Respond: Elevar o corregir el incidente

Document created by RSA Information Design and Development Employee on Apr 30, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 5Show Document
  • View in full screen mode
 

Es posible que deba elevar un incidente, asignar incidentes a otro analista o cambiar el estado y la prioridad de un incidente a medida que recopila más información sobre el mismo. Esto es útil, por ejemplo, si usted actualiza la prioridad de un incidente de alta a crítica después de determinar que el incidente es una vulneración grave. Puede que también desee enviar el incidente a RSA Archer® Cyber Incident & Breach Response con fines de análisis y acción adicionales.

Enviar un incidente a RSA Archer

Nota: Esta opción está disponible en la versión 11.2 y superior. Si RSA Archer está configurado como un origen de datos en Context Hub, puede enviar incidentes a RSA Archer y podrá ver la opción Enviar a Archer y el estado Enviado a Archer en NetWitness Respond.

Cuando envía un incidente a Archer, aparece una notificación Enviado a Archer dentro del incidente. Cuando se configura, NetWitness Platform puede iniciar procesos de negocios adicionales en Archer Cyber Incident & Breach Response. Puede ver todos los incidentes que se enviaron a Archer Cyber Incident & Breach Response usando el filtro de la vista Listas de incidentes.

Para enviar un incidente a Archer, haga clic en el botón Enviar a Archer del panel Descripción general en la vista Listas de incidentes o en la vista Detalles de incidente.

Precaución: La acción Enviar a Archer no es reversible.

  1. Vaya a RESPONDER > Incidentes.
  2. En la vista Lista de incidentes, haga clic en el incidente que desea enviar a Archer Cyber Incident & Breach Response.
    El panel Descripción general aparece a la derecha.
  3. En el panel Descripción general, haga clic en Enviar a Archer.

  4. Lea el cuadro de diálogo Confirmar envío a Archer y, a continuación, haga clic en para confirmar el envío del incidente a Archer Cyber Incident & Breach Response. Esta acción no es reversible.
    Confirm Send to Archer dialog
    Recibirá una confirmación que indica que el incidente se envió a Archer junto con un ID de incidente de Archer. En el panel Descripción general, el botón Enviar a Archer cambia a Enviado a Archer.
    Incidents List view showing that the incident was successfully sent to Archer
    En la vista Detalles de incidente (haga clic en el vínculo del campo ID o NOMBRE del incidente enviado a Archer), puede ver la notificación del envío a Archer sobre los paneles Descripción general e Indicadores. Si también hace clic en el icono Journal icon para abrir el registro, puede ver una entrada del registro del sistema en la que se muestra que el incidente se envió a Archer y que ahora tiene un número de ID de Archer.
    Incident Details view showing incident sent to Archer and journal entry

Ver todos los incidentes enviados a Archer

Nota: Esta opción está disponible en la versión 11.2 y superior. Si RSA Archer está configurado como un origen de datos en Context Hub, puede enviar incidentes a RSA Archer y podrá ver la opción Enviar a Archer y el estado Enviado a Archer en NetWitness Respond.

Puede ver los incidentes enviados a Archer Cyber Incident & Breach Response mediante el filtro.

  1. Vaya a RESPONDER > Incidentes.
    Se muestra la Lista de incidentes.
  2. Si no puede ver el panel Filtros, en la barra de herramientas de la vista Lista de incidentes, haga clic en Filter icon.
  3. En el panel Filtros, bajo ENVIADO A ARCHER, seleccione .
    La lista de incidentes se filtrará para mostrar los incidentes que se enviaron a Archer Cyber Incident & Breach Response.
    Incidents list view with Filter panel showing Sent to Archer status

Actualizar un incidente

Puede actualizar un incidente desde varias ubicaciones. Puede cambiar la prioridad, el estado o el usuario asignado en las vistas Lista de incidentes y Detalles de incidente. Por ejemplo, si es un analista, tal vez desee asignarse un caso desde la vista Lista de incidentes si ve que está relacionado con otro en el que está trabajando. Si es un administrador del SOC o un administrador, puede que desee ver los incidentes no asignados en la vista Lista de incidentes y asignar los incidentes a medida que llegan. Los administradores del SOC y los administradores pueden realizar actualizaciones masivas de la prioridad, el estado o el usuario asignado en lugar de actualizarlos un incidente por vez.

