Compartir a través de

Inicio del uso del servicio Expertos de Defender para XDR

  • Artículo

Se aplica a:

Después de completar los pasos de incorporación y las comprobaciones de preparación de Microsoft Defender Experts for XDR, nuestros expertos comenzarán a supervisar su entorno para simplificar el servicio para que podamos realizar un servicio completo en su nombre. Durante esta fase, nuestros expertos identifican amenazas latentes, fuentes de riesgo y actividad normal.

Una vez que nuestros expertos empiecen a realizar un trabajo de respuesta completo en su nombre, comenzará a recibir notificaciones sobre incidentes que requieren pasos de corrección y recomendaciones dirigidas sobre incidentes críticos. También puede chatear con nuestros expertos o con sus administradores de entrega de servicios (SDM) con respecto a consultas importantes y revisiones periódicas de la posición empresarial y de seguridad y ver informes en tiempo real sobre el número de incidentes que hemos investigado y resuelto en su nombre.

Detección y respuesta administradas

A través de una combinación de automatización y experiencia humana, los expertos de Defender para XDR evalúan Microsoft Defender XDR incidentes, los priorizan en su nombre, filtran el ruido, llevan a cabo investigaciones detalladas y proporcionan una respuesta administrada accionable a los equipos del Centro de operaciones de seguridad (SOC).

Actualizaciones de incidentes

Una vez que nuestros expertos comienzan a investigar un incidente, los campos Asignados a y Estado del incidente se actualizan a Expertos de Defender y En curso, respectivamente.

Cuando nuestros expertos concluyen su investigación sobre un incidente, el campo clasificación del incidente se actualiza a uno de los siguientes, según los resultados de los expertos:

  • Verdadero positivo
  • Falso positivo
  • Actividad informativa y esperada

El campo Determinación correspondiente a cada clasificación también se actualiza para proporcionar más información sobre los resultados que llevaron a nuestros expertos a determinar dicha clasificación.

Captura de pantalla de la página Incidentes que muestra los campos Etiquetas, Estado, Asignado a, Clasificación y Determinación.

Si un incidente se clasifica como Falso positivo o Actividadesperada, el campo Estado del incidente se actualiza a Resuelto. A continuación, nuestros expertos concluyen su trabajo en este incidente y el campo Asignado a se actualiza a Sin asignar. Nuestros expertos pueden compartir las actualizaciones de su investigación y su conclusión al resolver un incidente. Estas actualizaciones se publican en el panel flotante Comentarios y historial del incidente.

Nota:

Los comentarios de incidentes son publicaciones unidireccionales. Los expertos de Defender no pueden responder a ningún comentario o pregunta que agregue en el panel Comentarios e historial . Para obtener más información sobre cómo corresponderse con nuestros expertos, consulte Comunicación con expertos en el servicio Microsoft Defender Experts for XDR.

De lo contrario, si un incidente se clasifica como Verdadero positivo, nuestros expertos identificarán las acciones de respuesta necesarias que deben realizarse. El método en el que se realizan las acciones depende de los permisos y niveles de acceso que haya proporcionado al servicio Expertos de Defender para XDR. Obtenga más información sobre la concesión de permisos a nuestros expertos.

  • Si ha concedido a Los expertos de Defender para XDR los permisos de acceso recomendados para operadores de seguridad, nuestros expertos podrían realizar las acciones de respuesta necesarias en el incidente en su nombre. Estas acciones, junto con un resumen de investigación, se muestran en el panel flotante Respuesta administrada del incidente en el portal de Microsoft Defender para que usted o el equipo de SOC lo revisen. Todas las acciones completadas por expertos de Defender para XDR aparecen en la sección Acciones completadas . Las acciones pendientes que requieran que usted o su equipo de SOC completen se enumeran en la sección Acciones pendientes . Para obtener más información, consulte la sección Acciones . Una vez que nuestros expertos han tomado todas las acciones necesarias sobre el incidente, su campo Estado se actualiza a Resuelto y el campo Asignado a se actualiza a Sin asignar.

