Respond: Respuesta ante incidentes

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

Un incidente es un conjunto de alertas agrupado de manera lógica que el motor de agregación de incidentes crea automáticamente y que se agrupa según un criterio específico. Un incidente, disponible en la vista Responder, permite a un analista realizar triage, investigar y corregir estos grupos de alertas. Los incidentes se pueden transferir entre usuarios, se les pueden agregar notas y se pueden explorar mediante un gráfico de nodos. Los incidentes permiten que los usuarios se aseguren de comprender el alcance completo de un ataque o un evento en su sistema NetWitness Suite y, a continuación, que tomen medidas.

La vista Respond está diseñada para ayudarlo a identificar ágilmente los problemas existentes en la red y a trabajar con otros analistas para resolverlos con rapidez.

La vista Respond presenta a los encargados de respuesta ante incidentes una línea de espera de incidentes en orden de gravedad. Cuando selecciona un incidente en la línea de espera, usted recibe los datos de soporte pertinentes que lo ayudarán a investigarlo. Esto le permite determinar el alcance del incidente y elevarlo o corregirlo según corresponda.

En la vista Respond, puede incidentes, alertas y tareas:

  • Incidentes: Permite responder ante incidentes y administrarlos de principio a fin.
  • Alertas: Permite administrar las alertas de todos los orígenes que recibe NetWitness Suite y crear incidentes a partir de alertas seleccionadas.
  • Tareas: Permite ver y administrar la lista completa de tareas creadas para todos los incidentes.

Si navega a RESPOND > Incidentes, puede acceder a la vista Lista de incidentes y, desde ahí, acceder a la vista Detalles de incidente correspondiente a un incidente seleccionado. Estas son las vistas principales que utiliza para responder ante incidentes. En la siguiente figura se muestra la lista de incidentes ordenados por prioridad en la vista Lista de incidentes.

Respond view - Incidents List view

En la siguiente figura se muestra un ejemplo de los detalles disponibles en la vista Detalles de incidente.

Incident Details View

La vista Respond está diseñada para facilitar la evaluación de los incidentes, contextualizar esos datos, colaborar con otros analistas y pasar a una investigación detallada según sea necesario.

Flujo de trabajo de respuesta ante incidentes

En este flujo de trabajo se muestra el proceso general que usan los encargados de respuesta ante incidentes para responder ante incidentes en NetWitness Suite.

High-level workflow for responding to incidents

En primer lugar, debe revisar la lista de incidentes ordenados por prioridad, la que muestra información básica acerca de cada incidente, y determinar cuáles de ellos requieren una acción. Puede hacer clic en un vínculo en un incidente para obtener un panorama más claro de este y detalles de soporte en la vista Detalles de incidente. Desde ahí, puede investigarlo más a fondo. A continuación, puede determinar cómo responder ante el incidente, ya sea con su escalación o su corrección.

Estos son los pasos básicos para responder ante un incidente:

  1. Revisar la lista de incidentes ordenados por prioridad
  2. Ermitteln, welche Incidents eine Aktion erfordern
  3. Investigar el incidente
  4. Elevar o corregir el incidente

 

Revisar la lista de incidentes ordenados por prioridad

En la vista Respond, puede ver la lista de incidentes ordenados por prioridad. La Lista de incidentes muestra los incidentes activos y cerrados.

Ver la Lista de incidentes

Después de iniciar sesión en NetWitness Suite, para la mayoría de los encargados de respuesta ante incidentes se abre la vista Respond, la que está configurada como la vista predeterminada. Si su vista inicial es otra, puede navegar a la vista Respond.

  1. Inicie sesión en NetWitness Suite.
    La vista Respond muestra la lista de incidentes, a la cual también se denomina la vista Lista de incidentes.
    Incident List View
  2. Si no ve la lista de incidentes en la vista Responder, vaya a RESPONDER > Incidentes.
  3. Desplácese por la lista de incidentes, la que muestra información básica acerca de cada incidente, como se describe en la siguiente tabla.
                                           
ColumnaDescripción
CREADOMuestra la fecha de creación del incidente.
PRIORIDADMuestra la prioridad del incidente. La prioridad puede ser Crítica, Alta, Media o Baja.

La prioridad está codificada en colores. El rojo indica un incidente con prioridad Crítica, el naranja, uno con riesgo de prioridad Alta, el amarillo, Media y el verde, Baja. Por ejemplo:

Shows Risk Levels

PUNTAJE DE RIESGO

Muestra el puntaje de riesgo del incidente. El puntaje de riesgo indica el riesgo del incidente que se calcula por medio de un algoritmo y que está entre 0 y 100. 100 es el puntaje de riesgo más alto.

