¿Qué son los incidentes de Netskope?
Сводка: Obtenga instrucciones paso a paso sobre cómo revisar los incidentes de Netskope siguiendo estas instrucciones.
Инструкции
Un incidente de Netskope es cualquier acción que difiera del funcionamiento normal, como indique un administrador de Netskope, ya sea mediante perfiles personalizados o predefinidos. Netskope divide estos incidentes como incidentes de prevención de pérdida de datos (DLP), anomalías, credenciales en riesgo o archivos que se han puesto en cuarentena o se han colocado en un estado de retención para asuntos legales.
Productos afectados:
- Netskope
- En un navegador web, vaya a la consola web de Netskope:
- Centro de datos en los Estados Unidos: https://[TENANT].goskope.com/
- Centro de datos en la Unión Europea: https://[TENANT].eu.goskope.com/
- Centro de datos en Fráncfort: https://[TENANT].de.goskope.com/
Nota: [TENANT] = El nombre del grupo de usuarios en su entorno - Inicie sesión en la consola web de Netskope.
- Haga clic en Incidents.
- Haga clic en la página Incidents correspondiente.
Para obtener más información sobre los incidentes, haga clic en la opción correspondiente.
La página de DLP contiene información sobre incidentes de DLP en su entorno.
En la página DLP , se proporciona esta información sobre cada incidente de DLP:
- Objeto: Muestra el archivo u objeto que provocó la violación. Si hace clic en el objeto, se abre una página con más detalles donde puede cambiar el estado, asignar incidentes, cambiar la gravedad y tomar medidas.
- Aplicación: Muestra la aplicación que provocó la violación.
- Exposición: Muestra los archivos clasificados por exposición, como Públicos indexados, Públicos no listados, Públicos, Privados, Compartidos externamente, Compartidos internamente y Compartidos empresarialmente.
- Infracción: Muestra el número de violaciones dentro del archivo.
- Última acción: Muestra la acción que se realizó más recientemente.
- Estado: Muestra el estado del evento. Existen tres categorías de estado: Nuevo, En curso y resuelto.
- Persona asignada: Muestra quién tiene la tarea de monitorear el evento.
- Gravedad: Muestra el nivel de gravedad. Hay cuatro niveles: Low, Medium, High y Critical.
- Marca de tiempo: Muestra la fecha y la hora de la violación.
En la página Anomalías, se proporciona información sobre los diversos tipos de anomalías detectadas.
Hay tres categorías de página Anomalías . Para obtener más información, haga clic en Resumen, Detalles o Configurar.
Resumen
En la página Resumen , se muestra el total de anomalías, las anomalías por nivel de riesgo y las dimensiones anómalas (porcentaje por categoría). También hay tablas en las que se muestran las anomalías por perfiles y usuarios. Se puede usar el campo de consulta para buscar anomalías específicas. La página Summary también contiene filtros para ver todas las anomalías, las nuevas, las basadas en un perfil específico, o para clasificarlas según el nivel de riesgo.
Haga clic en By Profile para ver el número de anomalías detectadas de cada tipo, junto con el registro de fecha y hora más reciente. Solo se muestran los perfiles de las anomalías detectadas.
Haga clic en By User para ver cuántas anomalías tiene cada usuario, junto con la distribución del nivel de riesgo. Haga clic en un elemento para abrir la página de detalles y obtener información específica sobre los perfiles o los usuarios.
Detalles
En la página Detalles , se muestran más detalles sobre las anomalías. En esta página, se reconocen todas las anomalías o algunas específicas. Se puede usar el campo de consulta para buscar anomalías específicas. La página Details también contiene filtros para ver todas las anomalías, las nuevas, las basadas en un perfil específico, o para clasificarlas según el nivel de riesgo.
La información que se encuentra en la página Detalles incluye:
- Nivel de riesgo
- Dirección de correo electrónico del usuario
- Tipo de perfil
- Descripción
- Dimensión
- Registro de fecha y hora
Haga clic en un elemento para ver información detallada sobre el riesgo, la aplicación y el usuario. Para eliminar una o más anomalías, active la casilla de verificación junto a uno de los elementos, y haga clic en Acknowledge o en Acknowledge All.
Configurar
La página Configure le permite habilitar o deshabilitar el rastreo de perfiles de anomalías y configurar cómo se monitorean las anomalías.
