Descripción de los permisos implementados

Acceso a consultas avanzadas

  • Al activar: el usuario de la cuenta tiene acceso a la zona Investigaciones y puede crear una pestaña de Consultas avanzadas para diseñar sentencias SQL y así explorar el océano de datos recogido por Cytomic Orion en busca de operaciones sospechosas.

  • Al desactivar: el usuario de la cuenta tiene acceso a la zona Investigaciones pero no puede crear ni visualizar ni modificar las pestañas de Consultas avanzadas.

Acceso a OSQuery

  • Al activar: el usuario de la cuenta tiene acceso a la zona Investigaciones y puede crear una pestaña de tipo Consulta OSQuery para crear un notebook utilizado en la exploración de la infraestructura IT de los clientes del SOC.

  • Al desactivar: el usuario de la cuenta tiene acceso a la zona Investigaciones pero no puede crear ni visualizar ni modificar las pestañas de tipo Consulta OSQuery.

Acceso al asistente para consultas

  • Al activar: el usuario de la cuenta tiene acceso a la zona Investigaciones y puede crear una pestaña de Asistente de consultas para diseñar búsquedas de forma sencilla y visual, y así explorar el océano de datos recogido por Cytomic Orion en busca de operaciones sospechosas.

  • Al desactivar: el usuario de la cuenta tiene acceso a la zona Investigaciones pero no puede crear ni visualizar ni modificar las pestañas de tipo Asistente de consultas.

Aislar/desaislar equipos

  • Al activar: el usuario de la cuenta puede restringir las comunicaciones de los equipos de los clientes del SOC para aislarlos si están en peligro o para contener los efectos de un ataque.

  • Al desactivar: el usuario de la cuenta no puede restringir las comunicaciones de los equipos de los clientes del SOC para aislarlos si están en peligro o para contener los efectos de un ataque.

Borrado de IOCs sobre todos los clientes

  • Al activar: el usuario de la cuenta puede ejecutar llamadas a la API de Cytomic Orion para borrar IOCs previamente cargados en la plataforma.

  • Al desactivar: el usuario de la cuenta no puede ejecutar llamadas a la API de Cytomic Orion para borrar IOCs previamente cargados en la plataforma.

Búsqueda de IOCs

  • Al activar: el usuario de la cuenta puede ejecutar llamadas a la API de Cytomic Orion para buscar en los equipos de los clientes los IOCs previamente cargados en la plataforma.

  • Al desactivar: el usuario de la cuenta no puede ejecutar llamadas a la API de Cytomic Orion buscar en los equipos de los clientes los IOCs previamente cargados en la plataforma.

Crear Hunting Rules y reglas de notificación sobre todos los clientes

  • Al activar: el usuario de la cuenta puede crear Hunting rules y reglas de notificación que afecten a todos los clientes sin importar la configuración de visibilidad que tenga asociada la cuenta.

  • Al desactivar: el usuario de la cuenta no puede crear Hunting rules y reglas de notificación que afecten a todos los clientes.

Crear Notebook para investigación manual

  • Al activar: el usuario de la cuenta puede crear editar y borrar Notebooks para automatizar las investigaciones.

  • Al desactivar: el usuario de la cuenta no puede crear, editar ni borrar Notebooks.

Crear Notebook desde plantilla para investigación automatizada

  • Al activar: el usuario de la cuenta tiene acceso a la opción Investigación automatizada accesible desde la barra de pestañas de una investigación para crear un notebook utilizando una plantilla previamente creada en Cytomic Orion.

  • Al desactivar: el usuario de la cuenta no tiene acceso a la opción Investigación automatizada y por lo tanto no puede crear un notebook utilizando plantillas.

Crear Quick answers

  • Al activar: el usuario de la cuenta puede crear y borrar pequeños fragmentos de código (Respuestas rápidas) para acelerar el desarrollo de investigaciones.

  • Al desactivar: el usuario de la cuenta no puede crear ni borrar pequeños fragmentos de código (Respuestas rápidas) para acelerar el desarrollo de investigaciones.

Crear reglas de notificación de señales

  • Al activar: el usuario de la cuenta puede crear, modificar y borrar reglas de notificación de señales generados por Hunting rules para los clientes que tenga visibilidad.

  • Al desactivar: el usuario de la cuenta no puede crear, modificar ni borrar reglas de notificación de señales generados por Hunting rules.

Eliminar señales y gestionar reglas de eliminación automática de señales

  • Al activar: el usuario de la cuenta puede borrar señales y crear, editar y borrar reglas de eliminación de señales.

  • Al desactivar: el usuario de la cuenta no puede borrar señales ni crear, editar ni borrar reglas de eliminación de señales, aunque sí puede listar las reglas preexistentes y ver las señales eliminadas por cada una de las reglas.

Gestionar certificados, secretos y claves de la organización

  • Al activar: el usuario de la cuenta puede crear, editar y borrar credenciales que pueden utilizar todos los usuarios de la consola para autenticar y autorizar el acceso de Cytomic Orion a servicios externos.

  • Al desactivar: el usuario de la cuenta no puede crear, editar y borrar credenciales que pueden utilizar todos los usuarios de la consola para autenticar y autorizar el acceso de Cytomic Orion a servicios externos.

