Detalles del incidente

Seleccione cualquier incidente, haga clic en el botón Acciones o haga clic en el botón de los tres puntos > Ver detalles.

Resumen: ofrece una descripción general del incidente y contiene la siguiente información:

•Los detalles del incidente se muestran en la sección principal.

oGravedad: Baja, Media o Alta.

oEstado:Abierto: un administrador de seguridad u otro usuario han abierto o reabierto el incidente. En curso: el incidente está en curso y se está investigando. Cerrado: el incidente está cerrado.

oHora de creación

oAutor

oEtiquetas: seleccione y aplique etiquetas a un incidente de la lista existente o cree etiquetas nuevas personalizadas.

•Impacto en la empresa: el número de Ordenadores, Identidades, Ejecutables y Procesos afectados. Haga clic en el número para ir a la página específica relacionada.

•Comentarios: puede agregar un comentario al incidente. Haga clic en Ver todos los comentarios para mostrar todos los comentarios creados. Puede editar un comentario, anclar un comentario o eliminar un comentario.

•Descripción: explicación del incidente.

•Técnicas MITTRE ATT&CK®: técnicas MITTRE ATT&CK disponibles para el incidente seleccionado.

•Acciones recomendadas: pasos recomendados por la IA para iniciar el proceso de respuesta a incidentes. Puede hacer clic en un paso recomendado para ejecutar una acción de corrección. Las acciones que no se pueden corregir directamente se pueden marcar como realizadas o marcar como no realizadas, según sea necesario.

Gráfico: observe la estructura del gráfico de incidente formada por indicadores en el diseño compuesto o jerárquico. El gráfico proporciona un panel de control con botones de orientación rápida: barra para acercar/alejar, Adaptar a la pantalla, Restablecer vista e información sobre herramientas con Métodos abreviados.

El gráfico está formado por nodos. En el gráfico, puede hacer clic en cualquier nodo blanco para ver información detallada en el panel lateral. No puede ver los detalles de los nodos grises. Los nodos específicos contienen un menú con acciones: Ver detalles, Ver detalles en una nueva pestaña, Analizar y desinfectar, Aislar de la red, Búsqueda avanzada.

Una flecha entre nodos representa la relación entre diferentes tipos de nodos, por ejemplo:

oUsuario → INICIAR SESIÓN → Ordenador

oUsuario → EJECUTA → Proceso

oProceso principal → SUBPROCESO → Proceso secundario

Puede buscar la línea temporal del gráfico de incidente con el panel de control de la línea temporal para recuperar el estado del gráfico del principio, avanzar o reproducir el periodo seleccionado del gráfico.

Puede seleccionar grupos de indicadores en función de su gravedad. Cuando hace clic en el grupo de indicadores, se resalta un subgráfico. El subgráfico está formado únicamente por el grupo de indicadores de la gravedad seleccionada. Al mantener el cursor del ratón sobre los indicadores de la tabla, se resaltan los objetos correspondientes en el gráfico.

Indicadores: lista de indicadores. Haga clic en un indicador para ver los detalles. También puede ver los detalles en una nueva pestaña: haga clic en > Ver detalles en una nueva pestaña.

Puede ver un árbol de procesos con los nodos de proceso e indicador:

El árbol de procesos permite a los usuarios navegar por el indicador. Puede hacer clic en un nodo de proceso (un nodo redondeado) o un nodo de indicador (un nodo rectangular) en el árbol de procesos para mostrar detalles en función de la disponibilidad de datos:

Ordenadores afectados: lista de ordenadores afectados.

Identidades afectadas: lista de usuarios afectados. Puede hacer clic en el botón de los tres puntos para Activar/Desactivar el usuario, Restablecer la contraseña del usuario, Revocar sesiones > Cerrar sesión de usuarios de dispositivos asociados en AD. Puede crear tareas de XDR como acción de respuesta a incidentes.

Procesos: una lista de procesos desencadenados por el ejecutable. Puede hacer clic en el botón de tres puntos para:

•Ver detalles: redirige al árbol de procesos con detalles.

•Ver detalles en una nueva pestaña: redirige al árbol de procesos con detalles en una nueva pestaña.

•Finalizar proceso: finaliza el proceso si aún está activo en la memoria de operaciones.

•Búsqueda avanzada: redirige a la sección Búsqueda avanzada con related.hash filtrado.

•Descargar archivo ejecutable: descarga el archivo ejecutable para continuar con la investigación.

•Enviar a ESET LiveGuard: envía el archivo manualmente a ESET LiveGuard.

Ejecutables: una lista de ejecutables. Puede hacer clic en el botón de tres puntos para:

•Ver detalles: redirige a los detalles del ejecutable.

•Ver detalles en una nueva pestaña: redirige a los detalles del ejecutable en una nueva pestaña.

•Bloquear ejecutable

•Bloquear y desinfectar ejecutable

•Búsqueda avanzada: redirige a la sección Búsqueda avanzada.

•Descargar archivo ejecutable: descarga el archivo ejecutable para continuar con la investigación.

Cronología del incidente: cronología con un breve historial de incidentes, desde el evento desencadenante hasta el cierre del incidente. Si está disponible, puede:

•Ver estados.

•Hacer clic en un objeto para ver los detalles.

•Hacer clic en una acción de respuesta (excepto en el caso de Bloquear y Bloquear y desinfectado) para ver las pestañas Resumen, Ejecuciones, Desencadenadores y Detalles de ejecución con detalles, si están disponibles.

En cada sección, puede hacer clic en el botón de actualización para actualizar la página.

Haga clic en el botón Responder a un incidente para seleccionar los objetos afectados y definir las acciones de respuesta para ellos. Seleccionar la acción de respuesta (aislar, cerrar sesión de usuario, reiniciar, analizar y desinfectar) y hacer clic en Confirmar.

oOrdenadores > Continuar > seleccione la acción de respuesta (aislar, cerrar sesión de usuario, reiniciar, analizar y desinfectar) > Confirmar.

oIdentidades > Continuar > seleccione la acción de respuesta

oProcesos > Continuar > seleccione la acción de respuesta (Finalizar proceso) > Confirmar.

oEjecutables > Continuar > seleccione la acción de respuesta (bloquear, bloquear y desinfectar) > Confirmar.

˄˅