Investigate: Cuadro de diálogo Crear un incidente

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

En el cuadro de diálogo Crear un incidente, los analistas pueden crear un incidente a partir de eventos seleccionados en la vista Eventos. A continuación, el incidente está disponible para los encargados de respuesta ante incidentes que trabajan en Respond.

Para acceder a este cuadro de diálogo mientras investiga un servicio en Investigation > vista Eventos, seleccione Incidentes > Crear nuevo incidente en la barra de herramientas.

Flujo de trabajo

high-level Investigate workflor with Create an Incident in Repond highlighted

¿Qué desea hacer?

                                                     
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazas o encargado de respuesta ante incidentesagregar uno o más eventos a un incidente existente o a un incidente nuevo*Agregar eventos a un incidente para Response

Temas relacionados

Vista rápida

La siguiente figura es un ejemplo del cuadro de diálogo Crear un incidente y las funciones se describen en la tabla.

the Create an Incident dialog

                                           
FunciónDescripción
Crear una alerta de estos eventosEl campo Resumen de alerta se rellena con la consulta que produjo las alertas seleccionadas, las cuales seleccionó para crear este incidente. El campo Gravedad refleja la gravedad de la alerta seleccionada, un entero entre 1 y 100.
Nombre(Obligatorio) Especifica un nombre para identificar el incidente. En el ejemplo, el nombre es Incidente de muestra. Puede proporcionar un nombre que identifique claramente la naturaleza de los eventos que se agregarán a este incidente
Resumen(Opcional) Especifica una descripción del incidente. Un buen resumen identifica claramente el incidente para otros analistas y encargados de responder.
Usuario asignado(Opcional) Asigna el incidente a un usuario en el SOC. Si hace clic en Usuario asignado, se abre una lista desplegable que muestra los nombres de usuario del personal del SOC que responden ante incidentes.
Categorías(Opcional) Identifica las categorías de incidentes. Si hace clic en Categorías, se abre una lista desplegable de categorías y subcategorías de incidentes. Puede seleccionar una o más categorías a las cuales pertenece el incidente. Las categorías se dividen en estos grupos principales: Ambiental, error, hacking, malware, uso indebido y redes sociales.
PrioridadIdentifica la prioridad del incidente. Si hace clic en Prioridad, se abre una lista desplegable de prioridades: En la lista desplegable, se muestra crítica, alta, media o baja.
CancelarCierra el cuadro de diálogo sin guardar los cambios.
GuardarGuarda el incidente y cierra el cuadro de diálogo. Un mensaje confirma que el incidente se creó correctamente.
You are here
Table of Contents > Materiales de referencia de Investigate > Cuadro de diálogo Crear un incidente

Attachments

    Outcomes