Vista Detallada de Alertas
Examine y gestione alertas individuales con información completa
Descripción General
La Vista Detallada de Alertas proporciona una interfaz completa para examinar y gestionar alertas individuales. Esta vista muestra toda la información relevante sobre una alerta específica y ofrece herramientas para su investigación y resolución.
Componentes Principales
Encabezado de Alerta
El encabezado muestra información esencial:
- Título de la alerta
- Indicador de severidad
- Estado actual
- Fecha de creación
- Fuente de la alerta
- Acciones rápidas
Panel de Información
Proporciona detalles completos sobre la alerta:
- Descripción detallada
- Asignación de analista
- Etiquetas asociadas
- Campos personalizados
- Información de tiempo
Observables
Muestra los indicadores técnicos asociados con la alerta:
- Direcciones IP
- Dominios
- URLs
- Hashes de archivos
- Cuentas de usuario
- Otros observables personalizados
Cronología de Actividades
Registra todas las acciones realizadas en la alerta:
- Creación inicial
- Cambios de estado
- Asignaciones
- Comentarios
- Modificaciones de campos
- Acciones del sistema
Comentarios y Notas
Permite la colaboración entre analistas:
- Añadir comentarios
- Adjuntar archivos
- Mencionar a otros usuarios
- Formatear texto con Markdown
- Historial de ediciones
Pestañas Funcionales
Información General
La vista predeterminada que muestra:
- Detalles básicos
- Descripción
- Campos personalizados
- Observables principales
Observables
Vista detallada de todos los observables:
- Filtrado por tipo
- Detalles de enriquecimiento
- Acciones de investigación
- Adición de nuevos observables
Alertas Similares
Identifica alertas relacionadas basadas en:
- Observables comunes
- Patrones similares
- Proximidad temporal
- Fuente común
Análisis con IA
Proporciona análisis automatizado:
- Evaluación de riesgo
- Patrones identificados
- Recomendaciones de acción
- Contexto adicional
Historial de Cambios
Muestra un registro completo de modificaciones:
- Cambios de estado
- Actualizaciones de campos
- Modificaciones de observables
- Acciones del sistema
Acciones Disponibles
Gestión de Estado
- Cambiar estado de la alerta
- Asignar a analista
- Establecer prioridad
- Actualizar severidad
Creación de Caso
- Crear nuevo caso desde la alerta
- Añadir a caso existente
- Establecer relaciones con casos
Acciones de Investigación
- Enriquecer observables
- Buscar inteligencia de amenazas
- Ejecutar análisis automatizado
- Documentar hallazgos
Colaboración
- Añadir comentarios
- Mencionar a compañeros
- Compartir hallazgos
- Adjuntar evidencias
Mejores Prácticas
1. Investigación Eficiente
- Revisar todos los observables
- Documentar hallazgos en comentarios
- Utilizar análisis de IA para orientación
- Verificar alertas similares
2. Gestión de Estado
- Actualizar estado según progresa la investigación
- Asignar correctamente para seguimiento
- Documentar razones de cambios de estado
- Mantener campos actualizados
3. Documentación
- Registrar todas las acciones tomadas
- Documentar decisiones clave
- Añadir contexto a los hallazgos
- Mantener notas claras y concisas
4. Resolución
- Documentar acciones de remediación
- Proporcionar justificación para cierre
- Vincular a casos relacionados
- Actualizar todos los campos relevantes