La ventana de investigación

Al hacer clic en un elemento del listado de investigaciones accesible desde el menú superior Investigaciones, se abre la ventana de investigación que consta de varios subpaneles y una barra de herramientas:

Nombre de la investigación (1)

Haz clic para editar el nombre de la investigación.

Barra de pestañas (2)

Añade una herramienta de análisis persistente a la investigación; se guardará su estado y sobrevivirá al cierre de la ventana de investigación. Haz clic en el icono para mostrar un menú desplegable con las herramientas disponibles:

Consulta avanzada SQL: construye búsquedas mediante el lenguaje SQL sobre el océano de datos almacenado en Cytomic Orion y recogido de la monitorización de los procesos ejecutados en los equipos del cliente. Consulta Investigar el flujo de eventos para obtener más información sobre las consultas avanzadas y el asistente de consulta.

Vista general de un caso

Consultas mediante asistente: construye búsquedas sobre el océano de datos almacenado en Cytomic Orion a través de un asistente, sin necesidad de que el analista tenga conocimientos del lenguaje SQL. Consulta Investigar el flujo de eventos para obtener más información sobre las consultas avanzadas y el asistente de consultas.
Consulta OSQuery: construye sentencias SQL para obtener información relativa al hardware, software, procesos en ejecución, sistema de ficheros, registro etc. de los equipos. El analista puede utilizar esta información en sus investigaciones, o como parte del procedimiento de respuesta ante un incidente. Consulta Investigación en la infraestructura IT con OSQuery.
Investigación de equipos: abre la consola de investigación para analizar en profundidad los eventos generados en un equipo concreto en el día elegido. Se muestran todos los eventos recogidos de todos los procesos ejecutados en ese equipo y día, así como sus relaciones padre - hijo. Consulta Análisis de indicios con la consola de investigación para obtener más información sobre la consola de investigación.
Investigación manual: añade un nuevo notebook en blanco al panel de notebooks (4) de la investigación. Se abrirá el editor de notebooks con el módulo de Respuestas Rápidas en el panel izquierdo. Consulta Investigación con notebooks para obtener más información sobre los notebooks en Cytomic Orion.
Investigación automatizada: muestra una ventana con las plantillas accesibles por el analista a partir de la cual se creará un nuevo notebook. Consulta Investigación con notebooks para obtener más información sobre los notebooks en Cytomic Orion.
Grafos: visualiza el flujo de los procesos ejecutados en la infraestructura IT del cliente. Representa de forma gráfica mediante nodos y y flechas las entidades de los eventos almacenados en el océano de datos y cómo se relacionan entre ellas. Consulta Diagramas de grafos.

Ordenar y agrupar pestañas en paneles

Si el analista necesita visualizar dos pestañas / herramientas simultáneamente, es posible dividir en dos la ventana de investigación y agrupar en cada lado y de forma ordenada las pestañas que necesite:

Añade a la investigación en curso todas las pestañas que necesites. Consulta Barra de pestañas (2) .
Para ordenar las pestañas, haz clic en una de ellas, arrástrala a derecha o izquierda y suelta el botón del ratón.
Para crear un panel nuevo y dividir en dos la ventana de investigación, haz clic en una pestaña y muévela a la parte derecha de la barra de pestañas. La zona de la ventana donde se creará el panel se resaltará. Al soltar el botón del ratón se creará el panel nuevo con la pestaña arrastrada.
Puedes mover pestañas de un panel a otro y crear pestañas nuevas en cada panel de forma independiente.
Para variar el tamaño de los paneles, haz clic en la barra vertical que los separa y mueve el ratón a derecha o izquierda.
Si cierras todas las pestañas de un panel, éste desaparecerá completamente de la ventana Investigaciones.

