Flujos de trabajo de Endpoint Detection and Response (EDR)

Hay seis flujos de trabajo de EDR predeterminados que puede configurar según sus requisitos:

  • Amenaza en cuarentena (cuando se crea un incidente de EDR)
  • Amenaza en cuarentena (cuando se actualiza un incidente de EDR)
  • Aislar la carga de trabajo (cuando se crea un incidente de EDR)
  • Aislar la carga de trabajo (cuando se actualiza un incidente de EDR)
  • Incidente de malware que requiere atención
  • Incidente que requiere atención

La siguiente tabla describe los desencadenantes, las condiciones y las acciones predeterminadas aplicables a cada flujo de trabajo. Para obtener más información sobre cómo modificar estas condiciones y acciones, consulte Configuración de un flujo de trabajo automatizado de Endpoint Detection and Response (EDR).

Flujo de trabajo Activación Condiciones Acciones
Amenaza en cuarentena Incidente de EDR creado

Estado de la amenaza = "No mitigada"

Y

Estado del incidente = "No iniciado"

Y

Gravedad = "Alta"

Y

Tipo de incidente = "Proceso detectado" O "Malware detectado"

  1. Detener el proceso.

  2. Poner el proceso en cuarentena.

  3. Añada un comentario. El texto predeterminado del comentario es "<Workflow name>: amenaza de gravedad alta en cuarentena".

  4. Cerrar el incidente.
Amenaza en cuarentena Incidente de EDR actualizado
Aislar la carga de trabajo Incidente de EDR creado

Estado de la amenaza = "No mitigada"

Y

Estado del incidente = "No iniciado"

Y

Gravedad = "Crítico"

Y

Veredicto = "Malicioso"

Y

Nivel de positividad > 9

Y

Tipo de incidente = "Proceso detectado" O "Malware detectado"

  1. Detener el proceso.

  2. Poner el proceso en cuarentena.

  3. Aislar la carga de trabajo

  4. Añada un comentario. El texto predeterminado del comentario es "<Workflow name>: la carga de trabajo <Workload name> se ha aislado después de la detección de malware crítico".

  5. Enviar correo electrónico a los usuarios de la consola de Cyber Protect seleccionados.
Aislar la carga de trabajo Incidente de EDR actualizado
Incidente de malware que requiere atención Incidente de EDR creado

Estado de la amenaza = "No mitigada"

Y

Estado del incidente = "No iniciado"

Y

Antigüedad del incidente > 8 horas

Y

Gravedad = "Alta" O "Crítica"

Y

Veredicto = "Malicioso"

Y

Tipo de incidente = "Detección de malware"

  1. Detener el proceso.

  2. Poner el proceso en cuarentena.

  3. Añada un comentario. El texto predeterminado del comentario es "<Workflow name>: cuarentena de amenaza de gravedad alta/crítica debido a que no se investigó durante 8 h".

  4. Enviar correo electrónico a los usuarios de la consola de Cyber Protect seleccionados.
Incidente que requiere atención Incidente de EDR creado

Estado de la amenaza = "No mitigada"

Y

Estado del incidente = "No iniciado"

Y

Antigüedad del incidente > 24 horas

Y

Gravedad = "Alta" O "Crítica"

Y

Veredicto = "Malicioso"

  1. Detener el proceso.

  2. Poner el proceso en cuarentena.

  3. Añada un comentario. El texto predeterminado del comentario es "<Workflow name>: cuarentena de amenaza de gravedad alta/crítica debido a que no se investigó durante 24 h".

  4. Enviar correo electrónico a los usuarios de la consola de Cyber Protect seleccionados.