Acciones de operaciones de seguridad en la detección de endpoints

  • EF
 Prev Next

¿Qué son las acciones de operaciones de seguridad?

Las acciones de operaciones de seguridad (SecOps) son los controles disponibles en un flujo de trabajo de seguridad de endpoints o EDR que permiten a los administradores revisar las detecciones y realizar pasos de seguimiento, como actualizar el estado, investigar detalles o realizar tareas de respuesta dentro de la consola de seguridad. En Kandji Endpoint Detection & Response, estas acciones se muestran en la página Amenazas e incluyen la actualización del estado de la detección para realizar un seguimiento del progreso a través de la revisión y la corrección.

Uso de acciones de SecOps en EDR

La acción Estado de la página Amenazas de Endpoint Detection le permite realizar un seguimiento y actualizar los eventos de detección a medida que trabaja en ellos. Como administrador, puede marcar manualmente las detecciones como Abierto o Cerrado, mientras que Kandji asigna automáticamente otros estados según el tiempo, como cuándo ocurrió la detección por primera vez o cuánto tiempo se resolvió. Esto crea un flujo de trabajo coherente que le ayuda a ver las novedades, las necesidades de atención y las medidas que se han gestionado, lo que facilita la clasificación de las amenazas y el seguimiento del progreso en toda la flota.

La columna Estado está disponible en las tablas Detección de archivos y Detección de comportamiento .

Tipos de estado

Los eventos de detección pueden tener uno de estos cuatro estados:

  • Nuevo : se ha producido en las últimas 24 horas.

  • Abierto : aún no marcado como cerrado.

  • Cerrado : se resuelve marcándolo manualmente como Cerrado.

  • Archivado – Cerrado por más de 30 días.

Gestión automática: Kandji establece automáticamente los estados Nuevo y Archivado . Puede cambiar manualmente una detección entre Abierto y Cerrado.

Filtrado por estado

Puede filtrar los eventos de detección por estado en la página Amenazas :

  • Filtro de eventos : de forma predeterminada, muestra los eventos Nuevo, Abierto y Cerrado . Los eventos archivados se ocultan a menos que se seleccionen.

  • Filtro de dispositivos : ubicado en el panel lateral, permite filtrar dispositivos por detecciones abiertas o cerradas .

Cambio del estado de detección

Actualizar los estados con regularidad ayuda a mantener la precisión de las listas de detección y mejora el filtrado de amenazas activas.

Para cambiar el estado de una o más detecciones:

  1. Seleccione las detecciones con la casilla de verificación.

  2. Haga clic en Cambiar estado en la barra de acciones.

  3. Elija el nuevo estado en el menú desplegable.

  4. Haga clic en Cambiar para aplicar.

Puede actualizar las detecciones individualmente o de forma masiva.