Crear una regla de asignación

Un analista puede crear reglas de asignación que aceleren las primeras etapas del triaje de indicios. De esta forma, según las características de los indicios generados por el radar de ciber ataques, éstos se asignarán de forma automática a la investigación elegida por el analista.

Para crear una regla de asignación:

  • Selecciona el menú superior Indicios y en el panel lateral haz clic en Pendientes. Se abrirá una ventana con todos los indicios generados por el radar de ciber ataques que todavía no han sido asignados a una investigación.

  • Haz clic en el botón Añadir regla de asignación automática en la barra de herramientas, o haz clic con el botón de la derecha del ratón en el indicio para mostrar el menú de contexto y elige Añadir regla de asignación automática. Se abrirá una ventana para definir las condiciones que el indicio tendrá que cumplir para aplicarse la regla de asignación:

    • Investigación: establece la investigación que recibirá los indicios que satisfagan las condiciones indicadas en la regla. Haz clic en el icono , se abrirá una nueva ventana con un listado de todas las investigaciones ya creadas. Elige una y haz clic en el botón Aceptar.

    • Nombre de la regla: nombre de la regla de asignación.

    • Descripción: texto explicativo asociado a la regla de asignación.

    • Id. de cliente: la regla se aplica sobre los indicios detectados en el parque de la lista de clientes indicados. Se requiere que la cuenta del analista tenga visibilidad sobre los clientes que añade. Consulta Gestión de roles y permisos.

    • Hunting rule: la regla se aplica sobre los indicios generados por el radar de ciber ataques que fueron detectados con la hunting rule indicada.

    • MUID: la regla se aplica sobre los indicios detectados en la lista de equipos de usuario con los identificadores indicados.

    • Nombre de equipo: la regla se aplica sobre los indicios detectados en los equipos de usuario con los nombres indicados.

    • Detalles: permite especificar el contenido del campo Detalles de los indicios a asignar. Establece el contenido del campo exacto con la opción Igual a, o de forma flexible mediante una expresión regular con la opción RegEx. Para más información consulta Expresiones regulares .

    • Ejecutar esta regla automáticamente: al crear la regla, ésta se aplicará no solo a los indicios que se creen en el futuro sino también a los indicios ya generados en el intervalo de 7 días desde el momento de la creación de la regla.

Editar una regla de asignación

Para editar una regla de asignación, la cuenta del analista tiene que tener asignada una visibilidad que incluya a todos los clientes afectados por la regla a editar. Consulta Gestión de roles y permisos.

  • Selecciona el menú superior Configuración y en el panel lateral haz clic en Reglas de asignación. Se mostrará un listado con todas las reglas de asignación creadas hasta el momento.

  • Haz clic en una regla de asignación. Se mostrará una ventana con las propiedades de la regla.

  • Modifica las propiedades de la regla de asignación y haz clic en el botón Guardar.

Una vez editada la regla de asignación, se comenzará a aplicar sobre los nuevos indicios generados. Los indicios anteriores no son tratados por la regla de asignación modificada. Si quieres aplicar la regla de asignación a los indicios generados en el pasado consulta Ejecutar manualmente una regla de asignación.

Ejecutar manualmente una regla de asignación

Para aplicar una regla de asignación sobre los indicios generados en los últimos 7 días:

  • Selecciona el menú superior Configuración y en el panel lateral haz clic en Reglas de asignación. Se mostrará un listado con todas las reglas de asignación creadas hasta el momento.

  • Selecciona las casillas asociadas a una o varias reglas de asignación. Se activará la barra de herramientas.

  • Haz clic en Ejecutar regla. Las reglas seleccionadas se aplicarán sobre los indicios generados los últimos 7 días y éstos se moverán a las investigaciones apropiadas.

Listado de reglas de asignación

Contiene las reglas de asignación creadas hasta la fecha.

Para acceder al listado de reglas de asignación selecciona en el menú superior Configuración y en el panel lateral haz clic en Reglas de asignación. El listado mostrará los campos siguientes:

Campo Descripción

Nombre

Nombre de la regla de asignación.

Fecha de creación

Fecha en la que fue creada la regla de asignación.

Fecha de modificación

Fecha en la que fue modificada por última vez la regla de asignación.

Descripción

Descripción de la regla de asignación.

Hunting rule

Hunting rule asociada a la regla de asignación.

Investigación

Nombre de la investigación a la que se moverán los indicios que cumplan las condiciones definidas en la regla de asignación.

Campos del listado Reglas de asignación

Gestionar el listado de reglas de asignación

Buscar, filtrar y ordenar reglas de asignación

Para ordenar, buscar, filtrar o agrupar reglas de asignación, consulta Herramientas para configurar los listados.

Borrar reglas de asignación

Selecciona las casillas asociadas a las reglas de asignación que quieres borrar y en el icono de la barra de herramientas.