Sobre los incidentes

Que es un incidente

En el contexto de la seguridad informática, un incidente es cualquier evento imprevisto o no deseado capaz de interrumpir las actividades normales o la seguridad de la información.

Un evento son los signos externos identificados de un estado particular de un sistema, servicio o red.

Dentro del marco de la solución Kaspersky MDR, el criterio principal para decidir si la actividad observada es un incidente es la capacidad de implementar medidas eficientes para contrarrestar, prevenir o reducir posibles daños derivados de esta actividad. Consulte la tabla a continuación para ver ejemplos de posibles criterios de incidentes y medidas de respuesta según el origen del evento.

Ejemplos de criterios de detección de incidentes y medidas de respuesta

Origen del evento

Criterios posibles del incidente

Respuestas posibles del incidente

Dispositivo endpoint
  • La fase activa del ataque que no se ha prevenido automáticamente
  • Evidencia de persistencia maliciosa en el sistema
  • Indicadores de incidentes pasados
  • Indicadores de actividad de infiltración interna por parte del cliente (incluidos los casos en los que se repelió el ataque)
  • Detección de problemas mediante los productos de AO Kaspersky Lab instalados en los dispositivos endpoint y evaluación de la eficiencia de la corrección automática (si es técnicamente posible)
  • Acciones de respuesta manuales recomendadas
  • Acciones de respuesta automáticas solicitadas
  • Recomendaciones para concienciar a los usuarios sobre la seguridad de la información

Dispositivo endpoint + red

Evento de seguridad de una tecnología compatible de detección de red que ha sido confirmado en el dispositivo endpoint.
  • Detección de problemas mediante las soluciones de AO Kaspersky Lab instaladas en dispositivos endpoint, así como las soluciones de AO Kaspersky Lab para monitorización del tráfico de red, y evaluación de la eficiencia de la respuesta automática (si es técnicamente posible)
  • Acciones de respuesta manuales recomendadas
  • Acciones de respuesta automáticas solicitadas
  • Informar al cliente

Detección de incidentes

Caso 1. Detección de incidentes mediante la solución Kaspersky MDR

En este caso, se detecta un incidente de seguridad de la información como resultado del funcionamiento de Kaspersky MDR. El incidente se registra automáticamente en el sistema de seguimiento de incidentes. El nivel de prioridad del incidente predeterminado se puede cambiar más adelante, pero será necesario especificar el motivo del cambio según la tabla de niveles de prioridad del incidente (consulte a continuación). Kaspersky MDR procesa los incidentes registrados para obtener rápidamente información acerca del estado de la infraestructura de TI del Cliente.

Si como resultado del análisis se logra identificar las causas raíz del incidente, se proporcionan al cliente recomendaciones de respuesta. Si no hay suficiente información para identificar la causa raíz del incidente, se proporcionan al cliente toda la información disponible y los resultados del análisis para que haga una investigación independiente.

Caso 2. Detección de incidentes por parte del cliente (la creación de incidentes personalizados no está disponible en algunos de los niveles de licencias comerciales)

En este caso, el cliente detecta los incidentes de seguridad de la información, independientemente del funcionamiento de Kaspersky MDR. Si se necesita que Kaspersky MDR procese los incidentes, el cliente puede registrarlo manualmente y proporcionar toda la información disponible sobre el incidente detectado mediante las funciones de Kaspersky MDR. De forma predeterminada, el nivel de prioridad del incidente se establece en Bajo, a menos que el cliente especifique lo contrario al registrarlo.

El procesamiento posterior del incidente es similar al del caso 1.

Niveles de prioridad de incidentes

Niveles de prioridad de incidentes y sus descripciones

Nivel de prioridad del incidente

Descripción

Alta

Incidentes que, en opinión de los expertos de AO Kaspersky Lab, pueden provocar interrupciones importantes o acceso no autorizado a los activos del cliente supervisados por Kaspersky MDR.

Ejemplo: rastros identificados de un ataque selectivo o una amenaza desconocida que requieren más investigación mediante métodos forenses digitales.

Media

Incidentes que, en opinión de los expertos de AO Kaspersky Lab, pueden afectar la eficiencia o el rendimiento de los activos del cliente supervisados por Kaspersky MDR, o pueden resultar en un evento único de corrupción de los datos.

Baja

Incidentes que, en opinión de los expertos de AO Kaspersky Lab, no afectan en gran medida la eficiencia o el rendimiento de los activos del cliente supervisados por Kaspersky MDR.

Por ejemplo, software potencialmente no deseado identificado, como adware o software de riesgo.

El nivel de prioridad del incidente predeterminado es Baja.

Objetivos de rendimiento de la prestación de la solución

Tiempo de reacción estimado y valor de rapidez de la entrega de respuesta de Kaspersky MDR según la prioridad del incidente

Nivel de prioridad del incidente

Tiempo de reacción

Valor objetivo

Alta

1 hora

90 %

Media

4 horas

90 %

Baja

24 horas

90 %

El incidente se considerará resuelto si se proporcionaron al cliente recomendaciones sobre qué medidas de respuesta tomar.

* El tiempo de reacción es el tiempo entre la detección del incidente (hora de creación) y su publicación en MDR Web Console (hora de actualización).

Valor objetivo: porcentaje de incidentes en los que el tiempo de reacción coincide con el valor estimado especificado en la tabla.

Inicio de página