Gestionar incidentes
-
Para abrir un incidente desde el listado de incidentes:
-
Selecciona Estado en el menú superior.
-
En el panel lateral, haz clic en Añadir. Se abrirá la ventana Añadir listado con los listados disponibles.
-
Selecciona Incidentes. Se abrirá el listado Nuevo listado de Incidentes.
-
Configura los filtros del listado. Consulta Herramienta de filtrado.
-
Haz clic en Lanzar la consulta. Se mostrarán los incidentes que coinciden con el criterio de filtrado que has configurado.
-
-
Para abrir un incidente desde los widgets de incidentes:
-
Selecciona Estado en el menú superior.
-
En el panel lateral, selecciona Seguridad.
-
Haz clic en una sección de los widgets Incidentes pendientes o Estado de los incidentes. Se abrirá el listado Incidentes con el filtro aplicado. Para más información, consulta Paneles / widgets relacionados con incidentes.
-
-
Haz clic en el incidente de tu interés. Se abrirá la ventana Detalles del incidente distribuida en los paneles:
-
Panel izquierdo - Señales (1): listado de señales asociadas al incidente en orden cronológico según su aparición.
-
Panel central - Incident graph (2): diagrama que relaciona los activos involucradas en las señales asociadas al incidente.
-
Panel derecho (3): detalles del elemento seleccionado en el panel izquierdo: incidente, señal, TTPs de MITRE y entidades de interés involucradas.
-
Panel inferior - Árbol de procesos (4): secuencia en orden cronológico de los procesos que se crearon en el equipo, y que dieron lugar a la aparición de la señal.
-
-
Para mostrar la información del incidente, consulta Mostrar la información del incidente.
-
Para añadir señales al incidente, consulta Añadir señales al incidente.
-
Para borrar u ocultar una señal del incidente, consulta Mostrar, ocultar y eliminar señales
-
Para mostrar la información de una señal, consulta Mostrar la información de una señal.
-
Para mostrar la cadena de procesos que han generado la señal, consulta Mostrar los procesos que generan una señal.
-
Para obtener datos de los eventos registrados en el equipo mediante sentencias SQL:
-
Haz clic en el icono
en la barra de tareas. Se abrirá un menú de contexto.
-
Selecciona Consulta avanzada SQL. Consulta Módulo de consultas avanzadas SQL.
-
-
Para abrir la consola de investigación con un listado de los eventos que conforman el incidente:
-
Haz clic en el icono
en la barra de tareas. Se abrirá un menú de contexto.
-
Selecciona Investigación de equipos. Consulta Estructura de la consola de investigación.
-
-
Para mostrar un diagrama de grafos que representa de forma gráfica mediante nodos y flechas las entidades involucradas en el incidente y las relaciones que la unen:
-
Haz clic en el icono
en la barra de tareas. Se abrirá un menú de contexto.
-
Selecciona Grafos. Consulta Diagramas de grafos.
-
Mostrar la información del incidente
-
Comprueba que no hay señales ocultas en el panel izquierdo. Consulta Mostrar, ocultar y eliminar señales. El diagrama del panel central se actualizará con todos los activos del incidente.
-
Comprueba que no hay ninguna señal seleccionada en el panel izquierdo. Para quitar la selección haz clic en la señal. El panel de la derecha se actualizará con la información del incidente.
-
Para mostrar los detalles generales del incidente selecciona la pestaña Detalles en el panel derecho. Se mostrarán los campos:
-
Cuenta: identificador de la cuenta del cliente.
-
Creado: fecha y hora en la que Advanced EDR creo el incidente.
-
MITRE: TTPs asociados a las señales del incidente. Pasa por encima de cada TTP para mostrar el nombre de la técnica y táctica.
-
-
Para obtener información de las entidades de interés relacionadas con el incidente, selecciona la pestaña Entidades de interés en el panel derecho. Consulta Mostrar la información de las entidades de interés.
-
Para agrupar los activos del incidente en el panel central, haz clic en el selector Agrupar assets. Los nodos del mismo tipo se colapsarán en uno, indicando el número de ellos que representa y su tipo.
-
-
Los activos representados en el diagrama de un incidente son:
Icono Descripción Usuario que inició la sesión
Usuario remoto
Equipo
Equipo remoto
Proceso
IP
Fichero
Mostrar la información de una señal
En el panel izquierdo se muestran las señales que pertenecen al incidente ordenadas cronológicamente.
Por cada señal se incluye:
-
(1) Icono con el riesgo:
-
Rojo oscuro: riesgo 9 y 10
-
Rojo: riesgo 7 y 8
-
Naranja: riesgo 4, 5 y 6
-
Gris: riesgo 1,2 y 3
-
Verde: sin riesgo
-
-
(2) Marca de tiempo del momento en que se detectó la señal, con una precisión de nanosegundos.
