Lista de incidentes

Un incidente representa una actividad relevante para la seguridad detectado por NSX Network Detection and Response que se ha producido en la red supervisada. Un incidente puede constar de un solo evento o de una serie de eventos que se correlacionaron automáticamente y que se determinaron como estrechamente relacionados. La lista de incidentes muestra los incidentes registrados con sus niveles de amenaza correspondientes.

Puede ver todos los incidentes notificados que se determinaron como críticos, aquellos que debe estar pendientes o aquellos que se consideran problemas en la red. Los incidentes críticos deben controlarse sin demora. No tomar ninguna acción ante un incidente crítico es muy peligroso y aumenta la probabilidad de que otros hosts de la red también se vea comprometidos.

Los incidentes que aún no ha examinado están marcados como no leídos, mientras que los que ya haya examinado se marcan como leídos. Tiene la opción de seleccionar incidentes y realizar acciones en ellos, como marcarlos como leídos o no leídos. También puede cerrar o abrir los incidentes seleccionados.

El cuadro de texto Búsqueda rápida sobre la lista permite hacer una búsqueda rápida mientras introduce la búsqueda. Filtra las filas de la lista, mostrando solo aquellas filas que tienen texto, en cualquier campo, que coincida con la cadena de consulta.

Utilice el menú desplegable SELECCIONAR para realizar una selección afinada. Sus opciones le permiten seleccionar Todos los incidentes visibles o Borrar la selección. También puede seleccionar los incidentes Leídos (página actual) o No leídos (página actual). También puedes hacer clic en el icono Editar en la fila del título para seleccionar todos los mensajes visibles.

Utilice el menú desplegable ACCIÓN para actualizar los incidentes seleccionados: Marca como leído, Marca como no leído, Cerrar o Abrir.

Personalice el número de filas que se muestran. El valor predeterminado es 20 entradas. Utilice los iconos y para desplazarse por varias páginas.

Las columnas que se muestran en la lista se pueden personalizar haciendo clic en el icono contenido adicional.

Cada fila es un resumen de un incidente. Haga clic en el icono Más (o en cualquier lugar de una fila de entrada) para acceder a los detalles del incidente. Para seleccionar una fila del mensaje, haga clic en el icono Editar.

La lista se ordena por Impacto e incluye las siguientes columnas.

Columna	Descripción
Host	El host afectado por este incidente. Esta columna muestra la dirección IP, el nombre de host o la etiqueta del host, según la ventana emergente Ajustes de visualización actual. Haga clic en el icono para ver la página Perfil de host que muestra detalles sobre el host. Haga clic en el icono para ordenar la lista por información del host.
Eventos de detección	Número de eventos que componen este incidente. Se trata de un vínculo que muestra un recuento de eventos y el icono . Al hacer clic en este vínculo, se carga la página Eventos, filtrada para mostrar solo los eventos de este incidente. Haga clic en el icono para ordenar la lista por eventos.
Inicio	Hora de inicio del incidente. Haga clic en el icono para ordenar la lista por hora de inicio.
Final	Hora de finalización del incidente. Haga clic en el icono para ordenar la lista por hora de finalización.
Amenaza	Nombre del riesgo de seguridad detectado. Haga clic en el icono para ordenar la lista por amenazas.
Clase de amenaza	Nombre de la clase de riesgo de seguridad detectada. Haga clic en el icono Ordenar para ordenar la lista por clase de amenaza.
Impacto	El valor del impacto indica el nivel crítico de la amenaza detectada y oscila entre 1 y 100: Las amenazas con 70 o más se consideran críticas. Las amenazas entre 30 y 69 se consideran de riesgo medio. Las amenazas que se encuentran entre 1 y 29 se consideran benignas. Si aparece el icono detener, significa que el artefacto se bloqueó. La lista se ordena en orden descendente de impacto (los incidentes más críticos en la parte superior). Haga clic en el icono para ordenar la lista en orden ascendente (las incidentes menos críticos en la parte superior) y, a continuación, haga clic en el icono ángulo hacia abajo para volver al orden predeterminado.

Detalles del incidente

Al hacer clic en cualquier lugar de una fila de incidentes, la vista Detalles del incidente se expande dentro de la lista de incidentes.

