Introducción
En este documento se describen las condiciones que deben cumplirse para activar las acciones automatizadas.
Antecedentes
Las acciones automatizadas se activan cuando existe un riesgo (lo que significa que una máquina que no está en peligro se convierte en una máquina en peligro). Si una máquina que ya está en riesgo activa una nueva detección, esta detección se añade al riesgo, pero como no se trata de un nuevo riesgo, no activa una acción automatizada.
Una excepción a esto es el nivel de gravedad. Las acciones automatizadas se activan en función de criterios de gravedad; sin embargo, los riesgos no tienen gravedad por sí solos (solo lo tienen las detecciones individuales). Si una acción automatizada se configura con un nivel de gravedad alto y una detección se desencadena como nivel medio, no se desencadena la acción. Si se añade un evento posterior al riesgo que es alto, la acción se desencadena cuando esta nueva detección se encuentra en el riesgo que ya existe.
¿Qué es una máquina en peligro?
Una máquina en peligro es un terminal que tiene un riesgo activo asociado. Una máquina en peligro solo puede, por diseño, tener un riesgo activo a la vez.
Aplicabilidad
Windows y Mac
Acciones automatizadas disponibles
-
Realizar una instantánea de diagnóstico al comprometer: realiza una instantánea de diagnóstico de un equipo cuando se produce un riesgo. Un evento de compromiso es básicamente un evento enviado por un conector que notifica algo potencialmente malicioso que sucede.
Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada.
Este es un ejemplo de una máquina en riesgo:
Este es el registro de la acción automatizada (desde la ficha Registro de auditoría)
-
Aislar un equipo en caso de riesgo: aísla equipos cuando se produce un riesgo.
Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada. El límite de velocidad le protege contra las detecciones de falsos positivos. La función Rate Limit (Límite de velocidad) examina el número total de aislamientos en un período de 24 horas. Si el número de aislamientos es mayor que el límite, no se activarán más aislamientos. Los equipos se vuelven a aislar una vez que el número de eventos de riesgo cae por debajo del límite del período de 24 horas rotatorias o se detiene el aislamiento en los equipos que se aislaron automáticamente.
Este es un ejemplo de una máquina en riesgo:
Este es el registro de la acción automatizada (de la ficha Registro de auditoría):
-
Enviar a Secure Malware Analytics upon Detection: Enviar un archivo a Secure Malware Analytics for File Analysis cuando se produce una detección.
Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada.
Ejemplo de una máquina en peligro:
En este caso, el archivo se envió previamente a Secure Malware analytics, por lo que el análisis del archivo ya estaba hecho. Ejemplo de lo siguiente:
Nota: esta acción automatizada no está asociada a compromisos y se ejecuta por detección.
- Mover equipo a grupo en caso de riesgo: mueva equipos de sus grupos actuales a otro grupo cuando se desencadene la acción. Esto le permite mover equipos comprometidos a un grupo con una directiva que tiene una configuración de motor y de análisis más agresiva para remediar el riesgo.
Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada.
Este es el equipo del grupo original:
Estos son los eventos de compromiso:
Este es el registro de la acción automatizada (de la ficha Registro de auditoría):
El equipo se movió al grupo especificado en la configuración Acción automatizada:
Registros de acciones
Esta es la lista completa de los registros de acciones automatizadas de la ficha Acciones automatizadas:
Información Relacionada
Guía del usuario de terminales seguros