Indicios y reglas de hunting

En la mayoría de las situaciones, los analistas del SOC inician el proceso de hunting a partir de la aparición de un nuevo indicio o hipótesis. Cytomic Orion genera un indicio cuando detecta en la telemetría registrada en los equipos del cliente un patrón sospechoso de pertenecer a la CKC de un ciberataque. Esta hipótesis será analizada por el técnico de nivel 1 para determinar si se trata de un falso positivo, o por el contrario es una posible amenaza a investigar. El proceso de filtrado se conoce como “triaje de indicios” y su objetivo es entregar a los técnicos de nivel 2 aquellas hipótesis que se corresponden a situaciones anómalas y que deben ser investigadas con más profundidad.