el ámbito de los resultados.

Sintaxis admitida en búsquedas rápidas

  • Palabra: busca “palabra” en el contenido del documento y en los metadatos.

  • PalabraA PalabraB: busca “palabraa” o “palabrab” (operador OR) en el contenido del documento.

  • “PalabraA PalabraB”: busca “palabraa” y “palabrab” seguidas en el contenido del documento.

  • +PalabraA +PalabraB: busca “palabraa” y “palabrab” en el contenido del documento.

  • +Palabraa -Palabrab: busca “palabraa” y no “palabrab” en el contenido del documento.

  • Palabra*: busca todas las palabras que empiezan por “palabra”. El carácter “*” solo se permite al final de la cadena de caracteres a buscar.

  • Pa?abra: busca todas las palabras que empiezan por “pa”, terminan por “abra” y tienen entre los dos grupos un único carácter alfabético. El carácter “?” puede ir colocando en cualquier punto de la cadena de caracteres a buscar.

  • Palabra~: busca todas las palabras que contienen la cadena de caracteres “palabra”.

Sintaxis admitida en búsquedas guiadas

En las búsquedas guiadas no se utilizan los caracteres “+” y “-“. En su lugar las palabras a buscar se distribuyen en las diferentes cajas de texto presentadas en la pantalla. Si utilizas los caracteres “+” y “-“, éstos formarán parte de la búsqueda.

Entidades disponibles

Para acotar el ámbito de los resultados Cytomic Data Watch admite el uso de calificadores para indicar entidades o características del fichero en las búsquedas rápidas y avanzadas. Los calificadores disponibles son:

Calificador Descripción

PiiType

Especifica si un tipo de entidad fue detectada en el fichero.

HasPii

Indica que el fichero contiene entidades detectadas.

Filename

Indica el nombre del fichero.

FileExtension

Indica la extensión del fichero.

Calificadores disponibles

Los valores admitidos para los calificadores son:

Calificador Descripción

PiiType:BANKACCOUNT

Ficheros que contienen una o más entidades de tipo Cuenta bancaria.

PiiType:CREDITCARD

Ficheros que contienen una o más entidades de tipo Tarjeta de crédito.

PiiType:IDCARD

Ficheros que contienen una o más entidades de tipo Documento de identidad (documento nacional de identidad, Cédula de identidad / ciudadanía, Registro civil etc.).

PiiType:SSN

Ficheros que contienen una o más entidades de tipo Número de la seguridad social.

PiiType:IP

Ficheros que contienen una o más entidades de tipo Dirección IP.

PiiType:EMAIL

Ficheros que contienen una o más entidades de tipo Dirección de correo electrónico.

PiiType:PHONE

Ficheros que contienen una o más entidades de tipo Teléfono.

PiiType:ADDRESS

Ficheros que contienen una o más entidades de tipo Dirección.

PiiType:FULLNAME

Ficheros que contienen una o más entidades de tipo Nombre y apellidos.

PiiType:PASSPORT

Ficheros que contienen una o más entidades de tipo Número de pasaporte.

PiiType:DRIVERLIC

Ficheros que contienen una o más entidades de tipo Numero de licencia / permiso de conducción.

HasPii:True

Ficheros que contienen alguna entidad detectada.

Filename:”nombre del fichero”

Ficheros que tienen como nombre la cadena indicada.

Fileextension:”extensión del fichero”

Ficheros que tienen como extensión la cadena indicada.

Valores admitidos en los calificadores

Sintaxis de las búsquedas con entidades

Las entidades se pueden utilizar en todos los tipos de búsqueda (rápida o guiada) de forma individual o combinadas con otras cadenas de caracteres.

  • PiiType:IDCARD: busca todos los ficheros con alguna entidad detectada de tipo Documento de identidad.

  • +PiiType:IDCARD +“Empresa”: busca el fichero que contiene el listado de documentos de identidad (con alguna detección de entidad IDCARD) de la empresa (que contenta la cadena de caracteres “Empresa”).

  • +Filename:analisis* +fileextension:docx -PiiType:fullname: busca todos los ficheros de análisis (su nombre empieza por la palabra “análisis”) en formato Word (extensión docx) y no están firmados (no se detectó ninguna entidad de tipo Fullname – Nombre y apellidos).

Consejos para construir búsquedas compatibles con la normalización

  • Utiliza preferiblemente letras en minúsculas.

  • Ten en cuenta la configuración establecida sobre el contenido de los ficheros a indexar y los ficheros excluidos, ya que de ello dependerá el número de resultados mostrados en las búsquedas.

  • Para buscar números de cuentas bancarias, números de tarjetas de crédito, números de identidad, números de la seguridad social, números de pasaporte, números de permiso elimina los caracteres de separación de la búsqueda.

  • Para buscar direcciones IP y direcciones de correo electrónico introdúcelas tal cual.

  • Para buscar números de teléfono elimina los caracteres de separación, introduciendo el código del país si es necesario, sin el signo “+”.

  • Para buscar direcciones físicas elimina los caracteres numéricos.