En la vista Detalles, tal vez desee cambiar el estado a En curso una vez que comience a trabajar en un incidente y, a continuación, actualizarlo a Cerrado o Cerrado: falso positivo después de resolver el problema. O bien, puede cambiar la prioridad del incidente a Media o Alta mientras determina los detalles del caso.

Cambiar el estado de un incidente

Cuando un incidente aparece por primera vez en la lista de incidentes, tiene un estado inicial de Nuevo. Puede actualizar el estado a medida que trabaja en el incidente. Los siguientes estados están disponibles:

  • Nuevo
  • Asignado
  • En curso
  • Tarea solicitada
  • Tarea completa
  • Cerrado
  • Cerrado: falso positivo

Para actualizar el estado de varios incidentes:

  1. En la vista Lista de incidentes, seleccione uno o más incidentes que desee cambiar. Para seleccionar todos los incidentes que aparecen en la página, seleccione la casilla de la fila del encabezado de la lista de incidentes. La cantidad de incidentes seleccionados aparece en el pie de página de la lista de incidentes.
  2. Haga clic en Cambiar estado y seleccione un estado en la lista desplegable. En este ejemplo, el estado actual es Asignado, pero el analista desea cambiarlo a En curso para los incidentes seleccionados.
    Incidents List view showing the Status drop-down list
  3. Si selecciona más de un incidente, en el cuadro de diálogo Confirmar actualización, haga clic en Aceptar.
    Confirm Update dialog
    Puede ver una notificación de cambio correcto. En este ejemplo, el estado de los incidentes actualizados muestra ahora el estado En curso.
    Incident List showing a successful bulk Status update

Para cambiar el estado de un único incidente desde el panel Descripción general:

  1. Para abrir el panel Descripción general, realice una de las siguientes acciones:
    • En la vista Lista de incidentes, haga clic en un incidente cuyo estado desee actualizar.
      Incidents List showing Overview panel
    • En la vista Detalles de incidente, haga clic en la pestaña DESCRIPCIÓN GENERAL.
      Incident Details view showing Overview tab
      En el panel Descripción general, el botón Estado muestra el estado actual del incidente.
  2. Haga clic en el botón Estado y seleccione un estado en la lista desplegable.
    Update Overview Panel showing Status drop-down list
    Puede ver una notificación de cambio correcto.
    Successful change notification

Cambiar la prioridad del incidente

De manera predeterminada, la lista de incidentes se ordena por prioridad. Puede actualizar la prioridad a medida que estudia los detalles del caso. Las siguientes prioridades están disponibles:

  • Crítica
  • Alta
  • Media
  • Baja

Nota: No puede cambiar la prioridad de un incidente cerrado.

Para actualizar la prioridad de varios incidentes:

  1. En la vista Lista de incidentes, seleccione uno o más incidentes que desee cambiar. Para seleccionar todos los incidentes que aparecen en la página, seleccione la casilla de la fila del encabezado de la lista de incidentes. La cantidad de incidentes seleccionados aparece en el pie de página de la lista de incidentes.
  2. Haga clic en Cambiar prioridad y seleccione una prioridad en la lista desplegable. En este ejemplo, la prioridad actual es Alta, pero el analista desea cambiarla a Crítica para los incidentes seleccionados.
    Incidents List view showing the Priority drop-down list
  3. Si selecciona más de un incidente, en el cuadro de diálogo Confirmar actualización, haga clic en Aceptar.
    Puede ver una notificación de cambio correcto. En este ejemplo, el estado de los incidentes actualizados muestra ahora la prioridad Crítica.
    Incident List showing a successful bulk Status update