  • Si ha concedido a Expertos de Defender para XDR el acceso de lector de seguridad predeterminado, las acciones de respuesta necesarias, junto con un resumen de investigación, se muestran en el panel flotante Respuesta administrada del incidente en la sección Acciones pendientes del portal de Microsoft Defender para que usted o el equipo de SOC realicen. Para obtener más información, consulte la sección Acciones . Para identificar esta entrega, el campo Estado del incidente se actualiza a Awaiting Customer Action y el campo Asignado a se actualiza al cliente.

Puede comprobar el número de incidentes que requieren su acción en el banner Expertos de Defender en la parte superior de la página principal de Microsoft Defender.

Captura de pantalla de la tarjeta Expertos de Defender en Microsoft Defender portal que muestra el número de incidentes que esperan la acción del cliente.

Para ver los incidentes que nuestros expertos han investigado o están investigando actualmente, filtre la cola de incidentes en el portal de Microsoft Defender mediante la etiqueta Expertos de Defender.

Captura de pantalla de la cola incidentes en Microsoft Defender portal filtrado para mostrar solo aquellos con la etiqueta Expertos de Defender.

Cómo usar la respuesta administrada en Microsoft Defender XDR

En el portal de Microsoft Defender, un incidente que requiere su atención mediante la respuesta administrada tiene el campo Asignado a establecido en Cliente y una tarjeta de tarea en la parte superior del panel Incidentes. Los contactos de incidentes designados también reciben una notificación por correo electrónico correspondiente con un vínculo al portal de Defender para ver el incidente. Más información sobre los contactos de notificación.

Seleccione Ver respuesta administrada en la tarjeta de tareas o en la parte superior de la página del portal (pestaña Respuesta administrada ) para abrir un panel flotante donde puede leer el resumen de investigación de nuestros expertos, completar acciones pendientes identificadas por nuestros expertos o interactuar con ellos a través del chat.

Resumen de la investigación

La sección Resumen de investigación le proporciona más contexto sobre el incidente analizado por nuestros expertos para proporcionarle visibilidad sobre su gravedad y su posible impacto si no se aborda inmediatamente. Podría incluir la escala de tiempo del dispositivo, los indicadores de ataque y los indicadores de riesgo (IOC) observados, y otros detalles.

Captura de pantalla del resumen de la investigación de respuesta administrada.

Acciones

La pestaña Acciones muestra tarjetas de tareas que contienen acciones de respuesta recomendadas por nuestros expertos.

Expertos de Defender para XDR admite actualmente las siguientes acciones de respuesta administrada con un solo clic:

Action Descripción
Aislar el dispositivo Aísla un dispositivo, lo que ayuda a evitar que un atacante lo controle y realice otras actividades, como la filtración de datos y el movimiento lateral. El dispositivo aislado seguirá conectado a Microsoft Defender para punto de conexión.
Poner archivo en cuarentena Detiene los procesos en ejecución, pone en cuarentena los archivos y elimina datos persistentes, como las claves del Registro.
Restringir ejecución de aplicación Restringe la ejecución de programas potencialmente malintencionados y bloquea el dispositivo para evitar intentos adicionales.
Liberación del aislamiento Deshace el aislamiento de un dispositivo.
Quitar restricción de aplicación Deshace la liberación del aislamiento.

Además de estas acciones de un solo clic, también puede recibir respuestas administradas de nuestros expertos que debe realizar manualmente.

Nota:

Antes de realizar cualquiera de las acciones de respuesta administrada recomendadas, asegúrese de que las configuraciones de investigación y respuesta automatizadas no las estén solucionando. Obtenga más información sobre las funcionalidades automatizadas de investigación y respuesta en Microsoft Defender XDR.

