Detalle del incidente

Panel de incidentes

La ventana de detalle del incidente se distribuye en los paneles:

  • Panel izquierdo - Señales (1): listado de señales asociadas al incidente en orden cronológico según su registro.

  • Panel central - Grafo del incidente (2): diagrama que relaciona los activos involucradas en las señales asociadas al incidente.

  • Panel derecho (3): detalles del elemento seleccionado en el panel izquierdo: incidente, señal, TTPs de MITRE y entidades de interés involucradas.

  • Panel inferior - Árbol de procesos (4): secuencia de los procesos que se crearon en el equipo, y que dieron lugar a la aparición de la señal, mostrados en orden cronológico .

Para gestionar un incidente:

Mostrar la información del incidente

  • Comprueba que no hay señales ocultas en el panel izquierdo. Para mostrar las señales ocultas, haz clic en el icono . El diagrama del panel central se actualizará con todos los activos del incidente.

  • Comprueba que no hay ninguna señal seleccionada en el panel izquierdo. Para quitar la selección, haz clic en la señal. El panel de la derecha se actualizará con la información del incidente completo.

  • Para mostrar los detalles generales del incidente, selecciona la pestaña Detalles en el panel derecho. Se mostrarán los campos:

    • Cuenta: identificador de la cuenta del cliente.

    • Creado: fecha y hora en la que Cytomic Orion creó el incidente.

    • MITRE: TTPs asociados a las señales del incidente. Pasa por encima de cada TTP para mostrar el nombre de la técnica y táctica.

  • Para agrupar los activos del incidente en el panel central, haz clic en el selector Agrupar assets. Los nodos del mismo tipo se colapsarán en uno, indicando el número de ellos que representa y su tipo.

  • Diagrama de activos

  • Los activos representados en el diagrama de un incidente son:

    Icono Descripción

    Usuario que inició la sesión

    Usuario remoto

    Equipo

    Equipo remoto

    Proceso

    IP

    Fichero

    Tipos de activos

Mostrar información de las entidades de interés

Las entidades de interés contienen información relacionada con las señales que Cytomic Orion detectó.

Para obtener el listado de entidades de interés de un incidente:

  • Comprueba que no hay señales ocultas en el panel izquierdo. Para mostrar las señales ocultas, haz clic en el icono . El diagrama del panel central se actualizará con todos los activos del incidente.

  • Comprueba que no hay ninguna señal seleccionada en el panel izquierdo. Para quitar la selección haz clic en la señal. El panel de la derecha se actualizará con la información del incidente.

  • Selecciona ENTIDADES DE INTERÉS. Consulta Tipos de entidades de interés.

  • Para lanzar una herramienta de resolución, consulta Lanzar una herramienta de investigación o resolución.

  • Listado de entidades de interés

Tipos de entidades de interés

  • Equipo : MUID del equipo. Los equipos sin licencia válida (activa o en periodo de gracia) se muestran en rojo.

  • Cliente : nombre e identificador del cliente del equipo investigado. Si la cuenta de acceso a la consola web no tiene permisos suficientes se mostrará solo su identificador.

  • Usuario : cuenta de usuario que ejecutó el programa origen de la señal.

  • Hash de fichero : huella digital del archivo.

  • IP : dirección IP del equipo.

  • Puerto : puerto del proceso ejecutado que generó la señal en el equipo.

  • Dominio : dominio que pertenece a una comunicación desde o hacia el equipo.

  • URL : dirección web accedida desde el equipo.

  • Path de fichero : ubicación en el sistema de ficheros.

  • Nombre de fichero : nombre del archivo en el equipo.

Lanzar una herramienta de investigación o resolución

  • Si está replegada, haz clic en el título de la agrupación Equipos para desplegar sus entidades. Se mostrarán las entidades de tipo Equipo.

  • Haz clic en el icono junto a la entidad que quieres investigar. Se abrirá un menú de contexto.

  • Selecciona la herramienta de investigación o resolución: