Gestión de entidades

Una entidad de interés siempre está asociada a una investigación concreta. En la mayor parte de los casos el encargado de realizar esta asociación es el técnico, cuando a lo largo de su análisis detecta elementos que considera interesante retener para su consulta posterior. Adicionalmente, Cytomic Orion también agrega de forma automática algunas entidades de interés en el transcurso de la investigación.

Desde el subpanel Entidades de interés es posible actuar sobre las entidades añadidas o borrarlas. Para ejecutar una acción sobre una entidad sigue los pasos mostrados a continuación:

Despliega el grupo al que pertenece la entidad dentro del panel Entidades de interés.
Haz clic sobre el icono asociado a la entidad para desplegar el menú de contexto y elige una acción. Dependiendo del tipo de entidad se mostrarán ciertas acciones, algunas de ellas relacionadas con tareas de resolución de problemas.

Añadir entidades de forma automática

Cytomic Orion agrega de forma automática al panel de Entidades de interés las entidades objeto de estudio. Las situaciones y entidades agregadas automáticamente a la investigación son las siguientes:

Cuando el analista añade un indicio a la investigación: identificador del equipo (MUID) e identificador del cliente.
Cuando el analista abre una consola de investigación: hash del fichero (MD5) y / o identificador del equipo (MUID).

Añadir entidades de forma guiada

El analista puede añadir una entidad al subpanel Entidades de interés desde la opción Añadir entidad de interés. Esta opción se muestra en los siguientes elementos de la consola de análisis, al hacer clic con el botón derecho del ratón para mostrar el menú de contexto:

En los indicios asignados a una investigación.
Haciendo clic en el icono asociado a un indicio. Consulta el capitulo Indicios y reglas de hunting para obtener más información.
En los resultados de una consulta avanzada SQL. Consulta el capitulo Investigar el flujo de eventos para obtener más información.
En los eventos de un equipo mostrados en la consola de investigación. Consulta el capitulo Análisis de indicios con la consola de investigación para obtener más información.

Cytomic Orion establece el tipo de la entidad de interés añadida en función del campo donde el analista muestre el menú de contexto. Si por ejemplo el analista hace clic con el botón derecho del ratón sobre el campo Equipo de un indicio, Cytomic Orion añadirá la entidad de interés con el tipo Equipo asignado de forma automática, aunque posteriormente el analista podrá cambiarlo eligiendo un nuevo tipo del desplegable mostrado.

Para añadir una entidad al subpanel de Entidades de interés sigue los pasos mostrados a continuación:

Localiza el dato a añadir y haz clic con el botón de la derecha para mostrar el menú de contexto.
Elige la opción Añadir entidad de interés. Se abrirá una ventana donde especificar el tipo de entidad a añadir.
Pulsa Aceptar. En ese momento la entidad se añadirá en el subpanel Entidades de interés y Cytomic Orion permitirá actuar sobre ella.

Añadir entidades de forma libre

Para añadir una entidad de un tipo arbitrario, haz clic en el icono en el subpanel Entidades de interés. Se mostrará un desplegable con el tipo de entidad a añadir y la caja de texto Entidad para introducir su valor. La consola analizará los datos introducidos para comprobar que se ajustan al formato esperado según el tipo elegido.

Para acelerar la configuración de entidades, la caja de texto Entidad permite filtrar entre todas las entidades disponibles en el caso del tipo elegido. Escribe letra a letra el nombre de la entidad y se mostrará un desplegable con las entidades compatibles con los caracteres introducidos para poder seleccionar la apropiada.

Borrar una entidad de interés

En el menú superior Investigaciones haz clic en la investigación que contiene la entidad de interés y en la barra de pestañas Detalles. Se mostrarán los paneles asociados a la investigación en curso.
En el panel Entidades de interés pasa por encima del icono de la entidad de interés a borrar y elige en el menú de contexto la opción Eliminar de la lista de entidades de interés.
Haz clic en Aceptar y la entidad se borrará.

Acciones disponibles sobre las entidades de interés

Las entidades de interés ya agregadas tienen asociado un menú de contexto que facilita al analista la operación y navegación por la consola Web.

