Saltar al contenido

Investigar casos

Esta página es solo para casos "autogestionados".

Puede investigar los casos utilizando la información y las herramientas disponibles en la página Detalles del caso, tal y como se describe en esta página.

También le recomendamos que utilice nuestro asistente de IA para saber más sobre la detección y obtener sugerencias para tomar medidas. Consulte Asistente de IA.

Lleve un registro de su investigación en la pestaña Cuaderno en las páginas de detalles de un caso.

En algunos casos, también puede responder a los casos. Consulte Responder a casos.

Investigar un caso

Para iniciar su investigación, haga lo siguiente:

  1. Vaya a la página Casos.

    Página de casos.

  2. Haga clic en el ID de caso del caso correspondiente.

    Enlace a ID de caso en la lista de casos.

  3. En la pestaña Introducción, puede encontrar información sobre la detección que generó el caso e iniciar su análisis con las herramientas de Sophos AI.

    Pestaña "Introducción" de un caso.

En esta pestaña, puede hacer lo siguiente:

Resumen del caso

Puede utilizar Sophos AI para que le genere un resumen del caso.

  1. En Resumen del caso, haga clic en el icono de IA.

    Sophos AI analiza el caso y resume los detalles.

    Panel de resumen del caso.

  2. Si desea guardar el resumen, haga clic en Insertar. Para descartarlo, pulse la "X".

    Si guarda el resumen, puede pulsar el icono Editar Icono Editar. y realizar cambios en él.

    Resumen del caso con el botón Insertar.

También puede resumir el caso manualmente. Haga clic en el icono Editar Icono Editar. e introduzca su resumen.

Análisis de línea de comandos

Puede utilizar Sophos AI para analizar el comando ejecutado por la amenaza que generó el caso.

En Análisis de la línea de comandos, pulse el icono de IA.

Panel Análisis de la línea de comandos.

Sophos IA analiza la línea de comandos para descubrir las intenciones de la amenaza y su posible impacto. Si es necesario, desofusca el código, minimizando el esfuerzo necesario para evaluar la amenaza.

Entidades afectadas

Entidades afectadas enumera los dispositivos, usuarios, archivos, direcciones IP y procesos afectados por la amenaza detectada.

Pulse el nombre de un dispositivo para ver todos sus detalles en la página Ordenadores y servidores.

Tácticas de MITRE

El panel Tácticas de MITRE enumera todas las tácticas y técnicas de MITRE ATT&CK que hemos detectado.

Haga clic en la flecha desplegable situada junto a una táctica para ver la técnica.

Haga clic en el enlace situado junto a cualquier táctica o técnica, por ejemplo, Acceso a credenciales, para consultar sus detalles en el sitio web de MITRE.

Detalles de las tácticas de MITRE.

Responder a casos

La función Acción de respuesta no está disponible actualmente para la mayoría de las integraciones de productos de terceros.

En algunos casos, puede resolver problemas detectados a través de productos de terceros.

Para utilizar esta función, debe configurar una integración de acción de respuesta con el producto de terceros que desea utilizar. Vaya a Productos y haga clic en su producto.

Nuestro ejemplo muestra cómo usar una acción de respuesta para suspender a un usuario comprometido. Para realizar una acción, haga lo siguiente:

  1. Haga clic en ID de caso junto a un caso para ver sus detalles.
  2. Seleccione la ficha Responder.
  3. Busque la acción que desea. Haga clic en el tipo de producto Identidad para ver las acciones disponibles para ese tipo.

    Pestaña Responder que muestra las acciones de Identidad.

  4. Haga clic en Suspender usuario.

  5. En la página de detalles de la acción, introduzca la información requerida y una razón para la acción.

    Cuadro de diálogo Suspender usuario.

  6. Haga clic en Ejecutar.