Gestión de las reglas de eliminación

Para gestionar las reglas de eliminación de forma centralizada, en el menú superior Configuración, haz clic en el panel lateral Reglas de eliminación. Se mostrará un listado con todas las reglas de eliminación creadas hasta el momento.

Listado de reglas de eliminación

Campo Descripción

Nombre

Nombre de la regla de eliminación asignado por el analista.

Fecha de creación

Fecha en la que se creó la regla de eliminación.

Fecha de modificación

Fecha en la que se modificó por última vez la regla de eliminación.

Descripción

Descripción asignada por el analista.

Hunting Rule

Nombre de la regla de hunting que generó el indicio y descripción de los artefactos que monitoriza en el equipo del cliente.

Indicios eliminados los últimos 30 días

Número de indicios que la regla eliminó en los últimos 30 días. El analista puede utilizar este campo para determinar el grado de utilidad de una regla de eliminación.

Fecha de última eliminación

Fecha y hora en la que la regla de eliminación se activó por última vez. El analista puede utilizar este campo para determinar el grado de utilidad de una regla de eliminación.

Campos del listado de reglas de eliminación

Editar reglas de eliminación

Cuando un analista comprueba que una regla está eliminando indicios valiosos, tiene la posibilidad de editarla. Para ello sigue los pasos mostrados a continuación:

  • Haz clic en la opción Papelera del panel lateral para desplegar las reglas de eliminación creadas.

  • Haz clic en el icono de contexto asociado a la regla de eliminación que quieres editar. Se mostrará un menú desplegable.

  • Elige la opción Editar regla de eliminación automática y establece los nuevos criterios de eliminación de indicios:

    • Nombre: nombre de la regla de eliminación.

    • Descripción: texto descriptivo donde el analista puede indicar los motivos de la eliminación de indicios.

    • ID de cliente: especifica el identificador del cliente al que pertenece el equipo donde se detectó el indicio a eliminar.

    • Hunting Rule: nombre de la hunting rule asociada a la regla de eliminación.

    • MUID: especifica el identificador del equipo donde se detectó el indicio a eliminar.

    • Nombre del equipo: nombre del equipo donde se detectó el indicio a eliminar.

    • Detalles: permite especificar el campo Detalles de los indicios a eliminar. Establece el contenido del campo exacto con la opción Igual a, o de forma flexible mediante una expresión regular con la opción RegEx. Para más información consulta Expresiones regulares.

Los indicios que ya fueron afectados por la regla de eliminación no sufrirán ningún cambio y por lo tanto seguirán sin mostrarse en el listado principal, aunque seguirán mostrándose al hacer clic en la regla editada.

Borrar reglas de eliminación

Cuando un analista comprueba que una regla está eliminando indicios valiosos, tiene la posibilidad de eliminarla:

  • Haz clic en la opción Papelera del panel lateral para desplegar las reglas de eliminación creadas.

  • Haz clic en el icono de contexto asociado a la regla de eliminación que quieres borrar. Se mostrará un menú desplegable.

  • Elige la opción Eliminar. Los indicios recientes afectados por la regla de eliminación volverán a mostrarse en el listado con el estado Pendiente. Los indicios anteriores a 7 días no se pueden recuperar.

Exportar listado

Haz clic en el icono para descargar un fichero .csv con el contenido del listado Reglas de eliminación.