Subpanel descripción (3)

Establece el estado de la investigación a través de una serie de atributos:

Atributo	Valores
Estado	Indica si los indicios están siendo investigados por los técnicos o ya fueron analizados. Cerrada: la investigación a finalizado. El estado de los indicios asignados pasa a Finalizado. En curso: la investigación permanece abierta. El estado de los indicios asignados permanece en En curso.
Clasificación	Indica como está catalogada la investigación: Sin clasificar: investigación pendiente de analizar. Ataque confirmado: la investigación de los indicios desembocó en la detección de un ataque. Investigación sin ataques detectados: la investigación de los indicios no detectó ningún ataque. Ataque potencial: la investigación de los indicios no es concluyente, pero se ha determinado una alta probabilidad de desembocar en un ataque.
Prioridad	Indica el impacto que el posible ataque investigado pueda tener en los activos de la empresa: Sin establecer: el impacto no se ha determinado por el momento. Crítico: el peligro detectado en la investigación de los indicios es muy alto. El código de color asignado es el rojo. Alta: el peligro detectado en la investigación de los indicios es alto. El código de color asignado es el naranja. Media: el peligro detectado en la investigación de los indicios es medio. El código de color asignado es el verde. Baja: el peligro detectado en la investigación de los indicios es bajo. El código de color asignado es el gris.
Descripción	Caja de texto libre para indicar una descripción detallada del estado de la investigación.
Atributos del subpanel descripción

Subpanel Indicios (4)

Listado con los indicios asignados a la investigación. Consulta Herramientas para configurar los listados para obtener información acerca de cómo ordenar, filtrar y agrupar los indicios asignados a la investigación. Consulta Listado de indicios para obtener información sobre el significado de los campos de la zona Indicios.

El subpanel Indicios dispone de las herramientas siguientes:

Resultados: indica el número de indicios mostrados en el subpanel asociados a la investigación.
Zona horaria: permite establecer la zona horaria de los campos Fecha indicio y Último evento. La zona horaria definida también afectará al contenido de las búsquedas.
Buscar : al hacer clic en el icono se muestra una caja de texto donde introducir la búsqueda. Se admiten las búsquedas parciales, y se efectúan sobre el contenido de todos los campos del indicio.
Exportar : salva en un fichero .csv el contenido del subpanel. Las columnas incluidas en el fichero se corresponden con las mostradas en el listado.
Información del indicio: maximiza el subpanel y despliega el panel derecho Detalles que contiene 2 pestañas:
- Detalles: muestra todos los campos del indicio seleccionado.
- MITRE: muestra el detalle de la táctica y técnica MITRE asociada a la hunting rule que generó el indicio.
Maximizar : amplía el subpanel a pantalla completa.

Al hacer clic en un indicio se muestra la barra de herramientas con las opciones siguientes:

Opción	Descripción
Quitar de esta investigación	Elimina el indicio de la investigación, que pasará a estado Pendiente.
Investigar equipo	Abre la consola de investigación sobre el equipo involucrado en el indicio para mostrar los eventos registrados en la fecha indicada. Consulta Análisis de indicios con la consola de investigación.
Investigación automatizada	Muestra una lista de las plantillas de notebooks creadas. El analista podrá abrir una plantilla y Cytomic Orion rellenará automáticamente los parámetros compatibles de la plantilla con los campos del indicio seleccionado. Consulta Investigación con notebooks.
Añadir entidad de interés	Marca una entidad para mostrarla en el subpanel Entidades de interés en la investigación asociada y así permitir un acceso más rápido a la información. Consulta Panel Entidades de interés.
Detalles del equipo	Muestra información del equipo. Consulta Detalles del equipo.
Añadir regla de eliminación automática	Esta entrada solo se muestra al seleccionar un único indicio. Consulta Eliminar indicios de forma manual para obtener información sobre el filtrado de indicios.
Barra de herramientas de indicios

Estas opciones también son accesibles a través del menú de contexto de un indicio, al hacer clic sobre él con el botón derecho del ratón.

Subpanel Entidades de interés (5)

Lista que recoge los elementos que el analista ha seleccionado a lo largo de su investigación por considerarlos importantes. Consulta Panel Entidades de interéspara obtener más información.

Subpanel Ficheros (6)

Listado de los notebooks que los analistas de nivel 1 y 2 han generado mediante las herramientas Investigación automatizada e Investigación manual. Por cada notebook se muestra la siguiente información:

Nombre: nombre del notebook.
Creado: fecha de creación del notebook.
Modificado: fecha de la última modificación del notebook.
Modificado por: cuenta de usuario de la consola que efectuó la última modificación.
Borrar : borra el notebook asociado.

