Funciones de EDR

Endpoint Detection and Response (EDR) incluye las siguientes características:

Recibir notificaciones de alerta cuando ocurra una infracción
Gestionar los incidentes en la página Incidentes
Visualización fácil de entender de la historia del ataque
Recomendaciones y medidas de corrección
Comprobar si hay ataques de dominio público en sus cargas de trabajo utilizando las fuentes de información sobre amenazas
Información general a simple vista en el panel de control
Supervisión extendida
Almacenar los eventos de seguridad durante 180 días

Recibir notificaciones de alerta cuando ocurra una infracción

La EDR ofrece notificaciones de alerta cada vez que ocurre un incidente. Estas alertas están destacadas en el menú principal de la consola de Cyber Protect. Podrá investigar una alerta haciendo clic en el botón Investigar incidente, que le redirigirá a la pantalla de investigación del incidente (también conocida como cyber kill chain).

Para obtener más información, consulte Revisión de incidentes en la lista de incidentes.

Gestionar los incidentes en la página Incidentes

La EDR le permite gestionar todos los incidentes en la página Incidentes (se accede desde el menú Protección de la consola de Cyber Protect). Puede filtrar la información de la página Incidentes según sus requisito para entender rápido y fácilmente el estado actual de los incidentes, incluida la gravedad, la carga de trabajo afectada y el nivel de positividad. También puede ir directamente a la cyber kill chain para ver la historia del ataque, nodo a nodo.

Para obtener más información acerca de la página Incidentes, consulte Revisión de incidentes en la lista de incidentes.

Visualización fácil de entender de la historia del ataque

La EDR proporciona una representación visual de un ataque en un formato fácil de leer. Esto garantiza que incluso el personal que no sea de seguridad puede digerir los objetivos y la gravedad de cualquier ataque. En realidad, no es necesario ningún servicio del centro de operaciones de seguridad (SOC) ni contratar expertos de seguridad. La EDR le informa exactamente de cómo ha ocurrido un ataque, incluido:

Cómo entró el atacante
Cómo ocultó sus huellas el atacante
Qué daño causó
Cómo se propagó el ataque

Para obtener más información, consulte Pasos para investigar incidentes en la cyber kill chain.

Recomendaciones y medidas de corrección

La EDR proporciona recomendaciones claras y fáciles de implementar para resolver ataques en una carga de trabajo. Para resolver un ataque rápidamente, haga clic en el botón Solucionar todo el incidente para ver y seguir los pasos de las recomendaciones con el fin de mitigar el incidente. Estos pasos recomendados le permiten reanudar rápidamente las operaciones afectadas por un ataque. Sin embargo, si desea llevar a cabo más pasos para una solución granular, puede ir a cada nodo y solucionarlo con la acción que corresponda.

También puede hacer clic en Copilot para iniciar el chat con Acronis AI y enviar varias solicitudes, así como recibir acciones de respuesta sugeridas para el incidente seleccionado.

Para obtener más información, consulte Solución de incidentes.

Comprobar si hay ataques de dominio público en sus cargas de trabajo utilizando las fuentes de información sobre amenazas

La EDR incluye la capacidad de revisar los ataques conocidos existentes en las fuentes de información sobre amenazas de sus cargas de trabajo. Estas fuentes de información sobre amenazas se generan automáticamente según los datos sobre amenazas recibidos del centro de operaciones de ciberprotección (CPOC); la EDR le permite comprobar si una amenaza ha afectado a su carga de trabajo o no y llevar a cabo los pasos necesarios para anular la amenaza.

Para obtener más información, consulte Busque indicadores de compromiso (IOC) de ataques conocidos públicamente en sus cargas de trabajo.

Información general a simple vista en el panel de control

La EDR ofrece una serie de estadísticas en el panel de control de la consola de Cyber Protect. Puede ver:

El estado actual de las amenazas, incluido el número de incidentes que deben investigarse.
La evolución de los ataques por gravedad, indicando las posibles campañas de ataques.
La tasa de eficiencia de cierre de incidentes.
Las tácticas más específicas utilizadas para atacar a sus clientes.
El estado de la red de la carga de trabajo, que indica si es aislada o conectada.

Supervisión extendida

En equipos Windows y Linux, EDR puede recopilar datos de eventos continuamente, incluso cuando no hay detecciones particulares.

La supervisión extendida consume recursos de CPU adicionales en la carga de trabajo protegida, por lo que recomendamos verificar su rendimiento después de habilitar la función. Dependiendo del número de eventos recopilados, también podría aumentar el ancho de banda utilizado para la comunicación con el centro de datos.

Almacenar los eventos de seguridad durante 180 días

EDR recopila eventos de cargas de trabajo y aplicaciones relacionados con incidentes y los almacena durante 180 días. Los eventos anteriores al período de 180 días se eliminan (la eliminación de eventos se basa en la antigüedad y no en el espacio de almacenamiento). Tenga en cuenta que, aunque EDR esté deshabilitado, todos los eventos recopilados previamente sobre un incidente se conservan y estarán disponibles en la pantalla de investigación del incidente.