Investigación de nodos individuales

Puede ver los detalles de cualquier nodo en el gráfico de incidentes. Esto le permite profundizar en nodos específicos e investigar qué representa cada nodo en el contexto del incidente.

Los nodos que se muestran varían según las integraciones de XDR activas. Los detalles del nodo se muestran en la pestaña Información general en la barra lateral. Las acciones de respuesta disponibles para los nodos de integración se muestran en la pestaña Medidas de respuesta.

Las medidas de respuesta están disponibles solo para nodos que se originan en integraciones XDR que admiten capacidades de respuesta. No hay acciones de respuesta disponibles para nodos EDR (como nodos de proceso, archivo, red o registro) directamente desde el gráfico de incidentes. Para aplicar medidas de respuesta a nodos EDR, use la cadena de eliminación cibernética.

Pasos para investigar nodos individuales

  1. En la consola de Cyber Protect, vaya a Protección > Incidentes.
  2. En la lista de incidentes que se muestra, haga clic en en la columna situada más a la derecha del incidente que desee investigar.
  3. Vaya a la pestaña Gráfico de incidentes.

  4. Vaya al nodo correspondiente y haga clic en él para mostrar la barra lateral del nodo.

    Por ejemplo, al hacer clic en un nodo de correo electrónico o identidad se abre la barra lateral para ese nodo.

  5. Investigue la información incluida en las pestañas de la barra lateral:
    • Información general: esta pestaña incluye detalles sobre el nodo seleccionado, según el tipo de nodo.

      • Nodos de Indicador de ataque (IoA): incluye la fecha/hora de detección, la gravedad de la detección, la descripción de la detección, la táctica y técnica de MITRE, y el nombre de la amenaza.

      • Nodos de Indicador de compromiso (IoC): cada tipo de nodo de IoC (proceso, archivo o URL) tiene su propio conjunto de campos, que también se utilizan en Endpoint Detection and Response (EDR). Para obtener más información, consulte Investigar nodos individuales en la cyber kill chain.

      • Nodos de integración: incluye detalles sobre el nodo seleccionado, dependiendo de la integración.

        Por ejemplo, los nodos de Teams, OneDrive y SharePoint incluyen el nombre del archivo, su fecha de creación, el usuario que lo creó, el último usuario que lo modificó y su tamaño.

        De forma similar, el nodo de correo electrónico incluye detalles sobre la dirección IP del remitente, el nombre y el cliente utilizado, así como el nombre, el formato y el tamaño de cada archivo adjunto.

    • Medidas de respuesta: esta pestaña enumera las medidas de respuesta disponibles para nodos de integración, dependiendo de la integración. Para obtener más información, consulte Aplicación de acciones de respuesta a nodos de integración.