Acción	Descripción	Disponible en los tipos de entidad
Copiar al portapapeles	Copia al portapapeles del equipo la información correspondiente a la entidad para poder utilizarla en otro punto de la consola de análisis.	Todas
Eliminar de la lista de entidades de interés	Borra la entidad de la lista de entidades de interés asociadas a la investigación.	Todas
Investigar equipo	Abre una ventana con la consola de investigación tomando como parámetro el MUID del equipo para mostrar los eventos producidos en la fecha seleccionada. Consulta Análisis de indicios con la consola de investigación para obtener más información.	Equipo
Notebook de investigación	Abre el listado de plantillas que permite generar un nuevo notebook tomando como parámetro el MUID del equipo. Consulta Investigación con notebooks para obtener más información.	Equipo
Aislar equipo	Impide la comunicación del equipo aislado con la red. Consulta Herramientas de respuesta para obtener más información.	Equipo
Dejar de aislar equipo	Restablece las comunicaciones del equipo previamente aislado. Consulta Gestión de investigaciones para obtener mas información.	Equipo
Acceso remoto al equipo	Acceso remoto a recursos de gestión del equipo. Consulta Herramientas de respuesta para obtener más información.	Equipo
Reiniciar equipo	Inicia la secuencia de reinicio del equipo. Consulta Herramientas de respuesta para obtener más información.	Equipo
Detalles del equipo	Muestra una ventana con información detallada del equipo. Consulta la tabla Detalles del equipo para conocer el significado de cada campo.	Equipo
Acciones disponibles según la entidad

Herramientas del panel Entidades de interés

El panel Entidades de interés incorpora en la parte superior las siguientes herramientas:

Añadir entidad de interés : consulta Añadir entidades de forma libre.
Recargar panel : vuelve a pedir al servidor la lista de entidades de interés y las muestra en el subpanel.
Buscar : al hacer clic en el icono se muestra una caja de texto donde introducir la búsqueda. Se admiten las búsquedas parciales y se efectúan sobre el contenido de todos los cambios de la entidad de interés.
Maximizar : amplia el subpanel a pantalla completa.