IDMuestra el número de incidente creado automáticamente. A cada incidente se le asigna un número único que puede utilizar para rastrearlo.
NAMEMuestra el nombre del incidente. El nombre del incidente proviene de la regla que se usa para activar el incidente. Haga clic en el vínculo para ir a la vista Detalles de incidente del incidente seleccionado.
ESTADO

Muestra el estado del incidente. El estado puede ser: Nuevo, Asignado, En curso, Tarea solicitada, Tarea completa, Cerrado y Cerrado: falso positivo.

USUARIO ASIGNADOMuestra el miembro del equipo que está asignado al incidente.
ALERTASMuestra la cantidad de alertas asociadas con el incidente. Un incidente puede incluir muchas alertas. Una gran cantidad de alertas puede significar que se experimenta un ataque a gran escala.

En la parte inferior de la lista, puede ver la cantidad de incidentes que se muestran en la página actual, la cantidad total de incidentes y la cantidad de incidentes seleccionados. Por ejemplo: Mostrando 1,000 de 1,115 elementos | 3 seleccionado(s). La cantidad máxima de incidentes que se pueden ver al mismo tiempo es 1,000.

Filtrar la Lista de incidentes

La cantidad de incidentes en la vista Lista de incidentes puede ser muy alta, lo que dificulta la localización de determinados incidentes. El Filtro permite especificar los incidentes que desea ver. También puede elegir el intervalo de tiempo en que ocurrieron esos incidentes. Por ejemplo, tal vez desee ver todos los incidentes críticos nuevos que se crearon en la última hora.

  1. Verifique que el panel Filtros aparezca a la izquierda de la lista de incidentes. Si no ve el panel Filtros, en la barra de herramientas de la vista Lista de incidentes, haga clic en Filter icon para abrirlo.
    Filters panel
  2.  En el panel Filtros, seleccione una o más opciones para filtrar la lista de incidentes:
    • RANGO DE TIEMPO: Puede seleccionar un período específico en la lista desplegable Rango de tiempo. El rango de tiempo se basa en la fecha de creación de los incidentes. Por ejemplo, si selecciona Última hora, verá los incidentes que se crearon en los últimos 60 minutos.
    • RANGO DE FECHAS PERSONALIZADO: Puede especificar un rango de fechas determinado en lugar de seleccionar una opción de Rango de tiempo. Para ello, haga clic en el círculo blanco frente a Rango de fechas personalizado para ver los campos Fecha de inicio y Fecha de finalización. Seleccione las fechas y las horas en el calendario.
      Custom Date Range option in the filter
    • ID DEL INCIDENTE: Escriba el ID de un incidente que desee localizar, por ejemplo, INC-1050.
    • PRIORIDAD: Seleccione las prioridades que desea ver.
    • ESTADO: Seleccione uno o más estados de incidentes. Por ejemplo, seleccione Cerrado: falso positivo para ver solo los incidentes que son falsos positivos, los cuales se identificaron inicialmente como sospechosos, pero después se determinó que eran seguros.
    • USUARIO ASIGNADO: Seleccione el usuario o los usuarios asignados de los incidentes que desea ver. Por ejemplo, si solo desea ver los incidentes asignados a Cale o Stanley, seleccione Cale y Stanley en la lista desplegable Usuario asignado. Si desea ver los incidentes sin tener en cuenta el usuario asignado, no realice ninguna selección en Usuario asignado.
      (Disponible en la versión 11.1 y superior) Para ver solamente los incidentes sin asignar, seleccione Mostrar solo los incidentes sin asignar.
    • CATEGORÍAS: Seleccione una o más categorías en la lista desplegable. Por ejemplo, si solo desea ver incidentes clasificados con las categorías de abuso Backdoor o Privilegio, seleccione abuso de Backdoor y Privilegio.

    La Lista de incidentes muestra los incidentes que cumplen con los criterios de selección. Puede ver la cantidad de incidentes de la lista filtrada en la parte inferior de la lista de incidentes.
    Number of incidents shown in the Incident List footer

  3. Haga clic en Close (x) icon para cerrar el panel Filtros y volver a la vista Lista de incidentes, que ahora muestra los incidentes filtrados.

Quitar los filtros de la vista Lista de incidentes

NetWitness Suite recuerda las selecciones de filtros en la vista Lista de incidentes. Puede quitar las selecciones de filtros cuando ya no las necesite. Por ejemplo, si no ve la cantidad de incidentes que espera o que desea ver, o desea ver todos los incidentes en la lista de incidentes, puede restablecer los filtros.

