Descripción de las herramientas de respuesta

Aislar equipos

Cytomic Orion aísla bajo demanda los equipos de la red para evitar la propagación de las amenazas y la comunicación y extracción de información confidencial.

Cuando un equipo está aislado, sus comunicaciones quedan restringidas a los servicios mostrados a continuación:

  • El acceso al equipo desde la consola de análisis para que el equipo de respuesta a incidentes pueda solucionar el problema mediante las herramientas suministradas por Cytomic Orion.

  • Las comunicaciones necesarias para el buen funcionamiento del producto de seguridad Cytomic EDR y Cytomic EPDR.

El resto de productos y servicios instalados en el equipo de usuario o servidor dejarán de comunicarse por la red.

Para aislar un equipo haz clic en la opción Aislar equipos del menú de contexto asociado a la entidad de interés.

Estados de los equipos aislados

Las operaciones Aislar un equipo y Dejar de Aislar un equipo se ejecutan en tiempo real, pero el proceso puede retrasarse si el equipo no está conectado a Internet. Para reflejar su situación exacta, Cytomic Orion distingue los 4 estados a través de los iconos mostrados a continuación:

  • Aislando : el analista lanzó una petición para aislar uno o más equipos y se está procesando.

  • Aislado : el proceso de aislamiento se completó y el equipo tiene restringidas sus comunicaciones.

  • Dejando de aislar : el analista lanzó una petición para dejar de aislar uno o más equipos y se está procesando.

  • No aislado: el proceso para retirar el aislamiento del equipo se completó. Las comunicaciones se permiten acorde a la configuración definida en otros productos, o en el propio sistema operativo.

Estos iconos acompañan a los equipos mostrados en el subpanel Entidades de interés de la investigación.

Comunicaciones permitidas en un equipo aislado

Cytomic Orion deniega todas las comunicaciones en un equipo aislado excepto las necesarias para poder comunicarse con éste y utilizar las herramientas de respuesta. A continuación, se indican las comunicaciones permitidas y denegadas.

Procesos y servicios permitidos en un equipo aislado:

Procesos de sistema:

  • Los servicios necesarios para formar parte de la red corporativa: obtención de IP por DHCP, ARP, nombre de equipo por WINS, DNS etc.

Procesos de Cytomic Orion:

  • Comunicación con el gateway por defecto.

  • Comunicación con la nube de Cytomic para el envío de la información generada en la monitorización de procesos y administración remota mediante la consola web.

Cytomic EDR:

  • Comunicación con el gateway por defecto.

  • Comunicación con la nube de Cytomic para el funcionamiento de los motores de protección, descarga de ficheros de firmas y administración remota mediante la consola web.

  • Comunicación con la nube de Cytomic para el funcionamiento de los módulos compatibles con Cytomic EDR (Cytomic Patch, Cytomic Encryption, Cytomic Data Watch).

  • Descubrimiento de equipos en equipos aislados con el rol de descubridor asignado.

  • Servidor de ficheros en un equipo aislado con el rol de cache asignado.

  • Proxy de conexiones en un equipo con el rol de proxy Cytomic asignado.

Comunicaciones bloqueadas en un equipo aislado

Todas las comunicaciones que no estén incluidas en el punto anterior son denegadas, entre ellas:

  • Conexión con el servicio Windows Update del sistema operativo.

El módulo Cytomic Patch sí permanecerá operativo en un equipo aislado.

  • Navegación web, ftp, correo y otros protocolos de Internet.

  • Transferencia de ficheros por SMB entre los PCs de la red.

  • Instalación remota de equipos con Cytomic EDR.