Incidentes

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

Los incidentes nos permiten correlacionar los indicadores con los incidentes, lo que mejora las investigaciones sobre amenazas. Los incidentes se crean automáticamente a partir de los indicadores, lo que reduce significativamente el tiempo de clasificación de alertas.

Filtrar la vista

Hay diferentes formas de filtrar su vista:

•Haga clic en el selector Etiquetas (ícono de flecha) y elija etiquetas para activar el filtro en los incidentes enumerados. Los resultados se resaltan en azul y muestran los incidentes con las etiquetas seleccionadas.

•Haga clic en una gravedad del incidente: alta, media o baja. Puede usar una combinación de estos íconos cuando los activa o desactiva.

•Estado del incidente: Abierto, En curso, Esperando intervención o Cerrado

•Haga clic en Agregar filtro y seleccione los tipos de incidente en el menú desplegable.

oPersona asignada: escriba el nombre del asignado.

oAutor: selecciona en el menú desplegable: ESET, el Servicio de ESET o el nombre de usuario.

oMotivo de cierre: selecciona en el menú desplegable: Todos, Falso positivo, Sospechoso, Verdadero positivo.

oHora de creación: seleccione en el menú desplegable: ≤ hoy, ≤ hace 24 horas ≤ hace 3 días, ≤ hace 7 días, ≤ hace 14 días, ≤ hace 30 días, ≤ hace 90 días o ≤ hace 180 días.

oÚltima actualización: seleccione en el menú desplegable: ≤ hoy, ≤ hace 24 horas, ≤ hace 3 días, ≤ hace 7 días, ≤ hace 14 días, ≤ hace 30 días, ≤ hace 90 días o ≤ hace 180 días.

oNombre: escriba el nombre del incidente.

oCantidad de equipos: escriba la cantidad de equipos seleccionados.

oCantidad de indicadores: escribe la cantidad de indicadores seleccionados.

oNúmero de usuarios: escriba el número de usuarios seleccionados.

Personalización del diseño y de los filtros

Puede personalizar la vista de la pantalla de la consola web actual:

•Administre el panel lateral y la tabla principal.

•Agregar filtro y filtros preestablecidos. Puede usar etiquetas para filtrar los elementos mostrados.

Si no puede encontrar un incidente en particular en la lista y sabe que está en su infraestructura de ESET PROTECT, asegúrese de que todos los filtros se encuentren desactivados y que los conjuntos de permisos estén asignados a su cuenta de usuario.

Los permisos que configure se aplican a la empresa principal del grupo estático que seleccionó en el paso Grupos estáticos.

Preconfiguración	Filtrar conjuntos.
Inspect	Abra la consola web de ESET Inspect en la sección Incidentes. El ESET Inspect solo está disponible cuando tiene una suscripción de ESET Inspect y ESET Inspect está conectado a ESET PROTECT. Un usuario de la consola web requiere permiso de lectura o superior para acceder a ESET Inspect.
Actualizar	Actualizar la página

Detalles del incidente

Seleccione cualquier incidente, haga clic en el botón Acciones y haga clic en el botón de tres puntos para lo siguiente:

•Ver detalles: mostrar una descripción general del incidente.

Descripción general: proporciona la siguiente información:

oDetalles del incidente como se muestran en la sección principal.

oImpacto sobre la empresa: la cantidad de Equipos, Ejecutables y Procesos afectados. Haga clic en el número para ir a la página específica relacionada.

Los ejecutables y los procesos solo están disponibles para clientes con nivel EDR con suscripción activa de ESET Inspect. Se lo redireccionará a la consola de ESET Inspect en la nube para ver las listas.

oComentarios: puede agregar un comentario para el incidente. Haga clic en Ver todos los comentarios para mostrar todos los comentarios creados. Puede Editar un comentario, Anclar un comentario o Quitar un comentario.

oDescripción: explicación del incidente.

oTécnicas de MITTRE ATT&CK®: técnicas de MITTRE ATT&CK disponibles para el incidente seleccionado.

oPasos recomendados: pasos para iniciar el proceso de respuesta a incidentes.

