Sobre los incidentes
3 de julio de 2024
ID 276796
Que es un incidente
En el contexto de la seguridad informática, un incidente es cualquier evento imprevisto o no deseado capaz de interrumpir las actividades normales o la seguridad de la información.
Un evento son los signos externos identificados de un estado particular de un sistema, servicio o red.
Dentro del marco de la solución Kaspersky MDR, el criterio principal para decidir si la actividad observada es un incidente es la capacidad de implementar medidas eficientes para contrarrestar, prevenir o reducir posibles daños derivados de esta actividad. Consulte la tabla a continuación para ver ejemplos de posibles criterios de incidentes y medidas de respuesta según el origen del evento.
Ejemplos de criterios de detección de incidentes y medidas de respuesta
Origen del evento | Criterios posibles del incidente | Respuestas posibles del incidente |
|---|---|---|
Dispositivo endpoint |
|
|
Dispositivo endpoint + red | Evento de seguridad de una tecnología compatible de detección de red que ha sido confirmado en el dispositivo endpoint. |
|
Detección de incidentes
Caso 1. Detección de incidentes mediante la solución Kaspersky MDR
En este caso, se detecta un incidente de seguridad de la información como resultado del funcionamiento de Kaspersky MDR. El incidente se registra automáticamente en el sistema de seguimiento de incidentes. El nivel de prioridad del incidente predeterminado se puede cambiar más adelante, pero será necesario especificar el motivo del cambio según la tabla de niveles de prioridad del incidente (consulte a continuación). Kaspersky MDR procesa los incidentes registrados para obtener rápidamente información acerca del estado de la infraestructura de TI del Cliente.
Si como resultado del análisis se logra identificar las causas raíz del incidente, se proporcionan al cliente recomendaciones de respuesta. Si no hay suficiente información para identificar la causa raíz del incidente, se proporcionan al cliente toda la información disponible y los resultados del análisis para que haga una investigación independiente.
Caso 2. Detección de incidentes por parte del cliente (la creación de incidentes personalizados no está disponible en algunos de los niveles de licencias comerciales)
En este caso, el cliente detecta los incidentes de seguridad de la información, independientemente del funcionamiento de Kaspersky MDR. Si se necesita que Kaspersky MDR procese los incidentes, el cliente puede registrarlo manualmente y proporcionar toda la información disponible sobre el incidente detectado mediante las funciones de Kaspersky MDR. De forma predeterminada, el nivel de prioridad del incidente se establece en Bajo, a menos que el cliente especifique lo contrario al registrarlo.
El procesamiento posterior del incidente es similar al del caso 1.
Niveles de prioridad de incidentes
Niveles de prioridad de incidentes y sus descripciones
Nivel de prioridad del incidente | Descripción |
|---|---|
Alta | Incidentes que, en opinión de los expertos de AO Kaspersky Lab, pueden provocar interrupciones importantes o acceso no autorizado a los activos del cliente supervisados por Kaspersky MDR. Ejemplo: rastros identificados de un ataque selectivo o una amenaza desconocida que requieren más investigación mediante métodos forenses digitales. |
Media | Incidentes que, en opinión de los expertos de AO Kaspersky Lab, pueden afectar la eficiencia o el rendimiento de los activos del cliente supervisados por Kaspersky MDR, o pueden resultar en un evento único de corrupción de los datos. |
Baja | Incidentes que, en opinión de los expertos de AO Kaspersky Lab, no afectan en gran medida la eficiencia o el rendimiento de los activos del cliente supervisados por Kaspersky MDR. Por ejemplo, software potencialmente no deseado identificado, como adware o software de riesgo. |
El nivel de prioridad del incidente predeterminado es Baja.
Objetivos de rendimiento de la prestación de la solución
Tiempo de reacción estimado y valor de rapidez de la entrega de respuesta de Kaspersky MDR según la prioridad del incidente
Nivel de prioridad del incidente | Tiempo de reacción | Valor objetivo |
|---|---|---|
Alta | 1 hora | 90 % |
Media | 4 horas | 90 % |
Baja | 24 horas | 90 % |
El incidente se considerará resuelto si se proporcionaron al cliente recomendaciones sobre qué medidas de respuesta tomar.
* El tiempo de reacción es el tiempo entre la detección del incidente (hora de creación) y su publicación en MDR Web Console (hora de actualización).
Valor objetivo: porcentaje de incidentes en los que el tiempo de reacción coincide con el valor estimado especificado en la tabla.