ESET PROTECT – Tabla de contenido

Incidentes

Los incidentes nos permiten correlacionar las detecciones con los incidentes, lo que mejora las investigaciones sobre amenazas. Los incidentes se crean automáticamente a partir de las detecciones, lo que reduce significativamente el tiempo de clasificación de alertas.

En la sección Incidentes se enumeran los incidentes creados automáticamente a partir de Detecciones basadas en reglas predefinidas.

Filtrar la vista

Hay diferentes formas de filtrar su vista:

Haga clic en el selector Etiquetas (ícono de flecha) y elija etiquetas para activar el filtro en los incidentes enumerados. Los resultados se resaltan en azul y muestran los incidentes con las etiquetas seleccionadas.

Haga clic en una gravedad del incidente:severity_high alta, severity_medium media o severity_low baja. Puede usar una combinación de estos íconos cuando los activa o desactiva.

Estado del incidente:open_incident Abierto, in_progress_incident En curso, scheduled Esperando intervención o closed_incident Cerrado

Haga clic en Agregar filtro y seleccione los tipos de incidente en el menú desplegable.

oPersona asignada: escriba el nombre del asignado.

oAutor: selecciona en el menú desplegable: ESET, el Servicio de ESET o el nombre de usuario.

oHora de creación: seleccione en el menú desplegable: <24 horas, hace ≥ 24 horas, hace ≥ 3 días, hace ≥ 7 días, hace ≥ 14 días, hace ≥ un mes, hace ≥ 3 meses, hace ≥ 6 meses.

oÚltima actualización: seleccione en el menú desplegable: <24 horas, hace ≥ 24 horas, hace ≥ 3 días, hace ≥ 7 días, hace ≥ 14 días, hace ≥ un mes, hace ≥ 3 meses, hace ≥ 6 meses.

oNombre: escriba el nombre del incidente.

oCantidad de equipos: escriba la cantidad de equipos seleccionados.

oCantidad de detecciones: escriba la cantidad de detecciones seleccionadas.

Personalización del diseño y de los filtros

Puede personalizar la vista de la pantalla de la consola web actual:

Administre el panel lateral y la tabla principal.

Agregar filtro y filtros preestablecidos. Puede usar etiquetas para filtrar los elementos mostrados.


Nota

Si no puede encontrar un incidente en particular en la lista y sabe que está en su infraestructura de ESET PROTECT, asegúrese de que todos los filtros se encuentren desactivados y que los conjuntos de permisos estén asignados a su cuenta de usuario.

IMPORTANTE

Los permisos que configure se aplican a la empresa principal del grupo estático que seleccionó en el paso Grupos estáticos.

gear_icon Preconfiguración

Filtrar conjuntos.

icon_inspect_default Inspect

Abra la consola web de ESET Inspect en la sección Incidentes. El ESET Inspect solo está disponible cuando tiene una licencia de ESET Inspect y ESET Inspect está conectado a ESET PROTECT. Un usuario de la consola web requiere permiso de lectura o superior para acceder a ESET Inspect.

update_default Actualizar

Actualizar la página

Detalles del incidente

Seleccione cualquier incidente, haga clic en el botón Acciones y haga clic en el botón de tres puntos icon_more_vertical para lo siguiente:

Ver detalles: mostrar una descripción general del incidente.

Descripción general: proporciona la siguiente información:

oDetalles del incidente como se muestran en la sección principal.

oImpacto sobre la empresa: la cantidad de Equipos, Ejecutables y Procesos afectados. Haga clic en el número para ir a la página específica relacionada.

oComentarios: puede agregar un comentario para el incidente. Haga clic en Ver todos los comentarios para mostrar todos los comentarios creados. Puede Editar un comentario, Anclar un comentario o Quitar un comentario.

oDescripción: explicación del incidente.

oTécnicas de MITTRE ATT&CK®: técnicas de MITTRE ATT&CK disponibles para el incidente seleccionado.

oPasos recomendados: pasos para iniciar el proceso de respuesta a incidentes.

Detecciones: lista de detecciones. Puede hacer clic en el ícono de los tres puntos icon_more_vertical para Ver detalles.

Equipos afectados: lista de equipos afectados.

Cronología del incidente: cronología con un breve historial de incidentes, desde el evento desencadenante hasta el cierre del incidente.

En cada sección, puede hacer clic aquí:

el botón Inspeccionar para redireccionar a ESET Inspect e investigar el incidente en el gráfico de incidentes;

el botón actualizar update_default para actualizar la página.

Haga clic en el botón Responder a incidente para seleccionar los objetos afectados y definir las acciones de respuesta para ellos. Seleccionar la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) y hacer clic en Confirmar.

oEquipos > Continuar > seleccione la acción de respuesta (Aislar, Cerrar sesión de usuario, Reiniciar, Explorar y limpiar) > Confirmar.

oProcesos > Continuar > seleccione la acción de respuesta (Proceso de eliminación) > Confirmar.

oEjecutables > Continuar > seleccione la acción de respuesta (Bloquear, Bloquear y limpiar) > Confirmar.

Cambiar estado y persona aignada: haga clic para seleccionarlo en el menú desplegable.

oEstado: seleccione el estado actual del incidente en el menú desplegable: Abierto, En curso, Esperando intervención o Cerrado. Cuando seleccione Cerrado, elija además el motivo para cerrar el incidente (Verdadero positivo, Sospechoso, Falso positivo o no válido) y, opcionalmente, escriba un comentario.

oPersona asignada: cuando seleccione el estado Abierto o En curso, seleccione el usuario disponible en el menú desplegable.

Haga clic en Guardar.

Etiquetas: haga clic para seleccionar etiquetas en el menú desplegable y haga clic en Aplicar. O bien, puede escribir una nueva palabra clave y presionar Intro para crear una nueva etiqueta.