Para cambiar la prioridad de un único incidente desde el panel Descripción general

  1. Para abrir el panel Descripción general, realice una de las siguientes acciones:
    • En la vista Lista de incidentes, haga clic en un incidente cuya prioridad desee actualizar.
    • En la vista Detalles de incidente, haga clic en la pestaña DESCRIPCIÓN GENERAL.
      En el panel Descripción general, el botón Prioridad muestra la prioridad actual del incidente.
  2. Haga clic en el botón Prioridad y seleccione un estado en la lista desplegable.
    Update Overview Panel showing Priority drop-down list
    Puede ver una notificación de cambio correcto. El botón Prioridad cambia para mostrar la nueva prioridad del incidente.
    Successful change notification

Asignar incidentes a otros analistas

Puede asignar incidentes a otros analistas de la misma manera en que se asigna incidentes a usted mismo. Los administradores del SOC y los administradores pueden asignar varios incidentes a un usuario de forma simultánea.

Nota: No puede cambiar el usuario asignado de un incidente cerrado.

Para asignar varios incidentes a un usuario:

  1. En la vista Lista de incidentes, seleccione los incidentes que desea asignar a un usuario. Para seleccionar todos los incidentes que aparecen en la página, seleccione la casilla de la fila del encabezado de la lista de incidentes. La cantidad de incidentes seleccionados aparece en el pie de página de la lista de incidentes.
  2. Haga clic en Cambiar usuario asignado y seleccione un usuario en la lista desplegable. En este ejemplo, los incidentes no están asignados, pero se deben asignar a un analista.
    Incidents List view showing the Assignee drop-down list
  3. Si selecciona más de un incidente, en el cuadro de diálogo Confirmar actualización, haga clic en Aceptar.
    Puede ver una notificación de cambio correcto. El usuario asignado cambia al usuario seleccionado.
    Incidents List showing successful assignee change

Para asignar un usuario a un incidente en el panel Descripción general:

  1. Para abrir el panel Descripción general, realice una de las siguientes acciones:
    • En la vista Lista de incidentes, haga clic en un incidente que desee asignar a un usuario.
    • En la vista Detalles de incidente, haga clic en la pestaña DESCRIPCIÓN GENERAL.
      En el panel Descripción general, el botón Usuario asignado muestra el usuario asignado actual del incidente. En el siguiente ejemplo, el botón Usuario asignado tiene el estado actual Sin asignar.
      Update Overview Panel changing assignee to Analyst User from Unassigned
  2. Haga clic en el botón Usuario asignado y seleccione un usuario en la lista desplegable.
    Puede ver una notificación de cambio correcto. El botón Usuario asignado cambia para mostrar el usuario asignado.
    Successful change notification

Cambiar el nombre de un incidente

Puede cambiar el nombre de un incidente desde el panel Descripción general en las vistas Lista de incidentes y Detalles de incidente. Por ejemplo, tal vez desee cambiar el nombre de un incidente para proporcionar una aclaración sobre el problema, especialmente si varios incidentes tienen el mismo nombre.

  1. Vaya a RESPONDER > Incidentes.
  2. Para abrir el panel Descripción general, realice una de las siguientes acciones:
    • En la vista Lista de incidentes, haga clic en un incidente cuyo nombre desee cambiar.
      Se abre el panel Descripción general.
    • En la vista Detalles de incidente, vaya al panel DESCRIPCIÓN GENERAL.
      En el encabezado sobre el panel Descripción general, puede ver el ID y el nombre del incidente.
      Overview Panel showing header
  3. Haga clic en el nombre del incidente en el encabezado para abrir un editor de texto.
    Incident Details View Overview panel showing an editable name field in the header
  4. Escriba un nuevo nombre para el incidente en el editor de texto y haga clic en la marca de verificación para confirmar el cambio.
    Incident Details View Overview panel showing text editor
    Por ejemplo, puede cambiar “High Risk Alerts: ESA for 90.0” a “Alerts for mail.emc.com” a modo de aclaración.
    Puede ver una notificación de cambio correcto.
    Successful change notification
    El campo nombre del incidente muestra el nuevo nombre.
    Incident Details View Overview panel showing new incident name

