Gestionar entidades de interés

El panel Entidades de interés reúne las entidades vinculadas a las señales de la investigación como un histórico de acceso rápido. Cytomic Orion añade automáticamente al listado las entidades extraídas de las señales del incidente.

Desde el listado de entidades puedes:

• Gestionar las entidades de interés

• Lanzar una herramienta de investigación o de resolución

Gestionar las entidades de interés

• Para recargar el listado, haz clic en .

• Haz clic en el título de la agrupación para desplegar u ocultar sus entidades.

• Para añadir una entidad de interés manualmente:

  • Haz clic en el icono y en Añadir entidad de interés. Se abrirá la ventana Añadir entidad de interés.

  • Haz clic en la lista desplegable Tipo. Se mostrarán una lista de los tipos de entidades disponibles. Consulta Tipos de entidades.

  • En la caja Entidad, escribe la información asociada a la entidad. Para añadir una entidad de tipo Equipo, consulta Añadir entidades de tipo Equipo.

  • Haz clic en Añadir. Si la información es válida, la consola añadirá la entrada al listado de entidades con el icono indicando que se añadió manualmente.

• Para buscar en el listado:

  • Haz clic en el icono . Se mostrará una caja de texto.

  • Escribe en la caja de texto el nombre de la entidad. Se mostrarán automáticamente las entradas que coincidan parcialmente con el criterio de búsqueda.

• Para copiar al portapapeles el nombre de una entidad:

  • Haz clic en el icono junto a la entidad que quieres copiar. Se abrirá un menú de contexto.

  • Selecciona Copiar al portapapeles. La información de la entidad se copiará al portapapeles de tu sistema operativo.

• Para eliminar una entidad de interés, consulta Borrar entidades de interés

• Para ejecutar una herramienta de investigación o resolución sobre la entidad, consulta Lanzar una herramienta de investigación o de resolución

Borrar entidades de interés

Solo puedes eliminar entidades de interés añadidas manualmente y que no están relacionadas con una señal que pertenece a la investigación.

Cada investigación tiene que tener por lo menos un cliente asignado. Cuando borras el ultimo cliente, la investigación se eliminará completamente.

Para borrar una entidad de interés:

• Haz clic en el icono junto a la entidad que quieres eliminar. Se abrirá un menú de contexto.

• Selecciona Eliminar de la lista de entidades de interés. Se abrirá un cuadro de dialogo de confirmación.

• Haz clic en Eliminar. La entidad de interés se borrará del listado.

Añadir entidades de tipo Equipo

Para añadir una entidad de tipo Equipo mediante el listado desplegable:

• Haz clic en la caja de texto Entidad. Se mostrará una lista de los equipos del cliente sobre los que el usuario tiene visibilidad. Consulta Configuración de la visibilidad de clientes.

• Selecciona un equipo de la lista.

Para añadir una entidad de tipo Equipo mediante el listado Selecciona equipo:

• Haz clic en el icono . Se abrirá el listado Seleccionar equipo.

• Para filtrar el listado por cliente:

  • Haz clic en la caja de texto Cliente. Se mostrarán los clientes visibles para tu cuenta de usuario.

  • Selecciona un cliente. El listado se actualizará con los equipos del cliente que has seleccionado.

• Para filtrar el listado, escribe el nombre del equipo en la caja de texto Buscar equipo. El listado se actualizará con los equipos cuyo nombre coincida parcialmente.

• Para configurar la vista del listado, consulta Herramientas para configurar los listados.

• Selecciona la casilla junto al equipo que quieres añadir.

• Haz clic en Seleccionar. La ventana Seleccionar equipo se cerrará y el MUID del equipo se añadirá a la caja de texto Entidad.

Tipos de entidades

• Equipo : MUID del equipo. Los equipos sin licencia válida (activa o en periodo de gracia) se muestran en rojo.

• Cliente : nombre e identificador del cliente del equipo investigado. Si la cuenta de acceso a la consola web no tiene permisos suficientes se mostrará solo su identificador.

• Usuario : cuenta de usuario que ejecutó el programa origen de la señal.

• Hash de fichero : huella digital del archivo.

• IP : dirección IP del equipo.

• Puerto : puerto del proceso ejecutado que generó la señal en el equipo.

• Dominio : dominio que pertenece a una comunicación desde o hacia el equipo.

• URL : dirección web accedida desde el equipo.

• Path de fichero : ubicación en el sistema de ficheros.

• Nombre de fichero : nombre del archivo en el equipo.

Lanzar una herramienta de investigación o de resolución

Utiliza herramientas de investigación o resolución sobre las entidades de tipo equipo:

• Si está replegada, haz clic en el título de la agrupación Equipos para desplegar sus entidades. Se mostrarán las entidades de tipo Equipo.

• Haz clic en el icono junto a la entidad que quieres investigar. Se abrirá un menú de contexto.

• Selecciona la herramienta de investigación o resolución:

  • Investigar equipo : accede a los eventos registrados en la consola de investigación. Consulta Análisis con la consola de investigación.

  • Investigación automatizada : analiza las señales del equipo mediante un notebook. Consulta Investigación con notebooks.

  • Investigación asistida : accede al asistente guiado de investigaciones. Consulta Investigaciones asistidas.

  • Aislar equipo : bloquea todas las comunicaciones del equipo. Consulta Aislar equipos.

  • Dejar de aislar el equipo : restaura las comunicaciones del equipo. Consulta Aislar equipos.

  • Acceso remoto al equipo : ejecuta comandos de forma remota. Consulta Linea de comandos remota.

  • Reiniciar equipo : reinicia el equipo de forma remota. Consulta Reiniciar equipos.

  • Detalles del equipo : muestra la información del equipo. Consulta Detalles del equipo