Assets & Inventory
Módulo central de visibilidad de activos. Unifica observaciones del sensor local y de todas las integraciones configuradas en una tabla filtrable, exportable y con scoring de confianza.
Tabla principal — columnas visibles
Columna Fuente Descripción Filtro / Orden IP assets.ipIPv4 principal (primera no-loopback) Texto, CIDR, rango MAC assets.macMAC primaria (formato AA:BB:CC:DD:EE:FF) Texto, OUI lookup Hostname assets.hostnameResuelto (DNS reverso / NBNS / integración) Texto, wildcard Tipo assets.typehost, router, switch, firewall, server, printer, iot, unknownEnum multi-select OS assets.osSistema operativo detectado Texto Vendor assets.vendorFabricante (OUI MAC / integración) Texto Subred assets.subnetCIDR de la interfaz principal CIDR multi-select Gateway assets.gatewayIP gateway próximo salto Texto Última vez assets.last_seenTimestamp epoch → relativo (hace 2m, 3h, 2d) Rango temporal Confianza assets.confidence0.0 – 1.0 (ver scoring abajo) Slider / buckets 🟢 Reachable assets.reachable1 = respondiendo (ICMP/ARP/TCP) Bool 🟡 Stale assets.stale1 = sin actualización > 24h (config) Bool 🔴 Not Verified confidence < 0.5Solo 1 fuente baja confianza Bool (derivado) Fuente assets.sourcesensor, fortigate, wazuh, zabbix, snmp, syslogMulti-select Evidencia — Botón [🔍] → modal con observaciones crudas —
Badges de estado (chips coloreados)
Badge Condición Color Significado operativo 🟢 Reachable reachable=1 AND stale=0Verde Activo y respondiendo ahora 🟡 Stale stale=1Amarillo Sin datos frescos > 24h (configurable) 🔴 Not Verified confidence < 0.5Rojo Evidencia débil; investigar 🔵 Gateway type=router + es gateway detectadoAzul Nodo de enrutamiento clave 🟣 Expuesto Tiene hallazgos Exposure críticos/altos Púrpura Superficie de ataque conocida
Scoring de confianza (Confidence)
Calculado en normalización (Main process) por cada observación entrante:
0.9 si source = 'sensor' (local, directo)
0.8 si source = 'fortigate' / 'paloalto' (API nativa, auth)
0.7 si source = 'wazuh' / 'zabbix' (API, polling)
0.6 si source = 'snmp' (v2c community / v3 auth)
0.5 si source = 'syslog' (pasivo, sin handshake)
merged_confidence = 1 - Π(1 - base_confidence_i) para cada fuente que observó el activo
# Ejemplo: sensor (0.9) + snmp (0.6) → 1 - (0.1 * 0.4) = 0.96
Decay temporal: cada 24h sin refresco → confidence *= 0.95 (hasta mínimo 0.1).
Deduplicación y fusión
Claves compuestas para fusionar observaciones:
Prioridad Clave compuesta Ejemplo 1 ip + mac10.0.0.5 + aa:bb:cc:dd:ee:ff2 hostname + sourceweb-01 + fortigate3 ip + source (si MAC no dispo)10.0.0.5 + snmp4 mac + source (si IP no dispo)aa:bb:cc:dd:ee:ff + wazuh
Al fusionar: toma MAX(confidence), MAX(last_seen), UNION(sources), OR(reachable).
Operaciones de tabla
Acción Cómo Resultado Ordenar Clic cabecera ASC/DESC (triple estado: none/asc/desc) Filtrar Input por columna + botón [Filtros] Predicados AND; guarda preset Paginar 50 / 100 / 200 filas Server-side (SQL LIMIT/OFFSET) Seleccionar Checkbox fila / Shift+clic / [Seleccionar todo] Multi-acción Exportar [Exportar CSV] / [Exportar JSON] / [Exportar STIX] Selección o vista completa Acciones lote Con selección → [Marcar Stale] [Eliminar] [Etiquetar] Bulk update DB Detalle Clic fila → panel lateral Timeline, evidencia, hallazgos, topología
Panel lateral de detalle (clic fila)
┌────────────────────────────────────────────────────────────┐
│ 10.0.0.5 (aa:bb:cc:dd:ee:ff) 🟢 Reachable Conf: 0.96 │
├────────────────────────────────────────────────────────────┤
│ Hostname: web-01.example.local │
│ Tipo: server (Linux Ubuntu 22.04) │
│ Vendor: Dell Inc. (OUI) │
│ Subred: 10.0.0.0/24 Gateway: 10.0.0.1 │
│ Fuente: sensor, fortigate, snmp ← chips clicables │
│ Última vez: hace 2 min (2025-01-15 14:32:17) │
├────────────────────────────────────────────────────────────┤
│ TIMELINE (últimas 24h) │
│ 14:30 sensor Interface up, IP renewed │
│ 12:15 fortigate DHCP lease renew │
│ 08:00 snmp sysDescr updated │
├────────────────────────────────────────────────────────────┤
│ HALLÁZGOS EXPOSURE (últimos 7 días) │
│ 🔴 TLS 1.0 en 443 (perfil Web) [Ver] │
│ 🟠 Puerto 22 expuesto (perfil Puertos) [Ver] │
├────────────────────────────────────────────────────────────┤
│ [Ver en grafo] → centra nodo en Network Topology │
└────────────────────────────────────────────────────────────┘
Estados vacíos
Escenario Mensaje CTA Sin activos ”No hay activos en el inventario. Verifica que el sensor local esté activo o configura integraciones.” [Ir a Sensor] [Configurar Integraciones] Filtro sin resultados ”Ningún activo coincide con los filtros activos.” [Limpiar filtros] Solo Stale ”Todos los activos son stale (>24h sin datos). Revisa sensor e integraciones.” [Ver Sensor] [Ver Logs]
Exportación
Formato Columnas Uso CSV Todas visibles + confidence numérico, last_seen ISO8601 Excel, CMDB import JSON Objeto completo por fila + evidence[] crudo API, automatización STIX 2.1 Software, IPv4-Addr, MAC-Addr, RelationshipTIP, SOAR, MISP
Limitaciones
Límite Detalle Tamaño tabla > 10k filas → paginación obligatoria; filtro previo recomendado Hosts sin IP Activos solo MAC (ej. IoT sin IP) → aparecen con IP 0.0.0.0 IPv6 Columna IP muestra IPv4 principal; IPv6 en evidencia Histórico Tabla muestra estado actual; historial en panel detalle / timeline Permisos No hay RBAC; todos los operadores ven todo el inventario
Páginas relacionadas