Casos de amenazas

Los casos de amenazas le permiten investigar y limpiar los ataques de malware.

Puede averiguar dónde se ha iniciado un ataque, cómo se ha propagado y qué procesos o archivos se han visto afectados. Esto le ayuda a mejorar la seguridad.

Esta función solo está disponible para clientes con una licencia de Intercept X o Intercept X Advanced with EDR. Si dispone de una licencia de Intercept X Advanced with EDR o Intercept X Advanced for Server with EDR, también podrá:

  • Aislar los dispositivos afectados.
  • Buscar más ejemplos de la amenaza en la red.
  • Limpiar y bloquear la amenaza.
  • Obtener más información sobre amenazas avanzadas.

Creamos un caso de amenaza cada vez que detectamos malware que necesita investigar a fondo.

Nota Actualmente esta función solo está disponible para dispositivos Windows.

Cómo investigar y limpiar amenazas

Esto es un resumen de cómo suele investigarse un caso. Para obtener más información sobre todas las opciones, consulte la Página de análisis de los casos de amenazas.

Algunas opciones solo están disponibles si tiene una licencia de Intercept X Advanced with EDR o Intercept X Advanced with EDR for Server.

  1. Si lo prefiere, haga clic en Casos de amenazas en el menú principal y luego haga clic en un caso.

    Esto muestra la página de detalles del caso.

  2. Consulte el Resumen para ver dónde se ha iniciado el ataque y qué archivos podrían estar afectados.
  3. Consulte Siguientes pasos sugeridos. Puede cambiar la prioridad del caso y ver qué procesos investigar.

    Si se trata de un caso de alta prioridad y tiene Intercept X Advanced with EDR, puede hacer clic en Aislar este dispositivo. Así se aísla de la red el dispositivo afectado. Puede seguir gestionando el dispositivo desde Sophos Central.

    Nota Si el dispositivo se ha aislado automáticamente a sí mismo, no verá esta opción.
  4. En la ficha Analizar, puede ver un diagrama que muestra el progreso del ataque. Al hacer clic en los elementos se muestran más detalles.
  5. Haga clic en la causa raíz u otro proceso para ver los detalles.
  6. Para asegurarse de que dispone de los últimos análisis de Sophos, haga clic en Solicitar información más reciente.

    Esta opción envía archivos a Sophos para analizarlos. Si tenemos nueva información sobre la reputación y prevalencia del archivo, la verá aquí en unos minutos.

    Restricción Si tiene Intercept X Advanced with EDR o Intercept X Advanced for Server with EDR, verá un análisis más avanzado; consulte Detalles del proceso. También podrá realizar otras tareas de detección y limpieza, como se muestra en los pasos siguientes.
  7. Haga clic en Buscar elemento para buscar más ejemplos del archivo en la red.

    Si la página Resultados de la búsqueda de elementos muestra más ejemplos del archivo, puede hacer clic en Aislar dispositivo para aislar los dispositivos afectados.

  8. Vuelva a la página de detalles del caso de amenaza y consulte la información más reciente sobre amenazas.
  9. Si está seguro de que el archivo es malicioso, puede hacer clic en Limpiar y bloquear.

    Esto limpia el elemento en los dispositivos en los que se ha encontrado y lo bloquea en todos los dispositivos.

  10. Si está seguro de que ha resuelto la amenaza, puede quitar el dispositivo del aislamiento (si es necesario). Vaya a Siguientes pasos sugeridos y haga clic en Quitar de aislamiento.

    Si ha aislado varios dispositivos, vaya a Configuración > Dispositivos aislados por el administrador y quítelos del aislamiento.

  11. Vuelva a la lista Casos de amenazas detectados, seleccione el caso y haga clic en Cerrar.

Acerca de la lista de casos de amenazas

La página Casos de amenazas detectados enumera todos los casos de amenazas de los últimos 90 días.

Si dispone de una licencia de MTR, la página se divide en fichas para los casos de amenazas que se han generado de la siguiente manera:

  • Generado automáticamente por Sophos
  • Generado por un administrador de Sophos Central
  • Generado por el equipo Sophos Managed Threat Response (MTR) (no utilizado actualmente)

Si no dispone de una licencia de MTR, la página no se divide en fichas.

Puede filtrar los casos por Dispositivo, Estado o Prioridad.

Puede utilizar Buscar para ver los casos de un determinado usuario, dispositivo o nombre de amenaza (por ejemplo "Troj/Agent-AJWL").

Para cada caso, la lista muestra la mayor parte de la siguiente información. Las columnas que se muestran dependen de si la página está dividida en fichas:

  • Estado: el estado es Nuevo de forma predeterminada. Puede cambiarlo cuando consulte el caso.
  • Hora de creación: fecha y hora en que se ha creado el caso.
  • Prioridad: se establece una prioridad al crearse el caso. Puede cambiarla cuando consulte el caso.
  • Nombre: haga clic en el nombre de amenaza para ver los detalles del caso.
  • Generado por: El administrador de Sophos Central que generó el caso de amenaza.
  • Usuario: el usuario que ha provocado la infección. Haga clic en el nombre de usuario para ver los detalles del usuario.
  • Dispositivo: el dispositivo que ha provocado la infección. Haga clic en el nombre del dispositivo para ver sus detalles.
  • Tipo de dispositivo: Tipo de dispositivo, por ejemplo, Ordenador o Servidor.

Puede hacer clic en cualquier columna para ordenar los casos.