Configuración del diagrama de grafos

Para modificar el aspecto y la cantidad de información mostrada en un diagrama de grafos y acomodarlo a las necesidades del analista, se implementan dos recursos principales:

• La barra de herramientas del diagrama de grafos, accesible desde la parte izquierda de la pantalla.

• Los menús contextuales , accesibles al hacer clic con el botón derecho del ratón sobre un nodo o sobre una agrupación de nodos.

Por defecto, el diagrama se muestra con orientación horizontal (6) y con un nivel de zoom suficiente como para que todos los nodos sean visibles sin necesidad de desplazar la pantalla.

Barra de herramientas del diagrama de grafos

• Para deshacer la última acción ejecutada sobre el diagrama, haz clic en el icono (1).

• Para rehacer la última acción deshecha del diagrama, haz clic en el icono (2).

• Para ampliar el diagrama, haz clic en el icono (3).

• Para alejar el diagrama, haz clic en el icono (4).

• Para restaurar la configuración del zoom a la establecida inicialmente, haz clic en el icono (5).

• Para cambiar la orientación del diagrama a horizontal, haz clic en el icono (6).

• Para cambiar la orientación del diagrama a vertical, haz clic en el icono (7).

• Para mostrar u ocultar las distintas capas de información incluidas en el grafo, haz clic en el icono (8). Consulta Ocultar y mostrar capas.

Menús de contexto

Al hacer clic con el botón derecho del ratón sobre un nodo o una agrupación, se muestra el menú de contexto. Las opciones que no es posible utilizar dependiendo del estado del nodo se deshabilitan, mostrándose con un color atenuado.

Ocultar y mostrar capas

Para ocultar parte de la información incluida en el grafo y mostrar los aspectos más relevantes del mismo, haz clic en el icono (8). Se mostrará un menú desplegable con las siguientes opciones:

• Secuencia de ejecución: oculta o muestra la numeración de los eventos que permite determinar su orden de ejecución en el equipo del usuario. Consulta Estilos de las flechas.

• Nombres de la relaciones: oculta o muestra el nombre de los eventos. Consulta Formato de los eventos utilizados en Cytomic Orion.

• Nombres de las entidades.

Seleccionar nodos del diagrama

• Para seleccionar un único nodo del diagrama: haz clic en el nodo con el botón izquierdo del ratón.

• Para seleccionar varios nodos dispersos del diagrama: mantén presionada la tecla Ctrl o Mayúsculas y haz clic en los nodos con el botón izquierdo del ratón.

• Para seleccionar varios nodos contiguos del diagrama: mantén presionada la tecla Ctrl o Mayúsculas, haz clic en una zona libre del diagrama y arrastra el ratón hasta abarcar los nodos a seleccionar.

Al seleccionar varios nodos del diagrama y hacer clic con el botón derecho del ratón, se mostrarán únicamente las opciones del menú de contexto comunes a todos los nodos seleccionados.

Mover y borrar nodos del diagrama

Para mover todos los nodos y líneas del diagrama:

Haz clic en un espacio libre y arrastra el ratón en la dirección apropiada.

Para mover un único nodo:

Selecciona el nodo y arrástralo en la dirección apropiada. Todas las líneas que conectan al nodo con sus vecinos se ajustarán a su nueva posición.

Para eliminar un nodo con el teclado:

• Selecciona el nodo deseado y pulsa Supr. Se mostrará un mensaje indicando el número total de nodos que se eliminarán del grafo: el propio nodo y todos sus descendientes.

• Haz clic en el botón Aceptar.

Para eliminar un nodo con el ratón:

Cuando se borra un nodo del grafo, también se borran todos sus descendientes.

• Haz clic con el botón derecho del ratón sobre el nodo a borrar. Se mostrará el menú de contexto.

• Selecciona la opción Borrar (x) (x indica el número de nodos que se verán afectados por la operación de borrado). Se mostrará un mensaje indicando el número total de nodos que se eliminarán del grafo: el propio nodo y todos sus descendientes.

