Acceder al registro de actividad
Cytomic Orion registra las acciones que realizas en las investigaciones, su tipo y su origen. Esta información permite auditar el impacto de la actividad de los analistas en la seguridad de los activos.
Para acceder al registro de actividad:
-
Haz clic en el icono
(Registro de actividad) situado en la parte superior derecha. Se abrirá una ventana con el listado de acciones que los analistas ejecutaron dentro de la investigación.
-
Para cambiar la vista del listado, consulta Herramientas para configurar los listados.
-
Para filtrar el listado, escribe en la caja de texto Buscar el contenido de una columna. Se mostrarán las filas que coincidan parcialmente.
-
Para exportar el contenido del listado, haz clic en el icono
. Se descargara un fichero .CSV en tu equipo.
-
Haz clic en una fila para ver su detalle en el panel lateral.
-
Para obtener información sobre el significado de los campos del listado o del panel, consulta Significado de los campos del listado.
Significado de los campos del listado
| Campo | Descripción |
|---|---|
|
Acción |
Tipo de acción registrada junto a la cuenta de usuario que la inició e información adicional. Consulta Acciones registradas en Cytomic Orion. |
|
Fecha |
Fecha en la que se ha producido la acción registrada. |
|
Tipo de acción |
Clase de acción registrada. |
|
Usuario |
Nombre de la cuenta que inició la acción. |
Acciones registradas en Cytomic Orion
| Acción | Descripción |
|---|---|
|
Actualizar un Notebook |
El usuario de la consola trabajó en un análisis modificando un notebook. |
|
Añadir entidades de interés |
El usuario de la consola añadió una entidad de interés a una investigación. |
|
Añadir o quitar clientes de una investigación |
El usuario de la consola modificó entidades de interés de tipo cliente asignadas a una investigación. |
|
Añadir señales a una investigación |
El usuario de la consola asignó una señal a una investigación existente. |
|
Asignar una investigación a un usuario |
El usuario de la consola cambió el usuario asignado a una investigación. |
|
Cambiar el nombre de un Notebook |
El usuario de la consola renombró un notebook. |
|
Cambiar la clasificación de una investigación |
El usuario de la consola cambió la clasificación de una investigación. |
|
Cambiar la prioridad de una investigación |
El usuario de la consola cambió la prioridad de una investigación. |
|
Cancelar una consulta |
El usuario de la consola detuvo la ejecución de una consulta SQL. |
|
Cerrar una investigación |
El usuario de la consola cerró una investigación. |
|
Convertir un Notebook a PDF |
El usuario de la consola ha obtenido un informe en .PDF a partir de los resultados de un notebook. |
|
Crear un Notebook |
El usuario de la consola inicio un análisis mediante la creación de un notebook. |
|
Crear una investigación |
El usuario de la consola asignó una o más señales a una investigación nueva. |
|
Ejecutar un Notebook |
El usuario de la consola obtuvo resultados de un análisis ejecutando un notebook. |
|
Eliminar entidades de interés |
El usuario de la consola retiró una entidad de interés de una investigación. |
|
Eliminar un Notebook |
El usuario de la consola borró un notebook. |
|
Error en la consulta |
La ejecución de una consulta SQL finalizó con error. |
|
Estadísticas de una consulta |
Muestra datos de la consulta SQL ejecutada (sentencia SQL completa, número de bytes leídos etc). Este campo puede utilizarse para determinar el consumo de datos de Cytomic Orion. |
|
Iniciar acceso remoto de un equipo |
Cytomic Orion ha recuperado de la plataforma las credenciales necesarias para que el analista que realizó la petición de acceso remoto pueda acceder al equipo investigado y utilizar las herramientas de resolución. Para acceder al registro de comandos ejecutados por el analista, en el panel lateral (5), localiza el atributo sessionId y haz clic en su contenido. Se abrirá la ventana Detalles de la sesión remota. Consulta Detalles de la sesión remota. |
|
Intentar iniciar acceso remoto de un equipo |
Cytomic Orion intentó recuperar de la plataforma las credenciales necesarias para acceder remotamente al equipo investigado pero el proceso terminó en error. |
|
Investigar archivo |
El usuario de la consola abrió una consola de investigación a partir del MD5 de un fichero. |
|
Investigar equipo |
El usuario de la consola abrió una consola de investigación a partir del MUID de un equipo del cliente. |
|
Investigar equipo |
El usuario de la consola abrió una consola de investigación a partir del nombre de un equipo del cliente. |
|
Lanzar una consulta |
El usuario de la consola ejecutó una consulta SQL. |
|
Quitar señales a una investigación |
El usuario de la consola eliminó señales asignadas previamente a una investigación. |
|
Reabrir una investigación |
El usuario de la consola volvió a asignar el estado En curso o Pendiente a una señal asignada a una investigación. |
|
Renombrar una investigación |
Cambio de nombre de la investigación. |
|
Resultado de una consulta |
Finalización de la consulta SQL. |
|
Retirar una investigación |
El usuario de la consola quitó la asignación de la investigación. |
|
Solicitar aislar equipos |
Inicio del aislamiento del equipo. |
|
Solicitar dejar de aislar equipos |
El usuario de la consola inició el proceso para sacar del aislamiento a un equipo. |
|
Solicitar reiniciar equipos |
El usuario de la consola inició el proceso de reinicio remoto de un equipo. |
|
Visualizar un Notebook |
El usuario de la consola abrió un notebook para visualizarlo. |
Detalles de la sesión remota
| Campo | Descripción |
|---|---|
|
Session Id |
Identificador de la sesión asignada por Cytomic Orion. |
|
Fecha |
Fecha de inicio del acceso remoto. |
|
Dirección IP |
Dirección IP del equipo accedido. |
|
Categoría |
|
|
Acción |
Acción ejecutada en el equipo remoto y registrada por Cytomic Orion. |