Respond: Vista Lista de incidentes

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

La vista Lista de incidentes (RESPOND > Incidentes) muestra a los encargados de respuesta ante incidentes y a otros analistas una lista de resultados de incidentes creados a partir de diversos orígenes, la cual está ordenada según la prioridad. Por ejemplo, la lista de resultados podría mostrar incidentes creados a partir de reglas de ESA, NetWitness Endpoint o módulos de ESA Analytics para la Detección de amenazas automatizadas, como C2 para paquetes o registros. La vista Lista de incidentes ofrece un acceso sencillo a la información que necesita para realizar rápidamente tareas de triage y administración de los incidentes hasta su finalización.

Flujo de trabajo

En este flujo de trabajo se muestra el proceso general que usan los encargados de respuesta ante incidentes para responder ante incidentes en NetWitness Suite.

Incidents List view workflow diagram

En la vista Lista de incidentes, puede revisar la lista de incidentes ordenados por prioridad, la que muestra información básica acerca de cada incidente. También puede cambiar el usuario asignado, la prioridad y el estado de los incidentes. Debido a la gran cantidad de resultados que puede haber en la lista de incidentes, tiene la opción de filtrar esos incidentes por rango de tiempo, ID de incidente, rango de fechas personalizado, prioridad, estado, usuario asignado y categorías.

¿Qué desea hacer?

                                                          
Función Deseo…Mostrarme cómo

Encargados de respuesta ante incidentes, analistas y administrador del SOC

Ver incidentes ordenados por prioridad*

Revisar la lista de incidentes ordenados por prioridad

Encargados de respuesta ante incidentes, analistas y administrador del SOC

Filtrar y ordenar la lista de incidentes*Filtrar la Lista de incidentes
Encargados de respuesta ante incidentes, analistasVer mis incidentes*Ver mis incidentes
Encargados de respuesta ante incidentes, analistasAsignar los incidentes a uno mismo*Asignar los incidentes a uno mismo

Encargados de respuesta ante incidentes, analistas y administrador del SOC

Buscar incidentes*Buscar un incidente

Encargados de respuesta ante incidentes, analistas y administrador del SOC

Actualizar un incidente.*

Elevar o corregir el incidente

Encargados de respuesta ante incidentes, analistasVer detalles de incidentes.

Ermitteln, welche Incidents eine Aktion erfordern

Encargados de respuesta ante incidentes, analistasInvestigar un incidente más a fondo.Investigar el incidente
Encargados de respuesta ante incidentes, analistas y administrador del SOCCrear una tarea.Elevar o corregir el incidente

*Puede realizar estas tareas aquí (es decir, en la vista Lista de incidentes).

Temas relacionados

Vista rápida

En el siguiente ejemplo se muestra la vista Lista de incidentes inicial con el panel Filtro. Puede abrir el panel Descripción general para un incidente si hace clic en un incidente en la Lista de incidentes.

Incidents List view diagram showing Filter Panel and access to Overview Panel

                 
1Panel Filtros
2Lista de incidentes
3Panel Descripción general

Puede ir directamente a la vista Detalles de incidente desde la Lista de incidentes si hace clic en el ID o el NOMBRE con hipervínculo. El panel Descripción general también está disponible en la vista Detalles de incidente. Para obtener más información acerca de la vista Detalles de incidente, consulte Vista Detalles de incidente.

Vista Lista de incidentes

Para acceder a la vista Lista de incidentes, vaya a RESPONDER > Incidentes. La vista Lista de incidentes muestra una lista de todos los incidentes. La vista Lista de incidentes consta de un panel Filtros, una Lista de incidentes y un panel Descripción general de incidentes.

En la siguiente figura se muestra el panel Filtro a la izquierda y la Lista de incidentes a la derecha.

Incident Lists View

En la siguiente figura se muestra la Lista de incidentes a la izquierda y el panel Descripción general de incidentes a la derecha.

Incidents List view showing Overview panel

Lista de incidentes

La Lista de incidentes muestra una lista de todos los incidentes ordenados por prioridad. Puede filtrar esta lista para mostrar solo los incidentes de interés.

                                            
ColumnaDescripción
CREADOMuestra la fecha de creación del incidente.
PRIORIDAD Muestra la prioridad del incidente. La prioridad puede ser Crítica, Alta, Media o Baja.

La prioridad está codificada en colores. El rojo indica un incidente con prioridad Crítica, el naranja, uno con riesgo de prioridad Alta, el amarillo, Media y el verde, Baja. Por ejemplo:

Shows Priority Levels

PUNTAJE DE RIESGO

Muestra el puntaje de riesgo del incidente. El puntaje de riesgo indica el riesgo del incidente que se calcula por medio de un algoritmo y que está entre 0 y 100. 100 es el puntaje de riesgo más alto.

IDMuestra el número de incidente creado automáticamente. A cada incidente se le asigna un número único que puede utilizar para rastrearlo.
NAMEMuestra el nombre del incidente. El nombre del incidente proviene de la regla que se usa para activar el incidente. Haga clic en el vínculo para ir a la vista Detalles de incidente del incidente seleccionado.
ESTADO

Muestra el estado del incidente. El estado puede ser: Nuevo, Asignado, En curso, Tarea solicitada, Tarea completa, Cerrado y Cerrado: falso positivo.

USUARIO ASIGNADOMuestra el miembro del equipo que está asignado al incidente.
ALERTASMuestra la cantidad de alertas asociadas con el incidente. Un incidente puede incluir muchas alertas. Una gran cantidad de alertas puede significar que se experimenta un ataque a gran escala.

