Incidentes
Los incidentes nos permiten correlacionar las detecciones con los incidentes, lo que mejora las investigaciones sobre amenazas. Los incidentes se crean automáticamente a partir de las detecciones, lo que reduce significativamente el tiempo de clasificación de alertas.
En la sección Incidentes se enumeran los incidentes creados automáticamente a partir de Detecciones basadas en reglas predefinidas.
Filtrar la vista
Hay diferentes formas de filtrar su vista:
•Haga clic en el selector Etiquetas (ícono de flecha) y elija etiquetas para activar el filtro en los incidentes enumerados. Los resultados se resaltan en azul y muestran los incidentes con las etiquetas seleccionadas.
•Haga clic en una gravedad del incidente:
alta, 
media o 
baja. Puede usar una combinación de estos íconos cuando los activa o desactiva.
•Estado del incidente:
Abierto, 
En curso, 
Esperando intervención o 
Cerrado
•Haga clic en Agregar filtro y seleccione los tipos de incidente en el menú desplegable.
oPersona asignada: escriba el nombre del asignado.
oAutor: selecciona en el menú desplegable: ESET, el Servicio de ESET o el nombre de usuario.
oMotivo de cierre: selecciona en el menú desplegable: Todos, Falso positivo, Sospechoso, Verdadero positivo.
oHora de creación: seleccione en el menú desplegable: ≤ hoy, ≤ hace 24 horas ≤ hace 3 días, ≤ hace 7 días, ≤ hace 14 días, ≤ hace 30 días, ≤ hace 90 días o ≤ hace 180 días.
oÚltima actualización: seleccione en el menú desplegable: ≤ hoy, ≤ hace 24 horas, ≤ hace 3 días, ≤ hace 7 días, ≤ hace 14 días, ≤ hace 30 días, ≤ hace 90 días o ≤ hace 180 días.
oNombre: escriba el nombre del incidente.
oCantidad de equipos: escriba la cantidad de equipos seleccionados.
oCantidad de detecciones: escriba la cantidad de detecciones seleccionadas.
Personalización del diseño y de los filtros
Puede personalizar la vista de la pantalla de la consola web actual:
•Administre el panel lateral y la tabla principal.
•Agregar filtro y filtros preestablecidos. Puede usar etiquetas para filtrar los elementos mostrados.
|
Si no puede encontrar un incidente en particular en la lista y sabe que está en su infraestructura de ESET PROTECT, asegúrese de que todos los filtros se encuentren desactivados y que los conjuntos de permisos estén asignados a su cuenta de usuario. |
|
Los permisos que configure se aplican a la empresa principal del grupo estático que seleccionó en el paso Grupos estáticos. |
|
|
|
Abra la consola web de ESET Inspect en la sección Incidentes. El ESET Inspect solo está disponible cuando tiene una licencia de ESET Inspect y ESET Inspect está conectado a ESET PROTECT. Un usuario de la consola web requiere permiso de lectura o superior para acceder a ESET Inspect. |
|
Actualizar la página |
Detalles del incidente
Seleccione cualquier incidente, haga clic en el botón Acciones y haga clic en el botón de tres puntos 
para lo siguiente:
•Ver detalles: mostrar una descripción general del incidente.
Descripción general: proporciona la siguiente información:
oDetalles del incidente como se muestran en la sección principal.
oImpacto sobre la empresa: la cantidad de Equipos, Ejecutables y Procesos afectados. Haga clic en el número para ir a la página específica relacionada.
|
Los ejecutables y los procesos solo están disponibles para clientes con nivel EDR con licencia activa de ESET Inspect. Se lo redireccionará a la consola de ESET Inspect en la nube para ver las listas. |
oComentarios: puede agregar un comentario para el incidente. Haga clic en Ver todos los comentarios para mostrar todos los comentarios creados. Puede Editar un comentario, Anclar un comentario o Quitar un comentario.
oDescripción: explicación del incidente.
oTécnicas de MITTRE ATT&CK®: técnicas de MITTRE ATT&CK disponibles para el incidente seleccionado.
oPasos recomendados: pasos para iniciar el proceso de respuesta a incidentes.
Detecciones: lista de detecciones. Haga clic en una detección para ver los detalles de la detección. Puede ver un árbol de procesos con nodos de proceso y detección:
|
Actualmente, solo proporcionamos la versión beta del árbol de procesos y solo se muestra la detección seleccionada. |
El árbol de procesos permite a los usuarios navegar a través de la detección. Puede hacer clic en un nodo de proceso (un nodo redondeado) o en un nodo de detección (un nodo rectangular) en el árbol de procesos para mostrar detalles en función de la disponibilidad de datos:
Equipos afectados: lista de equipos afectados.
Cronología del incidente: cronología con un breve historial de incidentes, desde el evento desencadenante hasta el cierre del incidente.
En cada sección, puede hacer clic aquí:
•el botón Inspeccionar para redireccionar a ESET Inspect e investigar el incidente en el gráfico de incidentes;
•el botón actualizar 
para actualizar la página.
Haga clic en el botón Responder a incidente para seleccionar los objetos afectados y definir las acciones de respuesta para ellos. Seleccionar la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) y hacer clic en Confirmar.
oEquipos > Continuar > seleccione la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) > Confirmar.
oProcesos > Continuar > seleccione la acción de respuesta (Proceso de eliminación) > Confirmar.
oEjecutables > Continuar > seleccione la acción de respuesta (Bloquear, Bloquear y limpiar) > Confirmar.
•Cambiar estado y persona aignada: haga clic para seleccionarlo en el menú desplegable.
oEstado: seleccione el estado actual del incidente en el menú desplegable: Abierto, En curso, Esperando intervención o Cerrado. Cuando seleccione Cerrado, elija además el motivo para cerrar el incidente (Verdadero positivo, Sospechoso, Falso positivo o no válido) y, opcionalmente, escriba un comentario.
oPersona asignada: cuando seleccione el estado Abierto o En curso, seleccione el usuario disponible en el menú desplegable.
Haga clic en Guardar.
•Etiquetas: haga clic para seleccionar etiquetas en el menú desplegable y haga clic en Aplicar. O bien, puede escribir una nueva palabra clave y presionar Intro para crear una nueva etiqueta.