Registro de actividad asociado a una investigación

Cada acción que los técnicos del SOC ejecutan en el contexto de una investigación, se registra junto a información adicional que ayuda a determinar su tipo y origen. Esta información permite conocer qué repercusión tendrán en la seguridad las acciones de los analistas sobre los equipos del cliente y sobre su infraestructura.

Acceso al registro de actividad asociado a una investigación

En el menú superior Investigaciones haz clic en la investigación de la lista y en el icono (Registro de actividad) situado en la parte superior derecha. Se abrirá una ventana con el listado de acciones que los técnicos del SOC ejecutaron dentro de la investigación elegida, junto a varias herramientas que facilitan la búsqueda y filtrado de información.

Ventana Registro de actividad asociado a una investigación

  • Herramienta de búsqueda (1): busca en el contenido de todos los campos del listado para filtrar los registros presentados. Admite búsquedas parciales de cadenas.

  • Herramienta de agrupación (2): agrupa los registros según el campo elegido. Para obtener más información sobre la herramienta de agrupación consulta Herramientas de filtrado.

  • Exportar (4): vuelca el listado en un fichero csv.

  • Panel lateral (5): al seleccionar un registro muestra su información extendida asociada.

  • Panel central (3): muestra un listado de registros de actividad que coincidan con los criterios de búsqueda establecidos. A continuación se indican los campos incluidos en el listado:

Campo Descripción

Fecha

Fecha en la que es ha producido la acción registrada.

Acción

Tipo de acción registrada junto a la cuenta de usuario que la inició e información adicional. ConsultaRegistro de actividad asociado a una investigaciónpara obtener más información.

Usuario

Nombre de la cuenta que inició la acción. Este campo no se muestra por defecto.

Tipo de acción

Clase de acción registrada. Este campo no se muestra por defecto.

Campos del listado Registro de actividad

Acciones registradas en Cytomic Orion

Acción Descripción

Crear una investigación

El usuario de la consola asignó uno o más indicios a una investigación nueva.

Renombrar una investigación

El usuario de la consola actualizó el nombre de una investigación.

Cambiar la clasificación de una investigación

El usuario de la consola cambió la clasificación de una investigación.

Cambiar la prioridad de una investigación

El usuario de la consola cambió la prioridad de una investigación.

Añadir o quitar clientes de una investigación

El usuario de la consola modificó entidades de interés de tipo cliente asignadas a una investigación.

Cerrar una investigación

El usuario de la consola cerró una investigación.

Reabrir una investigación

El usuario de la consola volvió a asignar el estado En curso o Pendiente a un indicio asignado a una investigación.

Añadir indicios a una investigación

El usuario de la consola asignó un indicio a una investigación existente.

Quitar indicios a una investigación

El usuario de la consola dejó de asignar a una investigación un indicio asignado previamente.

Asignar una investigación a un usuario

El usuario de la consola cambió el usuario asignado a una investigación.

Retirar una investigación

El usuario de la consola quitó la asignación de la investigación.

Lanzar una consulta

El usuario de la consola ejecutó una consulta SQL.

Cancelar una consulta

El usuario de la consola detuvo la ejecución de una consulta SQL.

Resultado de una consulta

Una consulta SQL finalizó su ejecución.

Estadísticas de una consulta

Muestra datos de la consulta SQL ejecutada (sentencia SQL completa, número de bytes leídos etc). Este campo puede utilizarse para determinar el consumo de datos de Cytomic Orion.

Error en la consulta

La ejecución de una consulta SQL finalizó con error.

Investigar equipo

El usuario de la consola abrió una consola de investigación a partir del MUID de un equipo del cliente.

Investigar archivo

El usuario de la consola abrió una consola de investigación a partir del MD5 de un fichero.

Investigar equipo

El usuario de la consola abrió una consola de investigación a partir del nombre de un equipo del cliente.

Crear un Notebook

El usuario de la consola inicio un análisis mediante la creación de un notebook.

Actualizar un Notebook

El usuario de la consola trabajó en un análisis modificando un notebook.

Visualizar un Notebook

El usuario de la consola abrió un notebook para visualizarlo.

Cambiar el nombre de un Notebook

El usuario de la consola renombró un notebook.

Eliminar un Notebook

El usuario de la consola borró un notebook.

Convertir un Notebook a PDF

El usuario de la consola ha obtenido un informe en pdf a partir de los resultados de un notebook.

Ejecutar un Notebook

El usuario de la consola obtuvo resultados de un análisis ejecutando un notebook.

Iniciar acceso remoto de un equipo

Cytomic Orion ha recuperado de la plataforma las credenciales necesarias para que el analista que realizó la petición de acceso remoto pueda acceder al equipo investigado y utilizar las herramientas de resolución. Para acceder al registro de comandos ejecutados por el analista, consulta Registro de operaciones remotas.

Intentar iniciar acceso remoto de un equipo

Cytomic Orion intentó recuperar de la plataforma las credenciales necesarias para acceder remotamente al equipo investigado pero el proceso terminó en error.

Solicitar reiniciar equipos

El usuario de la consola inició el proceso de reinicio remoto de un equipo.

Solicitar aislar equipos

El usuario de la consola inició el proceso de aislamiento de un equipo.

Solicitar dejar de aislar equipos

El usuario de la consola inició el proceso para sacar del aislamiento a un equipo.

Añadir entidades de interés

El usuario de la consola añadió una entidad de interés a una investigación.

Eliminar entidades de interés

El usuario de la consola retiró una entidad de interés de una investigación.

Campos del listado Registro de actividad

Registro de operaciones remotas

Los comandos ejecutados como parte de un acceso remoto a un equipo se registran de forma independiente y más detallada.

Acceso al registro de operaciones remotas

  • En el menú superior Investigaciones haz clic en la investigación y en el icono (Registro de actividad) situado en la parte superior derecha. Se abrirá una ventana con el listado de acciones que los técnicos del SOC ejecutaron dentro de la investigación elegida.

  • En el panel central (3) haz clic en un registro de tipo Iniciar acceso remoto de un equipo. Se mostrarán sus detalles en el panel lateral (5).

  • En el panel lateral (5) localiza el atributo sessionId y haz clic en su contenido. Se abrirá la ventana Detalles de la sesión remota.

Campo Descripción

Session Id

Identificador de la sesión asignada por Cytomic Orion.

Fecha

Fecha en la que se inició el acceso remoto.

Dirección IP

Dirección IP del equipo accedido.

Categoría

  • Archivos: operación relacionada con ficheros.

  • Procesos: operación relacionada con procesos.

  • Servicios: operación relacionada con servicios.

  • Terminal: línea de comandos remota.

  • Conexión: estado de la conexión remota.

Acción

Acción ejecutada en el equipo remoto y registrada por Cytomic Orion.

Campos del listado Detalles de la sesión remota