Incidencias y objetos

Una incidencia o un caso es un suceso por el que la seguridad de los datos o de un sistema se pueda ver comprometida. Un objeto representa un tipo de datos.

Los usuarios o las apps pueden crear incidencias en Orchestration & Automation. Puede supervisar el estado desde el inicio de la resolución de la incidencia.

Un playbook utiliza objetos para clasificar los tipos de datos. Debe seleccionar un tipo de objeto cuando cree un playbook, un script, una regla o un flujo de trabajo. El tipo de objeto especifica el tipo de los datos sobre los que desea actuar. Una incidencia se considera un objeto y tiene los siguientes objetos hijo:
  • Tarea. Unidad de trabajo que debe realizar un usuario, dispositivo o proceso. Orchestration & Automation maneja algunas tareas automáticamente. Otras tareas pueden asignarse a usuarios, que estos llevan a cabo manualmente y que marcarán como completadas cuando hayan terminado. Los propietarios de las incidencias pueden realizar el seguimiento del progreso de las distintas tareas.
  • Nota. Texto que se añade a una incidencia o tarea que ofrece una aclaración o información adicional.
  • Archivo adjunto. Un archivo cargado y adjuntado a una incidencia o tarea.
  • Artefacto. Los datos que dan soporte o que están relacionados con la incidencia. Orchestration & Automation organiza los artefactos por tipo, como nombre de archivo, dirección MAC, URL sospechosa, hashes de archivo MD5 y SHA1, etc. Un artefacto también puede tener un documento adjunto, como un archivo de registro o un ejemplo de programa malicioso.
  • Hito. Una fecha para un suceso importante dentro de la cronología de la incidencia.
  • Tabla de datos. Valores de campo organizados en formato tabular.
  • Mensaje de correo electrónico. Un mensaje de correo electrónico enviado a la aplicación Orchestration & Automation para su análisis.

El objeto de tarea también puede tener notas y adjuntos como objetos hijo.

La relación padre-hijo es importante en el sentido de que puede acceder a los datos del objeto hijo o padre de un objeto en una sola transacción (una instancia de una regla, un script o un flujo de trabajo), pero necesita otra transacción para acceder a otro objeto.