Investigaciones
Las investigaciones le permiten analizar posibles amenazas.
Investigaciones agrupa los eventos sospechosos notificados por nuestra función Detecciones y le ayuda a realizar el trabajo forense en ellas.
En esta página se explica cómo funcionan las investigaciones y cómo hacer lo siguiente:
- Configurar investigaciones.
- Ver e iniciar investigaciones.
- Investigar eventos detectados.
- Cerrar investigaciones.
Acerca de las investigaciones
Creamos investigaciones para usted automáticamente. Estas se centran en las detecciones que le recomendamos investigar.
- Creamos una investigación cuando existe una detección de alto riesgo (si no se ha incluido en una investigación el mismo día).
- Añadimos detecciones posteriores a la investigación si están relacionadas (comparten el mismo tipo de detección o dispositivos afectados).
Una detección puede estar en varias investigaciones.
Para obtener más información, consulte Cómo Sophos crea investigaciones.
Puede editar y trabajar en estas investigaciones. También puede crear sus propias investigaciones. Consulte Crear una investigación.
Configurar investigaciones
Detecciones e Investigaciones se basan en los datos de Sophos Data Lake. Antes de comenzar a utilizar estas funciones, asegúrese de que las cargas de datos de seguridad en Data Lake están activadas.
Los datos pueden proceder de varios productos de Sophos.
Consulte Cargas en Data Lake.
Ver e iniciar investigaciones
Para ver las investigaciones que hemos creado, iniciarlas y asignarlas a personas, haga lo siguiente:
- Vaya a Centro de análisis de amenazas > Investigaciones .
-
Verá una lista de investigaciones. Haga clic en una investigación para ver los detalles.
Nota
La primera vez que vea esta página, es posible que la lista esté vacía. Vuelva más tarde para ver las investigaciones creadas automáticamente o cree las suyas propias.
-
Registro de investigación muestra los detalles de la investigación y Lista de detecciones muestra los eventos sospechosos que se incluyen. Inicie la investigación de la siguiente manera:
- Establezca la prioridad en Alta, Media o Baja.
- Cambie el estado de No iniciado a En curso.
- Haga clic en Tipo a asignar y seleccione los administradores de Sophos Central que investigarán.
Añadiremos detecciones relacionadas a la investigación a medida que se produzcan. Usted también puede añadir y eliminar detecciones. En Lista de detecciones, haga clic en Acciones y elija lo que desea hacer.
Nota
De forma predeterminada, enviamos un correo electrónico a los superadministradores siempre que hay una nueva investigación. Consulte Notificaciones por correo electrónico.
Investigar eventos detectados
Le hemos proporcionado una plantilla para realizar investigaciones. Para investigar, haga lo siguiente:
- Vaya a Centro de análisis de amenazas > Investigaciones .
-
Haga clic en una investigación.
-
Expanda Notas de la investigación. Verá una serie de preguntas basadas en el modelo Observar, Orientar, Decidir, Actuar.
- Decida si necesita investigar o cerrar la investigación.
- Compruebe las conexiones externas e internas utilizadas en el evento.
- Compruebe qué dispositivos y usuarios se han visto afectados.
- Averigüe qué tácticas y técnicas de ataque se han utilizado. Estas están identificadas en los detalles de detección.
- Utilice las opciones de consulta axial de las detecciones para ejecutar consultas en los datos o consultar sitios web de análisis de amenazas de terceros. Consulte Detecciones.
Cerrar investigaciones
Para cerrar una investigación, cambie el estado a Cerrado.
Eliminaremos la investigación en 30 días.