Introducción
En este documento se describen las condiciones que deben cumplirse para activar las acciones automatizadas.
Antecedentes
Las acciones automatizadas se activan cuando existe un riesgo (lo que significa que una máquina que no está en peligro se convierte en una máquina en peligro). Si una máquina que ya está en riesgo activa una nueva detección, esta detección se añade al riesgo, pero como no se trata de un nuevo riesgo, no activa una acción automatizada.
Una excepción a esto es el nivel de gravedad. Las acciones automatizadas se activan en función de criterios de gravedad; sin embargo, los riesgos no tienen gravedad por sí solos (solo lo tienen las detecciones individuales). Si una acción automatizada se configura con un nivel de gravedad alto y una detección se desencadena como nivel medio, no se desencadena la acción. Si se añade un evento posterior al riesgo que es alto, la acción se desencadena cuando esta nueva detección se encuentra en el riesgo que ya existe.
¿Qué es una máquina en peligro?
Una máquina en peligro es un terminal que tiene un riesgo activo asociado. Una máquina en peligro solo puede, por diseño, tener un riesgo activo a la vez.
Aplicabilidad
Windows y Mac
Acciones automatizadas disponibles
-
Realizar una instantánea de diagnóstico al comprometer: realiza una instantánea de diagnóstico de un equipo cuando se produce un riesgo. Un evento de compromiso es básicamente un evento enviado por un conector que notifica algo potencialmente malicioso que sucede.
Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada.
![Automated Actions Available](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-00.png)
![Conditions to Trigger Automated Action](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-01.png)
Este es un ejemplo de una máquina en riesgo:
![Example of a Compromised Machine](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-02.png)
Este es el registro de la acción automatizada (desde la ficha Registro de auditoría)
![Log of the Automated Action](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-03.png)
-
Aislar un equipo en caso de riesgo: aísla equipos cuando se produce un riesgo.
Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada. El límite de velocidad le protege contra las detecciones de falsos positivos. La función Rate Limit (Límite de velocidad) examina el número total de aislamientos en un período de 24 horas. Si el número de aislamientos es mayor que el límite, no se activarán más aislamientos. Los equipos se vuelven a aislar una vez que el número de eventos de riesgo cae por debajo del límite del período de 24 horas rotatorias o se detiene el aislamiento en los equipos que se aislaron automáticamente.
![Isolate a Computer upon Compromise - Take Forensic Snapshot](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-04.png)
![Conditions to Trigger an Automated Action When a Compromise Occurs](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-05.png)
Este es un ejemplo de una máquina en riesgo:
![Example of a Compromised Machine](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-06.png)
Este es el registro de la acción automatizada (de la ficha Registro de auditoría):
![Log of the Automated Action From Audit Log Tab](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-07.png)
-
Enviar a Secure Malware Analytics upon Detection: Enviar un archivo a Secure Malware Analytics for File Analysis cuando se produce una detección.
Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada.
![Submit to Secure Malware upon Detection](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-08.png)
![Conditions to Trigger Automated Action](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-09.png)
Ejemplo de una máquina en peligro:
![Example of Compromised Machine with Malware Detected](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-10.png)
En este caso, el archivo se envió previamente a Secure Malware analytics, por lo que el análisis del archivo ya estaba hecho. Ejemplo de lo siguiente:
![File Already Done as Malware Previously Submitted](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-11.png)
Nota: esta acción automatizada no está asociada a compromisos y se ejecuta por detección.
- Mover equipo a grupo en caso de riesgo: mueva equipos de sus grupos actuales a otro grupo cuando se desencadene la acción. Esto le permite mover equipos comprometidos a un grupo con una directiva que tiene una configuración de motor y de análisis más agresiva para remediar el riesgo.
Condiciones para desencadenar esta acción automatizada: los eventos de la gravedad seleccionada o superior desencadenan la acción automatizada.
![Move Computer to Group upon Compromise](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-12.png)
![Trigger the Automated Action](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-13.png)
Este es el equipo del grupo original:
![Computer in the Original Group](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-14.png)
Estos son los eventos de compromiso:
![Events of the Compromise](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-15.png)
Este es el registro de la acción automatizada (de la ficha Registro de auditoría):
![Log of the Automated Action (from Audit Log Tab)](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-16.png)
El equipo se movió al grupo especificado en la configuración Acción automatizada:
![Computer Moved to Specified Group in the Automated Action Setting](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-17.png)
Registros de acciones
Esta es la lista completa de los registros de acciones automatizadas de la ficha Acciones automatizadas:
![Automated Action Logs](/c/dam/en/us/support/docs/security/secure-endpoint/220184-identify-conditions-to-trigger-automated-18.png)
Información Relacionada
Guía del usuario de terminales seguros