Gestionar señales desde el detalle del incidente

Para mostrar los detalles de un incidente:

  • En el menú superior, selecciona Investigaciones. Se abrirá un listado con las investigaciones.

  • Para localizar una investigación, consulta Configurar y filtrar el listado de investigaciones.

  • Haz clic en la investigación de tu interés. Se abrirá una ventana con la información de la investigación y sus incidentes y señales.

  • Para conocer el significado de los campos del listado de incidentes, consulta Listado de incidentes.

  • Para ver los detalles del incidente, en el subpanel Incidentes, haz clic en el botón Mostrar detalles junto al incidente de tu interés. Se abrirá la ventana de detalle del incidente.

Desde el detalle del incidente puedes:

Mostrar la información de una señal

En el panel izquierdo se muestran las señales que pertenecen al incidente ordenadas cronológicamente.

Las señales de un incidente llevan asociados TTPs, que describen el tipo de actividad enmarcado en el contexto de un ciberataque según el estándar MITRE ATT&CK®:

  • Táctica: El objetivo general del atacante.

  • Técnica: El método específico usado para lograr una táctica.

  • Procedimiento: La implementación concreta de esas técnicas.

Los TTPs describen el comportamiento de los atacantes para facilitar la detección y mitigación. Proporcionan un análisis detallado de la operativa del adversario frente a los indicadores simples (IP o ficheros).

Cada señal incluye:

Información de la señal en el panel izquierdo

  • (1) Icono con el riesgo:

    • Rojo oscuro: riesgo 9 y 10

    • Rojo: riesgo 7 y 8

    • Naranja: riesgo 4, 5 y 6

    • Gris: riesgo 1,2 y 3

    • Verde: sin riesgo

  • (2) Marca de tiempo del momento en que se detectó la señal, con una precisión de nanosegundos.

  • (3) Técnica, táctica y procedimiento según el estándar MITRE, si está disponible.

  • (4) Nombre de la señal asignado por Cytomic Orion.

  • (5) Acción realizada por Cytomic Orion. Consulta action.

  • (6) Nombre del equipo donde se detectó la señal.

  • (7) Dirección IP remota del equipo, si está disponible.

Para obtener el detalle de una señal:

  • En el panel de la izquierda, haz clic en la señal de tu interés.

  • En el panel de la derecha haz clic en la pestaña DETALLES. Consulta Mostrar la información asociada a una señal.

  • En el panel de la derecha, haz clic en la pestaña MITRE. Se mostrarán los TTPs asociados a la señal y la explicación detallada de su funcionamiento. La pestaña MITRE solo muestra información cuando la señal tiene TTPs asignados.

  • Panel de MITRE mostrando la descripción de las técnicas y tácticas utilizadas en la señal

Añadir señales al incidente

Para añadir señales a un incidente, tu rol de usuario debe incluir el permiso Gestionar señales en incidentes. Para obtener más información sobre roles y permisos, consulta Descripción de los permisos implementados.

Añadir señales

Para añadir manualmente señales de tu interés que no forman parte del incidente:

  • En el panel Señales, haz clic en el icono (1). Se abrirá el listado Añadir señales. Para obtener información sobre los campos de una señal, consulta Campos del listado de señales.

  • Para actualizar el listado de señales y mostrar las nuevas que Cytomic Orion ha registrado desde que abriste el incidente, haz clic en el icono (2). El listado se recargará mostrando todas las señales registradas.

  • Selecciona las casillas junto a las señales que quieres añadir.

  • Haz clic en Aceptar. El listado se cerrará y el incidente se actualizará:

    • En el panel izquierdo se añaden en orden cronológico las señales seleccionadas.

    • En el panel central se añaden los activos involucradas en las señales del incidente que no estén ocultas. Consulta Mostrar, ocultar y eliminar señales.

Mostrar, ocultar y eliminar señales

Para eliminar señales del incidente, la cuenta de usuario que utilizas para acceder a Cytomic Orion debe tener el permiso Gestionar señales en incidentes asignado a su rol. Para obtener más información sobre roles y permisos consulta Descripción de los permisos implementados.

Solo puedes eliminar las señales que has añadido a un incidente manualmente, pero puedes ocultar cualquier tipo de señal.

Mostrar, ocultar y eliminar señales

Para ocultar una señal:

  • Haz clic en el icono (3). La señal se difuminará en el listado y las entidades de interés asociadas a la señal desaparecerán del diagrama si no están involucradas en otras señales que pertenecen al incidente.

Para ocultar todas las señales relacionadas con una entidad de interés:

  • En el panel central Grafo del incidente, haz clic con el botón derecho del ratón sobre la entidad de interés para ocultar sus señales relacionadas. Se mostrará un menú de contexto.

