Saltar al contenido

Casos

Los casos sustituyen a las investigaciones. Las investigaciones estarán disponibles durante un tiempo para permitirle terminar las investigaciones aún en curso.

La página Casos agrupa los eventos sospechosos notificados por nuestra función Detecciones y le ayuda a usted o al equipo de MDR a realizar el trabajo forense sobre ellos y a responder a ellos.

Acerca de los casos

Creamos los casos por usted automáticamente. Estas se centran en las detecciones que le recomendamos investigar.

  • Creamos un caso cuando hay una detección de alto riesgo si no se ha incluido ya en un caso el mismo día.
  • Añadimos detecciones posteriores al caso si comparten el mismo tipo de detección.

Los casos se pueden basar en detecciones de Sophos XDR o en detecciones de Sophos MDR. Puede realizar cambios en los casos de XDR, pero los de MDR son de solo lectura.

También puede crear sus propios casos. Consulte Crear casos.

Activar casos

Detecciones y Casos se basan en los datos de Sophos Data Lake.

Si aún no recibe detecciones, debe asegurarse de que las cargas de datos de seguridad en Data Lake estén activadas.

Los datos pueden proceder de varios productos de Sophos o de terceros.

Para cargar datos de productos de Sophos, consulte Cargas en Data Lake. Para cargar datos de productos de terceros, consulte Integraciones.

Ver casos

Para ver sus casos, haga lo siguiente:

  1. Vaya a Centro de análisis de amenazas > Casos.

    Página de casos.

    Nota

    La primera vez que vea esta página, es posible que la lista esté vacía. Vuelva más tarde para ver los casos creados automáticamente, o cree los suyos propios.

  2. Haga clic en ID de caso junto a un caso para ver sus detalles.

    Enlace a ID de caso en la lista de casos.

Ahora puede ver la página Detalles del caso. Para obtener más información, consulte Ver los detalles de un caso.

Detalles del caso.

Editar y asignar casos

Solo puede editar y asignar casos de XDR. Nuestro equipo MDR procesa los casos de MDR.

Puede editar casos y asignarlos a los administradores para su análisis.

Los superadministradores de los Partners y los superadministradores de la empresa no pueden editar ni asignar casos.

Para editar y asignar casos, haga lo siguiente:

  1. Vaya a Centro de análisis de amenazas > Casos para ver una lista de casos.
  2. Haga clic en ID de caso junto a un caso para ver sus detalles.
  3. En la página Detalles del caso, la pestaña Introducción está abierta por defecto. Haga lo siguiente:

    1. Establezca la Prioridad en Crítica, Alta, Media, Baja o Info.
    2. Si desea empezar, cambie el Estado de Nuevo a En proceso de investigación.
    3. En Propietario, seleccione el administrador al que desea asignar el caso.
    4. En Introducción, introduzca una descripción del caso.

    Página Detalles del caso.

Añadiremos detecciones relacionadas al caso a medida que se produzcan.

Nota

Notificamos los nuevos casos a los administradores de Sophos Central si configura las notificaciones por correo electrónico para ellos. Consulte Notificaciones por correo electrónico.

Ver los detalles de un caso

Para ver los detalles completos de un caso, haga clic en el ID de caso que aparece junto a él.

El encabezado de la página Detalles del caso muestra la gravedad, el estado y el propietario del caso. También indica cuándo se creó el caso, cuándo se asignó y cuándo se actualizó por última vez.

La página también tiene pestañas para obtener más detalles.

Encabezado de los detalles del caso.

Pestaña Introducción

La pestaña Introducción está abierta por defecto y muestra un resumen del caso, los detalles de la táctica de MITRE y la actividad reciente.

Pestaña Introducción de los detalles del caso.

Resumen

Si es cliente de XDR, introduzca la descripción del caso. Si es cliente de MDR, el equipo de MDR la introducirá por usted.

Táctica de MITRE

Tácticas de MITRE enumera todas las tácticas y técnicas de MITRE ATT&CK que hemos detectado.

Haga clic en la flecha desplegable situada junto a una táctica para ver la técnica.

Haga clic en el enlace situado junto a cualquier táctica o técnica, por ejemplo, Acceso a credenciales, para consultar sus detalles en el sitio web de MITRE.

Detalles de las tácticas de MITRE.

Actividad reciente

Actividad reciente muestra cambios recientes en el caso. Haga clic en Ver todo para ir a la pestaña Historial.

Pestaña Detecciones

La pestaña Detecciones enumera todas las detecciones incluidas en el caso. Muestra los mismos detalles que la lista de la página Detecciones. Consulte Detecciones.

Pestaña Detecciones.

Pestaña Cuaderno

Utilice la pestaña Cuaderno para llevar un registro de sus investigaciones.

Pestaña Historial

La pestaña Historial muestra el historial de toda la actividad en ese caso. Por ejemplo, detecciones añadidas, o cambios de estado, propietario, etc.

Investigar casos

En Detalles del caso, utilice la pestaña Cuaderno hacer constar su investigación sobre el caso. Le sugerimos que siga estos pasos:

  • Decida si necesita investigar o cerrar la investigación.
  • Compruebe las conexiones externas e internas utilizadas en el evento.
  • Compruebe qué dispositivos y usuarios se han visto afectados.
  • Averigüe qué tácticas y técnicas de ataque se han utilizado. Puedes verlas en los detalles de la detección.
  • Utilice las opciones de consulta axial de las detecciones para ejecutar consultas en los datos o consultar sitios web de análisis de amenazas de terceros. Consulte Usar consultas axiales, enriquecimientos y acciones.

Responder a casos

Puede resolver problemas detectados a través de productos de terceros.

Para utilizar esta función, debe configurar una integración de acción de respuesta con el producto de terceros que desea utilizar. Vaya a Integraciones y haga clic en su producto.

Nuestro ejemplo muestra cómo usar una acción de respuesta para suspender a un usuario comprometido. Para realizar una acción, haga lo siguiente.

  1. Haga clic en ID de caso junto a un caso para ver sus detalles.
  2. Seleccione la ficha Responder.
  3. Busque la acción que desea. Haga clic en el tipo de producto Identidad para ver las acciones disponibles para ese tipo.

    Pestaña Responder que muestra las acciones de Identidad.

  4. Haga clic en la acción Suspender usuario.

  5. En la página de detalles de la acción, introduzca la información requerida y una razón para la acción.

    Cuadro de diálogo Suspender usuario.

  6. Haga clic en Ejecutar.

Cerrar o eliminar casos

Para cerrar un caso, cambie el estado a Cerrado. El caso permanece en la lista durante 30 días y después lo borramos.

Los superadministradores de los Partners y los superadministradores de la empresa no pueden cerrar ni eliminar casos.

Para eliminar un caso de la lista, selecciónelo y haga clic en Eliminar casos.

Lista de casos con los casos seleccionados para eliminarse.