Revisión de incidentes en la lista de incidentes

Endpoint Detection and Response (EDR) ofrece una lista de incidentes que incluye tanto la prevención (o malware) como detecciones sospechosas en una carga de trabajo. La lista de incidentes le ofrece información general en un vistazo rápido de los ataques o amenazas que afectan a sus cargas de trabajo, incluidas las amenazas que ya se han mitigado.

Desde la lista de incidentes, puede determinar rápidamente:

  • La postura en temas de seguridad de una organización: ¿cuántos incidentes deben investigarse?
  • Cuáles son los incidentes más graves y dar prioridad a su investigación según la gravedad.
  • Qué incidentes son nuevos o están en curso.
Cuando inicia sesión como administrador de partners, puede ver todos los incidentes de EDR en una sola pantalla que consolida los incidentes de todos sus clientes, sin la necesidad de acceder a la vista de incidentes individuales de cada cliente. Se muestra una columna adicional de Clientes, que incluye el nombre del cliente al que pertenece cada incidente. Además, los widgets que se muestran en el panel de Información general muestran datos de métricas agregados de todos los clientes.

Según se muestra a continuación, se accede a la lista de incidentes desde el menú Protección de la consola de Cyber Protect. Para obtener más información sobre la revisión de incidentes en la lista, consulte Priorice qué incidentes necesitan atención inmediata Para obtener más información acerca de cuándo se ha creado un incidente, consulte ¿Qué son exactamente los incidentes?

Si la detección y respuesta gestionadas (MDR) están habilitadas en sus cargas de trabajo, se muestra una columna adicional de Ticket MDR. Esta columna muestra el número de ticket proporcionado por el proveedor de MDR.

La consola de Cyber Protect debe estar abierta para que pueda recibir notificaciones sobre incidentes.

Personalización de la lista de incidentes

Haga clic en Ver junto al interruptor XDR Activado para acceder a las siguientes opciones de visualización:

  • Actualización automática: cuando está habilitada, la lista de incidentes se actualiza automáticamente para mostrar los incidentes más recientes.
  • Mostrar incidentes transferidos: cuando está habilitada, los incidentes transferidos se muestran en la lista de incidentes. Por defecto, los incidentes transferidos están ocultos. Para obtener más información, consulte Incidentes transferidos.

¿Qué son exactamente los incidentes?

Los incidentes, o los incidentes de seguridad, se pueden considerar contenedores de al menos un punto de prevención o detección sospechoso (o una mezcla), e incluyen todos los eventos y detecciones relacionados de un solo ataque. Estos incidentes de seguridad también pueden incluir eventos benignos adicionales que den más contexto a lo que ha pasado.

Esto le permite ver los eventos de ataque en un solo incidente y comprender los pasos lógicos que ha llevado a cabo el atacante. Asimismo, ayuda a acelerar el tiempo de investigación de un ataque.

Cuando la está habilitada en el plan de protección, se crean incidentes de seguridad cuando:

  • Una capa de prevención detiene algo: El sistema cierra estos incidentes automáticamente, según la configuración del plan de protección. Sin embargo, puede investigar lo que hizo el malware exactamente antes de que se detuviese. Por ejemplo, el ransomware se detiene cuando empieza a cifrar archivos, pero, antes de eso, podría haber robado credenciales o instalado un servicio.
  • Actividad sospechosa detectada por la EDR: Se trata de detecciones que deberían investigarse y solucionarse. Al revisar la cyber kill chain mejorada visualmente (para obtener más información, consulte Pasos para investigar incidentes en la cyber kill chain), puede aplicar las soluciones pertinentes fácilmente.