Descripción de los permisos implementados

Acceso a consultas avanzadas

  • Al activar: el usuario de la cuenta tiene acceso a la zona Investigaciones y puede crear una pestaña de Consultas avanzadas para diseñar sentencias SQL y así explorar el océano de datos recogido por Cytomic Orion en busca de operaciones sospechosas.

  • Al desactivar: el usuario de la cuenta tiene acceso a la zona Investigaciones pero no puede crear ni visualizar ni modificar las pestañas de Consultas avanzadas.

Acceso a OSQuery

  • Al activar: el usuario de la cuenta tiene acceso a la zona Investigaciones y puede crear una pestaña de tipo Consulta OSQuery para crear un notebook utilizado en la exploración de la infraestructura IT de los clientes del SOC.

  • Al desactivar: el usuario de la cuenta tiene acceso a la zona Investigaciones pero no puede crear ni visualizar ni modificar las pestañas de tipo Consulta OSQuery.

Acceso al asistente para consultas

  • Al activar: el usuario de la cuenta tiene acceso a la zona Investigaciones y puede crear una pestaña de Asistente de consultas para diseñar búsquedas de forma sencilla y visual, y así explorar el océano de datos recogido por Cytomic Orion en busca de operaciones sospechosas.

  • Al desactivar: el usuario de la cuenta tiene acceso a la zona Investigaciones pero no puede crear ni visualizar ni modificar las pestañas de tipo Asistente de consultas.

Aislar/desaislar equipos

  • Al activar: el usuario de la cuenta puede restringir las comunicaciones de los equipos de los clientes del SOC para aislarlos si están en peligro o para contener los efectos de un ataque.

  • Al desactivar: el usuario de la cuenta no puede restringir las comunicaciones de los equipos de los clientes del SOC para aislarlos si están en peligro o para contener los efectos de un ataque.

Borrado de IOCs sobre todos los clientes

  • Al activar: el usuario de la cuenta puede ejecutar llamadas a la API de Cytomic Orion para borrar IOCs previamente cargados en la plataforma.

  • Al desactivar: el usuario de la cuenta no puede ejecutar llamadas a la API de Cytomic Orion para borrar IOCs previamente cargados en la plataforma.

Búsqueda de IOCs

  • Al activar: el usuario de la cuenta puede ejecutar llamadas a la API de Cytomic Orion para buscar en los equipos de los clientes los IOCs previamente cargados en la plataforma.

  • Al desactivar: el usuario de la cuenta no puede ejecutar llamadas a la API de Cytomic Orion buscar en los equipos de los clientes los IOCs previamente cargados en la plataforma.

Crear Hunting Rules y reglas de notificación sobre todos los clientes

  • Al activar: el usuario de la cuenta puede crear Hunting rules y reglas de notificación que afecten a todos los clientes sin importar la configuración de visibilidad que tenga asociada la cuenta.

  • Al desactivar: el usuario de la cuenta no puede crear Hunting rules y reglas de notificación que afecten a todos los clientes.

Crear Notebook para investigación manual

  • Al activar: el usuario de la cuenta puede crear editar y borrar Notebooks para automatizar las investigaciones.

  • Al desactivar: el usuario de la cuenta no puede crear, editar ni borrar Notebooks.

Crear Notebook desde plantilla para investigación automatizada

  • Al activar: el usuario de la cuenta tiene acceso a la opción Investigación automatizada accesible desde la barra de pestañas de una investigación para crear un notebook utilizando una plantilla previamente creada en Cytomic Orion.

  • Al desactivar: el usuario de la cuenta no tiene acceso a la opción Investigación automatizada y por lo tanto no puede crear un notebook utilizando plantillas.

Crear Quick answers

  • Al activar: el usuario de la cuenta puede crear y borrar pequeños fragmentos de código (Respuestas rápidas) para acelerar el desarrollo de investigaciones.

  • Al desactivar: el usuario de la cuenta no puede crear ni borrar pequeños fragmentos de código (Respuestas rápidas) para acelerar el desarrollo de investigaciones.

Crear reglas de notificación de indicios

  • Al activar: el usuario de la cuenta puede crear, modificar y borrar reglas de notificación de indicios generados por Hunting rules para los clientes que tenga visibilidad.

  • Al desactivar: el usuario de la cuenta no puede crear, modificar ni borrar reglas de notificación de indicios generados por Hunting rules.

Eliminar indicios y gestionar reglas de eliminación automática de indicios

  • Al activar: el usuario de la cuenta puede borrar indicios y crear, editar y borrar reglas de eliminación de indicios.

