Aplicación de acciones de respuesta a nodos de integración

En el gráfico de incidentes, las acciones de respuesta están disponibles en nodos que se originan de integraciones XDR, como nodos de correo electrónico, identidad y firewall. Estas acciones le permiten responder directamente a las amenazas utilizando las capacidades de cada integración conectada.

Pasos para aplicar una acción de respuesta a un nodo de integración

1. En la consola de Cyber Protect, vaya a Protección > Incidentes.
2. En la lista de incidentes que se muestra, haga clic en en la columna del extremo derecho del incidente que desee investigar.
3. Haga clic en la pestaña Gráfico de incidentes.

4. Vaya al nodo de integración correspondiente y haga clic en él para mostrar la barra lateral del nodo.

   Si el nodo es un nodo agrupado (indicado por una etiqueta numérica), las acciones de respuesta aplicadas a este nodo se aplican a todos los subnodos del grupo.
5. Haga clic en la pestaña Medidas de respuesta.

6. Haga clic en Ejecutar en el caso de la acción de respuesta necesaria.

   Las acciones de respuesta disponibles dependen de la integración. Por ejemplo:

   • FortiMail Workspace Security: bloquear remitente.
   • Microsoft 365: terminar sesión de usuario, restablecimiento forzado de contraseña, suspender usuario.

   Las acciones de respuesta no están disponibles para todos los nodos de integración. Por ejemplo, los nodos de Teams no admiten acciones de respuesta.

   Al hacer clic en Ejecutar, las demás acciones de respuesta se deshabilitan temporalmente. Cuando la acción se completa, las demás acciones de respuesta se habilitan.

7. Haga clic en la pestaña Actividades de incidentes para revisar todas las acciones de respuesta aplicadas al nodo. Para obtener más información, consulte Entienda las acciones emprendidas para mitigar un incidente.