Eliminar indicios de forma automática

Crea reglas de eliminación automática de indicios para cambiar al estado Eliminado los indicios que cumplan los criterios de tu elección y que no has asignado previamente a una investigación.

Los indicios marcados como Eliminados pasan a la papelera durante 7 días, trascurrido ese tiempo serán eliminados definitivamente.

Las reglas de eliminación solo asignan el estado Eliminado a los indicios de nueva creación. Los indicios ya detectados no se ven afectados por las reglas de eliminación creadas posteriormente.

Listar de reglas de eliminación

En el menú superior Configuración, haz clic en el panel lateral Reglas de eliminación. Se mostrará un listado con todas las reglas de eliminación creadas hasta el momento.

Campo Descripción

Nombre

Nombre de la regla de eliminación asignado por el analista.

Fecha de creación

Fecha en la que se creó la regla de eliminación.

Fecha de modificación

Fecha en la que se modificó por última vez la regla de eliminación.

Descripción

Descripción asignada por el analista.

Hunting Rule

Nombre de la regla de hunting que generó el indicio y descripción de los artefactos que monitoriza en el equipo del cliente.

MUID

Identificador del equipo donde se registró el indicio.

ID Cliente

Identificador del cliente al que pertenece el equipo donde se registró el indicio.

Nombre del equipo

Nombre del equipo donde se registró el indicio.

Detalles

 Campo Detalles de la regla de eliminación.

Detalles del indicio

 Campo Detalles del indicio.

Indicios eliminados los últimos 30 días

Número de indicios que la regla eliminó en los últimos 30 días. El analista puede utilizar este campo para determinar el grado de utilidad de una regla de eliminación.

Fecha de última eliminación

Fecha y hora en la que la regla de eliminación se activó por última vez. El analista puede utilizar este campo para determinar el grado de utilidad de una regla de eliminación.

Campos del listado de reglas de eliminación

Añadir una regla de eliminación

Para crear una regla de eliminación a partir de un indicio:

  • En el menú superior, selecciona Indicios. Se abrirá el listado de indicios.

  • Selecciona un indicio con las casillas de selección. Comprueba que solo has seleccionado un indicio.

  • En la barra de herramientas, haz clic en el botón Añadir regla de eliminación automática. Se abrirá la ventana Añadir regla de eliminación automática con los campos de la regla ya establecidos según el contenido del indicio seleccionado.

  • Escribe el Nombre de la regla de eliminación en la caja de texto.

  • Escribe la Descripciónde la regla de eliminación en la caja de texto (opcional).

  • Para establecer los criterios de eliminación de la regla, consulta Configurar criterios de eliminación.

  • Haz clic en Aceptar. La regla de eliminación se añadirá y comenzará a eliminar los indicios de nueva creación que coincidan con su definición.

Configurar criterios de eliminación

Cytomic Orion crea reglas de eliminación de la forma más restrictiva posible a partir de un indicio existente.

En el caso de que una regla de eliminación tenga varios criterios establecidos, aplicará el operador lógico AND entre ellos para filtrar únicamente los indicios que cumplen con todos los criterios establecidos en la regla de eliminación.

Para añadir o eliminar un criterio de selección a la regla de eliminación, haz clic en la casilla de selección situada a la izquierda del criterio (1):

Criterios de una regla de eliminación

  • ID Cliente: identificadores de los clientes asociados a los indicios a eliminar. Todas las reglas de eliminación deben tener definido al menos un cliente.

  • Hunting Rule: nombre de la Hunting rule que generó los indicios a eliminar.

  • MUID: identificadores de los equipos donde se encontraron los indicios a eliminar.

  • Nombre del equipo: nombres de los equipos donde se encontraron los indicios a eliminar.

  • Detalles: especifica el campo Detalles de los indicios a eliminar.