Para ver y realizar las acciones de respuesta administrada:

  1. Seleccione los botones de flecha de una tarjeta de acción para expandirla y lea más información sobre la acción necesaria.

    Captura de pantalla de la acción de respuesta administrada para aislar el servidor de producción de dispositivos.

  2. En el caso de las tarjetas con acciones de respuesta de un solo clic, seleccione la acción necesaria. El estado Acción de la tarjeta cambia a En curso y, a continuación, a Error o Completado, según el resultado de la acción.

    Captura de pantalla de la acción de respuesta administrada que muestra en curso para aislar el servidor de producción de dispositivos.

    Sugerencia

    También puede supervisar el estado de las acciones de respuesta en el portal en el Centro de acciones. Si se produce un error en una acción de respuesta, intente hacerlo de nuevo desde la página Ver detalles del dispositivo o inicie un chat con expertos de Defender.

  3. Para las tarjetas con las acciones necesarias que necesita realizar manualmente, seleccione He completado esta acción una vez que las haya realizado y, a continuación , seleccione Sí, lo he hecho en el cuadro de diálogo de confirmación que aparece.

    Captura de pantalla de la acción de respuesta administrada para confirmar la finalización de la acción.

  4. Si no desea completar una acción necesaria inmediatamente, seleccione Omitir y, a continuación , seleccione Sí, omita esta acción en el cuadro de diálogo de confirmación que aparece.

Importante

Si observa que cualquiera de los botones de las tarjetas de acción está atenuado, podría indicar que no tiene los permisos necesarios para realizar la acción. Asegúrese de que ha iniciado sesión en el portal de Microsoft Defender XDR con los permisos adecuados. La mayoría de las acciones de respuesta administradas requieren que tenga al menos el acceso del operador de seguridad.

Si sigue teniendo este problema incluso con los permisos adecuados, vaya a Ver detalles del dispositivo y complete los pasos desde allí.

Obtener visibilidad de las investigaciones de expertos de Defender en la aplicación SIEM o ITSM

A medida que expertos de Defender para XDR investigan incidentes y crean acciones de corrección, puede tener visibilidad de su trabajo sobre los incidentes en las aplicaciones de administración de eventos e información de seguridad (SIEM) y administración de servicios de TI (ITSM), incluidas las aplicaciones que están disponibles de forma inmediata.

Microsoft Sentinel

Para obtener visibilidad de incidentes en Microsoft Sentinel, active su conector de datos Microsoft Defender XDR de fábrica. Más información.

Una vez que haya activado el conector, las actualizaciones de los expertos de Defender en los campos Estado, Asignado a, Clasificación y Determinación de Microsoft Defender XDR se mostrarán en los campos Estado, Propietario y Motivo correspondientes para cerrar campos en Sentinel.

Nota:

El estado de los incidentes investigados por los expertos de Defender en Microsoft Defender XDR normalmente pasa de Activo a En curso a Espera de la acción del cliente a Resuelta, mientras que en Sentinel, sigue la ruta de acceso Nuevo a Activo a Resuelto. El Microsoft Defender XDR Status Awaiting Customer Action no tiene un campo equivalente en Sentinel; en su lugar, se muestra como una etiqueta en un incidente en Sentinel.

En la sección siguiente se describe cómo se actualiza un incidente controlado por nuestros expertos en Sentinel a medida que avanza en el recorrido de investigación:

  1. Un incidente que están investigando nuestros expertos tiene el estadoactivo y el propietario como expertos de Defender.
  2. Un incidente que nuestros expertos han confirmado como verdadero positivo tiene una respuesta administrada publicada en Microsoft Defender XDR y una etiquetaque espera la acción del cliente y el propietario aparece como Cliente. Debe actuar en función del incidente en función del uso de la respuesta administrada proporcionada.
  3. Una vez que nuestros expertos han concluido su investigación y cerrado un incidente como Falso positivo o Actividad informativa esperada, el estado del incidente se actualiza a Resuelto, el propietario se actualiza a Sin asignar y se proporciona una razón para el cierre.

