¿Qué son los incidentes de Netskope?
Resumen: Los incidentes de Netskope se pueden analizar siguiendo las instrucciones que se muestran a continuación.
Síntomas
Un incidente de Netskope es cualquier acción que difiera del funcionamiento normal, como indique un administrador de Netskope, ya sea mediante perfiles personalizados o predefinidos. Netskope divide estos incidentes como incidentes de prevención de pérdida de datos (DLP), anomalías, credenciales en riesgo o archivos que se han puesto en cuarentena o se han colocado en un estado de retención para asuntos legales.
Productos afectados:
Netskope
Causa
No corresponde.
Resolución
Para acceder a las páginas de incidentes:
- En un navegador web, vaya a la consola web de Netskope:
- Centro de datos en los Estados Unidos: https://[TENANT].goskope.com/
- Centro de datos en la Unión Europea: https://[TENANT].eu.goskope.com/
- Centro de datos en Fráncfort: https://[TENANT].de.goskope.com/
- Inicie sesión en la consola web de Netskope.
- Haga clic en Incidents.
- Haga clic en la página de incidentes correspondiente.
Para obtener más información sobre los incidentes, haga clic en la opción correspondiente.
La página DLP contiene información sobre los incidentes de DLP en el entorno.
En la página DLP, se proporciona la siguiente información sobre cada incidente de DLP:
- Objeto: Muestra el archivo u objeto que provocó la violación. Cuando haga clic en el objeto, se abrirá una página con más detalles en la que puede cambiar el estado, asignar incidentes, cambiar la gravedad y tomar medidas.
- Aplicación: Muestra la aplicación que provocó la violación.
- Exposición: Muestra los archivos categorizados por exposición, como Public - Indexed, Public - Unlisted, Public, Private, Externally Shared, Internally Shared y Enterprise Shared.
- Violación: Muestra el número de violaciones dentro del archivo.
- Última acción: Muestra la acción más reciente.
- Estado: Muestra el estado del evento. Existen tres categorías de estado: New, In Progress y Resolved.
- Usuario asignado: Muestra quién tiene la tarea de monitorear el evento.
- Gravedad: Muestra el nivel de gravedad. Hay cuatro niveles: Low, Medium, High y Critical.
- Registro de fecha y hora: Muestra la fecha y la hora de la violación.
En la página Anomalies, se proporciona información sobre los diversos tipos de anomalías detectadas.
Existes tres categorías en la página de anomalías. Para obtener más información, haga clic en la categoría correspondiente.
En la página Summary, se muestran el total de anomalías, las anomalías por nivel de riesgo y las dimensiones anómalas (porcentaje por categoría). También hay tablas en las que se muestran las anomalías por perfiles y usuarios. Se puede usar el campo de consulta para buscar anomalías específicas. La página Summary también contiene filtros para ver todas las anomalías, las nuevas, las basadas en un perfil específico, o para clasificarlas según el nivel de riesgo.
Haga clic en By Profile para ver el número de anomalías detectadas de cada tipo, junto con el registro de fecha y hora más reciente. Solo se muestran los perfiles de las anomalías detectadas.
Haga clic en By User para ver cuántas anomalías tiene cada usuario, junto con la distribución del nivel de riesgo. Haga clic en un elemento para abrir la página de detalles a fin de obtener información específica sobre perfiles o usuarios.
En la página Details, se muestra información detallada acerca de las anomalías. En esta página, se reconocen todas las anomalías o algunas específicas. Se puede usar el campo de consulta para buscar anomalías específicas. La página Details también contiene filtros para ver todas las anomalías, las nuevas, las basadas en un perfil específico, o para clasificarlas según el nivel de riesgo.
La información que se encuentra en la página Details incluye lo siguiente:
- Nivel de riesgo
- Dirección de correo electrónico del usuario
- Tipo de perfil
- Descripción
- Dimension
- Registro de fecha y hora
Haga clic en un elemento para ver información detallada sobre riesgos, aplicaciones y usuarios. Para eliminar una o más anomalías, active la casilla de verificación junto a uno de los elementos, y haga clic en Acknowledge o en Acknowledge All.
La página Configure permite activar o desactivar el rastreo de perfiles de anomalías, y configurar el monitoreo de estas.
Para configurar un perfil, haga clic en el icono de lápiz en la columna Configuration. Para configurar las aplicaciones, haga clic en Select Applications. Haga clic en Apply Changes para guardar las configuraciones.
