Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=threat-analysis-cases

Casos

La página Casos agrupa los eventos sospechosos notificados por nuestra función Detecciones y le ayuda a usted o al equipo de MDR a investigarlos y responder a ellos.

Cómo funcionan los casos

Creamos y gestionamos casos por usted automáticamente o puede crear y gestionar los suyos propios.

Casos que gestiona Sophos

Creamos los casos por usted automáticamente. Estos se centran en las detecciones que creemos que requieren investigación.

  • Creamos un caso cuando hay una detección de alto riesgo si no se ha incluido ya en un caso el mismo día.
  • Añadimos detecciones posteriores al caso si comparten el mismo tipo de detección.
  • Si el caso se basa en detecciones de MDR, investigamos y respondemos. Este es un caso "gestionado por Sophos".

Nota

Si el caso se basa en detecciones de Sophos XDR, no investigamos. Consulte Casos que gestiona usted.

Casos que gestiona usted

Si creamos un caso basado en detecciones de XDR, se trata de un caso "autogestionado". Cuando revise sus casos, busque "Auto" en "Gestionado por". Debe asignar un administrador para que investigue y responda. Consulte Asignar casos.

También puede crear y gestionar sus propios casos manualmente. Consulte Crear casos.

Ver casos

Para ver sus casos, vaya a Centro de análisis de amenazas > Casos.

Página de casos.

Nota

La primera vez que vea esta página, es posible que la lista esté vacía. Vuelva más tarde para ver los casos creados automáticamente, o cree los suyos propios. Si sigue sin ver ningún caso, consulte Solucionar problemas de casos.

La lista Casos incluye los siguientes datos para cada caso.

Gravedad

Nivel Color Descripción
Crítica Rojo Compromiso confirmado o acceso no autorizado a los sistemas.
Alta Naranja Detecciones que indican un ataque dirigido que podría provocar un compromiso o acceso no autorizado.
Media Amarillo Detecciones que podrían no considerarse maliciosas en sí mismas y de las que no se sabe si están dirigidas a un objetivo.
Baja Gris oscuro Detecciones que no indican un mal estado de seguridad, actividad maliciosa, un compromiso ni un acceso no autorizado a los sistemas.
Información Gris claro Nivel de gravedad especial que se suele utilizar para las comprobaciones del estado de seguridad iniciales.

Estado

Los casos gestionados por Sophos pueden mostrar los siguientes estados:

  • En progreso: Todavía estamos analizando los datos.
  • Requiere tomar medidas: Es necesario que tome medidas. Hemos notificado a sus contactos.
  • Resuelto: Hemos resuelto la amenaza.

Gestionado por

Puede ver quién gestiona el caso:

  • Sophos: nuestro equipo de MDR investiga el caso y responde. No puede hacer ningún cambio, pero puede responder al equipo de MDR que lleva el caso.
  • Auto: Debe investigar el caso y responder usted.

Asignar casos

Esta sección es solo para casos generados automáticamente que muestran "Auto" en la columna "Gestionado por".

Puede asignar casos a sus administradores para su análisis de la siguiente manera:

  1. Vaya a Centro de análisis de amenazas > Casos para ver una lista de casos.
  2. Haga clic en ID de caso junto a un caso para ver sus detalles.

  3. En la página Detalles del caso, la pestaña Introducción está abierta por defecto. Haga lo siguiente:

    1. En Asignatario, seleccione el administrador al que desea asignar el caso. Si el administrador que desea no aparece en la lista, haga clic en Añadir usuario y añádalo.

      Puede seleccionar el asignatario más tarde si lo desea.

    2. Establezca la Gravedad en Crítica, Alta, Media, Baja o Info.

    3. Si desea empezar, cambie el Estado de Nuevo a En proceso de investigación.
    4. En Introducción, introduzca una descripción del caso.

    Página Detalles del caso.

    Para obtener asesoramiento sobre la investigación de un caso, vaya a Crear casos y consulte "Investigar casos".

Nota

Notificamos los nuevos casos a los administradores de Sophos Central si configura las notificaciones por correo electrónico para ellos. Consulte Notificaciones por correo electrónico.

Ver los detalles de un caso

Para ver los detalles de un caso y seguir su progreso, haga lo siguiente:

  1. En la página Casos, haga clic en ID de caso junto al caso.

    Enlace a ID de caso en la lista de casos.

  2. En la página Detalles del caso, el encabezado de la página muestra la gravedad, el estado y el asignatario. También indica cuándo se creó el caso, cuándo se asignó y cuándo se actualizó por última vez.

    Detalles del caso.

La página también tiene pestañas para obtener más detalles.

Pestaña Introducción

La pestaña Introducción está abierta por defecto y muestra un resumen del caso, los detalles de la táctica de MITRE y la actividad reciente.

Pestaña Introducción de los detalles del caso.

Resumen

Si es cliente de MDR, el equipo de MDR introducirá un resumen del caso por usted. Si es cliente de XDR, introduzca su propia descripción del caso.

Táctica de MITRE

Tácticas de MITRE enumera todas las tácticas y técnicas de MITRE ATT&CK que hemos detectado.

Haga clic en la flecha desplegable situada junto a una táctica para ver la técnica.

Haga clic en el enlace situado junto a cualquier táctica o técnica, por ejemplo, Acceso a credenciales, para consultar sus detalles en el sitio web de MITRE.

Detalles de las tácticas de MITRE.

Actividad reciente

Actividad reciente muestra cambios recientes en el caso. Haga clic en Ver todo para ir a la pestaña Historial.

Pestaña Detecciones

La pestaña Detecciones enumera todas las detecciones incluidas en el caso. Muestra los mismos detalles que la lista de la página Detecciones. Consulte Detecciones.

Pestaña Detecciones.

Pestaña Cuaderno

Si está trabajando en un caso autogestionado, utilice la pestaña Cuaderno para llevar un registro de sus investigaciones.

Ficha Mensajes

En la ficha Mensajes, puede ver mensajes sobre el caso del equipo de Sophos MDR y responder a ellos.

  • Los mensajes que envíe irán a una bandeja de entrada de MDR. Los atenderemos más adelante.
  • Los mensajes que envíe o reciba se copian en los buzones de sus contactos autorizados, así que no se perderá ningún mensaje.
  • Además de los mensajes, puede enviar y recibir archivos adjuntos.

Pestaña Historial

La pestaña Historial muestra el historial de toda la actividad en ese caso. Por ejemplo, detecciones añadidas, o cambios de estado, propietario, etc.

Solucionar problemas de casos

Los casos se basan en detecciones encontradas en datos que sus dispositivos cargan en Sophos Data Lake. Estas cargas suelen estar activadas por defecto. Si no recibe detecciones, compruebe que estén activadas.

Para comprobar que los datos se cargan desde los productos de Sophos, consulte Cargas en Data Lake. Para cargar datos de productos de terceros, consulte Acerca de las integraciones con Sophos MDR y XDR.