-
(3) Nombre de la señal asignado por Advanced EDR.
-
(4) Acción realizada por Advanced EDR. Consulta Acciones.
-
(5) Nombre del equipo donde se detectó la señal.
-
(6) Dirección IP remota del equipo cuando está disponible.
Para obtener el detalle de una señal:
-
En el panel de la izquierda, haz clic en la señal de tu interés.
-
En el panel de la derecha haz clic en la pestaña DETALLES. Consulta Detalle de la información de una señal.
-
En el panel de la derecha, haz clic en la pestaña MITRE. Se mostrarán los TTPs asociados a la señal y la explicación detallada de su funcionamiento. La pestaña MITRE solo muestra información cuando la señal tiene TTPs asignados.
-
Añadir señales al incidente
Añadir señales manualmente
Para añadir manualmente señales de tu interés que no forman parte del incidente:
-
Haz clic en el icono
. Se abrirá el listado Añadir señales. Para obtener información sobre los campos de una señal consulta Detalle de la información de una señal.
-
Haz clic en las casillas de selección junto a las señales que quieres añadir.
-
Haz clic en Aceptar. El listado se cerrará y el incidente se actualizará:
-
En el panel izquierdo se añaden en orden cronológico las señales seleccionadas.
-
En el panel central se añaden los activos involucradas en las señales del incidente que no estén ocultas. Consulta Mostrar, ocultar y eliminar señales.
-
Añadir señales automáticamente
El panel de señales no es dinámico. Para actualizar el listado de señales y mostrar las nuevas que Advanced EDR ha registrado desde que abriste el incidente, haz clic en el icono . El listado se recargará mostrando todas las señales registradas en el incidente hasta el momento.
Mostrar, ocultar y eliminar señales
Solo puedes eliminar las señales que has añadido a un incidente manualmente, pero puedes ocultar cualquier tipo de señal.
Para ocultar una señal:
-
Haz clic en el icono
. La señal se difuminará en el listado y las entidades de interés asociadas a la señal desaparecerán del diagrama si no están involucradas en otras señales que pertenecen al incidente.
Para ocultar todas las señales relacionadas con una entidad de interés:
-
En el panel central Incident Graph, haz clic con el botón derecho del ratón sobre la entidad de interés para ocultar sus señales relacionadas. Se mostrará un menú de contexto.
-
Selecciona Ocultar señales relacionadas. Todas las señales relacionadas con esa entidad de interés se atenuarán en el panel izquierdo Señales.
Para eliminar una señal:
-
Haz clic en el icono
junto a la señal que quieres eliminar. Se abrirá un menú de contexto.
-
Haz clic en el icono
. La señal se eliminará del panel izquierdo y sus entidades de interés se borrarán del diagrama si no están involucradas en otras señales que pertenecen al incidente.
Mostrar los procesos que generan una señal
El panel inferior muestra, en forma de árbol, la secuencia de creación de procesos que generó la señal, así como la señal y su severidad.
Advanced EDR incluye los procesos registrados hasta 7 días antes de la creación de la señal.
Para mostrar los procesos que han generado una señal:
-
En el panel izquierdo selecciona una señal. Los paneles central, derecho e inferior se actualizarán con la información de la señal.
-
El panel inferior contiene una linea por cada par proceso padre - proceso hijo que se ha creado, con la opción de desplegar la jerarquía de procesos hijo de cada rama del árbol.
-
Para filtrar procesos del árbol, escribe en la caja de texto (1) Buscar en el arbol... la linea de comandos que te interese. El árbol mostrará solo los procesos que contengan el texto.
-
Para expandir todos los procesos hijos, haz clic en el botón (2)
.
-
Para colapsar todos los procesos hijos y solo mostrar los procesos padre, haz clic en el botón (3)
.
-
Para obtener información de un evento de creación de proceso, haz clic en el proceso. El panel derecho se actualizará con la información del proceso. Para conocer el significado de cada campo consulta Campos de los eventos registrados.
-
Para obtener información sobre la señal, haz clic en la linea del árbol de procesos que muestra el icono
. El panel derecho se actualizará con la información de la señal. Consulta Detalle de la información de una señal.
La información mostrada en cada linea del panel inferior es la siguiente:
Campo | Descripción |
---|---|
|
|
Fecha y hora (2) |
Fecha y hora con precisión de nanosegundos del momento en que se registró la creación del proceso hijo o de la señal. |
Icono (3) |
Tipo del proceso padre o icono que indica la creación de la señal. |
Identificador (4) |
Identificador del proceso padre. |
Proceso padre (5) |
Nombre del proceso padre. |
Proceso hijo (6) |
Nombre del proceso hijo y parámetros que recibe. |
Severidad (8) |
Severidad de la señal:
|
Nombre (9) |
Nombre de la señal. |