Ver todas las tareas de incidentes

Cuando se requiere trabajo adicional para un incidente, puede crear tareas para este y rastrear el progreso de esas tareas. Esto es útil, por ejemplo, cuando el trabajo que se realiza es externo a las operaciones de seguridad o se hace una solicitud de creación de una nueva imagen de una computadora. En la vista Lista de tareas, puede administrar y rastrear las tareas hasta su cierre.

  1. Vaya a RESPONDER > Tareas.
    La vista Lista de tareas muestra una lista de todas las tareas de incidentes.
    Tasks View
  2. Desplácese por la Lista de tareas, la que muestra información básica acerca de cada tarea, como se describe en la siguiente tabla.
                                               
Columna

Descripción

CREADOMuestra la fecha en que se creó la tarea.
PRIORIDADMuestra la prioridad asignada a la tarea. La prioridad puede ser cualquiera de las siguientes: Crítica, Alta, Media o Baja. La prioridad también está codificada en colores. El rojo indica un riesgo de prioridad Crítica, el naranja, Alta, el amarillo, Media y el verde, Baja, como se muestra en la siguiente figura:
Priorities showing color coding
IDMuestra el ID de la tarea.
NAMEMuestra el nombre de la tarea.
USUARIO ASIGNADOMuestra el nombre del usuario asignado a la tarea.
ESTADOMuestra el estado de la tarea: Nuevo, Asignado, En Curso, Corregido, Riesgo aceptado y No aplicable.
ÚLTIMA ACTUALIZACIÓNMuestra la fecha y hora de la última actualización de la tarea.
CREADO PORMuestra el usuario que creó la tarea.
ID del incidenteMuestra el ID del incidente para el cual se creó la tarea. Haga clic en el ID para mostrar los detalles del incidente.

En la parte inferior de la lista, puede ver la cantidad de tareas que se muestran en la página actual, la cantidad total de tareas y la cantidad de tareas seleccionadas. Por ejemplo: Mostrando 6 de 6 elementos | 2 seleccionado(s).

Filtrar la Lista de tareas

La cantidad de tareas en la Lista de tareas puede ser muy alta, lo que dificulta la localización de determinadas tareas. El filtro le permite especificar las tareas que desea ver, como las tareas que se crearon en los últimos 7 días. También puede buscar una tarea específica.

  1. Vaya a RESPONDER > Tareas.
    El panel Filtros aparece a la izquierda de la Lista de tareas. Si no ve el panel Filtros, en la barra de herramientas de la vista Lista de tareas, haga clic en Filter icon para abrirlo.
    Tasks List Filters panel
  2. En el panel Filtros, seleccione una o más opciones para filtrar la lista de incidentes:
    • RANGO DE TIEMPO: Puede seleccionar un período específico en la lista desplegable Rango de tiempo. El rango de tiempo se basa en la fecha de creación de las tareas. Por ejemplo, si selecciona Última hora, puede ver las tareas que se crearon en los últimos 60 minutos.
    • RANGO DE FECHAS PERSONALIZADO: Puede especificar un rango de fechas determinado en lugar de seleccionar una opción de Rango de tiempo. Para ello, haga clic en el círculo blanco frente a RANGO DE FECHAS PERSONALIZADO para ver los campos Fecha de inicio y Fecha de finalización. Seleccione las fechas y las horas en el calendario.
      Custom Date Range option in the filter
    • ID DE TAREA: Escriba el ID de tarea que desea buscar, por ejemplo, REM-123.
    • PRIORIDAD: Seleccione las prioridades que desea ver.
    • ESTADO: Seleccione uno o más estados de incidentes. Por ejemplo, seleccione Corregido para ver las tareas de corrección completas.
    • CREADO POR: Seleccione el usuario que creó las tareas que desea ver. Por ejemplo, si solo desea ver las tareas que creó Edwardo, seleccione Edwardo en la lista desplegable CREADO POR. Si desea ver las tareas independientemente de la persona que las creó, no realice una selección en CREADO POR.