• Haz clic en el botón Aceptar.

Para borrar varios nodos:

• Selecciona los nodos a borrar y haz clic en cualquiera de ellos con el botón derecho del ratón. Se mostrará el menú de contexto.

• Selecciona la opción Borrar (x). Se mostrará un mensaje indicando el número total de nodos que se eliminarán del grafo: los nodos seleccionados y todos sus descendientes.

• Haz clic en el botón Aceptar.

Agrupar nodos

En los grafos que contienen una gran cantidad de elementos, el analista puede agrupar nodos que guarden algún tipo de relación para simplificar el diagrama.

Las agrupaciones de nodos tienen dos estados:

• Expandida: si muestra los nodos que la forman.

• Colapsada: si oculta los nodos que la forman.

Una agrupación de nodos es una entidad por sí misma, con las siguientes características:

• Las acciones aplicadas sobre un grupo de nodos afectan a todos los nodos que lo componen.

• Se pueden agrupar nodos de diferentes tipos.

• Eliminar una agrupación equivale a eliminar del grafo todos los nodos que la componen.

• Al colapsar un grupo, todas las relaciones de sus miembros con nodos externos se representan como si estuvieran establecidas con la agrupación. Las flechas que reflejen relaciones de un mismo tipo (mismo tipo de evento) también se agrupan (consulta Grupo de nodos colapsado).

• El espacio vacío de una agrupación expandida, representa al conjunto de nodos agrupados. Por ejemplo, para mostrar el menú de contexto de todos los nodos de una agrupación haz clic con el botón derecho del ratón en un espacio vacío de la agrupación expandida. De la misma forma, si seleccionas la opción Eliminar, borrarás todos los nodos que pertenecen a la agrupación.

• Un nodo que pertenece a una agrupación expandida conserva el comportamiento normal de un nodo del grafo sin agrupar: se podrá mover de forma individual, mostrar su menú de contexto, borrar, etc.

• Una agrupación puede estar formada solo por nodos, solo por grupos, o por una mezcla de ambos.

Para agrupar un conjunto de nodos:

• Selecciona varios nodos del diagrama y haz clic con el botón de la derecha del ratón. Se abrirá el menú de contexto.

• En el menú selecciona Agrupar . Se creará un rectángulo de agrupación que contiene los nodos agrupados.

• Haz clic con el botón derecho del ratón en una zona despejada del rectángulo de agrupación. Se abrirá el menú de contexto de la agrupación.

• En el menú selecciona Colapsar . Los nodos agrupados se sustituyen por un cuadrado de tamaño inferior y todas las relaciones de los nodos agrupados se mueven al cuadrado de agrupación.

Para expandir un grupo de nodos colapsado:

• Selecciona con el botón derecho del ratón el grupo de nodos colapsado. Se abrirá el menú de contexto.

• Selecciona la opción Expandir . Los nodos colapsados se mostrarán junto al rectángulo de agrupación.

Para deshacer una agrupación de nodos:

• Selecciona con el botón derecho del ratón el grupo de nodos. Se abrirá el menú de contexto.

• Selecciona la opción Desagrupar . Los nodos agrupados se mostrarán en el grafo y el rectángulo de agrupación desaparecerá.

Información de una agrupación colapsada

Tipo de nodos agrupados

Una agrupación puede contener nodos clasificados como goodware, malware o sin clasificar. Esta situación se refleja en el color utilizado para representar la agrupación.

Color	Descripción
	Agrupación con elementos bloqueados.
	Agrupación con elementos clasificados como goodware.
Códigos de color utilizados en las agrupaciones

Número de nodos agrupados

En la esquina superior izquierda se muestra el número de nodos que se mostrarían en el diagrama en caso de que la agrupación no estuviera colapsada. Este número no tiene nada que ver con el número de nodos total (padres, hijos, etc) que puede contener la agrupación, ya que solo se cuentan los nodos que se han expandido previamente.

Buscar nodos

La barra de búsqueda permite resaltar los nodos que interesan al analista y acceder de forma rápida a sus detalles.

