Configurar criterios para reglas de asignación de señales

Cuando creas una regla de asignación, Cytomic Orion la configura de la forma más restrictiva posible a partir de la señal que has elegido.

Si una regla de asignación tiene varios criterios activados, aplicará el operador lógico AND entre ellos para asignar a la investigación únicamente las señales que cumplen todos los criterios.

Para añadir o eliminar un criterio a la regla de asignación:

Selecciona la casilla situada a la izquierda del criterio (1). Para conocer el significado de los criterios, consulta Significado de los criterios.

Criterios de una regla

Para añadir elementos al criterio, consulta Añadir elementos a los criterios
Para eliminar elementos del criterio, consulta Borrar elementos de los criterios.
Para especificar criterios de detalle, consulta Añadir criterios de detalle.

Significado de los criterios

ID Cliente: identificadores de los clientes asociados a las señales. Todas las reglas deben tener definido al menos un cliente.
Hunting Rule: nombre de la hunting rule que generó las señales.
MUID: identificadores de los equipos donde se encuentran las señales.

Añadir elementos a los criterios

Para añadir elementos a los criterios mediante las listas desplegables:

Selecciona una de las listas desplegables (2). Se mostrarán los elementos disponibles.
Selecciona un elemento. Se añadirá a la lista de elementos (3) asociada.

Para añadir varios elementos a la vez a un criterio:

Haz clic en el icono (4) asociado al criterio. Se abrirá una ventana con el listado.
Para filtrar el listado, en la caja de texto Buscar, escribe parte del elemento. El listado se actualizará con los elementos que coincidan parcialmente con el texto.
Selecciona las casillas junto a los elementos que quieres añadir.
Haz clic en Añadir. Los elementos se añadirán al criterio (3).

Para añadir manualmente un elemento al criterio:

Escribe el elemento en la caja de texto del criterio.
Pulsa la tecla Enter. El elemento se añadirá al listado de elementos asociado al criterio (3).

Borrar elementos de los criterios

Haz clic en el icono asociado al elemento. El elemento se borrará de la lista.

Añadir criterios de detalle

Los criterios de detalle son variables y dependen de los detalles de la señal.

Si activas más de un criterio en el panel Detalles, la regla aplicará una operación lógica AND entre los criterios definidos y solo afectará las señales que cumplan con todos ellos.

Por ejemplo, para una señal de tipo IOA con los campos en la pestaña DETALLES:

Detalle de ejemplo de una señal

Los criterios de detalle que se muestran en la regla son:

Ejemplo de criterios de detalle de una regla

Para configurar criterios de detalle:

Selecciona la casilla junto a Detalles. Los criterios del subpanel Detalle se activarán.
Selecciona la casilla junto al criterio que quieres definir. Los controles del criterio será editables.
Selecciona en la lista desplegable cómo la regla interpretará el contenido de la caja de texto:
- Selecciona Igual a para establecer el contenido del campo exacto.
- Selecciona Regex para establecer el contenido del campo de forma flexible mediante una expresión regular. Consulta Configurar una expresión regular para más información.

Configurar una expresión regular

Para obtener más información sobre la sintaxis admitida en la expresiones regulares, consulta https://docs.microsoft.com/en-us/dotnet/standard/base-types/regular-expression-language-quick-reference .
Para validar las expresiones regulares desarrolladas, consulta el enlace http://regexstorm.net/tester.

Cytomic Orion soporta el formato Regex C para describir patrones flexibles en los criterios del subpanel Detalles. Para escribir una expresión regular válida, utiliza “\” para “escapar” los caracteres que se consideran especiales o propios de Regex C.

Al seleccionar Regex, se muestra un panel de previsualización que te permite comprobar si los patrones a buscar coinciden con la expresión regular escrita hasta el momento.

Ejemplo de criterio de detalle con expresiones regulares

Para detectar todos los usuarios que iniciaron sesión con una cuenta que comienza con "NT_AUTHORITY\":

Ejemplo de criterio de detalle

Selecciona la casilla junto a Detalles. Se mostrarán los criterios de detalle disponibles asociados a la señal.
Selecciona la casilla junto al criterio de detalle Logged user.
Haz clic en el desplegable (1).
Selecciona RegEx. Se mostrará el panel de previsualización (2) para comprobar el patrón que vas a escribir.
En la caja de texto del criterio de detalle Logged user (3) escribe "^NT_AUTHORITY\\"
- ^: indica que la cadena de caracteres se encuentra al inicio.
- \: escapa el siguiente carácter "\".
Comprueba que solo el criterio de selección Logged user está activado.
Comprueba que el panel de previsualización colorea en verde la parte fija del patrón.