Formato de los eventos utilizados en Cytomic Orion

Para generar procesos de análisis y de respuesta efectivos ante los incidentes detectados, los técnicos del SOC requieren información precisa sobre el estado de la infraestructura IT que investigan.

Cytomic EDR y Cytomic EPDR monitorizan los procesos ejecutados en los equipos de los clientes y envían a la nube de Cytomic la telemetría generada. Toda esta información se almacena en el océano de datos, alojado en la nube de Cytomic, y queda a disposición del analista a través de diversas herramientas accesibles en Cytomic Orion.

La telemetría se almacena en el océano de datos utilizando un formato estructurado, que recibe el nombre de “evento”, y que está formado por diversos campos. Es necesario comprender el significado de cada uno de estos campos para interpretar correctamente la información registrada.

Un evento es un registro formado por campos que describen una acción ejecutada por un proceso dentro de un equipo. Cada tipo de evento tiene un número de campos determinado.

Cytomic Orion representa el flujo de eventos en la consola del analista de varias formas:

  • Tabla: todos los eventos de un mismo tipo se almacenan en una misma tabla que se puede consultar mediante sentencias SQL. Para obtener más información consulta Módulo de consultas avanzadas SQL.

  • Listado: el contenido de los campos de los eventos son directamente visibles desde la consola de investigación, donde en un mismo listado se incluyen eventos de varios tipos ordenados cronológicamente. Para obtener más información consulta Análisis de indicios con la consola de investigación.

  • Grafos: la información de los eventos se utiliza para construir grafos que ayudan al analista a interpretar la secuencia de ejecución de los procesos y las relaciones que se establecen entre los distintos actores en un ataque informático.

  • Preguntas: la información de los eventos se muestra en las investigaciones asistidas para mostrar los resultados y crear nuevas preguntas que guían al analista en la investigación. Consulta Investigaciones asistidas.