Investigar y responder con Microsoft Defender XDR
Estas son las tareas principales de investigación y respuesta para Microsoft Defender XDR:
- Responder a los incidentes
- Revisión y aprobación de acciones de corrección automática
- Búsqueda de amenazas conocidas en los datos
- Descripción de los últimos ciberataques
Respuesta a incidentes
Los servicios y aplicaciones de Microsoft 365 crean alertas cuando detectan un evento o actividad sospechosos o malintencionados. Las alertas individuales proporcionan pistas valiosas sobre un ataque completado o en curso. Sin embargo, los ataques suelen emplear varias técnicas en distintos tipos de entidades, como dispositivos, usuarios y buzones de entrada. El resultado son varias alertas para varias entidades del espacio empresarial. Dado que reunir las alertas individuales para obtener información sobre un ataque puede ser complicado y lento, Microsoft Defender XDR agrega automáticamente las alertas y su información asociada a un incidente.
De forma continua, debe identificar los incidentes de mayor prioridad para el análisis y la resolución en la cola de incidentes y prepararlos para la respuesta. Esta es una combinación de:
- Priorizar para determinar los incidentes de mayor prioridad mediante el filtrado y la ordenación de la cola de incidentes. Esto también se conoce como triaging.
- Administrar incidentes modificando su título, asignándolos a un analista, agregando etiquetas y comentarios, y cuando se resuelven, clasificándolos.
Para cada incidente, use el flujo de trabajo de respuesta a incidentes para analizar el incidente y sus alertas y datos para contener el ataque, erradicar la amenaza, recuperarse del ataque y aprender de él. Consulte este ejemplo para obtener Microsoft Defender XDR.
Investigación y corrección automatizadas
Si su organización usa Microsoft Defender XDR, el equipo de operaciones de seguridad recibe una alerta en el portal de Microsoft Defender cada vez que se detecta una actividad o artefacto malintencionado o sospechoso. Dado el flujo sin fin de amenazas que pueden llegar, los equipos de seguridad a menudo se enfrentan al desafío de abordar el gran volumen de alertas. Afortunadamente, Microsoft Defender XDR incluye funcionalidades de investigación y respuesta automatizadas (AIR) que pueden ayudar al equipo de operaciones de seguridad a abordar las amenazas de forma más eficaz y eficaz.
Cuando se completa una investigación automatizada, se alcanza un veredicto por cada prueba de un incidente. En función del veredicto, se identifican las acciones de corrección. En algunos casos, las acciones de corrección se realizan automáticamente; en otros casos, las acciones de corrección esperan la aprobación a través del centro de acción de Microsoft Defender XDR.
Para obtener más información, consulte Investigación y respuesta automatizadas en Microsoft Defender XDR.
Búsqueda proactiva de amenazas con búsqueda avanzada
No es suficiente responder a los ataques a medida que se producen. Para ataques extendidos de varias fases, como ransomware, debe buscar proactivamente la evidencia de un ataque en curso y tomar medidas para detenerlo antes de que se complete.
La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas en Microsoft Defender XDR que permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. Este acceso flexible a los datos Microsoft Defender XDR permite la búsqueda sin restricciones de amenazas conocidas y potenciales.
Puede usar las mismas consultas de búsqueda de amenazas para crear reglas de detección personalizadas. Estas reglas se ejecutan automáticamente para buscar y, a continuación, responder a sospechas de actividad de infracción, máquinas mal configuradas y otros hallazgos.
Consulte Búsqueda proactiva de amenazas con búsqueda avanzada en Microsoft Defender XDR para obtener más información.
Adelantarse a las amenazas emergentes con el análisis de amenazas
El análisis de amenazas es una funcionalidad de inteligencia sobre amenazas en Microsoft Defender XDR diseñada para ayudar al equipo de seguridad a ser lo más eficaz posible frente a amenazas emergentes. Incluye análisis detallados e información sobre:
- Actores de amenazas activos y sus campañas
- Técnicas de ataque populares y nuevas
- Vulnerabilidades críticas
- Superficies de ataque comunes
- Malware frecuentes
El análisis de amenazas también incluye información sobre incidentes relacionados y recursos afectados dentro del inquilino de Microsoft 365 para cada amenaza identificada.
Cada amenaza identificada incluye un informe de analista, un análisis completo de la amenaza escrito por investigadores de seguridad de Microsoft que están a la vanguardia de la detección y el análisis de ciberseguridad. Estos informes también pueden proporcionar información sobre cómo aparecen los ataques en Microsoft Defender XDR.
Para obtener más información, consulte Análisis de amenazas en Microsoft Defender XDR.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de