Entienda las acciones emprendidas para mitigar un incidente

Después de revisar un incidente e investigar cómo ha ocurrido el ataque, por lo general aplicará acciones de respuesta. Una vez que haya aplicado acciones de respuesta, dichas acciones se podrán ver en una serie de lugares para entender mejor qué pasos se han tomado para mitigar el incidente.

Los incidentes creados por las capas de prevención se aplican automáticamente a las acciones configuradas en el plan de protección. Para los puntos de detección, debe definir las acciones de respuesta que correspondan para mitigar el escenario de cada ataque.

Para entender las acciones de respuesta emprendidas, puede ver todas las acciones de respuesta aplicadas a un incidente completo o a un nodo específico en la cyber kill chain del incidente.

Pasos para ver todas acciones de respuesta aplicadas a un incidente

  1. En la consola de Cyber Protect, vaya a Protección > Incidentes.
  2. En la lista de incidentes que se muestra, haga clic en en la columna situada en el extremo derecho del incidente que desee investigar. Se mostrará la cyber kill chain de los incidentes seleccionados.
  3. Haga clic en la pestaña Actividades.

    Se muestra la lista de acciones de respuesta ya aplicadas al incidente. Cada actividad muestra la carga de trabajo en la que se ejecutó, ya que cada acción de respuesta tiene como destino exactamente una carga de trabajo.

    Si la acción de respuesta se inició como parte de un flujo de trabajo automatizado, el campo Iniciada por mostrará Flujo de trabajo automatizado. Para obtener más información, consulte Trabajar con flujos de trabajo automatizados.
  4. Puede llevar a cabo una serie de acciones en la lista mostrada:
    • Haga clic en una fila de tipo de actividad para mostrar más información sobre la actividad seleccionada. La información se muestra en una barra lateral, como se ve en el Paso 3, e incluye información sobre quién inició la acción, su estado, la carga de trabajo en la que se realizó, la ruta de archivo y cualquier comentario añadido por la persona que la inició.
    • Utilice el cuadro Buscar para buscar una acción específica.
    • Haga clic en Filtro para aplicar filtros a la lista.
    • Seleccione la casilla de verificación Agrupar por entidad afectada para agrupar las acciones correspondientes según la entidad.
    • Haga clic en para mostrar u ocultar la lista de acciones completadas.

      Asegúrese de que se muestra junto a las acciones que desea mostrar. Si desea ocultar una acción de la lista mostrada, haga clic de nuevo para cambiarla a .

Pasos para ver las acciones de respuesta aplicadas a un nodo específico

  1. En la cyber kill chain, haga clic en un nodo para ver la barra lateral de dicho nodo.
  2. Haga clic en la pestaña Actividades.

  3. Para entender por completo qué acciones se han aplicado y por qué, quizá necesite desplazarse por las acciones de respuesta aplicadas al nodo. Por ejemplo, en el caso de las acciones de conexión a escritorio remoto, puede ver quién inició la acción y cuándo, la duración de la acción y su estado general (si se completó correctamente, si falló o si se completó con errores).

    Si la acción de respuesta se inició como parte de un flujo de trabajo automatizado, el campo Iniciada por mostrará Flujo de trabajo automatizado. Para obtener más información, consulte Trabajar con flujos de trabajo automatizados.