Incidentes transferidos

Cuando el motor de correlación detecta que las detecciones de un incidente EDR existente son parte de un ataque más amplio y correlacionado, transfiere esas detecciones a un nuevo incidente correlacionado. El incidente original se marca entonces como transferido.

Los incidentes transferidos permiten que el motor de correlación consolide la actividad relacionada en un solo incidente para una vista más completa del ataque, mientras se preserva una referencia al incidente original del cual se originaron las detecciones.

Qué sucede cuando se transfiere un incidente

• Todas las detecciones del incidente original se trasladan al nuevo incidente correlacionado.
• El incidente original se marca como transferido en la lista de incidentes.
• Se muestra un mensaje en los detalles del incidente, con un enlace al nuevo incidente correlacionado.
• Las acciones de respuesta, incluida la remediación inteligente, no están disponibles para los incidentes transferidos. Utilice el nuevo incidente correlacionado para investigar y responder.

Identificación de incidentes transferidos

Puede identificar los incidentes transferidos por el icono de transferido junto al ID del incidente en la lista de incidentes.

Pasos para mostrar los incidentes transferidos en la lista de incidentes

1. En la consola de Cyber Protect, vaya a Protección > Incidentes.

2. Haga clic en Ver junto al interruptor XDR Activado y luego habilite Mostrar incidentes transferidos.

   Los incidentes transferidos aparecen atenuados en la lista.

3. Haga clic en el icono de transferido para ver los detalles del incidente.

   El panel de detalles incluye un enlace al nuevo incidente correlacionado que contiene las detecciones transferidas.

Para investigar la actividad que fue transferida, abra el nuevo incidente correlacionado utilizando el enlace proporcionado en los detalles del incidente transferido.