Identificar las condiciones para desencadenar acciones automatizadas en un terminal seguro

Actualizado:1 de febrero de 2023
ID del documento:220184

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describen las condiciones que deben cumplirse para activar las acciones automatizadas.

    Antecedentes

    Las acciones automatizadas se activan cuando existe un riesgo (lo que significa que una máquina que no está en peligro se convierte en una máquina en peligro). Si una máquina que ya está en riesgo activa una nueva detección, esta detección se añade al riesgo, pero como no se trata de un nuevo riesgo, no activa una acción automatizada.

    Una excepción a esto es el nivel de gravedad. Las acciones automatizadas se activan en función de criterios de gravedad; sin embargo, los riesgos no tienen gravedad por sí solos (solo lo tienen las detecciones individuales). Si una acción automatizada se configura con un nivel de gravedad alto y una detección se desencadena como nivel medio, no se desencadena la acción. Si se añade un evento posterior al riesgo que es alto, la acción se desencadena cuando esta nueva detección se encuentra en el riesgo que ya existe.

    ¿Qué es una máquina en peligro?

    Una máquina en peligro es un terminal que tiene un riesgo activo asociado. Una máquina en peligro solo puede, por diseño, tener un riesgo activo a la vez.

    Aplicabilidad 

    Windows y Mac

    Acciones automatizadas disponibles

    1. Realizar una instantánea de diagnóstico al comprometer: realiza una instantánea de diagnóstico de un equipo cuando se produce un riesgo. Un evento de compromiso es básicamente un evento enviado por un conector que notifica algo potencialmente malicioso que sucede.

      Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada.

      Automated Actions Available

      Conditions to Trigger Automated Action

      Este es un ejemplo de una máquina en riesgo:

      Example of a Compromised Machine

      Este es el registro de la acción automatizada (desde la ficha Registro de auditoría)

      Log of the Automated Action

    2. Aislar un equipo en caso de riesgo: aísla equipos cuando se produce un riesgo.

      Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada. El límite de velocidad le protege contra las detecciones de falsos positivos. La función Rate Limit (Límite de velocidad) examina el número total de aislamientos en un período de 24 horas. Si el número de aislamientos es mayor que el límite, no se activarán más aislamientos. Los equipos se vuelven a aislar una vez que el número de eventos de riesgo cae por debajo del límite del período de 24 horas rotatorias o se detiene el aislamiento en los equipos que se aislaron automáticamente.

      Isolate a Computer upon Compromise - Take Forensic Snapshot

      Conditions to Trigger an Automated Action When a Compromise Occurs

      Este es un ejemplo de una máquina en riesgo:

      Example of a Compromised Machine

      Este es el registro de la acción automatizada (de la ficha Registro de auditoría):

      Log of the Automated Action From Audit Log Tab



    3. Enviar a Secure Malware Analytics upon Detection: Enviar un archivo a Secure Malware Analytics for File Analysis cuando se produce una detección.

      Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada.

      Submit to Secure Malware upon Detection

      Conditions to Trigger Automated Action

      Ejemplo de una máquina en peligro:

      Example of Compromised Machine with Malware Detected

      En este caso, el archivo se envió previamente a Secure Malware analytics, por lo que el análisis del archivo ya estaba hecho. Ejemplo de lo siguiente:

      File Already Done as Malware Previously Submitted

      note-icon

      Nota: esta acción automatizada no está asociada a compromisos y se ejecuta por detección.

    4. Mover equipo a grupo en caso de riesgo: mueva equipos de sus grupos actuales a otro grupo cuando se desencadene la acción. Esto le permite mover equipos comprometidos a un grupo con una directiva que tiene una configuración de motor y de análisis más agresiva para remediar el riesgo.

    Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada.

    Move Computer to Group upon Compromise

    Trigger the Automated Action

    Este es el equipo del grupo original:

    Computer in the Original Group

    Estos son los eventos de compromiso:

    Events of the Compromise

    Este es el registro de la acción automatizada (de la ficha Registro de auditoría):

    Log of the Automated Action (from Audit Log Tab)

    El equipo se movió al grupo especificado en la configuración Acción automatizada:

    Computer Moved to Specified Group in the Automated Action Setting

    Registros de acciones

    Esta es la lista completa de los registros de acciones automatizadas de la ficha Acciones automatizadas:

    Automated Action Logs

    Información Relacionada

    Guía del usuario de terminales seguros

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    01-Feb-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Isaac Cardenas
      Ingeniero del TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos