Plantilla Process Tree

Esta plantilla muestra de forma gráfica el árbol de ejecución de un proceso concreto, donde los nodos representan las entidades que participan en una operación (procesos, ficheros o destino de una comunicación u operación) y las flechas la operación propiamente dicha.

Los recursos utilizados para reflejar la información son:

  • Parámetros de la plantilla: filtra la información de partida del diagrama.

  • Colores de los nodos: indica la clasificación del elemento.

  • Iconos de los nodos: indica el tipo de elemento.

  • Iconos de estado: indica la acción que se ejecutó sobre el elemento.

  • Colores de las flechas: indica si el elemento fue bloqueado.

  • Estilos de las flechas: indica el número y el sentido de las acciones ejecutadas entre los dos nodos.

  • Etiquetas de las flechas: al hacer clic muestra información en el panel de la derecha sobre la acción ejecutada por el proceso.

  • Etiquetas del nodo: al hacer clic muestra información en el panel de la derecha sobre la entidad.

Parámetros de la plantilla

  • parentpid: identificador del proceso padre. Determina la instancia de ejecución específica de un programa que se mostrará como nodo inicial en el diagrama de grafos.

  • MUID: identificadores de los equipos donde se ejecutó el proceso a investigar.

  • parentmd5: MD5 del proceso padre.

  • date_event: fecha del evento a representar en el grafo. El gráfico muestra los eventos que pertenecen al intervalo comprendido entre el día anterior y posterior al indicado.

Colores de los nodos

Color Descripción

Elemento clasificado como malware.

  • Elemento clasificado como PUP.

  • Elemento clasificado como sospechoso.

  • Elemento sin clasificar.

(Color original)

Elemento clasificado como goodware.

Códigos de color utilizados en los nodos de una plantilla Process Tree

Iconos de los nodos

Icono Descripción Icono Descripción

Proceso. Si pertenece a un paquete de software conocido se mostrará su icono.

Archivo comprimido

Hilo remoto

Archivo ejecutable

Librería

Archivo de tipo script

Protección

Valor de la rama del registro Windows

Carpeta

URL en una comunicación

Archivo no ejecutable

Dirección IP en una comunicación

Códigos de color utilizados en los nodos de una plantilla

Iconos de estado

Icono Descripción Icono Descripción

Fichero borrado

Fichero en cuarentena

Fichero desinfectado

Proceso eliminado

Iconos utilizados para indicar el estado del nodo

Etiquetas de los nodos

Indica el nombre de la entidad. Al hacer clic sobre ella, se muestra el panel derecho con los campos que la describen.

Colores de las flechas

Indica si Cytomic EDR o Cytomic EPDR bloquearon la ejecución de la acción por haber clasificado al proceso como una amenaza.

  • Rojo: la acción fue bloqueada por el software de protección. Consulta el significado de las acciones siguientes en el campo action de Campos de los eventos recibidos en Cytomic Orion.

    • Block

    • BlockTimeout

    • BlockExploit

    • BlockBL

    • Disinfect

    • Delete

    • Quarantine

    • KillProcess

    • IPBlocked

  • Negro: la acción fue permitida.

Estilos de las flechas

  • Grosor de la flecha: representa el número de acciones de un mismo tipo ejecutadas entre un par de nodos. Cuanto mayor sea el número de acciones agrupadas, mayor será el grosor de la flecha dibujada. Al hacer clic en la flecha, el panel informativo mostrará la fecha en la que se ha producido la primera y la última acción de la agrupación.

  • Sentido de la flecha: refleja el sentido de la acción.

  • Numeración: cada flecha incluye un número que refleja el orden en el que se registró el evento al que representa.

Etiquetas utilizadas en las flechas

Indica el nombre de la acción ejecutada por el proceso. Al hacer clic, se muestra el panel derecho con los campos del evento registrado.

Niveles representados por defecto

Inicialmente, una plantilla Tree Process muestra el nodo seleccionado por el analista como centro del diagrama, junto a un subconjunto de nodos vecinos que lo rodean, de todos los disponibles en el océano de datos:

  • 3 niveles superiores de nodos: se muestran los nodos padres, abuelos y bisabuelos del nodo principal.

  • 1 nivel inferior de nodos: se muestran los nodos hijos del nodo principal.

El número máximo de nodos del mismo nivel que se muestran es 25. Por encima de este número no se representarán nodos para evitar la generación de gráficos muy sobrecargados.

Mostrar los nodos hijos

Si un nodo del grafo tiene nodos hijos ocultos, se indica con el icono en su parte inferior derecha. Para mostrar sus nodos hijos, haz clic en el nodo con el botón derecho del ratón. Se mostrará un menú de contexto. Dependiendo del tipo de nodo se mostrarán las siguientes opciones:

  • Mostrar padre: muestra los nodos padre del nodo seleccionado.

  • Mostrar toda su actividad (número): muestra todos los nodos hijos del nodo seleccionado sin importar su tipo. El número máximo de nodos mostrados es 25. Se indica el número total de eventos que relacionan el nodo padre con sus hijos.

  • Mostrar hijos: muestra un desplegable con el tipo de nodos hijo a mostrar y el número de nodos de cada tipo:

    • Archivos de datos: ficheros que contienen información de tipo no identificado.

    • Archivos de script: ficheros con secuencias de comandos.

    • Descargas: ficheros de datos descargados de la red.

    • DNS: dominios que fallaron al resolver su IP.

    • Entradas del registro de Windows

    • Ficheros comprimidos

    • Ficheros PE: ficheros ejecutables.

    • Hilos remotos

    • IPs: dirección IP del extremo de la comunicación.

    • Librerías

    • Procesos

    • Protección: acción del antivirus.

Al seleccionar varios nodos del diagrama y hacer clic con el botón derecho del ratón se mostrarán únicamente las opciones del menú de contexto comunes a todos los nodos seleccionados.

Investigación con notebook

Para iniciar una investigación automatizada sobre un nodo del grafo, haz clic con el botón derecho del ratón en el grafo y selecciona Investigación automatizada. Se mostrará el listado de plantillas disponibles. Para obtener más información sobre investigaciones automatizadas consulta Investigación con notebooks.