Solucionar un incidente con falso positivo

Si tiene claro que un ataque no lo es en realidad, en otras palabras, es un falso positivo, puede definir cómo evitar que el incidente ocurra de nuevo. Por ejemplo, podrá añadir el incidente a la lista de permitidos de un plan de protección.

Pasos para solucionar un incidente con falso positivo

1. En la cyber kill chain del incidente seleccionado, haga clic en Solucionar todo el incidente. Se mostrará el diálogo Solucionar todo el incidente.
2. En la sección Veredicto del analista, seleccione Falso positivo.

   

3. En la sección Acciones de prevención, seleccione la casilla de verificación Añadir a la lista de permitidos. Desde la lista del plan de protección que se muestra, seleccione los planes de protección que correspondan.

   Esta acción de prevención garantiza que todas las detecciones del incidente dejarán de detectarse para los planes de protección seleccionados.

4. Seleccione la casilla de verificación Modificar estado de la investigación del incidente a: Falso positivo.
5. Haga clic en Solucionar.

   Cuando se haga clic en el botón, se mostrará Ir a las actividades. Haga clic en Ir a las actividades para revisar las acciones de respuesta aplicadas al incidente. Para obtener más información, consulte Entienda las acciones emprendidas para mitigar un incidente.