ESET PROTECT – Índice

Incidentes

Los incidentes nos permiten correlacionar las detecciones con los incidentes, lo que mejora las investigaciones de las amenazas. Los incidentes se crean automáticamente a partir de detecciones, lo que reduce significativamente el tiempo de triaje de alertas.

En la sección Incidentes se incluyen los incidentes creados automáticamente a partir de Detecciones en función de reglas predefinidas.

Filtrado de la vista

Hay distintas formas de filtrar la vista:

Haga clic en el selector Etiquetas (icono de flecha) y elija las etiquetas para activar el filtro en los incidentes indicados. Los resultados se resaltan en azul y muestran incidentes con las etiquetas seleccionadas.

Haga clic en una Gravedad del incidente: el nivel puede ser severity_high Alto, severity_medium Medio o severity_low Bajo. Puede combinar estos iconos activándolos o desactivándolos.

Estado del incidente: open_incident Abierto, in_progress_incident En curso, scheduled Esperando entrada o closed_incident Cerrado

Haga clic en Agregar filtro y seleccione los tipos de incidentes en el menú desplegable.

oEncargado: escriba el nombre del encargado.

oAutor: selecciónelo en el menú desplegable. ESET, Servicio de ESET o el nombre de usuario.

oHora de creación: seleccione en el menú desplegable <24 horas, hace ≥ 24 horas, hace ≥ 3 días, hace ≥ 7 días, hace ≥ 14 días, hace ≥ un mes, hace ≥ 3 meses.

oÚltima actualización: seleccione en el menú desplegable <24 horas, hace ≥ 24 horas, hace ≥ 3 días, hace ≥ 7 días, hace ≥ 14 días, hace ≥ un mes, hace ≥ 3 meses, hace ≥ 6 meses.

oNombre: escriba el nombre del incidente.

oNúmero de ordenadores: escriba el número de ordenadores seleccionados.

oNúmero de detecciones: escriba el número de detecciones seleccionadas.

Filtros y personalización del diseño

Puede personalizar la vista de pantalla actual de Web Console:

Administre el panel lateral y la tabla principal.

Agregar filtros y preajustes de filtros. Puede usar etiquetas para filtrar los elementos mostrados.


Nota

Si no puede encontrar un incidente en particular en la lista y sabe que está en su infraestructura de ESET PROTECT, asegúrese de que todos los filtros se encuentren desactivados y se hayan asignado los conjuntos de permisos a su cuenta de usuario.

gear_icon Preconfiguración

Conjuntos de filtros

icon_inspect_default Inspect

Abra la sección ESET Inspect Web Console Incidentes. El ESET Inspect solo está disponible cuando tiene la licencia de ESET Inspect y ESET Inspect está conectado a ESET PROTECT. Un usuario de Web Console requiere el permiso Lectura o superior para acceder a ESET Inspect.

update_default Actualizar

Actualizar página.

Detalles del incidente

Seleccione los incidentes, haga clic en el botón Acciones y haga clic en el botón de tres puntos icon_more_vertical para:

Ver detalles: se muestra una descripción general del incidente.

Resumen: proporciona la información indicada a continuación.

oLos detalles del incidente se muestran en la sección principal.

oImpacto en la empresa: el número de Ordenadores, Ejecutables y Procesos afectados. Haga clic en el número para ir a la página específica relacionada.

oComentarios: puede agregar un comentario al incidente. Haga clic en Ver todos los comentarios para mostrar todos los comentarios creados. Puede editar un comentario, anclar un comentario o eliminar un comentario.

oDescripción: explicación del incidente.

oTécnicas MITTRE ATT&CK®: técnicas MITTRE ATT&CK disponibles para el incidente seleccionado.

oPasos recomendados: pasos para iniciar el proceso de respuesta a incidentes.

Detecciones: lista de detecciones. Puede hacer clic en el icono de tres puntos icon_more_vertical para Ver detalles.

Ordenadores afectados: lista de ordenadores afectados.

Cronología del incidente: cronología con un breve historial de incidentes, desde el evento desencadenante hasta el cierre del incidente.

En cada sección, puede hacer clic en:

El botón Inspect para realizar una redirección a ESET Inspect e investigar el incidente en el gráfico de incidentes.

El botón de actualización update_default para actualizar la página.

Haga clic en el botón Responder a un incidente para seleccionar los objetos afectados y definir las acciones de respuesta para ellos. Seleccionar la acción de respuesta (aislar, cerrar sesión de usuario, reiniciar, analizar y desinfectar) y hacer clic en Confirmar.

oOrdenadores > Continuar > seleccione la acción de respuesta (aislar, cerrar sesión de usuario, reiniciar, analizar y desinfectar) > Confirmar.

oProcesos > Continuar > seleccione la acción de respuesta (Finalizar proceso) > Confirmar.

oEjecutables > Continuar > seleccione la acción de respuesta (bloquear, bloquear y desinfectar) > Confirmar.

Cambiar el estado y el encargado: haga clic para realizar una selección en el menú desplegable.

oEstado: seleccione el estado actual del Incidentes en el menú desplegable. Puede ser Abierto, En curso, Esperando entrada o Cerrado. Si selecciona Cerrado, seleccione también el motivo para cerrar el incidente (Verdadero positivo, Sospechoso, Falso positivo o no válido) y, si lo desea, escriba un comentario.

oEncargado: si selecciona el estado Abierto o En curso, seleccione el usuario disponible en el menú desplegable.

Haga clic en Guardar.

Etiquetas: haga clic para seleccionar etiquetas en el menú desplegable y haga clic en Aplicar. También puede escribir una nueva palabra clave y pulsar Entrar para crear una nueva etiqueta.