Symantec Advanced Threat Protection (ATP) usa un motor de reglas para determinar cuándo debe crear incidentes basados en la gravedad de los eventos relacionados. Los incidentes que incluyen eventos que Symantec conoce como parte de un ataque dirigido tienen prioridad sobre los incidentes sin dichos eventos. Los incidentes con una cantidad elevada de eventos tienen prioridad mayor que los incidentes con menos eventos. Los incidentes con eventos que ocurrieron más recientemente tienen prioridad mayor que los incidentes más viejos.
Se envía una notificación cuando se crea un incidente. No se envían nuevos correos electrónicos para el mismo incidente si ATP agrega eventos adicionales a ese incidente. Y los eventos adicionales se agregan solamente si ocurren antes de que pasen 7 días de la creación del incidente. Si está investigando un incidente durante varios días, pueden ocurrir más eventos. Symantec recomienda que al final de un día cierre el incidente si todos los eventos que se relacionan con ese incidente han sido investigados. De esa manera, al día siguiente podrá ver si hay nuevos eventos que solucionar. Tenga en cuenta que cerrar un incidente no lo elimina. Aún aparece en la parte inferior de la lista Incident (Incidente) o puede filtrar la lista Incident (Incidente) para mostrar solo los incidentes cerrados.
ATP crea incidentes y les asigna prioridades según los siguientes criterios:
Ver Los incidentes que crea ATP
Ver Acerca de los eventos, los incidentes y las entidades
Gracias por sus comentarios. Háganos saber a continuación si tiene comentarios adicionales. (requiere inicio de sesión)