Acciones de respuesta para los nodos individuales de la cyber kill chain

Si necesita gestionar el incidente con mayor detalle, puede aplicar varias acciones de respuesta a nodos individuales de la cyber kill chain. Estas acciones de respuesta le permite solucionar rápida y fácilmente cualquier nodo.

Para aplicar acciones de respuesta globales a todo el incidente, consulte Solucionar todo un incidente.

Las acciones de respuesta se dividen en las siguientes categorías, aunque no todos los nodos incluyen todas las categorías siguientes:

Solucionar: Las acciones de esta categoría le permiten aplicar una respuesta inmediata al ataque e incluyen la gestión del aislamiento de la red para una carga de trabajo y la eliminación y puesta en cuarentena de archivos, procesos y valores de registro.
Investigar: las acciones de esta categoría (aplicables solo a cargas de trabajo) le permiten ejecutar una copia de seguridad forense, una conexión a escritorio remoto o una línea de comandos o terminal remoto para una investigación más profunda.
Recuperación: Las acciones de esta categoría (se aplican solo a cargas de trabajo) le permiten responder a ataques intensivos mediante la ejecución de la recuperación desde la copia de seguridad o la conmutación por error de Disaster Recovery.
Prevenir: Las acciones de esta categoría le permiten prevenir futuras amenazas o falsos positivos al añadirlos a una lista de permitidos o una lista de bloqueados del plan de protección.

Si se cierra un incidente, no podrá aplicar una acción de respuesta a un nodo. No obstante, puede volver a abrir un incidente cerrado cambiando su estado de investigación a Investigando. Una vez reabierto, puede aplicar las acciones de respuesta.

La siguiente tabla describe los tipos de nodo de la cyber kill chain, las categorías aplicables de cada nodo y las acciones de respuesta disponibles.

Nodo	Categoría	Medidas de respuesta
Carga de trabajo	Solucionar	Gestionar aislamiento de red Reiniciar carga de trabajo
	Investigar	Copia de seguridad forense Conexión a escritorio remoto Ejecutar línea de comandos remota (Windows) Ejecutar terminal (macOS)
	Recuperación	Recuperación a partir de la copia de seguridad Conmutación por error de Disaster Recovery
	Prevenir	Parche
Proceso	Solucionar	Detener proceso Cuarentena
Proceso	Prevenir	Añadir a la lista de permitidos Añadir a la lista de bloqueados
Archivo	Solucionar	Eliminar Cuarentena
Archivo	Prevenir	Añadir a la lista de permitidos Añadir a la lista de bloqueados
Registro	Solucionar	Eliminar
Red	Prevenir	Añadir a la lista de permitidos Añadir a la lista de bloqueados