  • Al desactivar: el usuario de la cuenta no puede borrar indicios ni crear, editar ni borrar reglas de eliminación de indicios, aunque sí puede listar las reglas preexistentes y ver los indicios eliminados por cada una de las reglas.

Gestionar plantillas de Notebooks de investigación

  • Al activar: el usuario de la cuenta puede acceder a la zona Configuración, panel lateral Investigaciones automatizadas para crear, editar, publicar y borrar plantillas de Notebooks.

  • Al desactivar: el usuario de la cuenta no puede acceder a la zona Configuración, panel lateral Investigaciones automatizadas.

Gestionar Hunting rules

  • Al activar: el usuario de la cuenta puede crear, editar y activar o desactivar Hunting rules.

  • Al desactivar: el usuario de la cuenta no puede crear, editar o activar / desactivar Hunting rules aunque si puede listar las reglas preexistentes y ver su definición, si fueron creadas por una cuenta del SOC.

Gestionar reglas de asignación automática de indicios

  • Al activar: el usuario de la cuenta puede crear, borrar, modificar o listar nuevas reglas de asignación automática de indicios a investigaciones.

  • Al desactivar: el usuario de la cuenta no puede acceder a la zona Configuración, panel lateral Reglas de asignación.

Gestión de usuarios, permisos y clientes

  • Al activar: el usuario de la cuenta puede crear nuevos usuarios y roles, asignando permisos en función del perfil del analista y del nivel de servicio que se le haya asignado dentro del SOC y configurando la visibilidad de los clientes. Este permiso es común asignarlo a usuarios gestores del SOC.

  • Al desactivar: el usuario de la cuenta no puede acceder a la zona Configuración, panel lateral Usuarios ni Clientes.

Importación de IOCs sobre todos los clientes

  • Al activar: el usuario de la cuenta puede ejecutar llamadas a la API de Cytomic Orion para cargar nuevos IOCs en la plataforma.

  • Al desactivar: el usuario de la cuenta no puede ejecutar llamadas a la API de Cytomic Orion para cargar nuevos IOCs en la plataforma.

Reiniciar equipos

  • Al activar: el usuario de la cuenta puede invocar la secuencia de reinicio de los equipos de los clientes del SOC.

  • Al desactivar: el usuario de la cuenta no puede invocar la secuencia de reinicio de los equipos de los clientes del SOC.

Shell remoto y visualizar los comandos ejecutados

  • Al activar: el usuario de la cuenta puede abrir una linea de comandos remota en los equipos de los clientes del SOC.

  • Al desactivar: el usuario de la cuenta no puede abrir una linea de comandos remota en los equipos de los clientes del SOC.

Ver el dashboard de consumo de datos

  • Al activar: el usuario de la cuenta puede abrir el dashboard de consumo de datos haciendo clic en el panel Consumo de datos.

  • Al desactivar: el usuario de la cuenta no puede abrir el dashboard de consumo de datos.

Ver nombres de los clientes

  • Al activar: la consola mostrará el nombre del cliente al que pertenecen los equipos y no un simple identificador numérico.

  • Al desactivar: impide visualizar el nombre del cliente investigado, mostrándose únicamente su identificador numérico. De esta forma el analista no podrá vincular los datos mostrados en Cytomic Orion a clientes concretos, respetando de esta manera los acuerdos de confidencialidad firmados y la legislación en materia de protección de datos (GDPR y otras normativas).

Ver nombres de los equipos

  • Al activar: la consola mostrará el nombre del equipo y no solo un identificador numérico.

  • Al desactivar: impide visualizar el nombre del equipo analizado, mostrándose únicamente su identificador numérico. De esta forma el analista no podrá asociar los datos mostrados en Cytomic Orion a equipos concretos, respetando de esta manera los acuerdos de confidencialidad firmados y la legislación en materia de protección de datos (GDPR y otras normativas).

Ver registro de actividad de la organización

  • Al activar: el usuario de la cuenta tiene acceso a la opción Registro de actividad, accesible desde el menú superior Configuración para listar las acciones ejecutadas por las cuentas de usuario que han sido realizadas fuera de una investigación.

  • Al desactivar: el usuario de la cuenta no tiene acceso a la opción Registro de actividad.

Visualización de grafos

  • Al activar: el usuario de la cuenta tiene acceso a la opción Grafos, accesible desde una investigación o desde un evento mostrado en la consola de investigación, para visualizar un notebook de tipo grafo.

  • Al desactivar: el usuario de la cuenta no tiene acceso a la opción Grafos.