Ajuda on-line ESET

Selecionar tópico

Incidentes

note

A seção Incidentes será lançada gradualmente nas próximas semanas.

Os incidentes nos permitem correlacionar detecções em incidentes, melhorando as investigações de ameaças. Os incidentes são criados automaticamente a partir de detecções, o que reduz significativamente o tempo de triagem de alertas.

A seção Incidentes lista incidentes criados automaticamente de Detecções com base em regras predefinidas.

Filtragem de visualização

Existem formas diferentes de filtrar sua visualização:

Clique no seletor de Tags (ícone de seta) e escolher uma ou mais tags para ativar o filtro nos incidentes listados. Os resultados são destacados em azul e mostram incidentes com as tags selecionadas.

Clique em uma Gravidade do incidenteseverity_high Alta, severity_medium Média ou severity_low Baixa. Você pode combinar esses ícones ativando-os ou desativando-os.

Status do incidenteopen_incident Aberto, in_progress_incident Em andamento, ou closed_incident Fechado

Clique em Adicionar filtro e selecione os tipos de incidentes no menu suspenso.

oDestinatário – digite o nome do destinatário.

oAutor – selecione do menu suspenso: ESET, Serviço ESET ou o nome de usuário.

oHora da criação— selecione no menu suspenso: < 24 horas, há ≥ 24 horas, há ≥ 3 dias, há ≥ 7 dias, há ≥ 14 dias, há ≥ um mês, há ≥ 3 meses, há ≥ 6 meses.

oÚltima atualização— selecione no menu suspenso: < 24 horas, há ≥ 24 horas, há ≥ 3 dias, há ≥ 7 dias, há ≥ 14 dias, há ≥ um mês, há ≥ 3 meses, há ≥ 6 meses.

oNome – digite o nome do incidente.

oNúmero de computadores— digite o número de computadores selecionados.

oNúmero de detecções— digite o número de detecções selecionadas.

Filtros e personalização de layout

Você pode personalizar a exibição da tela atual do console web:

Gerenciar o painel lateral e a tabela principal.

Adicionar filtro e predefinições de filtro. Você pode usar marcações para filtrar os itens exibidos.


note

Caso você não consiga localizar um determinado incidente na lista e souber que ele está na infraestrutura ESET PROTECT, certifique-se de que todos os filtros estejam desativados e que os conjuntos de permissões estejam atribuídos à sua conta de usuário.

gear_icon Predefinições

Conjuntos de filtro.

icon_inspect_default Inspect

Abrir o Web Console ESET Inspect na seção Incidentes. Om ESET Inspect está disponível apenas quando você tem a licença ESET Inspect e o ESET Inspect conectado ao ESET PROTECT. Um usuário do Web Console precisa de permissão de Leitura ou superior para Acessar o ESET Inspect.

update_default Atualizar

Atualizar página.

Detalhes do incidente

Selecione qualquer incidente, clique no botão Ações e clique no botão de três pontos icon_more_vertical para:

Exibir detalhes— para exibir uma visão geral do incidente.

Visão geral – fornece as seguintes informações:

oDetalhes rápidos – detalhes do incidente são exibidos na seção principal.

oImpacto da empresa – o número de Computadores, Executáveis e Processos afetados. Clique no número para ir para a página específica relacionada.

oComentários— você pode Adicionar um comentário para o incidente. Clique em Exibir todos os comentários para exibir todos os comentários criados. Você pode Editar comentário, Fixar comentário ou Excluir comentário.

oDescrição – explicação do incidente.

oTécnicas MITTRE ATT&CK®– técnicas MITTRE ATT&CK disponíveis para o incidente selecionado.

oEtapas recomendadas – etapas para iniciar o processo de resposta a incidentes.

Detecções— lista de detecções. Você pode clicar no ícone de três pontos icon_more_vertical para Exibir detalhes.

Computadores afetados— lista de computadores afetados.

Linha do tempo do incidente– linha do tempo com um breve histórico de incidentes, desde o evento desencadeador até o fechamento do incidente.

Em cada seção, você pode clicar:

no botão Inspecionar para redirecionar para o ESET Inspect e investigar o incidente no gráfico de incidentes.

no botão atualizar update_default para atualizar a página.

Clique no botão Responder ao incidente para selecionar os objetos afetados e configurar as ações de resposta para eles. Selecione a ação de resposta (Isolar, Fazer logout do usuário, Reinicializar, Escanear e limpar) e clique em Confirmar.

oComputadores > Continuar > selecione a ação de resposta (Isolar, Fazer logout do usuário, Reiniciar, Escanear e Limpar) > Confirmar.

oProcessos > Continuar > selecione a ação de resposta (Encerrar processo) > Confirmar.

oExecutáveis > Continuar > selecione a ação de resposta (Bloquear, Bloquear e Limpar) > Confirmar.

Alterar status e Cessionário – clique para selecionar no menu suspenso.

oStatus – selecione o status atual do incidente no menu suspenso: Aberto, Em andamento ou Fechado Ao selecionar Fechado, selecione também o motivo para fechar o incidente (Verdadeiro positivo, Suspeito, Falso positivo ou inválido) e, opcionalmente, escreva um comentário.

oDestinatário – quando você selecionar o status Aberto ou Em andamento, selecione o usuário disponível no menu suspenso.

Clique em Salvar.

Tags—clique para selecionar tags no menu suspenso e clique em Aplicar. Ou você pode digitar uma nova palavra-chave e pressionar Enter para criar uma nova tag.