Analice la información sobre el incidente

Durante la fase de revisión del incidente, también puede analizar la información de dicho incidente desde la lista de incidentes de Endpoint Detection and Response (EDR). Esta información le permite profundizar en todo el incidente y entender cómo y cuándo ocurrió. Además, puede asignar un incidente a usuarios específicos para investigarlo y establecer el estado de la investigación.

Pasos para analizar la información sobre el incidente

1. En la consola de Cyber Protect, vaya a Protección > Incidentes. Se mostrará la lista del incidente.
2. Haga clic en el incidente que desea revisar. Se mostrarán los detalles para el incidente seleccionado.

3. En la pestaña Información general, puede revisar la información del incidente y la carga de trabajo, incluido el estado actual de la amenaza y la gravedad. También puede definir el Estado de la investigación (seleccionar entre Investigando, Sin iniciar (el estado predeterminado), Falso positivo o Cerrada) y seleccionar un usuario al que asignar el incidente (en la lista desplegable Cesionario, seleccione el usuario que corresponda).

   

4. Haga clic en la pestaña Información del ataque para revisar la información del ataque y las técnicas utilizadas en este. Haga clic junto a cada técnica de ataque que aparezca en la lista para revisar más información sobre la técnica en MITRE.org.
5. Haga clic en la pestaña Actividades para revisar las acciones llevadas a cabo en la cyber kill chain con el fin de mitigar un incidente. Para obtener más información, consulte Pasos para investigar incidentes en la cyber kill chain.

   Por ejemplo, si se ha ejecutado un parche en la carga de trabajo, puede ver quién inició el parché, cuánto tardó y los errores que ocurrieron durante la implementación del mismo.

6. Haga clic en Investigar incidente para acceder a la cyber kill chain e investigar el incidente nodo por nodo. Para obtener más información, consulte Pasos para investigar incidentes en la cyber kill chain.