Incident Management: Vista Alertas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describe cómo acceder a la vista Alertas, se proporciona información detallada acerca de la vista Alertas y sobre diversos aspectos de las alertas. En la vista Alertas, puede navegar por diversas alertas, filtrarlas y agruparlas para crear incidentes.

Para acceder a la vista Alertas, en el menú de Security Analytics, seleccione Incidentes > Alertas. Se muestra la vista Todas las alertas. Puede personalizar la vista Alertas para ver las alertas según sus necesidades.

all_alerts_view.png

Características

La vista Alertas ofrece varios detalles y comandos que ayudan a personalizar la vista y a mostrar las alertas.

Detalles de la vista Alertas

El panel de opciones de la vista Todas las alertas muestra varios parámetros que se pueden usar para personalizar la presentación de las alertas.

En la siguiente tabla se describen los distintos parámetros que puede seleccionar para filtrar las alertas y personalizar la vista. Los parámetros de filtro que elige para filtrar las alertas persisten y se conservan cuando abandona la vista actual con el fin de cambiar entre pestañas o sesiones, o cuando navega a la pantalla de detalles. La opción Restablecer selección permite restablecer las opciones de filtro al valor predeterminado.

                                            
ParámetroDescripción
RANGO DE TIEMPO

Seleccione un rango de tiempo para ver alertas dentro de ese rango. Por ejemplo:

  • Seleccione Últimas 24 horas para ver las alertas activadas en las últimas 24 horas.
  • Seleccione Todos los datos para ver las alertas activadas desde el momento en que se agregó el servicio. 
  • Seleccione Personalizado y proporcione un rango de fechas para ver las alertas activadas en ese intervalo de tiempo.
ORIGEN

Indica la cantidad de alertas categorizadas según sus orígenes. Por ejemplo, RSA ECAT(86) indica que hay 86 alertas que activó RSA ECAT.

Seleccione uno o varios orígenes para ver las alertas que activaron los orígenes seleccionados. Por ejemplo, para ver solo alertas de ECAT, seleccione RSA ECAT como el origen.

TYPEIndica el tipo de eventos en la alerta, por ejemplo, registros, sesiones de red, etc.
GRAVEDADIndica la gravedad de las alertas. Seleccione un valor para ver las alertas de la gravedad requerida. Por ejemplo, para ver alertas de gravedad 75, seleccione 75 como el nivel de gravedad.
¿PARTE DE INCIDENTE?

Indica la cantidad de alertas categorizadas en función de si pertenecen a un incidente. Por ejemplo, Sí(180) indica que hay 180 alertas que son parte de un incidente.

Seleccione para ver las alertas que son parte de un incidente. Seleccione No para ver las alertas que no son parte de ningún incidente.

PAÍS DE ORIGENSi geo-ip está activado en el Decoder, se filtra por el país etiquetado en el dispositivo de origen en un evento dentro de la alerta.
PAÍS DE DESTINOSi geo-ip está activado en el Decoder, se filtra por el país etiquetado en el dispositivo de destino en un evento dentro de la alerta.
reset_selection_button.png Restablece las opciones de filtro a los valores predeterminados.

En la mitad superior del panel Alerta se muestra la representación gráfica de la tendencia de las alertas en el transcurso del tiempo (agrupadas por cada origen) que coinciden con los criterios de filtro según los parámetros elegidos.

Detalles de la alerta

En la mitad inferior del panel Alerta se muestran los detalles de las alertas. En la siguiente tabla se describen los diversos detalles de las alertas.

                                                
CampoDescripción
Fecha de creaciónMuestra la fecha en que se creó la alerta.
GravedadMuestra la gravedad de la alerta. Los valores varían entre 1 y 100. 
NombreMuestra el nombre de la alerta.
SourceMuestra el origen de la alerta. El origen de las alertas puede ser ECAT, Malware Analytics, ESA, el servicio Investigator o Reporting Engine.
N.º de eventos

Indica la cantidad de eventos que se incluyen dentro de una alerta.

Nota: esto varía según el origen de la alerta. Por ejemplo, las alertas de ECAT y MA siempre tienen un evento. Para ciertos tipos de alertas, una alta cantidad de eventos puede significar que la alerta es más riesgosa.

Resumen de hostMuestra detalles del host, como el nombre del host donde se activó la alerta. Los detalles pueden incluir información sobre los dispositivos de origen y/o de destino en una alerta. Algunas alertas pueden describir eventos en más de un dispositivo.
Resumen de usuarioMuestra el resumen del o los usuarios asociados a los eventos en la alerta.
ID del incidenteMuestra el ID del incidente al cual pertenece la alerta. Si no hay un ID del incidente, esto implica que la alerta no pertenece a ningún incidente y se puede crear uno para incluirla o se puede agregar a un incidente existente.
Acción

Permite realizar una investigación adicional de la alerta. Las opciones disponibles para realizar una investigación adicional difieren según los distintos tipos de alertas.

Por ejemplo:
En el caso de una alerta de ECAT, la opción disponible es Ver análisis de ECAT. Esto permite ver el análisis del host en el cliente de ECAT, si lo instaló en la máquina cliente. En el caso de ESA o Reporting Engine, las opciones disponibles son Investigar eventos, Investigar dirección IP de dispositivo, Investigar dirección IP de origen e Investigar dirección IP de destino. Esto permite ver los eventos en la vista Investigator o ver eventos similares (por ejemplo, por la misma dirección IP de origen o destino). En el caso de Malware Analytics, la opción disponible es Ver Malware Analysis. Esto permite ver los detalles del evento desde el análisis de malware.

Opciones

En la mitad inferior del panel Alerta se proporcionan las opciones para ejecutar varias operaciones. En la tabla se describen varios comandos disponibles.

                        
ComandoAcción
Create_incident_button.png Seleccione esta opción para crear un incidente. Consulte Crear un incidente manualmente.
add_to_incident.png Seleccione esta opción para agregar la alerta elegida a un incidente existente. Consulte Agregar alertas a un incidente existente.
Icon-DeleteText.png Seleccione esta opción para eliminar alertas. Consulte Eliminar alertas.
You are here
Table of Contents > Información de referencia de Incident Management > Vista Alertas

Attachments

    Outcomes