Detalles del equipo

Sección	Campo	Descripción
General
	Direcciones IP	Listado con todas las direcciones IP (principal y alias) del equipo.
	Ruta de directorio activo	Ruta dentro del árbol de directorio activo de la empresa donde se encuentra el equipo.
	Grupo	Grupo dentro del árbol de grupos en Cytomic EDR o Cytomic EPDR al que pertenece el equipo. Para cambiar el grupo del equipo haz clic en el botón Cambiar.
	Sistema operativo	Nombre del sistema operativo instalado en el equipo.
Información del cliente
	Id del cliente	Identificador de cliente al que pertenece el equipo en los sistemas de Cytomic Orion.
	Nombre del cliente	Nombre del cliente.
	Fecha de creación	Fecha en la que se dio de alta el cliente en los sistemas de Cytomic.
Equipo
	Nombre	Nombre del equipo en la red del cliente.
	Tipo de sistema	Tipo de equipo: Equipo de sobremesa Servidor Equipo portátil Dispositivo móvil (smartphone, tablet, etc.)
	Id de plataforma	Tipo de sistema operativo instalado en el equipo. Windows Linux macOS Sin definir
	MUID	Identificador único que identifica al equipo dentro de Cytomic Orion.
	Direcciones IP	Listado con todas las direcciones IP (principal y alias) del equipo.
	Direcciones físicas (MAC)	Dirección física de las tarjetas de red instaladas en el equipo.
	Dominio	Dominio Windows al que pertenece el equipo. Vacío si no pertenece a un dominio.
	Ruta de directorio activo	Jerarquía de unidades organizativas donde se encuentra alojado el equipo.
	Grupo	Grupo dentro del árbol de grupos en Cytomic EDR o Cytomic EPDR al que pertenece el equipo. Para cambiar el grupo del equipo haz clic en el botón Cambiar.
	Sistema operativo	Nombre del sistema operativo instalado en el equipo.
	Máquina virtual	Indica si el equipo es físico o está virtualizado.
	Es equipo no persistente	Indica si el sistema operativo de la máquina virtual reside en un dispositivo de almacenamiento que perdura entre reinicios o por el contrario se regenera a su estado original.
	Licencias	Licencias de productos de Cytomic instalados en el equipo.
	Estado de la licencia	Asignada No asignada
	Versión del agente	Versión interna del agente Cytomic instalado en el equipo.
	Idioma del agente	Idioma en el que Cytomic EDR o Cytomic EPDR muestra al usuario del equipo la consola local y los mensajes emergentes.
	Aislamiento	Muestra el estado del aislamiento del equipo: Aislado Aislando Dejando de aislar No aislado
	Reinicio solicitado	El equipo tiene pendiente una petición de reinicio.
	Fecha de creación	Fecha en la que se instaló el agente en el equipo del usuario y éste se registró en la nube de Cytomic.
	Última conexión	Fecha de la última conexión del software de cliente con la nube de Cytomic. Como mínimo el agente de comunicaciones contactará cada 4 horas.
	Último reinicio	Fecha en la que se inició el equipo por última vez.
Seguridad
	Protección avanzada	Indica si está activado el módulo de Protección avanzada de Cytomic EDR o Cytomic EPDR en el equipo del usuario y en qué modo está configurado (Audit, Hardering o Lock).
	Antivirus de archivos	Indica si está activado el módulo de protección del sistema de ficheros de Cytomic EDR o Cytomic EPDR en el equipo del usuario.
	Antivirus de correo	Indica si está activada la protección de los protocolos empleados en el envío y recepción de correos electrónicos del equipos del usuario.
	Antivirus para navegación web	Indica si está activada la protección frente al malware descargado de páginas web en el equipo del usuario.
	Firewall	Indica si está activado el módulo de protección frente al tráfico de red generado por aplicaciones en el equipo del usuario.
	Control de dispositivos	Indica si está activado el módulo de protección frente a la infección a través de dispositivos de almacenamiento externos, o que permitan conectar el equipo del usuario a Internet sin pasar por la infraestructura de comunicaciones de la organización (módems USB y otros dispositivos).
	Antivirus del servidor Exchange	Indica si está activado el módulo de protección frente a virus recibidos en servidores Microsoft Exchange.
	Antispam del servidor Exchange	Indica si está activado el módulo de protección frente a los correos electrónicos no deseados en servidores Microsoft Exchange.
	Filtro de contenidos del servidor Exchange	Indica si está activado el módulo de protección frente a los correos recibidos en servidores Microsoft Exchange que llevan ficheros adjuntos con extensiones peligrosas.
	Control de acceso a páginas web	Indica si está activado el módulo de protección frente a la navegación en el equipo del usuario por páginas web no autorizadas por el administrador.
	Gestión de parches	Indica si está activado el módulo de instalación de parches y actualizaciones de sistemas operativos Windows y aplicaciones de terceros en el equipo del usuario.
	Data Control	Indica si esta activado el módulo de seguimiento de la información personal.
	Antirrobo	Indica si esta activado el modulo que mitiga la exposición de datos ante robos de dispositivos móviles Android.
	Cifrado	Indica si está activado el módulo de cifrado de archivos en el equipo del usuario.
	Estado del control de búsqueda de datos	Indica si el equipo tiene asignado un perfil de configuración de Cytomic Data Watch que le permita recibir búsquedas de ficheros y reportar sus resultados.
Protección
	Estado de actualización de la protección	Indica si el módulo de la protección instalado en el equipo del usuario coincide con la última versión publicada por Cytomic. Actualizado No actualizado (7 días sin actualizar desde la publicación) Pendiente de reinicio.
	Versión de la protección	Versión del módulo de la protección del producto Cytomic EDR o Cytomic EPDR instalado en el equipo del usuario.
	Estado de actualización del conocimiento	Indica si el fichero de firmas descargado en el equipo del usuario coincide con la última versión publicada por Cytomic. Actualizado No actualizado (3 días sin actualizar desde la publicación)
	Fecha de actualización del conocimiento	Fecha en la que se ha producido la última descarga del fichero de firmas en el equipo del usuario.
Protección de datos
	Inventario de información personal	Indica si se permite examinar los ficheros de los medios de almacenamiento soportados en equipo del cliente para generar una base de datos en el propio equipo y así acelerar la recuperación de su contenido.
	Seguimiento de información personal	Indica si están instaladas en el equipo del cliente las extensiones para poder acceder a los ficheros de ofimática de la suite Microsoft Office.
	Estado de la indexación	Indica el estado del motor de indexado de Cytomic Data Watch: No indexado Indexado Indexado (solo el texto) Indexado (todo el contenido) Indexando
Campos de la ventana Detalles del equipo