Un incidente es un conjunto de alertas agrupado de manera lógica que el motor de agregación de incidentes crea automáticamente y que se agrupa según un criterio específico. Un incidente, disponible en la vista Respond, permite a un analista realizar triage, investigar y corregir estos grupos de alertas. Los incidentes se pueden transferir entre usuarios, se les pueden agregar notas y se pueden explorar mediante un gráfico de nodos. Los incidentes permiten que los usuarios se aseguren de comprender el alcance completo de un ataque o un evento en su sistema RSA NetWitness® Platform y, a continuación, que tomen medidas.
La vista Respond está diseñada para ayudarlo a identificar ágilmente los problemas existentes en la red y a trabajar con otros analistas para resolverlos con rapidez.
La vista Respond presenta a los encargados de respuesta ante incidentes una línea de espera de incidentes en orden de gravedad. Cuando selecciona un incidente en la línea de espera, usted recibe los datos de soporte pertinentes que lo ayudarán a investigarlo. Esto le permite determinar el alcance del incidente y elevarlo o corregirlo según corresponda.
En la vista Respond, puede incidentes, alertas y tareas:
- Incidentes: Permite responder ante incidentes y administrarlos de principio a fin.
- Alertas: Permite administrar las alertas de todos los orígenes que recibe NetWitness Platform y crear incidentes a partir de alertas seleccionadas.
- Tareas: Permite ver y administrar la lista completa de tareas creadas para todos los incidentes.
Si navega a RESPOND > Incidentes, puede acceder a la vista Lista de incidentes y, desde ahí, acceder a la vista Detalles de incidente correspondiente a un incidente seleccionado. Estas son las vistas principales que utiliza para responder ante incidentes. En la siguiente figura se muestra la lista de incidentes ordenados por prioridad en la vista Lista de incidentes.
En la siguiente figura se muestra un ejemplo de los detalles disponibles en la vista Detalles de incidente.
La vista Respond está diseñada para facilitar la evaluación de los incidentes, contextualizar esos datos, colaborar con otros analistas y pasar a una investigación detallada según sea necesario. En la siguiente figura se muestra un ejemplo de un análisis de eventos en la vista Detalles de incidente.
Flujo de trabajo de respuesta ante incidentes
En este flujo de trabajo se muestra el proceso general que usan los encargados de respuesta ante incidentes para responder ante incidentes en NetWitness Platform.
En primer lugar, debe revisar la lista de incidentes ordenados por prioridad, la que muestra información básica acerca de cada incidente, y determinar cuáles de ellos requieren una acción. Puede hacer clic en un vínculo en un incidente para obtener un panorama más claro de este y detalles de soporte en la vista Detalles de incidente. Desde ahí, puede investigarlo más a fondo. A continuación, puede determinar cómo responder ante el incidente, ya sea con su escalación o su corrección.
Estos son los pasos básicos para responder ante un incidente:
- Revisar la lista de incidentes ordenados por prioridad
- Determinar los incidentes que requieren acción
- Investigar el incidente
- Elevar o corregir el incidente
Revisar la lista de incidentes ordenados por prioridad
En la vista Respond, puede ver la lista de incidentes ordenados por prioridad. La Lista de incidentes muestra los incidentes activos y cerrados.
Ver la Lista de incidentes
Después de iniciar sesión en NetWitness Platform, para la mayoría de los encargados de respuesta ante incidentes se abre la vista Respond, la que está configurada como la vista predeterminada. Si su vista inicial es otra, puede navegar a la vista Respond.
- Inicie sesión en NetWitness Platform.
La vista Respond muestra la lista de incidentes, a la cual también se denomina la vista Lista de incidentes. - Si no ve la lista de incidentes en la vista Responder, vaya a RESPONDER > Incidentes.
- Desplácese por la lista de incidentes, la que muestra información básica acerca de cada incidente, como se describe en la siguiente tabla.
En la parte inferior de la lista, puede ver la cantidad de incidentes que se muestran en la página actual, la cantidad total de incidentes y la cantidad de incidentes seleccionados. Por ejemplo: Mostrando 1,000 de 1,115 elementos | 3 seleccionado(s). La cantidad máxima de incidentes que se pueden ver al mismo tiempo es 1,000.
Filtrar la Lista de incidentes
La cantidad de incidentes en la vista Lista de incidentes puede ser muy alta, lo que dificulta la localización de determinados incidentes. El Filtro permite especificar los incidentes que desea ver. También puede elegir el intervalo de tiempo en que ocurrieron esos incidentes. Por ejemplo, tal vez desee ver todos los incidentes críticos nuevos que se crearon en la última hora.
- Verifique que el panel Filtros aparezca a la izquierda de la lista de incidentes. Si no ve el panel Filtros, en la barra de herramientas de la vista Lista de incidentes, haga clic en
para abrirlo.
- En el panel Filtros, seleccione una o más opciones para filtrar la lista de incidentes:
- RANGO DE TIEMPO: Puede seleccionar un período específico en la lista desplegable Rango de tiempo. El rango de tiempo se basa en la fecha de creación de los incidentes. Por ejemplo, si selecciona Última hora, puede ver los incidentes que se crearon en los últimos 60 minutos.
- RANGO DE FECHAS PERSONALIZADO: Puede especificar un rango de fechas determinado en lugar de seleccionar una opción de Rango de tiempo. Para ello, haga clic en el círculo blanco frente a Rango de fechas personalizado para ver los campos Fecha de inicio y Fecha de finalización. Seleccione las fechas y las horas en el calendario.
- ID DEL INCIDENTE: Escriba el ID de un incidente que desee localizar, por ejemplo, INC-1050.
- PRIORIDAD: Seleccione las prioridades que desea ver.