Gestionar plantillas de Notebooks de investigación

  • Al activar: el usuario de la cuenta puede acceder a la zona Configuración, panel lateral Investigaciones automatizadas para crear, editar, publicar y borrar plantillas de Notebooks.

  • Al desactivar: el usuario de la cuenta no puede acceder a la zona Configuración, panel lateral Investigaciones automatizadas.

Gestionar Hunting rules

  • Al activar: el usuario de la cuenta puede crear, editar y activar o desactivar Hunting rules.

  • Al desactivar: el usuario de la cuenta no puede crear, editar o activar / desactivar Hunting rules aunque si puede listar las reglas preexistentes y ver su definición, si fueron creadas por una cuenta del SOC.

Gestionar reglas de asignación automática de señales

  • Al activar: el usuario de la cuenta puede crear, borrar, modificar o listar nuevas reglas de asignación automática de señales a investigaciones.

  • Al desactivar: el usuario de la cuenta no puede acceder a la zona Configuración, panel lateral Reglas de asignación a no ser que tenga asignado el permiso Visualizar reglas de asignación automática de señales. Consulta Visualizar reglas de asignación automática de señales.

Gestionar señales e incidentes

  • Al activar: el usuario de la cuenta puede añadir o retirar manualmente señales e incidentes de investigaciones.

  • Al desactivar: el usuario de la cuenta no puede añadir o retirar manualmente señales e incidentes de investigaciones.

Gestión de usuarios, permisos y clientes

  • Al activar: el usuario de la cuenta puede crear nuevos usuarios y roles, asignando permisos en función del perfil del analista y del nivel de servicio que se le haya asignado dentro del SOC y configurando la visibilidad de los clientes. Este permiso es común asignarlo a usuarios gestores del SOC.

  • Al desactivar: el usuario de la cuenta no puede acceder a la zona Configuración, panel lateral Usuarios ni Clientes.

Importación de IOCs sobre todos los clientes

  • Al activar: el usuario de la cuenta puede ejecutar llamadas a la API de Cytomic Orion para cargar nuevos IOCs en la plataforma.

  • Al desactivar: el usuario de la cuenta no puede ejecutar llamadas a la API de Cytomic Orion para cargar nuevos IOCs en la plataforma.

Pregunta al Asistente GenAI

  • Al activar: el usuario de la cuenta puede acceder al asistente GenAI para enviar preguntas desde las investigaciones.

  • Al desactivar: el usuario de la cuenta no puede acceder al asistente GenAI para enviar preguntas desde las investigaciones.

Reiniciar equipos

  • Al activar: el usuario de la cuenta puede invocar la secuencia de reinicio de los equipos de los clientes del SOC.

  • Al desactivar: el usuario de la cuenta no puede invocar la secuencia de reinicio de los equipos de los clientes del SOC.

Shell remoto y visualizar los comandos ejecutados

  • Al activar: el usuario de la cuenta puede abrir una linea de comandos remota en los equipos de los clientes del SOC.

  • Al desactivar: el usuario de la cuenta no puede abrir una linea de comandos remota en los equipos de los clientes del SOC.

Ver el dashboard de consumo de datos

  • Al activar: el usuario de la cuenta puede abrir el dashboard de consumo de datos haciendo clic en el panel Consumo de datos.

  • Al desactivar: el usuario de la cuenta no puede abrir el dashboard de consumo de datos.

Ver nombres de los clientes

  • Al activar: la consola mostrará el nombre del cliente al que pertenecen los equipos y no un simple identificador numérico.

  • Al desactivar: impide visualizar el nombre del cliente investigado, mostrándose únicamente su identificador numérico. De esta forma el analista no podrá vincular los datos mostrados en Cytomic Orion a clientes concretos, respetando de esta manera los acuerdos de confidencialidad firmados y la legislación en materia de protección de datos (GDPR y otras normativas).

Ver nombres de los equipos

  • Al activar: la consola mostrará el nombre del equipo y no solo un identificador numérico.

  • Al desactivar: impide visualizar el nombre del equipo analizado, mostrándose únicamente su identificador numérico. De esta forma el analista no podrá asociar los datos mostrados en Cytomic Orion a equipos concretos, respetando de esta manera los acuerdos de confidencialidad firmados y la legislación en materia de protección de datos (GDPR y otras normativas).

Ver registro de actividad de la organización

  • Al activar: el usuario de la cuenta tiene acceso a la opción Registro de actividad, accesible desde el menú superior Configuración para ver la lista de las acciones ejecutadas por las cuentas de usuario que han sido realizadas fuera de una investigación.

  • Al desactivar: el usuario de la cuenta no tiene acceso a la opción Registro de actividad.

Visualizar reglas de asignación automática de señales

  • Al activar: el usuario de la cuenta puede ver la lista de reglas de asignación automática de señales a investigaciones creadas.

  • Al desactivar: el usuario de la cuenta no puede acceder a la zona Configuración, panel lateral Reglas de asignación.

Visualización de grafos

  • Al activar: el usuario de la cuenta tiene acceso a la opción Grafos, accesible desde una investigación o desde un evento mostrado en la consola de investigación, para visualizar un notebook de tipo grafo.

  • Al desactivar: el usuario de la cuenta no tiene acceso a la opción Grafos.