Perfiles disponibles:
| Perfiles | Uso |
|---|---|
| Aplicaciones | Configurar las aplicaciones que desea que realicen la detección de anomalías. |
| Proximity Event | Configurar la distancia (en millas) entre dos ubicaciones o la hora (en horas) para cuando se produzca el cambio de ubicación. Además, puede autorizar una lista de ubicaciones de redes de confianza, lo que permite identificar las redes de confianza y ajustar la detección de anomalías de proximidad. |
| Rare Event | Configurar un período para un caso inusual en un cierto número de días. |
| Failed Logins | Configurar el conteo de inicios de sesión fallidos y el intervalo de tiempo. |
| Bulk Download of Files | Configurar el conteo de archivos descargados y el intervalo de tiempo. |
| Bulk Upload of Files | Configurar el conteo de archivos cargados y el intervalo de tiempo. |
| Bulk Files Deleted | Configurar el conteo de archivos eliminados y el intervalo de tiempo. |
| Data Exfiltration | Activar o desactivar la transferencia o recuperación de datos en una computadora o un servidor. |
| Shared Credentials | Configurar la autorización o la denegación de credenciales compartidas mediante intervalos de tiempo. |
En el panel Compromised Credentials, se ofrece información acerca de las credenciales en riesgo conocidas de las cuentas que utilizan los empleados.
El panel Compromised Credentials incluye lo siguiente:
- El número total de usuarios con credenciales en riesgo.
- Los usuarios identificados y detectados.
- Las referencias de medios de las vulneraciones de datos tanto en formato de tabla como de gráfico.
- La dirección de correo electrónico del usuario en riesgo.
- El estado del origen de datos.
- La fuente de la información.
- La fecha en la que las credenciales se vieron afectadas.
Para quitar una o más credenciales vulneradas, active la casilla de verificación junto a uno de los elementos, y haga clic en Acknowledge o Acknowledge All.
En la página Malware, se proporciona información sobre el malware encontrado en el entorno.
La página Malware incluye lo siguiente:
- Malware: El número de ataques de malware detectados mediante el análisis.
- Usuarios afectados: El número de usuarios que tienen archivos afectados por un ataque de malware específico.
- Archivos afectados: El número de archivos en cuarentena o que generaron una alerta.
- Nombre del malware: El nombre del malware detectado.
- Tipo de Malware: El tipo de malware detectado.
- Gravedad: La gravedad asignada al malware.
- Fecha de la última acción: La fecha en la que el análisis detectó el primer archivo y se realizó una acción en función del perfil de cuarentena seleccionado.
Haga clic en un elemento de la página para ver detalles más completos o poner en cuarentena o restaurar el archivo, o marcarlo como seguro.
La página Malicious Sites permite ver a qué sitios potencialmente maliciosos se dirigen los terminales.
La información que se muestra en esta página incluye lo siguiente:
- Sitios permitidos: Los sitios que los usuarios visitaron y que no se bloquearon.
- Total de sitios maliciosos: El número total de sitios maliciosos visitados.
- Usuarios permitidos: El número de usuarios que pueden visitar un sitio malicioso.
- Sitio: La dirección IP o URL del sitio malicioso.
- Gravedad: La clasificación de gravedad del sitio malicioso.
- Categoría: El tipo de sitio malicioso detectado.
- Destino del sitio: La ubicación desde la que se descargó el malware.
En la página Quarantine, se muestra una lista de archivos en cuarentena.
En la página Quarantine, se ofrece la siguiente información sobre el archivo en cuarentena:
- Fecha: La fecha en la que el archivo se puso en cuarentena.
- Nombre del archivo: El nombre del archivo en el momento de la cuarentena.
- Nombre original del archivo: El nombre original del archivo en cuarentena.
- Nombre de la política: El nombre de la política aplicada que hace que el archivo se ponga en cuarentena.
- Violación: La violación de la política que hace que el archivo se ponga en cuarentena.
- Propietario del archivo: El propietario del archivo en cuarentena.
- Método de detección: El método utilizado para detectar la violación.
Puede realizar acciones en cada uno de los archivos en cuarentena. Seleccione la casilla de verificación junto a un archivo en cuarentena y, en la parte inferior derecha, haga clic en una de las siguientes opciones:
- Contact Owners: Permite comunicarse con el propietario del archivo en cuarentena.
- Download Files: Permite descargar el archivo de desecho.
- Take Action: Permite restaurar o bloquear el archivo de desecho.
La página Legal Hold contiene una lista de los archivos que se encuentran en retención para asuntos legales.
En la página Legal Hold, se ofrece la siguiente información sobre el archivo que se encuentra en retención para asuntos legales:
- Fecha: La fecha en la que el archivo se puso en retención para asuntos legales.
- Nombre del archivo: El nombre del archivo en el momento en el que se puso en retención para asuntos legales.
- Nombre original del archivo: El nombre original del archivo puesto en retención para asuntos legales.
- Nombre de la política: El nombre de la política aplicada que hace que el archivo quede en retención para asuntos legales.
- Violación: La violación de la política que hace que el archivo se ponga en retención para asuntos legales.
- Propietario del archivo: El propietario del archivo en retención para asuntos legales.
- Método de detección: El método utilizado para detectar la violación.
Puede realizar acciones en cada uno de los archivos en retención para asuntos legales. Seleccione la casilla de verificación junto a un archivo en retención para asuntos legales y, en la parte inferior derecha, haga clic en una de las siguientes opciones:
- Contact Owners: Permite comunicarse con el propietario del archivo.
- Download Files: Permite descargar el archivo.
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.