ESET PROTECT – Tabla de contenido

Incidentes

note

La sección Incidentes se publicará gradualmente en las próximas semanas.

Los incidentes nos permiten correlacionar las detecciones con los incidentes, lo que mejora las investigaciones sobre amenazas. Los incidentes se crean automáticamente a partir de las detecciones, lo que reduce significativamente el tiempo de clasificación de alertas.

En la sección Incidentes se enumeran los incidentes creados automáticamente a partir de Detecciones basadas en reglas predefinidas.

Filtrar la vista

Hay diferentes formas de filtrar su vista:

Haga clic en el selector Etiquetas (ícono de flecha) y elija etiquetas para activar el filtro en los incidentes enumerados. Los resultados se resaltan en azul y muestran los incidentes con las etiquetas seleccionadas.

Haga clic en una gravedad del incidente:severity_high alta, severity_medium media o severity_low baja. Puede usar una combinación de estos íconos cuando los activa o desactiva.

Estado del incidente:open_incident abierto, in_progress_incident en curso o closed_incident cerrado

Haga clic en Agregar filtro y seleccione los tipos de incidente en el menú desplegable.

oPersona asignada: escriba el nombre del asignado.

oAutor: selecciona en el menú desplegable: ESET, el Servicio de ESET o el nombre de usuario.

oHora de creación: seleccione en el menú desplegable: <24 horas, hace ≥ 24 horas, hace ≥ 3 días, hace ≥ 7 días, hace ≥ 14 días, hace ≥ un mes, hace ≥ 3 meses, hace ≥ 6 meses.

oÚltima actualización: seleccione en el menú desplegable: <24 horas, hace ≥ 24 horas, hace ≥ 3 días, hace ≥ 7 días, hace ≥ 14 días, hace ≥ un mes, hace ≥ 3 meses, hace ≥ 6 meses.

oNombre: escriba el nombre del incidente.

oCantidad de equipos: escriba la cantidad de equipos seleccionados.

oCantidad de detecciones: escriba la cantidad de detecciones seleccionadas.

Personalización del diseño y de los filtros

Puede personalizar la vista de la pantalla de la consola web actual:

Administre el panel lateral y la tabla principal.

Agregar filtro y filtros preestablecidos. Puede usar etiquetas para filtrar los elementos mostrados.


note

Si no puede encontrar un incidente en particular en la lista y sabe que está en su infraestructura de ESET PROTECT, asegúrese de que todos los filtros se encuentren desactivados y que los conjuntos de permisos estén asignados a su cuenta de usuario.

gear_icon Preconfiguración

Filtrar conjuntos.

icon_inspect_default Inspect

Abra la consola web de ESET Inspect en la sección Incidentes. El ESET Inspect solo está disponible cuando tiene una licencia de ESET Inspect y ESET Inspect está conectado a ESET PROTECT. Un usuario de la consola web requiere permiso de lectura o superior para acceder a ESET Inspect.

update_default Actualizar

Actualizar la página

Detalles del incidente

Seleccione cualquier incidente, haga clic en el botón Acciones y haga clic en el botón de tres puntos icon_more_vertical para lo siguiente:

Ver detalles: mostrar una descripción general del incidente.

Descripción general: proporciona la siguiente información:

oDetalles rápidos: detalles del incidente como se muestran en la sección principal.

oImpacto sobre la empresa: la cantidad de Equipos, Ejecutables y Procesos afectados. Haga clic en el número para ir a la página específica relacionada.

oComentarios: puede agregar un comentario para el incidente. Haga clic en Ver todos los comentarios para mostrar todos los comentarios creados. Puede Editar un comentario, Anclar un comentario o Quitar un comentario.

oDescripción: explicación del incidente.

oTécnicas de MITTRE ATT&CK®: técnicas de MITTRE ATT&CK disponibles para el incidente seleccionado.

oPasos recomendados: pasos para iniciar el proceso de respuesta a incidentes.

Detecciones: lista de detecciones. Puede hacer clic en el ícono de los tres puntos icon_more_vertical para Ver detalles.

Equipos afectados: lista de equipos afectados.

Cronología del incidente: cronología con un breve historial de incidentes, desde el evento desencadenante hasta el cierre del incidente.

En cada sección, puede hacer clic aquí:

el botón Inspeccionar para redireccionar a ESET Inspect e investigar el incidente en el gráfico de incidentes;

el botón actualizar update_default para actualizar la página.

Haga clic en el botón Responder a incidente para seleccionar los objetos afectados y definir las acciones de respuesta para ellos. Seleccionar la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) y hacer clic en Confirmar.

oEquipos > Continuar > seleccione la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) > Confirmar.

oProcesos > Continuar > seleccione la acción de respuesta (Proceso de eliminación) > Confirmar.

oEjecutables > Continuar > seleccione la acción de respuesta (Bloquear, Bloquear y limpiar) > Confirmar.

Cambiar estado y persona aignada: haga clic para seleccionarlo en el menú desplegable.

oEstado: seleccione el estado actual del incidente en el menú desplegable: Abierto, en curso o cerrado Cuando seleccione Cerrado, elija además el motivo para cerrar el incidente (Verdadero positivo, Sospechoso, Falso positivo o no válido) y, opcionalmente, escriba un comentario.

oPersona asignada: cuando seleccione el estado Abierto o En curso, seleccione el usuario disponible en el menú desplegable.

Haga clic en Guardar.

Etiquetas: haga clic para seleccionar etiquetas en el menú desplegable y haga clic en Aplicar. O bien, puede escribir una nueva palabra clave y presionar Intro para crear una nueva etiqueta.