Para añadir elementos a los criterios ID Cliente, Hunting Rule y MUID mediante las listas desplegables:

  • Haz clic en una de las listas desplegable (2). Se mostrarán los elementos disponibles.

  • Selecciona un elemento. Se añadirá a la lista de elementos (3) asociada.

Para añadir elementos a los criterios ID Cliente o MUID mediante listados:

  • Haz clic en el icono (4) asociado al criterio. Se abrirá una ventana con el listado Añadir clientes o Añadir equipo.

  • Para filtrar el listado, en la caja de texto Buscar, escribe parte del elemento. El listado se actualizará con los elementos que coincidan parcialmente con el texto.

  • Haz clic en las casillas de selección junto a los elementos que quieres añadir.

  • Haz clic en Añadir. Los elementos se añadirán a la lista (3).

Para añadir elementos a los criterios mediante las cajas de texto:

  • Escribe el elemento en la caja de texto del criterio

  • Pulsa la tecla Enter. El elemento se añadirá al listado de elementos asociado al criterio (3).

Para borrar un elemento de los criterios ID Cliente, Hunting Rule y MUID:

  • Haz clic en el icono asociado al elemento. El elemento se borrará de la lista.

Para especificar el campo Detalles del indicio:

  • Haz cliente en el la lista desplegable (5).

  • Selecciona Igual a para establecer el contenido del campo exacto del campo Detalles.

  • Selecciona Regex para establecer el contenido del campo Detalles de forma flexible mediante una expresión regular. Consulta Expresiones regulares para más información.

Expresiones regulares

Consulta el enlace https://docs.microsoft.com/en-us/dotnet/standard/base-types/regular-expression-language-quick-reference para obtener más información sobre la sintaxis admitida en la expresiones regulares.
Para validar las expresiones regulares desarrolladas consulta el enlace http://regexstorm.net/tester.

Cytomic Orion soporta el formato Regex C para describir patrones flexibles en el campo Detalles de los indicios. Como en la mayoría de lenguajes utilizados para describir patrones de caracteres, es necesario “escapar” aquellos que se consideran especiales o propios del lenguaje utilizado. Con este fin se utiliza el carácter “\” en el caso de Regex C.

Para facilitar el desarrollo de expresiones regulares se incluye un panel de previsualización que permite comprobar si los patrones a buscar coinciden con la expresión regular escrita hasta el momento.

Para generar una expresión regular, haz clic en el desplegable RegEx del campo Detalles. El contenido del campo se actualizará con una expresión regular que cumpla con el contenido del panel de previsualización. Todos los caracteres especiales son “escapados” de forma automática por la consola para facilitar al analista la modificación de la expresión regular.

Ejemplo de exclusión utilizando expresiones regulares en el campo detalle

Se quiere retirar del panel Indicios todas las ejecuciones de la herramienta net.exe cuando intenta añadir al grupo de administradores el usuario “gcch\GG_SEC_IBM_PC_Admins” por ser una acción exenta de riesgo pero muy frecuente.

El indicio generado por Cytomic Orion en esta situación es le siguiente:

{

“contents”:

[

{

“ChildPath”: “SYSTEM|\net.exe”,

“CommandLine”: “net localgroup administrators “gcch\GG_SEC_IBM_PC_Admins” /add”,

“ParentPath”: “SYSTEM|\cmd.exe”,

“extendedInfo”:“”,

“loggedUser”: “NT AUTHORITY\SYSTEM”

}

]

}

En el campo Detalles de la consola de Cytomic Orion el indicio se muestra en formato compacto:

{“contents”:[{“ChildPath”:“SYSTEM|\net.exe”,“CommandLine”:“net localgroup administrators “gcch\GG_SEC_IBM_PC_Admins /add”,“ParentPath”:“SYSTEM|\cmd.exe”,”extendedInfo”:“”,“loggedUser”: “NT AUTHORITY\SYSTEM”}]}

La expresión regular que filtra los indicios por el contenido del campo Detalle según los criterios establecidos por el analista sería:

{"ChildPath":"SYSTEM\|\\net.exe".+gcch\\GG_SEC_IBM_PC_Admins

El panel de previsuliazación permite comprobar que la expresión regular definida genera el patrón de caracteres que concuerda con el contenido del campo detalle del indicio.