Gráfico: muestra la estructura del gráfico de incidente formada por indicadores en el diseño compuesto o jerárquico. El gráfico ofrece un panel de control con botones para una orientación rápida: barra de zoom para alejar y acercar, Ajustar a pantalla, Restablecer vista e información sobre herramientas con atajos.

El gráfico está formado por nodos. En el gráfico, puede hacer clic en cualquier nodo blanco para ver información detallada en el panel lateral. No puede ver los detalles de los nodos grises.

Gráfico de incidente

Una flecha entre nodos representa la relación entre diferentes tipos de nodos, por ejemplo:

oUSUARIO → SESIÓN INICIADA → Equipo

oUsuario → EJECUTA → Proceso

oProceso primario → SUBPROCESO → Proceso secundario

Puede encontrar la línea temporal del gráfico de incidente con el panel de control de la línea de tiempo para rebobinar el estado del gráfico hasta el principio, avanzar o reproducir el periodo de tiempo seleccionado del gráfico.

Puede seleccionar grupos de indicadores según su gravedad. Cuando hace clic en el grupo de indicadores, se resalta un subgráfico. El subgráfico consiste únicamente en el grupo seleccionado de indicadores de gravedad.

Indicadores de gravedad en el gráfico de incidente

Indicadores: lista de indicadores. Haga clic en un indicador para ver los detalles. De manera opcional, puede ver los detalles en una pestaña nueva y hacer clic en > Ver detalles en la pestaña nueva.

Puede ver un árbol de procesos con nodos de proceso e indicador:

Árbol de procesos

Los detalles del indicador para indicadores y procesos están disponibles para los incidentes creados después de la actualización de la versión 6.4 de ESET PROTECT (1 de agosto de 2025). Si tiene incidentes creados antes de la actualización de la versión 6.4 de ESET PROTECT, se lo redirigirá a la consola en la nube de ESET Inspect para ver más detalles.

El árbol de procesos permite a los usuarios navegar por el indicador. Puede hacer clic en un nodo de proceso (un nodo redondeado) o en un nodo de indicador (un nodo rectangular) en el árbol de procesos para mostrar detalles en función de la disponibilidad de datos:

Equipos afectados: lista de equipos afectados.

Identidades afectadas: lista de usuarios afectados.

Cronología del incidente: cronología con un breve historial de incidentes, desde el evento desencadenante hasta el cierre del incidente.

En todas las secciones (excepto en Gráfico), puede hacer clic en lo siguiente:

•el botón Inspeccionar para redireccionar a ESET Inspect e investigar el incidente en el gráfico de incidentes;

•el botón actualizar para actualizar la página.

Haga clic en el botón Responder a incidente para seleccionar los objetos afectados y definir las acciones de respuesta para ellos. Seleccionar la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) y hacer clic en Confirmar.

oEquipos > Continuar > seleccione la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) > Confirmar.

oProcesos > Continuar > seleccione la acción de respuesta (Proceso de eliminación) > Confirmar.

oEjecutables > Continuar > seleccione la acción de respuesta (Bloquear, Bloquear y limpiar) > Confirmar.

•Cambiar estado y persona aignada: haga clic para seleccionarlo en el menú desplegable.

oEstado: seleccione el estado actual del incidente en el menú desplegable: Abierto, En curso, Esperando intervención o Cerrado. Cuando seleccione Cerrado, elija además el motivo para cerrar el incidente (Verdadero positivo, Sospechoso, Falso positivo o no válido) y, opcionalmente, escriba un comentario.

oPersona asignada: cuando seleccione el estado Abierto o En curso, seleccione el usuario disponible en el menú desplegable.

Haga clic en Guardar.

•Etiquetas: haga clic para seleccionar etiquetas en el menú desplegable y haga clic en Aplicar. O bien, puede escribir una nueva palabra clave y presionar Intro para crear una nueva etiqueta.

˄˅