Registro de actividad de las cuentas de usuario
Cytomic Orion registra las acciones ejecutadas en la consola por los analistas del SOC fuera del entorno de una investigación. Para obtener información sobre las acciones registradas dentro de una investigación, consulta Registro de actividad asociado a una investigación.
Acceso al registro de actividad de usuario
Haz clic en el menú superior Configuración y en el panel lateral Registro de la actividad. Se mostrará el listado Registro de actividad de usuario.
-
Herramienta de búsqueda (1): busca en el contenido de los campos Acción, Usuario y Tipo de acción para filtrar los registros presentados. Admite búsquedas parciales de cadenas. Consulta Herramientas de búsqueda.
-
Herramienta de agrupación (2): agrupa los registros según el campo elegido. Para obtener más información sobre la herramienta de agrupación, consulta Agrupar registros por columnas.
-
Ordenar listado (3): haz clic en la cabecera de la columna para ordenar las filas según el campo elegido. Haz clic nuevamente en la misma columna para variar el criterio de ordenación (ascendente o descendente). Consulta Ordenar columnas.
-
Exportar (4): vuelca el listado en un fichero csv.
-
Panel lateral (5): al seleccionar un registro muestra su información extendida asociada. Consulta Información adicional del evento registrado.
-
Panel central (6): muestra un listado de registros de actividad que coinciden con los criterios de búsqueda establecidos. A continuación se indican los campos incluidos en el listado:
| Campo | Descripción |
|---|---|
|
Fecha |
Fecha en la que se ha producido la acción registrada. |
|
Acción |
Tipo de acción registrada junto a la cuenta de usuario que la inició e información adicional. Consulta Acciones registradas en Cytomic Orion . |
|
Usuario |
Nombre de la cuenta que inició la acción. Este campo no se muestra por defecto. |
|
Tipo de acción |
Clase de acción registrada. Este campo no se muestra por defecto. |
Acciones registradas en Cytomic Orion
| Tipo de acción | Descripción |
|---|---|
|
Login |
El usuario inició la sesión. |
|
Logout por falta de actividad |
El usuario de la consola no realizó ninguna acción en 2 horas y Cytomic Orion terminó su sesión de forma automática por seguridad. |
|
Logout |
El usuario terminó su sesión. |
|
Creación de plantilla de respuesta rápida / plantilla de investigación automática / plantilla de grafo |
El usuario creó la plantilla de respuesta rápida, la plantilla de investigación o la plantilla de grafo indicado. |
|
Modificación de plantilla de respuesta rápida / plantilla de investigación automática / plantilla de grafo |
El usuario modificó la plantilla de respuesta rápida, la plantilla de investigación o la plantilla de grafo indicada. |
|
Borrado de plantilla de respuesta rápida / plantilla de investigación automática / plantilla de grafo |
El usuario borró la plantilla de respuesta rápida, la plantilla de investigación o la plantilla de grafo indicada. |
|
Actualización de la descripción o categoría de la plantilla de respuesta rápida / plantilla de investigación automática / plantilla de grafo |
El usuario actualizó la descripción o la categoría de la plantilla de respuesta rápida, la plantilla de investigación o la plantilla de grafo indicada. |
|
Renombrar la plantilla de respuesta rápida / plantilla de investigación automática / plantilla de grafo |
El usuario cambió el nombre de la plantilla de respuesta rápida, la plantilla de investigación o la plantilla de grafo indicada. |
|
Copia la plantilla de respuesta rápida / plantilla de investigación automática / plantilla de grafo |
El usuario copió la plantilla de respuesta rápida o la plantilla del grafo indicada. |
|
Desactivar la verificación en dos pasos |
El usuario desactivó la verificación en dos pasos para su cuenta. |
|
Activar la verificación en dos pasos |
El usuario activó la verificación en dos pasos para su cuenta. |
|
Crear hunting rule |
El usuario creó una hunting rule. |
|
Modificar hunting rule |
El usuario modificó una hunting rule. |
|
Borrar hunting rule |
El usuario borró una hunting rule. |
Información adicional del evento registrado
| Campo | Descripción |
|---|---|
|
Acción |
Acción registrada. Consulta Acciones registradas en Cytomic Orion . |
|
|
Dirección de correo electrónico de la cuenta que ejecutó la acción registrada. |
|
Rol |
Rol de la cuenta que ejecutó la acción registrada. |
|
IP |
Dirección IP pública del último dispositivo de red que utilizó el analista para conectarse con la consola. |
|
OrganizationID |
Identificador del SOC / MSSP al que pertenece la cuenta del usuario. |
|
notebookId |
Identificador del documento sobre el que se realiza la operación. |
|
oldNotebookDescription |
Descripción del notebook anterior a su modificación. |
|
newNotebookDescription |
Nueva descripción asociada al notebook. |
|
notebookName |
Nombre del notebook sobre el que realiza la operación. |
|
documentName |
Nombre del documento sobre el que realiza la operación. |
|
oldNotebookName |
Nombre del notebook anterior a su cambio. |
|
newNotebookName |
Nuevo nombre del notebook. |
|
imageId |
Identificador de la imagen de Jupyter que el notebook utilizó como base. |
|
documentId |
Identificador del documento sobre el que se realiza la operación. |
|
documentVersionid |
Identificador del número de versión interno del documento. |
|
documentIsManualSave |
|
|
oldCategoryId |
Categoría del notebook anterior a su cambio. |
|
newCategoryId |
Nueva categoría del notebook. |
|
discriminator |
Tipo de documento sobre el que se realiza la operación:
|
|
sourceNotebookId |
Identificador del notebook del que se ha hecho la copia. |
|
targetNotebookId |
Identificado del nuevo notebook copiado. |