• (1): Haz clic para mostrar u ocultar la barra de búsqueda.

• (2): Escribe la cadena de caracteres a buscar. La búsqueda se ejecuta en tiempo real sobre el nombre y el detalle de los nodos, y se excluye el contenido de las flechas. Para limpiar la búsqueda, haz clic en el icono .

Para evitar mostrar nodos huérfanos en los resultados de las búsquedas siempre se incluye el nodo padre, aunque no coincida con el patrón introducido.

• (3): Limita las búsquedas en el grafo a determinados tipos de entidades. Para extender la búsqueda a más de un tipo de entidad, expande el desplegable y selecciona los tipos de entidad que deseas. Para volver a buscar en todos los tipos de entidad, haz clic en la opción Limpiar búsqueda. El operador lógico aplicado al establecer una búsqueda sobre varios tipos de entidad es OR.

• (4) Limita las búsquedas en el grafo a las entidades que han sido clasificados por Cytomic Orion a los valores indicados en el desplegable. Para extender la búsqueda a más de una clasificación, expande el desplegable y selecciona las clasificaciones que deseas. Para volver a buscar sin tener en cuenta la clasificación de las entidades, haz clic en la opción Limpiar búsqueda. El operador lógico aplicado al establecer una búsqueda sobre nodos con distintas clasificaciones es OR.

• El operador lógico al definir a la vez una búsqueda por entidad y una búsqueda por clasificación es AND.

• (5): Indica el número de nodos que coinciden con el patrón de búsqueda introducido. Cuando la herramienta de resaltado está activada (4), al hacer clic en el icono se muestra un desplegable:

  • Seleccionar los nodos encontrados: selecciona los nodos que coinciden con el patrón de búsqueda introducido. Para mostrar el menú de contexto, haz clic con el botón derecho del ratón en cualquier elemento seleccionado.

  • Seleccionar todos los nodos menos los encontrados: selecciona los nodos que no coinciden con el patrón de búsqueda introducido. Para mostrar el menú de contexto, haz clic con el botón derecho del ratón en cualquier elemento seleccionado.

• (6): Resalta los elementos encontrados con el color amarillo.

• (7): Oculta los elementos que no coinciden con el patrón de búsqueda introducido.

Las búsquedas realizadas sobre nodos agrupados expandidos se comportan de la forma indicada, pero si se trata de un grupo colapsado, tienen un comportamiento diferente:

• Si la búsqueda se realiza en modo resaltado (4), se iluminará la agrupación si uno de los nodos que la componen coincide con la búsqueda. En caso contrario, la agrupación no se iluminará.

• Si la búsqueda se realiza en modo ocultación (5), la agrupación se mostrará si por lo menos uno de los nodos que la componen coincide con la búsqueda. En caso contrario, la agrupación no se mostrará en el grafo.

Línea de tiempo

La línea de tiempo permite atenuar los nodos y las relaciones que se registraron fuera del intervalo definido por el analista. De esta manera, los eventos del océano de datos que no resultan de interés, pasan a un segundo plano en el diagrama, y permiten al analista centrarse en los más relevantes.

La línea de tiempo utiliza un histograma de barras de color verde situado en su parte inferior (2) para representar el número de eventos registrados en cada momento. Al pasar el puntero del ratón sobre las barras se muestra una etiqueta que indica el número de eventos y la fecha en la que se registraron.

Para definir un intervalo mediante la línea de tiempo:

• Haz clic en (1) y arrástralo hacia izquierda y derecha. El histograma se ampliará o reducirá para adaptarse al nuevo intervalo definido.

• El notebook atenuará los nodos y relaciones del diagrama de grafos que queden fuera del nuevo intervalo definido.

Para ocultar / mostrar la línea de tiempo:

• Para eliminar el panel Haz clic en Ocultar línea de tiempo.

• Para volver a visualizar el panel haz clic en Mostrar línea de tiempo.

• Haz clic en Reiniciar la línea de tiempo para restaurar la línea de tiempo a su configuración original.