    La Lista de tareas muestra las tareas que cumplen con los criterios de selección. Puede ver la cantidad de elementos de la lista filtrada en la parte inferior de la lista de tareas.
    Por ejemplo: Mostrando 6 de 6 elementos

  3. Si desea cerrar el panel Filtros, haga clic en X. Los filtros permanecen en su lugar hasta que los quita.

Quitar los filtros de la Lista de tareas

NetWitness Platform recuerda las selecciones de filtros en la vista Lista de tareas. Puede quitar las selecciones de filtros cuando ya no las necesite. Por ejemplo, si no ve la cantidad de tareas que espera o que desea ver, o desea ver todas las tareas en la lista de tareas, puede restablecer los filtros.

  1. Vaya a RESPONDER > Tareas.
    El panel Filtros aparece a la izquierda de la Lista de tareas. Si no ve el panel Filtros, en la barra de herramientas de la vista Lista de tareas, haga clic en Filter icon para abrirlo.
  2. En la parte inferior del panel Filtros, haga clic en Restablecer filtros.

Crear una tarea

Después de investigar un incidente y obtener más información sobre este, puede crear una tarea, asignarla a un usuario y rastrearla hasta su cierre. Las tareas se crean en la vista Detalles de incidente.

  1. Vaya a RESPONDER > Incidentes.
    La vista Lista de incidentes muestra una lista de todos los incidentes.

    Incidents List with links in ID and NAME fields selected
  2. Busque el incidente que necesita una tarea y haga clic en el vínculo del campo ID o Nombre.
    Se abre la vista Detalles de incidente.
    Incident Details view showing icon for Journal, Tasks, and Related in red
  3. En la barra de herramientas de la parte superior derecha de la vista Detalles de incidente, seleccione Journal icon.
    Se abre el panel Registro.
    Incident Details view with Journal open showing Tasks tab in red
  4. Haga clic en la pestaña TAREAS.
    Tasks panel with no tasks
  5. En el panel Tareas, haga clic en Agregar tarea nueva.
    Puede ver los campos de la tarea nueva.
    Tasks panel new task fields
    Si el incidente se encuentra en un estado cerrado (Cerrado o Cerrado: falso positivo), el botón Agregar tarea nueva se deshabilita.
  6. Proporcione la siguiente información:
    • Nombre: Nombre de la tarea. Por ejemplo: Re-image the machine.
    • Descripción (opcional): Ingrese información que describa la tarea. Tal vez desee incluir números de referencia correspondientes.
    • Usuario asignado (opcional): Escriba el nombre del usuario a quien se asignará la tarea.
    • Prioridad: Haga clic en el botón Prioridad y seleccione una prioridad para las tareas en la lista desplegable: Baja, Media, Alta o Crítica.
  7. Haga clic en Guardar.
    Puede ver una confirmación que indica que el cambio se realizó correctamente. El estado del incidente cambia a Tarea solicitada. La tarea aparece en el panel Tareas para este incidente.
    Incident Details view showing new task in the Tasks panel with a status of Task Requested
    En la vista Lista de incidentes, el estado del incidente también cambia a Tarea solicitada.
    Incidents List showing new task
    La tarea también aparece en la Lista de tareas (RESPONDER > Tareas), la que muestra una lista de todas las tareas de incidentes.

Nota: Si no ve el cambio de estado, puede ser necesario actualizar el navegador de Internet.

