Incidentes

Los incidentes nos permiten correlacionar las detecciones con los incidentes, lo que mejora de forma significativa las investigaciones sobre amenazas. Los incidentes se crean automáticamente a partir de las detecciones, lo que reduce significativamente el tiempo de clasificación de alertas.

En la sección Incidentes se enumeran los incidentes creados automáticamente a partir de Detecciones basadas en reglas predefinidas.

Filtrar la vista

Hay diferentes formas de filtrar su vista:

•Haga clic en el selector Etiquetas (ícono de flecha) y elija etiquetas para activar el filtro en los incidentes enumerados. Los resultados se resaltan en azul y muestran los incidentes con las etiquetas seleccionadas.

•Haga clic en una gravedad del incidente: alta, media o baja. Puede usar una combinación de estos íconos cuando los activa o desactiva.

•Estado del incidente: abierto, en curso o cerrado

•Haga clic en Agregar filtro y seleccione los tipos de incidente en el menú desplegable.

oPersona asignada: escriba el nombre del asignado.

oAutor: selecciona en el menú desplegable: ESET, el Servicio de ESET o el nombre de usuario.

oHora de creación: seleccione en el menú desplegable: <24 horas, hace ≥ 24 horas, hace ≥ 3 días, hace ≥ 7 días, hace ≥ 14 días, hace ≥ un mes, hace ≥ 3 meses, hace ≥ 6 meses.

oÚltima actualización: seleccione en el menú desplegable: <24 horas, hace ≥ 24 horas, hace ≥ 3 días, hace ≥ 7 días, hace ≥ 14 días, hace ≥ un mes, hace ≥ 3 meses, hace ≥ 6 meses.

oNombre: escriba el nombre del incidente.

oCantidad de equipos: escriba la cantidad de equipos seleccionados.

oCantidad de detecciones: escriba la cantidad de detecciones seleccionadas.

Personalización del diseño y de los filtros

Puede personalizar la vista de la pantalla de la consola web actual:

•Administre el panel lateral y la tabla principal.

•Agregar filtro y filtros preestablecidos. Puede usar etiquetas para filtrar los elementos mostrados.

Detalles del incidente

Seleccione cualquier incidente, haga clic en el botón Acciones y haga clic en el botón de tres puntos para lo siguiente:

•Ver detalles: mostrar una descripción general del incidente.

Descripción general: proporciona la siguiente información:

oDetalles rápidos: detalles del incidente como se muestran en la sección principal.

oImpacto sobre la empresa: la cantidad de Equipos, Ejecutables y Procesos afectados. Haga clic en el número para ir a la página específica relacionada.

oComentarios: puede agregar un comentario para el incidente. Haga clic en Ver todos los comentarios para mostrar todos los comentarios creados. Puede Editar un comentario, Anclar un comentario o Quitar un comentario.

oDescripción: explicación del incidente.

oPasos recomendados: pasos para iniciar el proceso de respuesta a incidentes.

Detecciones: lista de detecciones. Puede hacer clic en el ícono de los tres puntos para Ver detalles.

Equipos afectados: lista de equipos afectados.

Cronología del incidente: cronología con un breve historial de incidentes, desde el evento desencadenante hasta el cierre del incidente.

 

Haga clic en el botón Responder a incidente para seleccionar los objetos afectados y definir las acciones de respuesta para ellos. Seleccionar la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) y hacer clic en Confirmar.

oEquipos > Continuar > seleccione la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) > Confirmar.

oProcesos > Continuar > seleccione la acción de respuesta (Proceso de eliminación) > Confirmar.

oEjecutables > Continuar > seleccione la acción de respuesta (Bloquear, Bloquear y limpiar) > Confirmar.

•Cambiar estado y persona asignada: haga clic para seleccionar Estado y Persona asignada en el menú desplegable. Haga clic en Guardar.

•Etiquetas: haga clic para seleccionar etiquetas en el menú desplegable y haga clic en Aplicar. O bien, puede escribir una nueva palabra clave y presionar Intro para crear una nueva etiqueta.

˄˅