Revisar Investigaciones de MDR

Aplica A: WatchGuard Core MDR, WatchGuard Core MDR for Microsoft

La página Investigaciones en el portal de Servicios Administrados muestra una lista de alertas de MDR correspondientes a su cuenta. Las investigaciones son una combinación de alertas automáticas y manuales que WatchGuard envía a su equipo sobre acciones importantes que el equipo del WatchGuard SOC tomó para proteger su entorno o sobre elementos que usted debe investigar más a fondo.

Puede usar la página Investigaciones para filtrar investigaciones y luego revisar sus detalles.

Para abrir la página Investigaciones:

En WatchGuard Cloud, seleccione Monitorizar > Servicios Administrados.
El portal de Servicios Administrados se abre en una nueva pestaña del navegador.
Si es un Service Provider, seleccione su cuenta Subscriber de la lista desplegable.
Seleccione Actividad > Investigaciones.
Se abre la página Investigaciones.

Screen shot of MDR portal Investigations page

Estado de la Investigación

Cuando WatchGuard MDR detecta un incidente que representa una posible amenaza, la detección se convierte en una investigación. Inicialmente, el estado aparece como Esperando a ActZero y luego, cambia a medida que el equipo del WatchGuard SOC investiga el incidente y trabaja con usted para resolver el problema o la posible amenaza.

Una investigación puede estar en uno de estos estados:

Esperando a ActZero

Los analistas del WatchGuard SOC están investigando el problema.

Esperando al Cliente

El equipo del WatchGuard SOC está esperando que el cliente confirme que el problema está resuelto, responda a la investigación con un comentario o que tome las medidas necesarias para resolver el problema.

Resuelto

El problema está resuelto. No hay acciones pendientes para el equipo del WatchGuard SOC ni el cliente.

Cerrado

Después de 48 horas, una investigación en estado Resuelto pasa al estado Cerrado. La investigación también se puede cerrar si el cliente confirma que el problema está resuelto.

Reabierto

Si el cliente agrega un comentario a una investigación cerrada, el estado cambia a Reabierto.

Revisar Detalles de la Investigación

La lista en la página Investigaciones muestra las investigaciones que coinciden con sus filtros.

Para revisar los detalles de una investigación, seleccione la investigación de la lista.
Los detalles se abren a la derecha de la lista.

Screen shot of MDR portal Investigations details

Los detalles de la investigación incluyen la fecha y hora de la alerta, el nivel de gravedad, el estado del voucher, la última fecha y hora de actualización, la identificación de la detección y el texto completo del mensaje de alerta que se envió por correo electrónico al cliente. El mensaje proporciona detalles sobre la posible amenaza y recomendaciones para remediar el incidente.

Para ver la detección que generó la investigación en la página Detecciones, haga clic en ID de la Detección. Según el estado del voucher, también puede responder a la investigación.

Responder a una Investigación

Cuando el estado de una investigación es Esperando al Cliente, puede tomar una acción o responder al equipo del SOC con un comentario.

Tomar Acción desde el Portal

Si está disponible, puede hacer clic en uno de estos botones de acción en los detalles de la investigación:

Restablecer Contraseña del Usuario — Desactiva la cuenta de usuario afectada, cierra la sesión del usuario en todas las sesiones activas, restablece la contraseña del usuario y restablece la MFA para el usuario.
Ignorar Detección — Cierra la investigación.

Tomar Acción en su Red o Entorno

Si el mensaje en los detalles de la alerta sugiere pasos para remediar el incidente, puede actuar directamente en su red o entorno y luego agregar un comentario en los detalles del incidente para informar sobre las acciones que tomó.

Responder con un Comentario

Para enviar información sobre la investigación al equipo del WatchGuard SOC, desplácese hasta la parte inferior de los detalles de la alerta. En el cuadro de texto Comentario, ingrese su mensaje y haga clic en Actualizar.

Ordenar y Filtrar la Lista de Investigaciones

De forma predeterminada, la lista de investigaciones muestra todas investigaciones del período seleccionado, ordenadas por hora en orden descendente, de modo que las investigaciones más recientes aparezcan primero en la lista. Para cambiar el orden de las investigaciones, haga clic en el encabezado de una columna.

Para personalizar qué investigaciones ve, puede filtrar la lista por fecha, gravedad, origen, estado y hora.

Gravedad

Para filtrar la lista de investigaciones por gravedad, en la lista gravedad, seleccione una o más opciones.

Origen

Para filtrar la lista de investigaciones por origen, seleccione una o varias de estas opciones:

Endpoint — Endpoints conectados que ejecutan WatchGuard Endpoint Security o Microsoft Defender.
Cloud — Servicios en la nube conectados, como Office 365.

Estado

Para filtrar la lista de investigaciones por estado, seleccione una o varias de estas opciones.

Hora

De forma predeterminada, la lista de investigaciones muestra las investigaciones que ocurrieron en los últimos 30 días. Para filtrar la lista de investigaciones por intervalo de fechas, en la sección Hora, seleccione un período de horas o un intervalo de fechas personalizado.

Para restablecer los filtros, haga clic en Restablecer Filtro. Para exportar la lista de investigaciones a un archivo .CSV, haga clic en Exportar.

Temas Relacionados

Revisar Detecciones de MDR

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.