Buscar una tarea

Si conoce el ID de tarea, puede buscar rápidamente una tarea mediante el filtro. Por ejemplo, tal vez desee buscar una tarea específica entre miles de tareas.

  1. Vaya a RESPONDER > Tareas.
    El panel Filtros aparece a la izquierda de la Lista de tareas. Si no ve el panel Filtros, en la barra de herramientas de la vista Lista de tareas, haga clic en Filter icon para abrirlo.
    Tasks List Filters panel showing example search for a task in the TASK ID field
  2. En el campo ID de tarea, escriba el ID de tarea que desea buscar; por ejemplo, REM-1234.

    La tarea especificada aparece en la lista de tareas. Si no ve ningún resultado, intente restablecer los filtros.

Modificar una tarea

Puede modificar una tarea desde dentro de un incidente y en la Lista de tareas. Por ejemplo, tal vez desee mostrar el estado de la tarea como En curso y agregar información adicional a la tarea. Si la tarea está en estado Cerrado (No aplicable, Riesgo aceptado o Corregido), no puede modificar la Prioridad ni el Usuario asignado.

Para modificar una tarea desde dentro de un incidente:

  1. Vaya a RESPONDER > Incidentes.
    La vista Lista de incidentes muestra una lista de todos los incidentes.

  2. Busque el incidente para el cual se actualizará una tarea y haga clic en el vínculo del campo ID o Nombre.
    Se abre la vista Detalles de incidente.

  3. En la barra de herramientas de la parte superior derecha de la vista, seleccione Journal icon.
    Se abre el panel Registro.
  4. Haga clic en la pestaña TAREAS.
  5. En el panel Tareas, un ícono de lápiz indica un campo de texto que puede modificar. Un botón indica que hay una lista desplegable para realizar una selección.
    Task panel
  6. Puede modificar cualquiera de los siguientes campos:
    • NOMBRE: Haga clic en el nombre de la tarea actual para abrir un editor de texto.
      Task Name edit text box
      Haga clic en la marca de verificación para confirmar el cambio. Por ejemplo, puede cambiar “Re-image the machine” a “Re-image the machine ASAP”.
    • USUARIO ASIGNADO: Haga clic en (Sin asignar) o en el nombre del usuario asignado anterior para abrir un editor de texto. Escriba el nombre del usuario a quien se asignará la tarea.
      Haga clic en la marca de verificación para confirmar el cambio.
    • PRIORIDAD: Haga clic en el botón Prioridad y seleccione una prioridad para la tarea en la lista desplegable: Baja, Media, Alta o Crítica.
    • ESTADO: Haga clic en el botón Estado y seleccione un estado para la tarea en la lista desplegable: Nuevo, Asignado, En Curso, Corregido, Riesgo aceptado y No aplicable. Por ejemplo, puede cambiar el estado a En curso.
      Status field drop-down list with In Progress selected
    • DESCRIPCIÓN: Haga clic en el texto debajo de la descripción para abrir un editor de texto.
      Task Description field text editor
      Modifique el texto y haga clic en la marca de verificación para confirmar el cambio.

Por cada cambio que realiza, puede ver una confirmación que indica que el cambio se realizó correctamente.

Para modificar una tarea en la Lista de tareas:

  1. Vaya a RESPONDER > Tareas.
    La vista Lista de tareas muestra una lista de todas las tareas de incidentes.
  2. En la Lista de tareas, haga clic en la tarea que desea actualizar.
    El panel Descripción general de tareas aparece a la derecha de la lista de tareas.
    Tasks List view showing the Overview panel
    En el panel Descripción general de la tarea, un ícono de lápiz indica un campo de texto que puede modificar. Un botón indica que hay una lista desplegable para realizar una selección.
    Task Overview panel
  3. Puede modificar cualquiera de los siguientes campos:
    • <Nombre de la tarea>: En la parte superior del panel Descripción general de la tarea, bajo el ID de tarea, haga clic en el nombre actual de la tarea para abrir un editor de texto.
      Task Name edit text box
      Haga clic en la marca de verificación para confirmar el cambio. Por ejemplo, puede cambiar Aislar host a Aislar máquina host.
    • Prioridad: Haga clic en el botón Prioridad y seleccione una prioridad para la tarea en la lista desplegable: Baja, Media, Alta o Crítica.
    • Estado: Haga clic en el botón Estado y seleccione un estado para la tarea en la lista desplegable: Nuevo, Asignado, En Curso, Corregido, Riesgo aceptado y No aplicable.
    • Usuario asignado: Haga clic en (Sin asignar) o en el nombre del usuario asignado anterior para abrir un editor de texto. Escriba el nombre del usuario a quien se asignará la tarea.
      Assignee Edit text box
      Haga clic en la marca de verificación para confirmar el cambio.
    • Descripción: Haga clic en el texto debajo de la descripción para abrir un editor de texto.
      Task Description field text editor
      Modifique el texto y haga clic en la marca de verificación para confirmar el cambio.

Por cada cambio que realiza, puede ver una confirmación que indica que el cambio se realizó correctamente.

Eliminar una tarea

Puede eliminar una tarea, si, por ejemplo, la creó por error o descubre que no se necesita. Puede eliminar una tarea desde dentro de un incidente y también en la vista Lista de tareas. En la vista Lista de tareas, puede eliminar varias tareas al mismo tiempo.

Para eliminar una tarea desde dentro de un incidente:

  1. Vaya a RESPONDER > Incidentes.
    La vista Lista de incidentes muestra una lista de todos los incidentes.

  2. Busque el incidente para el cual se actualizará una tarea y haga clic en el vínculo del campo ID o Nombre.
    Se abre la vista Detalles de incidente.

  3. En la barra de herramientas de la parte superior derecha de la vista, seleccione Journal icon.
    Se abre el panel Registro.
  4. Haga clic en la pestaña TAREAS.
  5. En el panel Tareas, puede ver las tareas creadas para el incidente.
    Tasks panel showing two tasks
  6. Haga clic en Delete icon (trash can) a la derecha de la tarea que desea eliminar.
    Task showing location of delete icon
  7. Confirme su intención de eliminar la tarea y haga clic en Aceptar.
    Confirm Delete dialog
    La tarea se elimina de NetWitness Platform. La eliminación de tareas de NetWitness Platform no las elimina de otros sistemas.

Para eliminar tareas desde la Lista de tareas:

  1. Vaya a  RESPONDER > Tareas.
    La vista Lista de tareas muestra una lista de todas las tareas de incidentes.
  2. En la Lista de tareas, seleccione las tareas que desea eliminar y haga clic en Eliminar.
    Tasks list with tasks selected for delete
  3. Confirme su intención de eliminar las tareas y haga clic en Aceptar.
    Confirm Delete dialog
    Las tareas se eliminan de NetWitness Platform. La eliminación de tareas de NetWitness Platform no las elimina de otros sistemas.

Cerrar un incidente

Una vez que encuentra una solución después de investigar un incidente y lo corrige, el incidente se debe cerrar.

  1. Vaya a RESPONDER > Incidentes.
  2. En la vista Lista de incidentes, seleccione el incidente que desea cerrar y haga clic en Cambiar estado.
  3. Seleccione Cerrado en la lista desplegable.
    Puede ver una notificación de cambio correcto. Ahora, el incidente se cierra. No puede cambiar la prioridad ni el usuario asignado de un incidente cerrado.

Nota: También puede cerrar un incidente en el panel Descripción general. Puede cerrar varios incidentes al mismo tiempo en la vista Lista de incidentes. En Cambiar el estado de un incidente se proporcionan detalles adicionales.

You are here
Table of Contents > Elevar o corregir el incidente

Attachments

    Outcomes