Además, el subpanel Ficheros tiene una barra de herramientas con los siguientes elementos:

Crear notebook : muestra un menú desplegable para elegir el tipo de notebook a crear:
- Consulta OSQuery: añade un nuevo notebook para construir una sentencia SQL que obtiene información relativa al hardware, software, procesos en ejecución, sistema de ficheros, registro etc. de los equipos. Consulta Investigación en la infraestructura IT con OSQuery.
- Investigación manual: añade un nuevo notebook en blanco al panel de Ficheros (6) de la investigación. Se abrirá el editor de notebooks con el módulo de Respuestas Rápidas en el panel izquierdo. Consulta Investigación con notebooks para obtener más información sobre los notebooks en Cytomic Orion.
- Investigación automatizada: muestra una ventana con las plantillas accesibles por el analista, a partir de las cuales se creará el nuevo notebook. Consulta Investigación con notebooks para obtener más información sobre los notebooks en Cytomic Orion.
- Grafos: añade un notebook que representa de forma gráfica el flujo de telemetría generada por la infraestructura IT del cliente y almacenado en el océano de datos. Consulta Diagramas de grafos

Consulta Investigación con notebookspara obtener más información.

Buscar : al hacer clic en el icono se muestra una caja de texto donde introducir la búsqueda. Filtra el listado del subpanel buscando en el contenido de todos los campos del listado de notebooks. Admite búsquedas parciales.
Exportar : salva en un fichero .csv el contenido del subpanel. Las columnas incluidas en el fichero se corresponden con las mostradas en el listado.
Maximizar : amplia el subpanel a pantalla completa.

Registro de actividad (7)

Registra las acciones efectuadas por el analista, indicando la cuenta de usuario utilizada, el tipo de acción y el elemento que recibió la acción. Consulta Registro de actividad asociado a una investigación.

Comentarios (8)

El analista puede introducir las notas y aclaraciones que considere necesarias para compartir con el resto de técnicos del SOC el estado de la investigación. La caja de texto admite texto enriquecido e imágenes mediante el uso de la barra de herramientas situada en la parte inferior. También puede editar y eliminar sus propias notas con los iconos y que se muestran en la esquina superior derecha al pasar el puntero del ratón por encima de un comentario ya guardado.

Asignar la investigación a un analista (9)

Al crear una investigación, ésta quedará asignada al analista. Cualquier analista con acceso a la investigación puede asignársela a otro técnico, siempre y cuando éste último tenga visibilidad sobre todos los clientes involucrados.

Al hacer clic en el nombre del analista asignado a la investigación, se mostrará un desplegable con todas las cuentas de usuario que tienen visibilidad sobre los clientes que forman parte de la investigación. Al elegir un nuevo analista se lanzarán las siguientes acciones:

El nuevo propietario de la investigación recibirá un correo con la información descrita en la tabla Atributos del subpanel descripción si tiene la opción Notificarme cada vez que me asignen una investigación en el menú superior Configuración, panel lateral Mis preferencias.
El cambio de propietario quedará registrado en el Registro de actividad. Consulta Registro de actividad asociado a una investigación.

Para dejar la investigación sin asignar haz clic en el nombre del analista y pulsa la tecla borrar del teclado. El caso quedará sin asignar y se generará una entrada en Registro de actividad.

Persistencia de los cambios y colaboración

Opción	Descripción
Investigar equipo	Abre la consola de investigación sobre el equipo involucrado en el indicio para mostrar los eventos registrados en la fecha indicada. Consulta Análisis de indicios con la consola de investigación.
Investigación automatizada	Muestra una lista de las plantillas de notebooks creadas. El analista podrá abrir una plantilla y Cytomic Orion rellenará automáticamente los parámetros compatibles de la plantilla con los campos del indicio seleccionado. Consulta Investigación con notebooks.
Añadir entidad de interés	Marca una entidad para mostrarla en el subpanel Entidades de interés en la investigación asociada y así permitir un acceso más rápido a la información. Consulta Panel Entidades de interés.
Detalles del equipo	Muestra información del equipo. Consulta Detalles del equipo.
Añadir regla de eliminación automática	Esta entrada solo se muestra al seleccionar un único indicio. Consulta Eliminar indicios de forma manual para obtener información sobre el filtrado de indicios.
Menú de contexto de un indicio

Una investigación es un recipiente que almacena todas las evidencias estudiadas y recogidas por los analistas. Todos los cambios que se producen en la investigación (modificación o adición de notebooks, adición de herramientas de análisis, configuración del listado de indicios etc.) se mantienen entre sesiones sin necesidad de salvar su estado de forma explícita.