Un Incidente es un grupo de indicadores relacionados con la actividad en un host específico. El análisis de ThreatSync identifica un incidente cuando se reportan varios indicadores con una puntuación de amenaza alta para el mismo host. Un incidente puede contener indicadores reportados por un Host Sensor, un Firebox o ambos.
En la página ThreatSync > Hosts, puede ver qué hosts tienen los indicadores de gravedad más altos, y puede actuar rápidamente sobre todos los indicadores para cada host. Un incidente proporciona una vista combinada de los indicadores en un host.
En la página ThreatSync > Hosts, puede expandir un incidente para:
- Ver los indicadores para ese host
- Ver qué indicadores contribuyen a la puntuación de incidentes (identificados por
) - Ver la cronología de cuándo se reportó cada indicador
- Ejecutar una acción para administrar las amenazas en un indicador
El análisis de ThreatSync usa un conjunto patentado de algoritmos para determinar una puntuación para cada incidente basándose en las puntuaciones de los indicadores en ese host. Solo los indicadores con puntuaciones de amenaza críticas o altas contribuyen a la puntuación de incidentes. Los indicadores con puntuación de amenaza baja no se incluyen en el cálculo de la puntuación de incidentes. En la lista de incidentes para cada indicador, identifica que un indicador contribuye a la puntuación de ThreatSync final para el incidente. Para más información, consulte Acerca de las Puntuaciones de Amenaza de TDR.
También puede configurar políticas para completar automáticamente las acciones para administrar una amenaza. Para más información, consulte Configurar las Políticas de TDR.
Ver los Incidentes
De manera predeterminada, la página ThreatSync > Hosts muestra los incidentes con una puntuación de amenaza de seis o superior.
Para ver los incidentes actuales:
- Seleccione ThreatSync > Hosts.
Se abre la página Hosts con el conjunto de filtros para mostrar todos los incidentes con una puntuación de 6 o superior identificados en las últimas 24 horas.
- Para aumentar el rango de fechas, en el encabezado de columna Última Vez Visto, haga clic en
y seleccione un rango de fechas. Haga clic en Aplicar.
- Para ir a la página Hosts, filtrada para mostrar los incidentes de un indicador, en la columna Acciones Manuales para el indicador, haga clic en Seleccionar acciones.
La página Hosts se abre en una nueva pestaña del explorador. - Para expandir el incidente para ver los indicadores, haga clic en
.
El incidente se expande para mostrar la lista de indicadores. La lista se filtra automáticamente para mostrar solo los indicadores que contribuyen a la puntuación del incidente.
En la lista expandida Hosts para un indicador, puede completar las mismas acciones que en la página Indicadores.
- Para ver detalles adicionales sobre un indicador, en la columna Indicador, haga clic en Información Adicional. Los detalles del indicador brindan más información sobre el indicador y la razón de la puntuación.
- Para tomar acciones de remediación, en la columna Acciones Manuales, haga clic en la acción Seleccionar acciones. Puede tomar la acción solicitada, marcar el indicador como remediado externamente o agregarlo a la Lista de Permitidos. Si un archivo se ha puesto en cuarentena previamente, puede seleccionar la acción para retirar el archivo de la cuarentena y agregarlo a la lista de permitidos. Para más información, consulte Eliminar un Archivo de Cuarentena.
- Para buscar el valor MD5 para este indicador en Google, VirusTotal o MetaScan, en la columna Para Investigación Adicional, haga clic en uno de los enlaces.
- Para ver la cronología del incidente, siga las instrucciones en la siguiente sección.
Para obtener más información sobre el estado del indicador, detalles, acciones e investigación, consulte Administrar los Indicadores de TDR.
Administrar Filtros
Puede filtrar la información que se muestra en la página en la parte superior de cada columna. Puede guardar una configuración de filtro para que la página muestre automáticamente la información especificada cada vez que la abra.
- Seleccione los ajustes de la columna que desea guardar.
- En el encabezado de la columna del extremo izquierdo, haga clic en
. - Seleccione Guardar.
- En el encabezado de la columna del extremo izquierdo, haga clic en .
- Seleccione Aplicar.
- En el encabezado de la columna del extremo izquierdo, haga clic en .
- Seleccione Despejar.
- En el encabezado de la columna del extremo izquierdo, haga clic en .
- Seleccione Eliminar.
Ver la Cronología del Incidente
Para ver los indicadores de un incidente en una cronología:
- Para ver los indicadores de un incidente, haga clic en .
- Haga clic en Mostrar Cronología.
La Cronología se muestra encima de la lista de indicadores para el incidente.
En la cronología:
- La escala de la izquierda es la puntuación de amenaza del Indicador.
- El tamaño de cada burbuja muestra el número de Indicadores Sin Resolver para ese día.
- El color de cada burbuja es el mismo que el color de las puntuaciones en las páginas Incidentes e Indicador.
Para ver más información sobre una cronología, puede acercarse a una sección de la cronología y hacer clic o pasar el cursor sobre una burbuja.
Para acercar una sección de la cronología:
- Haga clic y arrastre el cursor sobre un área en el gráfico.
El tamaño del gráfico cambia para mostrar el área seleccionada. - Haga clic en Restablecer Zoom para alejarse a la vista de la cronología completa.
Para ver más detalles sobre una burbuja:
- Mueva el cursor sobre la burbuja.
La burbuja cambia a color azul. Aparece la información sobre herramientas con la Fecha, Puntuación y el Conteo. El Conteo es el número de indicadores con la puntuación mostrada. - Para ver solo la lista de indicadores de una burbuja, haga clic en la burbuja.
O bien, en la información sobre herramientas, haga clic en Conteo.
La lista de indicadores debajo de la cronología se filtra para la puntuación y la fecha de la burbuja seleccionada.
Para ocultar la cronología, haga clic en Ocultar Cronología.