Hay una serie de botones en la parte superior de los detalles del incidente:

Haga clic en el botón para cerrar el incidente.
Utilice el menú desplegable Acción para realizar una acción en el incidente:
- Si el incidente aún no se ha cerrado, seleccione Cerrar incidente . De lo contrario, seleccione Abrir incidente.
- Si el incidente aún no se ha leído, seleccione Marcar como leído. De lo contrario, selecciona Marcar como no leído.
- Seleccione Ignorar amenaza. Los detalles de la amenaza se enumeran en el elemento de menú. Al seleccionar este elemento, se indica que la presencia de esta amenaza en particular en el host no es de interés. Por lo tanto, todos los incidentes en los que se detecta esta amenaza en este host se cerrarán automáticamente.
- Seleccione Marcar el host <host> como limpio. El sistema marcará el host implicado en el incidente como limpio. Como resultado, se cerrarán todos los incidentes en ese host.
Al hacer clic en Ver detalles del incidente se mostrará el contenido de la página Perfil del incidente en una nueva pestaña del navegador.
Al hacer clic en Administrar alerta se iniciará la barra lateral Administrar alerta. Utilice esta función para suprimir o degradar los eventos inofensivos asociados con el incidente especificado, como los incidentes relacionados con la prueba del sistema o el bloqueo. Consulte Trabajar con la barra lateral Administrar alerta para obtener más información.
Haga clic en Marcar como leído para marcar el incidente. El botón cambia a Marcar como no leído, lo que le permite revertir el estado de lectura.

Resumen de incidentes

La sección superior proporciona una descripción general visual de la amenaza detectada y muestra su puntuación de impacto.

Detalles del incidente

El widget Detalles del incidente muestra información detallada de la red sobre el incidente. Incluye los siguientes datos.

Columna	Descripción
IP de origen	La dirección IP del origen del incidente. Haga clic en el icono para ver la página Actividad del host. Haga clic en el icono para ver el origen en la página Análisis de red.
Host de origen	Si está disponible, el FQDN del origen del incidente.
Eventos	El número de eventos que conforman este incidente.
Identificador de incidente	Un vínculo permanente a la página Perfil del incidente. El enlace se abrirá en una nueva pestaña/ventana del navegador.
ID de campaña	Un vínculo permanente a la página de campañas. El enlace se abre en una nueva pestaña del navegador.
Impacto	La puntuación de impacto aplicada por el sistema a este incidente.
Hora de inicio	Una marca de tiempo para el comienzo del incidente.
Hora de finalización	Una marca de tiempo para el último evento registrado del incidente.
Estado	Muestra si se ha cerrado el incidente.

Evidencia

El widget Evidencia cuando se expande muestra la lista de eventos detectados por NSX Network Detection and Response.

Las columnas que se muestran en la lista se pueden personalizar haciendo clic en el icono .

Cada fila es un resumen de una entrada de evidencia e incluye las siguientes columnas.

Columna	Descripción
Primera detección	Marca de tiempo desde la primera vez que se detectó este evento.
Última detección	Marca de tiempo desde la última vez que se detectó este evento.
Amenaza	Nombre del riesgo de seguridad detectado.
Clase de amenaza	Nombre de la clase de riesgo de seguridad detectada.
Impacto	La puntuación de impacto aplicada a este incidente.
Evidencia	La categoría de evidencia de este incidente. El título del bloque de detalles de la evidencia se deriva del nombre de la categoría.
Asunto	El artefacto, normalmente un archivo, que se está analizando.
Referencia	Un vínculo permanente a la página del evento. El enlace se abre en una nueva pestaña del navegador.

Detalles de la evidencia

Haga clic en el icono (o en cualquier parte de una fila de entrada de incidente) para mostrar el bloque de detalles de la evidencia.

El título del bloque de detalles de la evidencia se deriva del tipo de evidencia. Por ejemplo, la evidencia de reputación.

En esta sección, se muestra información más detallada sobre la evidencia. Incluye los siguientes datos.

Datos	Descripción
Amenaza	Nombre del riesgo de seguridad detectado.
Clase de amenaza	Nombre de la clase de riesgo de seguridad detectada.
Impacto	La puntuación de impacto aplicada a este incidente.
Detector	Si aparece, mostrará el módulo de NSX Network Detection and Response que identificó la amenaza. Haga clic en el vínculo para ver la ventana emergente Detector. Consulte Ventana emergente de documentación del detector.
Ver el evento de red	Un vínculo permanente a la página del evento. El enlace se abre en una nueva pestaña del navegador.
Ver el evento de red	Un vínculo permanente a la página del evento. El enlace se abre en una nueva pestaña del navegador.
Primera detección	Marca de tiempo desde la primera vez que se detectó este evento.
Última detección	Marca de tiempo desde la última vez que se detectó este evento.
Gravedad	Estimación del nivel de gravedad de la amenaza detectada. Por ejemplo, una conexión a un comando y un servidor de control se suele considerar una gravedad alta, ya que la conexión podría resultar dañada.
Confianza	Indica la probabilidad de que la amenaza individual detectada sea malintencionada. Dado que el sistema utiliza heurísticas avanzadas para detectar amenazas desconocidas, en algunos casos, la amenaza detectada puede tener un valor de confianza menor si el volumen de información disponible para esa amenaza específica es limitado.
Asunto	Si está presente, muestra el artefacto, por lo general, un archivo que se está analizando.

Consulte Acerca de la evidencia para obtener más información.