Listado de indicios

El panel de indicios contiene los indicios generados por las reglas de hunting y los campos que describen a cada uno de ellos.

Campo Descripción

Hunting Rule

Nombre de la regla de hunting que generó el indicio y descripción de los artefactos que monitoriza en el equipo del cliente.

Estado

Indica si el indicio ha sido asignado a una investigación y el estado del mismo.

  • En curso: el indicio está asignado a una investigación y un técnico de Nivel 2 lo está analizando.

  • Pendientes: el indicio todavía no ha sido asignado a una investigación.

  • Finalizado: el indicio fue asignado a una investigación y se resolvió.

Investigación

Nombre de la investigación asociada para los indicios en estado En investigación o Finalizado.

Fecha indicio

Fecha en la que se generó el indicio.

Último evento

Fecha en la que se registró en el equipo del usuario o servidor el último evento que desembocó en la generación del indicio. Esta fecha puede no coincidir con Fecha indicio si se produjo un retraso al generar el indicio, como por ejemplo debido a una interrupción en la conexión entre el servidor de Cytomic Orion y el equipo.

Equipo

Nombre del equipo del cliente involucrado en el indicio.

Grupo

Grupo en la consola de Cytomic EPDR al que pertenece el equipo.

Fecha de eliminación

Fecha en la que una regla de eliminación se aplicó al indicio y éste entró en la papelera.

Eliminado por

Nombre de la regla de eliminación que movió el indicio a la papelera.

MUID

Identificador único del equipo del cliente involucrado en el indicio.

ID Cliente

Identificador único del cliente al que pertenece el equipo involucrado en el indicio.

Riesgo

Importancia del impacto del indicio detectado: Crítica, Riesgo alto, Riesgo medio, Riesgo bajo.

MITRE

Táctica, técnica y subtécnica asociada a la hunting rule, según la especificación MITRE. Si hay más de un par de tácticas & técnicas, se separan con el carácter '#'. Para más información consulta Panel de detalles.

Ocurrencias

Número de veces que Cytomic Orion detecta el mismo tipo de indicio de forma repetida en el mismo equipo. Consulta Agrupación de indicios.

Detalles

Descripción del indicio y nombre de la hunting rule asociada que indica el tipo de eventos sospechosos registrados para que el equipo de Nivel 1 pueda hacer el triaje.

Sistemas operativos

Sistemas operativos donde busca indicios la Hunting rule que ha detectado el evento sospechoso.

Campos del listado Indicios

El panel indicios contiene la información adicional siguiente:

  • Número de indicios encontrados aplicando los criterios de selección establecidos: se muestra en la parte superior del listado (2).

  • Uso horario: cambia el uso horario configurado por defecto para toda la consola en la zona Indicios, establécelo mediante el control situado en la parte superior del listado (2). Esta configuración afectará tanto al campo Fecha indicio de los listados como al formato de la fecha introducido en el panel de filtrado. Consulta Zona Configuración.

Agrupación de indicios

Con el objetivo de no entorpecer la labor de investigación de los analistas con listados de indicios repetidos demasiado largos, Cytomic Orion agrupa los indicios dependiendo del lugar donde se han detectado.

Indicios detectados en el servidor

Si las reglas de hunting catalogan como posible amenaza un patrón de eventos que se repite en la telemetría que un equipo envía al servidor, Cytomic Orion genera los siguientes indicios:

  • Un primer indicio con el campo Ocurrencias a 1 cuando detecta el primer patrón en el equipo.

  • Un indicio cada hora que agrupa todas las detecciones que se han producido en ese intervalo y en ese equipo. El campo Ocurrencias contiene el número de repeticiones detectado.

Indicios detectados en el equipo

Si el software de protección instalado en el equipo cataloga como posible amenaza un patrón de eventos que se repite en ese equipo, Cytomic Orion genera los siguientes indicios:

  • Un primer indicio con el campo Ocurrencias a 1 cuando el equipo detecta el primer patrón.

  • Un indicio cada 6 horas que agrupa todas las detecciones que se han producido en ese intervalo. El campo Ocurrencias contiene el número de repeticiones detectado.

Panel de detalles

Haz clic en el icono situado en la esquina superior derecha para desplegar el panel derecho Detalles. Se mostrarán 2 pestañas:

  • Detalles: muestra todos los campos del indicio seleccionado. Consulta Listado de indicios

  • MITRE: muestra el detalle de la táctica y técnica MITRE asociada a la hunting rule que generó el indicio. Si la hunting rule está asociada a más de una técnica, el panel MITRE agrupa la información en varios desplegables, uno por cada técnica. Toda la información de la pestaña MITRE se recoge de la fuente oficial accesible en la dirección webhttps://attack.mitre.org/matrices/enterprise/

    Campo Descripción

    Táctica

    Nombre de la táctica de la matriz MITRE relacionada con la hunting rule del indicio. Las tácticas vienen identificadas por una cadena de caracteres con el formato TAXXXX.

    Técnica

    Nombre de la técnica de la matriz MITRE relacionada con la hunting rule del indicio. Las técnicas vienen identificadas por una cadena de caracteres con el formato TXXXX.

    Subtécnica

    Nombre de la subtécnica de la matriz MITRE relacionada con la hunting rule del indicio. Las subtécnicas viene identificadas por una cadena de caracteres con el formato TXXXX.YYY.

    Plataforma

    Sistemas operativos afectados por la técnica & táctica

    Permisos necesarios

    Permisos que requiere el atacante para desarrollar el ataque descrito en la técnica & táctica.

    Descripción

    Descripción de la técnica & táctica según los datos publicados por MITRE.

    Campos de la pestaña MITRE