Eliminar indicios de forma automática

El analista puede crear reglas de eliminación para definir criterios de filtrado dentro del flujo de indicios generado por Cytomic Orion. Una vez que se detecta un indicio que coincide con los criterios definidos por una regla de eliminación, se le asigna el estado Eliminado y se retira del listado de indicios. Los indicios marcados como Eliminados pasan a la papelera temporalmente, pero si un indicio fue asignado previamente a una investigación no se eliminará de ésta.

Los indicios marcados como eliminados se retienen durante 7 días en la papelera, trascurrido ese tiempo serán eliminados definitivamente de Cytomic Orion.

Añadir una regla de eliminación

Las reglas de eliminación se crean a partir de un único indicio. Antes de comenzar el procedimiento para crear una regla, comprueba que solo un indicio de la lista está seleccionado.

  • En el menú superior Indicios, selecciona un indicio con las casillas de selección.

  • Haz clic en el botón Añadir regla de eliminación automática (4) situado en la barra de herramientas. Se mostrará una ventana con los detalles del indicio que se eliminará.

ó

  • Haz clic en el menú de contexto (2) situado junto a la casilla de selección, o con el botón de la derecha del ratón en cualquier campo del indicio para mostrar el menú desplegable. Selecciona la opción Añadir regla de eliminación automática.

  • Establece los campos descriptivos de la regla de eliminación:

    • Nombre:nombre de la regla de eliminación.

    • Descripción: texto descriptivo donde el analista puede indicar los motivos de la eliminación de indicios.

  • Establece los campos asociados a la regla que se utilizarán para describir los indicios a eliminar:

    • ID de cliente: especifica los identificadores de cliente asociados a los indicios a eliminar. Todas las reglas de eliminación deben tener definido al menos un cliente. Haz clic en el icono para elegir los clientes, o copia y pega una lista de identificadores de cliente separados por comas.

    • Hunting Rule: nombre de la Hunting rule que generó los indicios a eliminar. Es un campo opcional.

    • MUID: especifica los identificadores de los equipos asociados a los indicios a eliminar. Haz clic en el icono para elegir los MUIDs o copia y pega una lista de MUIDs se parados por comas. Es un campo opcional.

    • Equipo: especifica los nombres de los equipos donde se originaron los indicios a eliminar. Haz clic en el icono para elegir los equipos o copia y pega una lista de nombres de equipos separados por comas. Es un campo opcional.

    • Detalles: permite especificar el campo Detalles de los indicios a eliminar. Establece el contenido del campo exacto con la opción Igual a, o de forma flexible mediante una expresión regular con la opción RegEx. Consulta Gestión de las reglas de eliminación para más información.

Por defecto, las reglas de eliminación se crean de la forma más restrictiva posible, y es labor del analista desactivar aquellos campos opcionales innecesarios para flexibilizar la regla.

En el caso de que una regla de eliminación tenga varios criterios establecidos se aplicará el operador lógico AND entre ellos. De esta manera que solo se filtrarán aquellos indicios que cumplan con todos los criterios establecidos en la regla de eliminación.

Expresiones regulares

Consulta el enlace https://docs.microsoft.com/en-us/dotnet/standard/base-types/regular-expression-language-quick-reference para obtener más información sobre la sintaxis admitida en la expresiones regulares.
Para validar las expresiones regulares desarrolladas consulta el enlace http://regexstorm.net/tester.

Cytomic Orion soporta el formato Regex C para describir patrones flexibles en el campo Detalles de los indicios. Como en la mayoría de lenguajes utilizados para describir patrones de caracteres, es necesario “escapar” aquellos que se consideran especiales o propios del lenguaje utilizado. Con este fin se utiliza el carácter “\” en el caso de Regex C.

Para facilitar el desarrollo de expresiones regulares se incluye un panel de previsualización que permite comprobar si los patrones a buscar coinciden con la expresión regular escrita hasta el momento.

Para generar una expresión regular, haz clic en el desplegable RegEx del campo Detalles. El contenido del campo se actualizará con una expresión regular que cumpla con el contenido del panel de previsualización. Todos los caracteres especiales son “escapados” de forma automática por la consola para facilitar al analista la modificación de la expresión regular.

Ejemplo de exclusión utilizando expresiones regulares en el campo detalle

Se quiere retirar del panel Indicios todas las ejecuciones de la herramienta net.exe cuando intenta añadir al grupo de administradores el usuario “gcch\GG_SEC_IBM_PC_Admins” por ser una acción exenta de riesgo pero muy frecuente.

El indicio generado por Cytomic Orion en esta situación es le siguiente:

{

“contents”:

[

{

“ChildPath”: “SYSTEM|\net.exe”,

“CommandLine”: “net localgroup administrators “gcch\GG_SEC_IBM_PC_Admins” /add”,

“ParentPath”: “SYSTEM|\cmd.exe”,

“extendedInfo”:“”,

“loggedUser”: “NT AUTHORITY\SYSTEM”

}

]

}

En el campo Detalles de la consola de Cytomic Orion el indicio se muestra en formato compacto:

{“contents”:[{“ChildPath”:“SYSTEM|\net.exe”,“CommandLine”:“net localgroup administrators “gcch\GG_SEC_IBM_PC_Admins /add”,“ParentPath”:“SYSTEM|\cmd.exe”,”extendedInfo”:“”,“loggedUser”: “NT AUTHORITY\SYSTEM”}]}

La expresión regular que filtra los indicios por el contenido del campo Detalle según los criterios establecidos por el analista sería:

{"ChildPath":"SYSTEM\|\\net.exe".+gcch\\GG_SEC_IBM_PC_Admins

El panel de previsuliazación permite comprobar que la expresión regular definida genera el patrón de caracteres que concuerda con el contenido del campo detalle del indicio.