- ESTADO: Seleccione uno o más estados de incidentes. Por ejemplo, seleccione Cerrado: falso positivo para ver solo los incidentes que son falsos positivos, los cuales se identificaron inicialmente como sospechosos, pero después se determinó que eran seguros.
- USUARIO ASIGNADO: Seleccione el usuario o los usuarios asignados de los incidentes que desea ver. Por ejemplo, si solo desea ver los incidentes asignados a Cale o Stanley, seleccione Cale y Stanley en la lista desplegable Usuario asignado. Si desea ver los incidentes sin tener en cuenta el usuario asignado, no realice ninguna selección en Usuario asignado.
(Disponible en la versión 11.1 y superior) Para ver solamente los incidentes sin asignar, seleccione Mostrar solo los incidentes sin asignar. - CATEGORÍAS: Seleccione una o más categorías en la lista desplegable. Por ejemplo, si solo desea ver incidentes clasificados con las categorías de abuso Backdoor o Privilegio, seleccione abuso de Backdoor y Privilegio.
- ENVIADO A ARCHER: (En la versión 11.2 y superior, si RSA Archer está configurado como un origen de datos en Context Hub, puede enviar incidentes a Archer Cyber Incident & Breach Response y esta opción estará disponible en NetWitness Respond). Para ver los incidentes que se enviaron a Archer, seleccione Sí. En el caso de los incidentes que no se enviaron a Archer, seleccione No.
La Lista de incidentes muestra los incidentes que cumplen con los criterios de selección. Puede ver la cantidad de incidentes de la lista filtrada en la parte inferior de la lista de incidentes.
- Haga clic en
para cerrar el panel Filtros y volver a la vista Lista de incidentes, que ahora muestra los incidentes filtrados.
Quitar los filtros de la vista Lista de incidentes
NetWitness Platform recuerda las selecciones de filtros en la vista Lista de incidentes. Puede quitar las selecciones de filtros cuando ya no las necesite. Por ejemplo, si no ve la cantidad de incidentes que espera o que desea ver, o desea ver todos los incidentes en la lista de incidentes, puede restablecer los filtros.
- En la barra de herramientas de la vista Lista de incidentes, haga clic en
.
El panel Filtros aparece a la izquierda de la lista de incidentes. - En la parte inferior del panel Filtros, haga clic en Restablecer filtros.
Ver mis incidentes
Puede ver sus incidentes si los filtra por su nombre de usuario.
- Si no puede ver el panel Filtro, en la barra de herramientas de la vista Lista de incidentes, haga clic en
.
- En el panel Filtro, bajo USUARIO ASIGNADO, seleccione su nombre de usuario en la lista desplegable.
La Lista de incidentes muestra los incidentes que se le asignaron.
Buscar un incidente
Si conoce el ID del incidente, puede buscar rápidamente un incidente mediante el filtro. Por ejemplo, tal vez desee buscar un incidente específico entre miles de incidentes.
- Vaya a RESPONDER > Incidentes.
El panel Filtros aparece a la izquierda de la lista de incidentes. Si no ve el panel Filtros, en la barra de herramientas de la vista Lista de incidentes, haga clic enpara abrirlo.
- En el campo ID DEL INCIDENTE, escriba el ID de un incidente que desee localizar; por ejemplo, INC-36.
El incidente especificado aparece en la lista de incidentes. Si no ve ningún resultado, intente restablecer los filtros.
Ordenar la Lista de incidentes
El orden predeterminado de la Lista de incidentes es por Fecha de creación en orden descendente (los más recientes en la parte superior).
Puede cambiar el orden de la lista de incidentes haciendo clic en un encabezado de columna de la lista.
Por ejemplo, para clasificar los incidentes por prioridad, puede ordenar la vista haciendo clic en el encabezado de la columna Prioridad. En la siguiente figura se muestra la lista de incidentes clasificada por Prioridad en orden ascendente (la prioridad más baja en la parte superior).
Para clasificar por Prioridad en orden descendente (la prioridad más alta en la parte superior), vuelva a hacer clic en el encabezado de la columna Prioridad. Los incidentes con prioridad más alta se encuentran en la parte superior, como se muestra en la siguiente figura.
Ver los incidentes sin asignar
Nota: Esta opción está disponible en la versión 11.1 y superior.
Puede ver los incidentes sin asignar mediante el filtro.
- Si no puede ver el panel Filtro, en la barra de herramientas de la vista Lista de incidentes, haga clic en
.
- En el panel Filtros, bajo USUARIO ASIGNADO, seleccione Mostrar solo los incidentes sin asignar.
La lista de incidentes se filtra para mostrar los incidentes sin asignar.
Asignar los incidentes a uno mismo
- En la vista Lista de incidentes, seleccione uno o más incidentes que desee asignar a usted mismo.
- Haga clic en Cambiar usuario asignado y seleccione un nombre de usuario en la lista desplegable.
- Si seleccionó más de un incidente, en el cuadro de diálogo Confirmar actualización, haga clic en Aceptar.
Puede ver una notificación de cambio correcto.
Cancelar asignación de un incidente
- En la vista Lista de incidentes, seleccione uno o más incidentes cuya asignación desee cancelar.
- Haga clic en Cambiar usuario asignado y seleccione (Sin asignar) en la lista desplegable.
- Si seleccionó más de un incidente, en el cuadro de diálogo Confirmar actualización, haga clic en Aceptar.
- Verifique que el Estado aún esté correcto y realice cambios según sea necesario. Para cambiar el estado, seleccione uno o más incidentes, haga clic en Cambiar estado y seleccione un estado nuevo.
Por ejemplo, si asignó un incidente a usted mismo por error, puede cancelar la asignación del incidente y, a continuación, cambiar el Estado de Asignado a Nuevo.