Azioni di risposta per singoli nodi della sequenza di attacco informatico

Se occorre gestire il problema con un maggiore livello di dettaglio, è possibile applicare varie azioni di risposta sui singoli punti della sequenza di attacco. Queste azioni di risposta consentono di correggere con semplicità e facilità qualsiasi nodo.

Per applicare le azioni di risposta globali all'intero problema, vedere Correggere un intero problema.

Le azioni di risposta si suddividono nelle seguenti categorie, sebbene non tutti i nodi includano tutte le categorie seguenti:

  • Correggi: Le azioni di questa categoria consentono di applicare una risposta immediata all'attacco e prevedono la gestione dell'isolamento della rete per un workload e l'eliminazione della quarantena per file, processi e valori del registro di sistema.
  • Indaga: Le azioni in questa categoria (applicabili solo ai workload) consentono di eseguire un backup forense, una connessione desktop remoto o una riga di comando o Terminale remoti per eseguire indagini più approfondite.
  • Ripristino: Le azioni di questa categoria (applicabile solo ai workload) consentono di rispondere a un attacco massiccio avviando un ripristino da un backup o un failover di Disaster Recovery.
  • Previeni: Le azioni di questa categoria consentono di prevenire minacce future o falsi positivi aggiungendole all'elenco degli elementi consentiti o all'elenco degli elementi bloccati di un piano di protezione.
Se un problema è chiuso, non è possibile applicare un'azione di risposta a un nodo. È possibile tuttavia riaprire un problema chiuso modificando lo stato dell'indagine su Indagine in corso. Una volta riaperto il problema, sarà possibile applicare le azioni di risposta.

La tabella seguente descrive ogni tipo di nodo nella sequenza di attacco, le categorie applicabili a ciascun nodo e le azioni di risposta disponibili.

Nodo Categoria Azioni di risposta
Workload Correggi
Indaga
Ripristino
Previeni
Processo Correggi
Previeni
File Correggi
Previeni
Registro Correggi
Network Previeni