  • Selecciona Ocultar señales relacionadas. Todas las señales relacionadas con esa entidad de interés se atenuarán en el panel izquierdo Señales.

Para eliminar una señal del incidente:

  • Haz clic en el icono (4) junto a la señal que quieres eliminar. Se abrirá un menú de contexto.

  • Haz clic en el icono . La señal se eliminará del panel izquierdo y sus entidades de interés se borrarán del grafo si no están involucradas en otras señales que pertenecen al incidente.

Mostrar los procesos que han generado una señal

Haz clic en una señal del panel izquierdo Señales para mostrar, en forma de árbol, la secuencia de creación de procesos que generó la señal, así como la señal y su severidad.

Cytomic Orion incluye los procesos registrados hasta 7 días antes de la creación de la señal.

Árbol de procesos desplegado

Para mostrar los procesos que han generado una señal:

  • En el panel izquierdo selecciona una señal. Los paneles central, derecho e inferior se actualizarán con la información de la señal.

  • El panel inferior contiene una linea por cada par proceso padre - proceso hijo que se ha creado, con la opción de desplegar la jerarquía de procesos hijo de cada rama del árbol.

  • Para filtrar procesos del árbol, escribe en la caja de texto (1)Buscar en el árbol... la linea de comandos que te interese. El árbol mostrará solo los procesos que contengan el texto.

  • Para expandir todos los procesos hijos, haz clic en el botón (2) .

  • Para colapsar todos los procesos hijos y solo mostrar los procesos padre, haz clic en el botón (3) .

  • Para obtener información de un evento de creación de proceso, haz clic en el proceso. El panel derecho se actualizará con la información del proceso. Para conocer el significado de cada campo consulta Campos de los eventos registrados.

  • Para obtener información sobre la señal, haz clic en la linea del árbol de procesos que muestra el icono . El panel derecho se actualizará con la información de la señal. Consulta Mostrar la información asociada a una señal.

La información mostrada en cada linea del panel inferior es la siguiente:

Linea de proceso padre - hijo

Linea de señal

Campo Descripción

(1)

  • Haz clic en el icono para desplegar los procesos hijos creados por el proceso padre.

  • Haz clic en el icono para ocultar los procesos hijos creados por el proceso padre.

Fecha y hora (2)

Fecha y hora en nanosegundos del registro de la señal o del proceso hijo.

Icono (3)

Tipo del proceso padre o icono que indica la creación de la señal.
Identificador (4)

Identificador del proceso padre.
Proceso padre (5)

Nombre del proceso padre.

Proceso hijo (6)

 Nombre del proceso hijo y parámetros que recibe.
Severidad (8)

Severidad de la señal:

  • Sin riesgo: riesgo 0.

  • Bajo: riesgo 1, 2 o 3

  • Medio: riesgo 4, 5 o 6

  • Alto: riesgo 7 u 8

  • Crítico: riesgo 9 o 10

Nombre (9)

Nombre de la señal.

Información de una línea del árbol de procesos.

Acceder a las herramientas de análisis

Para analizar la telemetría de la señal:

  • En el panel izquierdo Señales, haz clic en el icono junto a la señal que quieres investigar. Se abrirá un menú desplegable.

  • Selecciona la herramienta de análisis:

    • Investigar equipo : abre la consola de investigación con el listado de eventos que forman parte de la señal. Consulta Estructura de la consola de investigación.

    • Ver grafo de actividad: muestra un diagrama de grafos que representa de forma gráfica mediante nodos y flechas los eventos que forman parte de la señal. Consulta Diagramas de grafos

    • Detalles del equipo : muestra los detalles del equipo. Consulta Detalles del equipo

Eliminar automáticamente señales

Solo puedes crear una regla de eliminación automática para señales de tipo IOA.

Crea una regla de eliminación automática de señales para impedir que Cytomic Orion registre una determinada señal en un equipo concreto:

  • En el panel izquierdo Señales, haz clic en el icono junto a la señal que quieres excluir. Se mostrará un menú de contexto.

  • Selecciona No volver a detectar. Se abrirá la ventana Añadir regla de eliminación automática.

  • Escribe el Nombre de la regla en la caja de texto.

  • Escribe la Descripción de la regla en la caja de texto (opcional).

  • Para establecer los criterios de eliminación, consulta Configurar criterios para reglas de eliminación de señales.

  • Haz clic en No volver a detectar. La regla de eliminación se creará y comenzará a mover a la papelera las señales de nueva creación que cumplan con los criterios incluidos en su definición.