Para configurar un perfil, haga clic en el icono de lápiz en la columna Configuration. Para configurar las aplicaciones, haga clic en Select Applications. Haga clic en Apply Changes para guardar las configuraciones.
| Perfiles | Uso |
|---|---|
| Aplicaciones | Configurar las aplicaciones que desea que realicen la detección de anomalías. |
| Proximity Event | Configurar la distancia (en millas) entre dos ubicaciones o la hora (en horas) para cuando se produzca el cambio de ubicación. Además, puede autorizar una lista de ubicaciones de redes de confianza, lo que permite identificar las redes de confianza y ajustar la detección de anomalías de proximidad. |
| Rare Event | Configurar un período para un caso inusual en un cierto número de días. |
| Failed Logins | Configurar el conteo de inicios de sesión fallidos y el intervalo de tiempo. |
| Bulk Download of Files | Configurar el conteo de archivos descargados y el intervalo de tiempo. |
| Bulk Upload of Files | Configurar el conteo de archivos cargados y el intervalo de tiempo. |
| Bulk Files Deleted | Configurar el conteo de archivos eliminados y el intervalo de tiempo. |
| Data Exfiltration | Habilita o deshabilita la transferencia o recuperación de datos desde una computadora o servidor. |
| Shared Credentials | Configurar la autorización o la denegación de credenciales compartidas mediante intervalos de tiempo. |
El panel Credenciales comprometidas le informa sobre las credenciales comprometidas conocidas para las cuentas que utilizan sus empleados.
El panel Compromised Credentials incluye lo siguiente:
- Cantidad total de usuarios con credenciales comprometidas
- Usuarios identificados y detectados
- Referencias de medios de vulneración de datos en formato de tabla y gráfico
- La dirección de correo electrónico de un usuario comprometido
- Estado del origen de datos
- La fuente de información
- La fecha en que las credenciales se vieron comprometidas
Para quitar una o más credenciales vulneradas, active la casilla de verificación junto a uno de los elementos, y haga clic en Acknowledge o Acknowledge All.
En la página Malware, se proporciona información sobre malware que se encuentra en el entorno.
La página Malware incluye lo siguiente:
- Malware: La cantidad de ataques de malware detectados por el análisis
- Usuarios afectados: La cantidad de usuarios que tienen archivos que se ven afectados por un ataque de malware específico
- Archivos afectados: El número de archivos en cuarentena o que activaron una alerta
- Nombre del malware: El nombre del malware detectado
- Tipo de malware: El tipo de malware detectado
- Gravedad: La gravedad que se asigna al malware
- Fecha de la última acción: La fecha en que el análisis detectó el primer archivo y se realizó una acción en función del perfil de cuarentena seleccionado
Haga clic en un elemento de la página para ver detalles más completos o poner en cuarentena o restaurar el archivo, o marcarlo como seguro.
La página Malicious Sites le permite ver a qué puntos de conexión de sitios potencialmente maliciosos se dirigen.
La información que se muestra en esta página incluye lo siguiente:
- Sitios permitidos: Sitios que visitaron los usuarios y no fueron bloqueados
- Total de sitios maliciosos: La cantidad total de sitios maliciosos que se visitaron
- Usuarios permitidos: El número de usuarios a los que no se bloquea la visita a un sitio malicioso
- Sitio: La dirección IP o URL del sitio malicioso
- Gravedad: La clasificación de gravedad del sitio malicioso
- Categoría: El tipo de sitio malicioso detectado
- Destino del sitio: La ubicación desde donde se descargó el malware
La página Quarantine muestra una lista de archivos en cuarentena.
La página Cuarentena contiene la siguiente información sobre el archivo en cuarentena:
- Fecha: La fecha en que se puso en cuarentena el archivo
- Nombre del archivo: El nombre del archivo en el momento de la cuarentena
- Nombre del archivo original: El nombre original del archivo en cuarentena
- Nombre de la política: El nombre de la política aplicada que provoca que el archivo se ponga en cuarentena
- Infracción: La infracción de la política que provoca que el archivo se ponga en cuarentena
- Propietario del archivo: El propietario del archivo en cuarentena
- Método de detección: El método utilizado para detectar la infracción
Puede realizar acciones en cada uno de los archivos en cuarentena. Seleccione la casilla de verificación junto a un archivo en cuarentena y, en la parte inferior derecha, haga clic en una de las siguientes opciones:
- Contactar a los propietarios: Puede comunicarse con el propietario del archivo en cuarentena
- Descargar archivos: Puede descargar el archivo de desecho
- Tome medidas: Puede restaurar o bloquear el archivo de exclusión
La página Legal Hold contiene una lista de archivos que se colocan en retención para asuntos legales.
La página Legal Hold tiene la siguiente información sobre el archivo que se coloca en retención para asuntos legales:
- Fecha: La fecha en que el archivo se colocó en retención para asuntos legales
- Nombre del archivo: El nombre del archivo en el momento en que se colocó en retención para asuntos legales
- Nombre del archivo original: El nombre original del archivo que se colocó en retención para asuntos legales
- Nombre de la política: El nombre de la política aplicada, lo que hace que el archivo se coloque en retención para asuntos legales.
- Infracción: La infracción de la política que causa que el archivo se coloque en retención para asuntos legales
- Propietario del archivo: El propietario del archivo que está en retención para asuntos legales
- Método de detección: El método utilizado para detectar la infracción
Puede realizar acciones en cada uno de los archivos en retención para asuntos legales. Seleccione la casilla de verificación junto a un archivo en retención para asuntos legales y, en la parte inferior derecha, haga clic en una de las siguientes opciones:
- Contactar a los propietarios: Esto se pone en contacto con el propietario del archivo
- Descargar archivos: De esta forma, se descargará el archivo