Gestionar investigaciones

Las investigaciones almacenan las evidencias halladas durante el análisis de señales e incidentes.

Las señales e incidentes que pertenecen a una investigación se relacionan con entidades de interés (equipos, ficheros y usuarios entre otros). Consulta Gestionar entidades de interés.

Una investigación agrupa la información en paneles:

• Atributos de la investigación (1)

• Incidentes (2)

• Señales (3)

• Entidades de interés (4)

• Archivos (5)

• Acceso a las herramientas de análisis (6)

• Comentarios y notas (7)

• Registro de actividad con el histórico de cambios (8)

• Usuario asignado a la investigación (9)

En la ventana Investigaciones puedes:

• Asignar investigaciones a cuentas de usuario

• Cambiar los atributos de una investigación

• Gestionar señales añadidas manualmente

• Gestionar entidades de interés

• Gestionar señales desde el detalle del incidente

• Gestionar incidentes

• Gestionar comentarios

• Acceder al registro de actividad

• Acceder a las herramientas de análisis

Asignar investigaciones a cuentas de usuario

• En el menú superior, selecciona Investigaciones. Se abrirá el listado de investigaciones.

• Para filtrar y localizar la investigación que quieres gestionar, consulta Listado de investigaciones.

• En el listado, haz clic en la investigación de tu interés. Se abrirá una ventana con los datos de la investigación.

• Para asignar una investigación a un usuario de Cytomic Orion:

  • Haz clic en la cuenta de usuario (9). Se abrirá una lista desplegable.

  • Selecciona una cuenta de usuario.

Cambiar los atributos de una investigación

• En el menú superior, selecciona Investigaciones. Se abrirá el listado de investigaciones.

• Para filtrar y localizar la investigación que quieres gestionar, consulta Listado de investigaciones.

• En el listado, haz clic en la investigación de tu interés. Se abrirá una ventana con los datos de la investigación.

• Para cambiar el nombre de una investigación:

  • Haz clic en el nombre de la investigación (1).

  • Escribe el nuevo nombre.

  • Pulsa la tecla Enter o haz clic fuera del nombre de la investigación.

• Para cambiar el estado de la investigación:

  • Haz clic en Estado (2) . Se abrirá una lista desplegable.

  • Selecciona el nuevo estado (Pendiente, En curso, Cerrado). Una investigación en estado cerrado no recibirá más incidentes que afecten al equipo. En este caso, Cytomic Orion creará automáticamente una nueva investigación en estado pendiente.

• Para cambiar la clasificación de la investigación:

  • Haz clic en Clasificación (3) . Se abrirá una lista desplegable.

  • Selecciona la nueva clasificación (Sin clasificar, Ataque confirmado, Investigación sin ataques detectados, Ataque potencial).

• Para cambiar la prioridad de una investigación:

  • Haz clic en Prioridad (4). Se abrirá una lista desplegable.

  • Selecciona la nueva prioridad (Crítica, Alta, Normal, Baja).

• Para añadir o cambiar la Descripción (5) de la investigación, escríbela en la caja de texto.

Gestionar comentarios

• Haz clic en Comentarios(7). Se abrirá el panel COMENTARIOS con el listado de los comentarios escritos por los analistas.

• Para añadir un comentario:

  • Utiliza la barra de estilos para decorar tu comentario. Consulta Barra de estilos.

  • Escribe el comentario en la caja de texto y haz clic en Guardar.

• Para cerrar el panel de comentarios, haz clic en el icono .

Barra de estilos

Aplica formatos al texto o añade recursos externos.

Campo	Descripción
	Negrita
	Cursiva
	Tachado
	Subrayado
	Segmento de código
	Header 1
	Header 2
	Header 3
	Bullets
	Pasos
	Para añadir una URL: Haz clic en el icono. Se abrirá la ventana Editor de URL. Escribe la URL en la caja de texto. Haz clic en Aceptar. La URL se añadirá en la caja de texto del comentarios.
	Eliminar enlace
	Para añadir una imagen: Haz clic en el icono. Se abrirá el explorador de ficheros de tu sistema operativo. Selecciona el fichero gráfico. Haz clic en Abrir. La imagen se añadirá en la caja de texto de comentarios.
Herramientas de la barra de estilos

Acceder a las herramientas de análisis

• En el menú superior, selecciona Investigaciones. Se abrirá el listado de investigaciones.

• Para filtrar y localizar la investigación que quieres gestionar, consulta Listado de investigaciones.

• En el listado, haz clic en la investigación de tu interés. Se abrirá una ventana con los datos de la investigación.

• En el menú de pestañas, haz clic en el icono , Se abrirá un menú desplegable.

• Selecciona la herramienta de análisis:

  • Consulta avanzada SQL : explora la telemetría de la investigación mediante sentencias SQL. Consulta Módulo de consultas avanzadas SQL.

  • Consultas mediante asistente : explora la telemetría generada por las señales y los incidentes mediante un asistente que facilita la creación de sentencias SQL. Consulta Módulo Asistente para consultas.

  • Consulta OsQuery : obtén información del hardware y del software del equipo donde se detectó la señal. Consulta Investigación en la infraestructura IT con OSQuery.

  • Investigar equipo : abre la consola de investigación con los eventos registrados en la señal. Consulta Análisis con la consola de investigación.

  • Investigación manual : abre un notebook para investigar la señal. Consulta Investigación con notebooks.

  • Investigación automatizada : abre el asistente de investigaciones. Consulta Investigaciones asistidas.

  • Grafos : muestra la telemetría asociada a la investigación en forma de grafo. Consulta Diagramas de grafos.

  • Pregunta al Asistente de GenAI : haz preguntas en lenguaje natural para investigar en la telemetría asociada a la investigación. Consulta Analizar la telemetría de la investigación con lenguaje natural.