Delete Indicators Automatically

Crea reglas de eliminación automática de indicios para cambiar al estado Eliminado los indicios que cumplan los criterios de tu elección y que no has asignado previamente a una investigación.

Los indicios marcados como Eliminados pasan a la papelera durante 7 días, trascurrido ese tiempo serán eliminados definitivamente.

Las reglas de eliminación solo asignan el estado Eliminado a los indicios de nueva creación. Los indicios ya detectados no se ven afectados por las reglas de eliminación creadas posteriormente.

Listar de reglas de eliminación

En el menú superior Configuración, haz clic en el panel lateral Reglas de eliminación. Se mostrará un listado con todas las reglas de eliminación creadas hasta el momento.

Field Description

Name

Deletion rule name assigned by the analyst.

Creation date

Date the deletion rule was created.

Modification date

Date the deletion rule was last modified.

Description

Description assigned by the analyst.

Hunting rule

Name of the hunting rule that generated the indicator and description of the artifacts monitored on the client’s computer.

MUID

Identificador del equipo donde se registró el indicio.

ID Cliente

Identificador del cliente al que pertenece el equipo donde se registró el indicio.

Nombre del equipo

Nombre del equipo donde se registró el indicio.

Details

 Campo Detalles de la regla de eliminación.

Indicator details

 Campo Detalles del indicio.

Indicators deleted in the last 30 days

Number of indicators deleted by the rule in the last 30 days. Analysts can use this field to determine the usefulness of the deletion rule.

Last deletion date

Date and time the rule last deleted an indicator. Analysts can use this field to determine the usefulness of the deletion rule.

Fields in the Deletion Rules list

Añadir una regla de eliminación

Para crear una regla de eliminación a partir de un indicio:

  • En el menú superior, selecciona Indicios. Se abrirá el listado de indicios.

  • Selecciona un indicio con las casillas de selección. Comprueba que solo has seleccionado un indicio.

  • En la barra de herramientas, haz clic en el botón Añadir regla de eliminación automática. Se abrirá la ventana Añadir regla de eliminación automática con los campos de la regla ya establecidos según el contenido del indicio seleccionado.

  • Escribe el Nombre de la regla de eliminación en la caja de texto.

  • Escribe la Descripciónde la regla de eliminación en la caja de texto (opcional).

  • Para establecer los criterios de eliminación de la regla, consulta Configurar criterios de eliminación.

  • Haz clic en Aceptar. La regla de eliminación se añadirá y comenzará a eliminar los indicios de nueva creación que coincidan con su definición.

Configurar criterios de eliminación

Cytomic Orion crea reglas de eliminación de la forma más restrictiva posible a partir de un indicio existente.

En el caso de que una regla de eliminación tenga varios criterios establecidos, aplicará el operador lógico AND entre ellos para filtrar únicamente los indicios que cumplen con todos los criterios establecidos en la regla de eliminación.

Para añadir o eliminar un criterio de selección a la regla de eliminación, haz clic en la casilla de selección situada a la izquierda del criterio (1):

Criterios de una regla de eliminación

  • ID Cliente: identificadores de los clientes asociados a los indicios a eliminar. Todas las reglas de eliminación deben tener definido al menos un cliente.

  • Hunting Rule: nombre de la Hunting rule que generó los indicios a eliminar.

  • MUID: identificadores de los equipos donde se encontraron los indicios a eliminar.

  • Nombre del equipo: nombres de los equipos donde se encontraron los indicios a eliminar.

  • Detalles: especifica el campo Detalles de los indicios a eliminar.

Para añadir elementos a los criterios ID Cliente, Hunting Rule y MUID mediante las listas desplegables:

  • Haz clic en una de las listas desplegable (2). Se mostrarán los elementos disponibles.

  • Selecciona un elemento. Se añadirá a la lista de elementos (3) asociada.

Para añadir elementos a los criterios ID Cliente o MUID mediante listados:

  • Haz clic en el icono (4) asociado al criterio. Se abrirá una ventana con el listado Añadir clientes o Añadir equipo.

  • Para filtrar el listado, en la caja de texto Buscar, escribe parte del elemento. El listado se actualizará con los elementos que coincidan parcialmente con el texto.

  • Haz clic en las casillas de selección junto a los elementos que quieres añadir.

  • Haz clic en Añadir. Los elementos se añadirán a la lista (3).

Para añadir elementos a los criterios mediante las cajas de texto:

  • Escribe el elemento en la caja de texto del criterio

  • Pulsa la tecla Enter. El elemento se añadirá al listado de elementos asociado al criterio (3).

Para borrar un elemento de los criterios ID Cliente, Hunting Rule y MUID:

  • Haz clic en el icono asociado al elemento. El elemento se borrará de la lista.

Para especificar el campo Detalles del incidente:

  • Haz cliente en el la lista desplegable (5).

  • Selecciona Igual a para establecer el contenido del campo exacto del campo Detalles.

  • Selecciona Regex para establecer el contenido del campo Detalles de forma flexible mediante una expresión regular. Consulta Expresiones regulares para más información.

Expresiones regulares

For more information about the syntax allowed in regular expressions, see https://docs.microsoft.com/en-us/dotnet/standard/base-types/regular-expression-language-quick-reference.
To validate the regular expressions created, see http://regexstorm.net/tester.