Editar una regla de eliminación

  • En el menú superior, selecciona Configuración.

  • En el menú lateral izquierdo, selecciona Reglas de eliminación. Se mostrará el listado de reglas de eliminación creadas.

  • Haz clic en las regla de eliminación que quieres editar. Se abrirá la ventana Editar Regla de Eliminación. Consulta Añadir una regla de eliminación.

Borrar una regla de eliminación

Para borrar una regla de eliminación desde el listado de reglas de eliminación:

  • En el menú superior, selecciona Configuración.

  • En el menú lateral izquierdo, selecciona Reglas de eliminación. Se abrirá el listado de reglas de eliminación creadas.

  • Haz clic en las casillas de selección junto a las reglas de eliminación que quieres eliminar.

  • En la barra de acciones, haz clic en Eliminar . Se abrirá una ventana de confirmación.

  • Haz clic en Si. Los indicios borrados por la regla de eliminación pasarán a estado Pendiente. Los indicios anteriores a 7 días se perderán.

Para borrar una regla de eliminación asociada a una Hunting rule concreta:

  • En el menú superior, selecciona Indicios. Se mostrará el listado de indicios.

  • En el menú lateral, haz clic en el icono junto a Papelera . Se mostrarán todas las hunting rules que tienen reglas de eliminación asociadas.

  • Haz clic en la hunting rule que tiene asociada la regla de eliminación que quieres borrar. Se mostrarán las reglas de eliminación asociadas a la hunting rule.

  • Haz clic en el icono junto a la regla de eliminación que quieres borrar. Se mostrará un menú de contexto.

  • Selecciona Eliminar. Se abrirá una ventana de confirmación.

  • Haz clic en Si. Los indicios borrados por la regla de eliminación pasarán a estado Pendiente. Los indicios anteriores a 7 días se perderán.

Exportar el listado de reglas de eliminación

  • En el menú superior, selecciona Configuración.

  • En el menú lateral izquierdo, selecciona Reglas de eliminación. Se abrirá el listado de reglas de eliminación creadas.

  • Haz clic en el icono para descargar un fichero .csv con el contenido del listado Reglas de eliminación. El fichero .csv con el contenido del listado se descargará en tu equipo.

Registro de cambios en las regla de eliminación

Para ver las modificaciones que los usuarios de la consola han realizado en una regla de eliminación:

  • En el menú superior selecciona Configuración.

  • En el menú lateral selecciona Reglas de eliminación. Se abrirá un listado con las reglas de eliminación creadas.

  • Haz clic en la regla de eliminación para ver su registro de cambios. Se abrirá la ventana Editar regla de eliminación.

  • Haz clic en el icono situado en la parte superior derecha de la ventana. Se abrirá la ventana Registro de actividad con el histórico de los cambios de configuración de los analistas en la regla de eliminación.

Campo Descripción

Nombre

Nombre de la regla de eliminación modificada.

Descripción

Descripción de la regla de eliminación modificada.

Fecha de modificación

Fecha en la que se modificó por última vez la regla de eliminación.

Nombre de equipos

 Equipos asignados a la regla de eliminación modificada.

Hunting Rule

Nombre de la regla de hunting asociada a la regla de eliminación modificada.

MUIDs

Identificadores de los equipos asociados a los indicios a eliminar de la regla de eliminación modificada

Clientes

Identificadores de cliente asociados a los indicios a eliminar de la regla de eliminación modificada.

Usuario

Cuenta de usuario de la consola web que modificó la regla de eliminación de indicios.

Acción

  • Actualización

  • Creación

Campos del listado Registro de actividad