Casos
La página Casos agrupa los eventos sospechosos notificados por nuestra función Detecciones y le ayuda a usted o al equipo de MDR a investigarlos y responder a ellos.
Cómo funcionan los casos
Creamos y gestionamos casos por usted automáticamente o puede crear y gestionar los suyos propios.
Casos que gestiona Sophos
Creamos los casos por usted automáticamente. Estos se centran en las detecciones que creemos que requieren investigación.
- Creamos un caso cuando hay una detección de alto riesgo si no se ha incluido ya en un caso el mismo día.
- Añadimos detecciones posteriores al caso si comparten el mismo tipo de detección.
- Si el caso se basa en detecciones de MDR, investigamos y respondemos. Este es un caso "gestionado por Sophos".
Nota
Si el caso se basa en detecciones de Sophos XDR, no investigamos. Consulte Casos que gestiona usted.
Casos que gestiona usted
Si creamos un caso basado en detecciones de XDR, se trata de un caso "autogestionado". Cuando revise sus casos, busque "Auto" en "Gestionado por". Debe asignar un administrador para que investigue y responda. Consulte Asignar casos.
También puede crear y gestionar sus propios casos manualmente. Consulte Crear casos.
Ver casos
Para ver sus casos, vaya a Centro de análisis de amenazas > Casos.
Nota
La primera vez que vea esta página, es posible que la lista esté vacía. Vuelva más tarde para ver los casos creados automáticamente, o cree los suyos propios. Si sigue sin ver ningún caso, consulte Solucionar problemas de casos.
La lista Casos incluye los siguientes datos para cada caso.
Gravedad
| Nivel | Color | Descripción |
|---|---|---|
| Crítico | Rojo | Compromiso confirmado o acceso no autorizado a los sistemas. |
| Alta | Naranja | Detecciones que indican un ataque dirigido que podría provocar un compromiso o acceso no autorizado. |
| Media | Amarillo | Detecciones que podrían no considerarse maliciosas en sí mismas y de las que no se sabe si están dirigidas a un objetivo. |
| Baja | Gris oscuro | Detecciones que no indican un mal estado de seguridad, actividad maliciosa, un compromiso ni un acceso no autorizado a los sistemas. |
| Info | Gris claro | Nivel de gravedad especial que se suele utilizar para las comprobaciones del estado de seguridad iniciales. |
Estado
Los casos gestionados por Sophos pueden mostrar los siguientes estados:
- En progreso: Todavía estamos analizando los datos.
- Requiere tomar medidas: Es necesario que tome medidas. Hemos notificado a sus contactos.
- Resuelto: Hemos resuelto la amenaza.
Gestionado por
Puede ver quién gestiona el caso:
- Sophos: nuestro equipo de MDR investiga el caso y responde. No puede hacer ningún cambio, pero puede responder al equipo de MDR que lleva el caso.
- Auto: Debe investigar el caso y responder usted.
Ver los detalles de un caso
Para ver los detalles de un caso y seguir su progreso, haga lo siguiente:
-
En la página Casos, haga clic en ID de caso junto al caso.
-
En la página Detalles del caso, el encabezado de la página muestra la gravedad, el estado y el propietario. También indica cuándo se creó el caso, cuándo se asignó y cuándo se actualizó por última vez.
La página también tiene pestañas para obtener más detalles.
Pestaña Introducción
Por defecto, se abre la pestaña Introducción. Muestra cuántas detecciones se han añadido al caso, las tácticas MITRE detectadas, los dispositivos y usuarios afectados, un resumen del caso y detalles de la actividad reciente en el caso.
Para los casos autogestionados, esta pestaña le permite utilizar herramientas de IA para investigar el caso. Consulte Investigar casos.
Táctica de MITRE
Tácticas de MITRE enumera todas las tácticas y técnicas de MITRE ATT&CK que hemos detectado.
Haga clic en la flecha desplegable situada junto a una táctica para ver la técnica.
Haga clic en el enlace situado junto a cualquier táctica o técnica, por ejemplo, Acceso a credenciales, para consultar sus detalles en el sitio web de MITRE.
Resumen del caso
Si es cliente de MDR, el equipo de MDR introducirá un resumen del caso por usted. Si es cliente de XDR, puede utilizar Sophos IA para generar un resumen del caso o introducir su propio resumen.
Línea de comandos
El comando ejecutado por la amenaza que generó el caso. Si es cliente de XDR, puede utilizar Sophos IA para analizar la línea de comandos y descubrir sus intenciones y su posible impacto.
Actividad reciente
Actividad reciente muestra cambios recientes en el caso. Haga clic en Ver todo para ir a la pestaña Historial.
Pestaña Detecciones
La pestaña Detecciones enumera todas las detecciones incluidas en el caso. Muestra los mismos detalles que la lista de la página Detecciones. Consulte Detecciones.
Pestaña Cuaderno
Si está trabajando en un caso autogestionado, utilice la pestaña Cuaderno para llevar un registro de sus investigaciones.
Ficha Mensajes
En la ficha Mensajes, puede ver mensajes sobre el caso del equipo de Sophos MDR y responder a ellos.
- Los mensajes que envíe irán a una bandeja de entrada de MDR. Los atenderemos más adelante.
- Los mensajes que envíe o reciba se copian en los buzones de sus contactos autorizados, así que no se perderá ningún mensaje.
- Además de los mensajes, puede enviar y recibir archivos adjuntos.
Pestaña Historial
La pestaña Historial muestra el historial de toda la actividad en ese caso. Por ejemplo, detecciones añadidas, o cambios de estado, propietario, etc.
Solucionar problemas de casos
Los casos se basan en detecciones encontradas en datos que sus dispositivos cargan en Sophos Data Lake. Estas cargas suelen estar activadas por defecto. Si no recibe detecciones, compruebe que estén activadas.
Para comprobar que los datos se cargan desde los productos de Sophos, consulte Cargas en Data Lake. Para cargar datos de productos de terceros, consulte Acerca de las integraciones con Sophos MDR y XDR.