Comprendere le azioni intraprese per mitigare un problema

Dopo aver riesaminato un problema e indagato su come si è svolto l'attacco, in genere vengono applicate le azioni di risposta. Dopo aver applicato le azioni di risposta, queste possono essere visualizzate in diverse posizioni, per ottenere un quadro più chiaro dei passaggi intrapresi per mitigare il problema.

Ai problemi generati dai livelli di prevenzione si applicano automaticamente le azioni configurate nel piano di protezione. Per i punti di rilevamento, è necessario definire le azioni di risposta più adeguate a correggere ogni scenario di attacco.

Per comprendere le azioni di risposta intraprese, è possibile visualizzare tutte le azioni di risposta applicate a un intero problema, oppure visualizzare le azioni applicate a un nodo specifico nella sequenza dell'attacco informatico.

Per visualizzare tutte le azioni di risposta applicate a un problema

  1. Nella console di Cyber Protect, passare a Protezione > Problemi.
  2. Nell'elenco dei problemi visualizzato, fare clic su nella colonna più a destra del problema per il quale avviare l'indagine. Viene visualizzata la sequenza dell'attacco informatico del problema selezionato.
  3. Fare clic sulla scheda Attività.

    Viene visualizzato l'elenco delle azioni di risposta già applicate al problema.

    Se l'azione di risposta è stata avviata come parte di un flusso di lavoro automatizzato, nel campo Avviata da viene visualizzato Flusso di lavoro automatizzato. Per ulteriori informazioni, consultare Lavorare con flussi di lavoro automatizzati.
  4. Sull'elenco visualizzato è possibile eseguire numerose azioni:
    • Fare clic su una riga di un tipo di attività per visualizzare più informazioni sull'attività selezionata. Le informazioni vengono mostrate nella barra laterale, come descritto nel Passaggio 3, e includono informazioni su chi ha avviato l'azione, lo stato, il percorso del file e qualsiasi commento aggiunto dall'iniziatore.
    • Utilizzare la casella Cerca per individuare un'azione specifica.
    • Fare clic su Filtra per applicare i filtri all'elenco.
    • Selezionare la casella di controllo Raggruppa per entità interessata per raggruppare le azioni pertinenti in base all'entità di appartenenza.
    • Fare clic su per mostrare/nascondere l'elenco delle azioni completate.

      Verificare che sia visualizzata accanto alle azioni da mostrare. Per nascondere un'azione dall'elenco delle azioni visualizzate, fare di nuovo clic per modificare l'immagine in .

Per visualizzare le azioni di risposta applicate a un nodo specifico

  1. Nella sequenza di attacco, fare clic su un nodo per visualizzare la relativa barra laterale.
  2. Fare clic sulla scheda Attività.

  3. Per comprendere in modo più completo quali azioni sono state applicate e perché, è necessario sfogliare le azioni di risposta applicate al nodo. Ad esempio, per le azioni di connessione desktop remoto è possibile visualizzare chi ha avviato l'azione e quando, la durata dell'azione e lo stato complessivo (se è stata completata correttamente, se non è riuscita o se è stata completata con errori).

    Se l'azione di risposta è stata avviata come parte di un flusso di lavoro automatizzato, nel campo Avviata da viene visualizzato Flusso di lavoro automatizzato. Per ulteriori informazioni, consultare Lavorare con flussi di lavoro automatizzati.