  1. En la barra de herramientas de la vista Lista de incidentes, haga clic en Filter icon.
    El panel Filtros aparece a la izquierda de la lista de incidentes.
  2. En la parte inferior del panel Filtros, haga clic en Restablecer filtros.

Ver mis incidentes

Puede ver sus incidentes si los filtra por su nombre de usuario.

  1. Si no puede ver el panel Filtro, en la barra de herramientas de la vista Lista de incidentes, haga clic en Filter icon.
  2. En el panel Filtro, bajo USUARIO ASIGNADO, seleccione su nombre de usuario en la lista desplegable.
    La Lista de incidentes muestra los incidentes que se le asignaron.

Buscar un incidente

Si conoce el ID de incidente, puede buscar rápidamente un incidente mediante el filtro. Por ejemplo, tal vez desee buscar un incidente específico entre miles de incidentes.

  1. Vaya a RESPONDER > Incidentes.
    El panel Filtros aparece a la izquierda de la lista de incidentes. Si no ve el panel Filtros, en la barra de herramientas de la vista Lista de incidentes, haga clic en Filter icon para abrirlo.
    Part of Incidents List Filters panel showing example search for an incident in the INCIDENT ID field
  2. En el campo ID DEL INCIDENTE, escriba el ID de un incidente que desee localizar; por ejemplo, INC-43763.

    El incidente especificado aparece en la lista de incidentes. Si no ve ningún resultado, intente restablecer los filtros.
    Incidents List showing the result of an Incident ID filter

Ordenar la Lista de incidentes

El orden predeterminado de la Lista de incidentes es por Fecha de creación en orden descendente (los más recientes en la parte superior).

Incidents List showing default sort column "Created"

Para cambiar el orden de la Lista de incidentes, haga clic en una columna de la lista.

Por ejemplo, para clasificar los incidentes por prioridad, puede ordenar la vista por la columna Prioridad. Para esto, coloque el cursor sobre la columna Prioridad y haga clic en la flecha hacia abajo Down arrow icon. La Lista de incidentes se ordena por Prioridad en orden descendente (la prioridad más alta en la parte superior), como se muestra en la siguiente figura.

Incident List showing sort by Priority descending

Para ordenarla por Prioridad en orden ascendente (la prioridad más baja en la parte superior), haga clic en la flecha hacia arriba Up arrow icon, como se muestra en la siguiente figura.

Incident List showing sort by Priority ascending

Ver los incidentes sin asignar

Esta opción está disponible en la versión 11.1 y superior.

Puede ver los incidentes sin asignar mediante el filtro.

  1. Si no puede ver el panel Filtro, en la barra de herramientas de la vista Lista de incidentes, haga clic en Filter icon.
  2. En el panel Filtros, bajo USUARIO ASIGNADO, seleccione Mostrar solo los incidentes sin asignar.
    "Show only unassigned incidents" option filter selection
    La lista de incidentes se filtrará para mostrar los incidentes sin asignar.

Asignar los incidentes a uno mismo

  1. En la vista Lista de incidentes, seleccione uno o más incidentes que desee asignar a usted mismo.
  2. Haga clic en Cambiar usuario asignado y seleccione un nombre de usuario en la lista desplegable.
    Incidents List showing Assignee drop-down list
  3. Si seleccionó más de un incidente, en el cuadro de diálogo Confirmar actualización, haga clic en Aceptar.
    Confirm Update dialog

Verá una notificación de cambio correcto.
Incident List showing success message

Cancelar asignación de un incidente

  1. En la vista Lista de incidentes, seleccione uno o más incidentes cuya asignación desee cancelar.
  2. Haga clic en Cambiar usuario asignado y seleccione (Sin asignar) en la lista desplegable.
    Incidents List showing Assignee drop-down list with (Unassign) selected
  3. Si seleccionó más de un incidente, en el cuadro de diálogo Confirmar actualización, haga clic en Aceptar.
    Confirm Update dialog for Unassign
  4. Verifique que el Estado aún esté correcto y realice cambios según sea necesario. Para cambiar el estado, seleccione uno o más incidentes, haga clic en Cambiar estado y seleccione un estado nuevo.
    Por ejemplo, si asignó un incidente a usted mismo por error, puede cancelar la asignación del incidente y, a continuación, cambiar el Estado de Asignado a Nuevo.


You are here
Table of Contents > Respuesta ante incidentes

Attachments

    Outcomes