Vincular los resultados de la consulta a un incidente

Nota:

¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.

Se aplica a:

• Microsoft Defender XDR

Puede usar el vínculo a la característica de incidente para agregar resultados de consultas de búsqueda avanzadas a un incidente nuevo o existente que se está investigando. Esta característica le ayuda a capturar fácilmente registros de actividades de búsqueda avanzadas, lo que le permite crear una escala de tiempo o un contexto más completos de eventos relacionados con un incidente.

Vinculación de resultados a incidentes nuevos o existentes

1. En la página consulta de búsqueda avanzada, escriba primero la consulta en el campo de consulta proporcionado y, después, seleccione Ejecutar consulta para obtener los resultados.

   

2. En la página Resultados, seleccione los eventos o registros relacionados con una investigación nueva o actual en la que está trabajando y, a continuación, seleccione Vincular al incidente.

   

3. Busque la sección Detalles de la alerta en el panel Vincular a incidente y, a continuación, seleccione Crear nuevo incidente para convertir los eventos en alertas y agruparlos en un nuevo incidente:

   

   O bien, seleccione Vincular a un incidente existente para agregar los registros seleccionados a uno existente. Elija el incidente relacionado en la lista desplegable de incidentes existentes. También puede escribir los primeros caracteres del nombre o identificador del incidente para buscar el incidente existente.

   

4. Para cualquiera de las selecciones, proporcione los detalles siguientes y, a continuación, seleccione Siguiente:

   • Título de alerta : proporcione un título descriptivo para los resultados que los respondedores de incidentes pueden comprender. Este título descriptivo se convierte en el título de la alerta.
   • Gravedad : elija la gravedad aplicable al grupo de alertas.
   • Categoría : elija la categoría de amenaza adecuada para las alertas.
   • Descripción : proporcione una descripción útil para las alertas agrupadas.
   • Acciones recomendadas : proporcione acciones de corrección.

5. En la sección Entidades afectadas , seleccione la entidad principal afectada o afectada. En esta sección solo aparecen las entidades aplicables basadas en los resultados de la consulta. En nuestro ejemplo, usamos una consulta para buscar eventos relacionados con un posible incidente de filtración de correo electrónico, por lo que el remitente es la entidad afectada. Si hay cuatro remitentes diferentes, por ejemplo, se crean cuatro alertas y se vinculan al incidente elegido.

   

6. Seleccione Siguiente.

7. Revise los detalles que ha proporcionado en la sección Resumen .

8. Seleccione Listo.

Visualización de registros vinculados en el incidente

Puede seleccionar el nombre del incidente para ver el incidente al que están vinculados los eventos.

En nuestro ejemplo, las cuatro alertas, que representan los cuatro eventos seleccionados, se vincularon correctamente a un nuevo incidente.

En cada una de las páginas de alerta, puede encontrar la información completa sobre el evento o los eventos en la vista de escala de tiempo (si está disponible) y en la vista de resultados de la consulta.

También puede seleccionar el evento para abrir el panel Inspeccionar registro .

Filtrar por los eventos agregados mediante la búsqueda avanzada

Puede ver qué alertas se generaron a partir de la búsqueda avanzada filtrando la cola incidentes y la cola de alertas por origen de detección manual .

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.