Cytomic Orion supports RegEx C to describe flexible patterns in the Details field of indicators. As with most languages used to describe character patterns, you must escape those characters considered special or belonging to the language itself. To this end, the “\” character is used in RegEx C.

To help with the development of regular expressions, there is a preview panel which enables you to check whether the patterns you want to search for match the regular expression as you write it.

To generate a regular expression, select the RegEx option from the drop-down menu in the Details field. The content of the field updates with a regular expression that meets the content of the preview panel. All the special characters are escaped automatically by the console to make it easier for the analyst to edit the regular expression.

Example of Exclusion Created by Using Regular Expressions in the Details Field

You want to remove from the Indicators panel all executions of the net.exe tool when it tries to add the “gcch\GG_SEC_IBM_PC_Admins” user to the administrators group, because it is a frequent action but risk free.

The indicator generated by Cytomic Orion in this situation is this:

{

“contents”:

[

{

“ChildPath”: “SYSTEM|\net.exe”,

“CommandLine”: “net localgroup administrators “gcch\GG_SEC_IBM_PC_Admins” /add”,

“ParentPath”: “SYSTEM|\cmd.exe”,

“extendedInfo”:“”,

“loggedUser”: “NT AUTHORITY\SYSTEM”

}

]

}

The indicator is shown in a compact format in the Details field of the Cytomic Orion console:

{“contents”:[{“ChildPath”:“SYSTEM|\net.exe”,“CommandLine”:“net localgroup administrators “gcch\GG_SEC_IBM_PC_Admins /add”,“ParentPath”:“SYSTEM|\cmd.exe”,”extendedInfo”:“”,“loggedUser”: “NT AUTHORITY\SYSTEM”}]}

The regular expression that filters indicators by the content of the Details field according to the criteria established by the analyst would be:

{"ChildPath":"SYSTEM\|\\net.exe".+gcch\\GG_SEC_IBM_PC_Admins

The preview panel enables you to verify that the regular expression defined generates the character pattern that matches the content of the indicator’s Details field.

Editar una regla de eliminación

  • En el menú superior, selecciona Configuración.

  • En el menú lateral izquierdo, selecciona Reglas de eliminación. Se mostrará el listado de reglas de eliminación creadas.

  • Haz clic en las regla de eliminación que quieres editar. Se abrirá la ventana Editar Regla de Eliminación. Consulta Añadir una regla de eliminación.

Borrar una regla de eliminación

Para borrar una regla de eliminación desde el listado de reglas de eliminación:

  • En el menú superior, selecciona Configuración.

  • En el menú lateral izquierdo, selecciona Reglas de eliminación. Se abrirá el listado de reglas de eliminación creadas.

  • Haz clic en las casillas de selección junto a las reglas de eliminación que quieres eliminar.

  • En la barra de acciones, haz clic en Eliminar . Se abrirá una ventana de confirmación.

  • Haz clic en Si. Los indicios borrados por la regla de eliminación pasarán a estado Pendiente. Los indicios anteriores a 7 días se perderán.

Para borrar una regla de eliminación asociada a una Hunting rule concreta:

  • En el menú superior, selecciona Indicios. Se mostrará el listado de indicios.

  • En el menú lateral, haz clic en el icono junto a Papelera . Se mostrarán todas las hunting rules que tienen reglas de eliminación asociadas.

  • Haz clic en la hunting rule que tiene asociada la regla de eliminación que quieres borrar. Se mostrarán las reglas de eliminación asociadas a la hunting rule.

  • Haz clic en el icono junto a la regla de eliminación que quieres borrar. Se mostrará un menú de contexto.

  • Selecciona Eliminar. Se abrirá una ventana de confirmación.

  • Haz clic en Si. Los indicios borrados por la regla de eliminación pasarán a estado Pendiente. Los indicios anteriores a 7 días se perderán.

Exportar el listado de reglas de eliminación

  • En el menú superior, selecciona Configuración.

  • En el menú lateral izquierdo, selecciona Reglas de eliminación. Se abrirá el listado de reglas de eliminación creadas.

  • Haz clic en el icono para descargar un fichero .csv con el contenido del listado Reglas de eliminación. El fichero .csv con el contenido del listado se descargará en tu equipo.

Change Log for Deletion Rules

To see the changes that console users have made to a deletion rule:

  • From the top menu, select Settings.

  • From the side menu, select Deletion rules. A list opens that shows all the deletion rules created so far.

  • Select the deletion rule to see its change log. The Edit deletion rule page opens.

  • Click the icon in the upper-right corner of the page. The Activity log dialog box opens and shows a history of all changes made by analysts to the deletion rule settings.

Field Description

Name

Name of the modified deletion rule.

Description

Description of the modified deletion rule.

Modification date

Date the deletion rule was last modified.

Computer names

 Computers assigned to the modified deletion rule.

Hunting rule

Name of the hunting rule associated with the modified deletion rule.

MUIDs

Identifiers of the computers associated with the indicators to delete by the modified deletion rule.

Clients

Identifiers of the clients associated with the indicators to delete by the modified deletion rule.

User

Web console user account that modified the indicator deletion rule.

Action

  • Update

  • Creation

Fields in the Activity Log list