En la parte inferior de la lista, puede ver la cantidad de incidentes que se muestran en la página actual, la cantidad total de incidentes y la cantidad de incidentes seleccionados. Por ejemplo: Mostrando 1,000 de 2,517 elementos | 2 seleccionado(s). La cantidad máxima de incidentes que se pueden ver al mismo tiempo es 1,000.

Panel Filtros

En la siguiente figura se muestran los filtros disponibles en el panel Filtros.

Incidents List Filter panel

El panel Filtros, a la izquierda de la vista Lista de incidentes, tiene opciones que puede usar para filtrar la lista de incidentes. Cuando sale del panel Filtros, la vista Lista de incidentes conserva sus selecciones de filtros.

                                            
OpciónDescripción
RANGO DE TIEMPO Puede seleccionar un período específico en la lista desplegable Rango de tiempo. El rango de tiempo se basa en la fecha de recepción de las alertas. Por ejemplo, si selecciona Última hora, verá las alertas que se recibieron en los últimos 60 minutos.
RANGO DE FECHAS PERSONALIZADO Puede especificar un rango de fechas determinado en lugar de seleccionar una opción de Rango de tiempo. Para ello, haga clic en el círculo blanco frente a Rango de fechas personalizado para ver los campos Fecha de inicio y Fecha de finalización. Seleccione las fechas y las horas en el calendario.
Custom Date Range
ID del incidentePuede escribir el ID de un incidente que desea localizar, por ejemplo, INC-1050.

PRIORIDAD

Seleccione las prioridades que desea ver.

ESTADO

Seleccione uno o más estados de incidentes. Por ejemplo, seleccione Cerrado: falso positivo para ver solo los incidentes que son falsos positivos, los cuales se identificaron inicialmente como sospechosos, pero después se determinó que eran seguros.

USUARIO ASIGNADO

Seleccione el usuario o los usuarios asignados de los incidentes que desea ver. Por ejemplo, si solo desea ver los incidentes asignados a Cale o Stanley, seleccione Cale y Stanley en la lista desplegable Usuario asignado. Si desea ver los incidentes sin tener en cuenta el usuario asignado, no realice ninguna selección en Usuario asignado.
(Disponible en la versión 11.1 y superior) Para ver solamente los incidentes sin asignar, seleccione Mostrar solo los incidentes sin asignar.

CATEGORÍASSeleccione una o más categorías en la lista desplegable. Por ejemplo, si solo desea ver incidentes clasificados con las categorías de abuso Backdoor o Privilegio, seleccione abuso de Backdoor y Privilegio.

Restablecer filtros

Quita las selecciones de filtros.

Panel Descripción general

El panel Descripción general muestra información de resumen básica acerca de un incidente seleccionado. En la Lista de incidentes, puede hacer clic en un incidente para acceder al panel Descripción general. El panel Descripción general de la vista Detalles de incidente contiene la misma información.

Incident Overview panel

En la siguiente tabla se indican los campos que se muestran en el panel Descripción general de incidentes.

                                                       

Campo

Descripción

<ID del incidente> Muestra el ID del incidente.
<Nombre del incidente>Muestra el nombre del incidente. Puede hacer clic en el nombre del incidente para cambiarlo. Por ejemplo, las reglas pueden crear muchos incidentes con el mismo nombre. Puede cambiar los nombres de los incidentes de modo que sean más específicos.

Creado

Muestra la fecha y la hora de creación del incidente.

Regla/PorMuestra el nombre de la regla o de la persona que creó el incidente.
Puntaje de riesgoIndica el riesgo del incidente que se calcula por medio de un algoritmo y que está entre 0 y 100. 100 es el puntaje de riesgo más alto.
PrioridadMuestra la prioridad del incidente. La prioridad puede ser Crítica, Alta, Media o Baja. Para cambiar la prioridad, puede hacer clic en el botón Prioridad y seleccionar una prioridad nueva en la lista desplegable.
EstadoMuestra el estado del incidente. El estado puede ser Nuevo, Asignado, En curso, Tarea solicitada, Tarea completa, Cerrado y Cerrado: falso positivo. Para cambiar el estado, puede hacer clic en el botón Estado y seleccionar un estado nuevo en la lista desplegable.
Usuario asignadoMuestra el miembro del equipo que está asignado al incidente. Para cambiar el usuario asignado, puede hacer clic en el botón Usuario asignado y seleccionar un usuario asignado nuevo en la lista desplegable.
OrígenesMuestra los orígenes de datos que se utilizan para localizar la actividad sospechosa.

Categorías

Muestra las categorías de los eventos del incidente.

CatalizadoresMuestra el conteo de indicadores que dieron lugar al incidente.

Acciones de la barra de herramientas

En esta tabla se enumeran las acciones de la barra de herramientas disponibles en la vista Lista de incidentes.

                                    
OpciónDescripción
Filter icon

Permite abrir el panel Filtros, de modo que pueda especificar las alertas que desearía ver en la Lista de alertas.

Close (X) icon

Cierra el panel.

Botón Cambiar prioridadPermite cambiar la prioridad de uno o más incidentes seleccionados en la Lista de incidentes.
Botón Cambiar estadoPermite cambiar el estado de uno o más incidentes seleccionados.
Botón Cambiar usuario asignadoPermite cambiar el usuario asignado de uno o más incidentes seleccionados.
Botón EliminarPermite eliminar los incidentes seleccionados si tiene los permisos adecuados, por ejemplo, un administrador o un encargado de la privacidad de datos.
You are here
Table of Contents > Información de referencia de NetWitness Respond > Vista Lista de incidentes

Attachments

    Outcomes