Procedimiento

  1. Vaya a DETECCIÓN Y RESPUESTAInvestigación de amenazas.
  2. Haga clic en Avanzado.
  3. Seleccione Definido por el usuario.
  4. Especifique el período de datos para la investigación.
  5. Seleccione una de las opciones siguientes:
    • Coincide con ALGUNO de los criterios: busca objetos que coincidan con alguno de los criterios especificados
    • Coincide con TODOS los criterios: busca objetos que coincidan con todos los criterios especificados
  6. Haga clic en Nuevos criterios, seleccione un tipo de criterio y especifique información válida.
    Para obtener información, consulte Formatos compatibles de criterios personalizados.
    Para guardar los criterios para futuras investigaciones, haga clic en save.jpg.
  7. (Opcional) Para cargar criterios personalizados existentes, haga clic en Criterios guardados.
    1. Seleccione los criterios que desee cargar.
    2. Haga clic en Aplicar criterios.
  8. Haga clic en Valorar impacto.
    Aparecerá la sección Endpoints coincidentes. Deje que la investigación se ejecute.
  9. Compruebe los resultados en la sección Endpoints coincidentes.
    Aparecerán los detalles siguientes:
    Nombre de la columna
    Descripción
    Endpoint
    Nombre del endpoint que contiene el objeto coincidente
    Dirección IPv4
    Dirección IP del endpoint que contiene el objeto coincidente
    La red se encarga de asignar la dirección IP
    Sistema operativo
    Sistema operativo utilizado por el endpoint
    Usuario
    Nombre del usuario que se ha registrado cuando el Security Agent se registró por primera vez el objeto coincidente
    Haga clic en el nombre de usuario para ver más detalles sobre el usuario.
    Primer registro
    Fecha y hora en la que el Security Agent registró por primera vez el objeto coincidente
    Detalles
    Haga clic en el icono para abrir la pantalla Detalles de coincidencia.
    La pantalla Detalles de coincidencia muestra los detalles siguientes:
    • Criterios: criterios utilizados en la valoración
    • Primer registro: fecha y hora en la que el Security Agent registró por primera vez el objeto coincidente
    • Repeticiones en CLI/registro: número de coincidencias encontradas en la línea de comandos o las entradas del registro
      Haga clic en el valor para mostrar más detalles.
    • Endpoints afectados: si la clasificación es maliciosa, el número de endpoints en los que se ha encontrado una coincidencia similar
      El recuento solo incluye los endpoints afectados en los últimos 90 días.
  10. Para consultar la secuencia de eventos que provocan la ejecución del objeto coincidente, seleccione los endpoints que precisen un análisis más exhaustivo y haga clic en Generar análisis de causa principal.
    Aparecerá la pantalla Generar análisis de causa principal.
  11. Especifique un nombre para el análisis de la causa principal y haga clic en Generar.
  12. Haga clic en la pestaña Análisis de causa principal para consultar los resultados. Deje que la tarea finalice.