Añade o elimina un proceso, archivo o red en la lista de bloqueados o permitidos del plan de protección

Como parte de su respuesta de prevención frente a un ataque, puede añadir un nodo a la lista de permitidos o a la lista de bloqueados de un plan de protección.

Puede añadir un nodo a una lista de permitidos si considera que es seguro y desea evitar que se detecte en el futuro. Añada un nodo a una lista de bloqueados para que deje de ejecutarse en el futuro.

También puede eliminar un nodo de la lista de permitidos o bloqueados para permitir o prevenir cualquier acceso futuro al nodo.

Esta opción está disponible para los siguientes nodos de cyber kill chain:

  • Proceso
  • Archivo
  • Red

Para añadir o eliminar un proceso, archivo o red en la lista de bloqueados del plan de protección

  1. En la cyber kill chain, haga clic en el proceso, archivo o nodo de red que desee remediar.
  2. En la barra lateral que se muestra, haga clic en la pestaña Medidas de respuesta.

  3. En la sección Prevenir, haga clic en el icono de flecha junto a Lista de bloqueados.

  4. Seleccione los planes de protección correspondientes a los que desee aplicar esta acción.
  5. Agregue un comentario.

    Este comentario es visible en la pestaña Historial de acciones (para un nodo en concreto) o en la pestaña Actividades del incidente (para todo el incidente), y puede ayudarle (y también a sus compañeros) a recordar por qué realizó la acción cuando vuelva a revisar el incidente.

  6. Haga clic en Agregar.

    La acción se implementa, y se evitará que el proceso, archivo o red se inicie en el futuro.

    Alternativamente, si el proceso, archivo o red se añadió previamente a la lista de bloqueados y ahora desea eliminarlo de ella, haga clic en Eliminar. Esto permitirá el acceso futuro al nodo.

    La acción de añadir o eliminar también se puede ver en la pestaña Historial de acciones (para el nodo en concreto) y en la pestaña Actividades del incidente (para todo el incidente). Para obtener más información, consulte Entienda las acciones emprendidas para mitigar un incidente.

Para añadir o eliminar un proceso, archivo o red en la lista de permitidos del plan de protección

  1. En la cyber kill chain, haga clic en el proceso, archivo o nodo de red que desee remediar.
  2. En la barra lateral que se muestra, haga clic en la pestaña Medidas de respuesta.

  3. En la sección Prevenir, haga clic en el icono de flecha junto a Lista de permitidos.

  4. Seleccione los planes de protección correspondientes a los que desee aplicar esta acción.
  5. Agregue un comentario.

    Este comentario es visible en la pestaña Historial de acciones (para un nodo en concreto) o en la pestaña Actividades del incidente (para todo el incidente), y puede ayudarle (y también a sus compañeros) a recordar por qué realizó la acción cuando vuelva a revisar el incidente.

  6. Haga clic en Agregar.

    La acción se implementa y se evitará la detección del proceso, archivo o red en el futuro.

    Alternativamente, si el proceso, archivo o red se agregó previamente a la lista de permitidos y ahora desea eliminarlos de la lista de permitidos, haga clic en Eliminar. Esto evitará cualquier acceso futuro al nodo.

    La acción de añadir o eliminar también se puede ver en la pestaña Historial de acciones (para el nodo en concreto) y en la pestaña Actividades del incidente (para todo el incidente). Para obtener más información, consulte Entienda las acciones emprendidas para mitigar un incidente.