Captura de pantalla de los incidentes de Microsoft Sentinel.

Otras aplicaciones

Puede obtener visibilidad de los incidentes en la aplicación SIEM o ITSM mediante la API de Microsoft Defender XDR o los conectores de Sentinel.

Después de configurar un conector, las actualizaciones de los expertos de Defender en los campos Estado, Asignado a, Clasificación y Determinación de un incidente en Microsoft Defender XDR se pueden sincronizar con las aplicaciones SIEM o ITSM de terceros, en función de cómo se haya implementado la asignación de campos. Para ilustrar, puede echar un vistazo al conector disponible desde Sentinel a ServiceNow.

Obtener visibilidad en tiempo real con los informes de Expertos de Defender para XDR

Expertos de Defender para XDR incluye un informe interactivo a petición que proporciona un resumen claro del trabajo que están realizando nuestros analistas expertos en su nombre, información agregada sobre el panorama de incidentes y detalles pormenorizadas sobre incidentes específicos. El administrador de entrega de servicios (SDM) también usa el informe para proporcionarle más contexto con respecto al servicio durante una revisión empresarial mensual.

Captura de pantalla del informe Expertos de Defender para XDR.

Cada sección del informe está diseñada para proporcionar más información sobre los incidentes que nuestros expertos investigaron y resolvieron en su entorno en tiempo real. También puede seleccionar el intervalo de fechas para obtener información detallada sobre los incidentes en función de la gravedad, la categoría y comprender el tiempo necesario para investigar y resolver un incidente durante un período específico.

Descripción del informe expertos de Defender para XDR

La sección superior del informe Expertos de Defender para XDR proporciona el porcentaje de incidentes resueltos en su entorno, lo que le proporciona transparencia en nuestras operaciones. Este porcentaje se deriva de las siguientes cifras, que también se presentan en el informe:

  • Investigado : el número de amenazas activas y otros incidentes de la cola de incidentes que hemos evaluado, investigado o investigado actualmente dentro de nuestro ámbito.
  • Resuelto : el número total de incidentes investigados que se cerraron.
  • Resuelto directamente : el número de incidentes investigados que hemos podido cerrar directamente en su nombre.
  • Resuelto con la ayuda : el número de incidentes investigados que se resolvieron debido a la acción en una o varias tareas de respuesta administradas.

En la sección Promedio de tiempo para resolver incidentes se muestra un gráfico de barras del tiempo medio, en minutos, que nuestros expertos dedicaron a investigar y cerrar incidentes en su entorno y el tiempo medio que ha dedicado a realizar las acciones de respuesta administrada necesarias.

Las secciones Incidentes por gravedad, Incidentes por categoría e Incidentes por origen de servicio desglosan los incidentes resueltos por gravedad, técnica de ataque y origen del servicio de seguridad de Microsoft, respectivamente. Estas secciones le permiten identificar posibles puntos de entrada de ataques y tipos de amenazas detectadas en su entorno, evaluar su impacto y desarrollar estrategias para mitigarlas y evitarlas. Seleccione Ver incidentes para obtener una vista filtrada de la cola de incidentes en función de las selecciones realizadas en cada una de las dos secciones.

En la sección Recursos más afectados se muestran los usuarios y dispositivos del entorno que participaron en el mayor número de incidentes durante el intervalo de fechas seleccionado. Puede ver el volumen de incidentes en los que participó cada recurso. Seleccione un recurso para obtener una vista filtrada de la cola de incidentes en función de los incidentes que incluyeron dicho recurso.

Búsqueda administrada proactiva

Expertos de Defender para XDR también incluye la búsqueda proactiva de amenazas ofrecida por Expertos de detección de Microsoft Defender. Expertos de detección de Defender se creó para clientes que tienen un sólido centro de operaciones de seguridad, pero que quieren que Microsoft les ayude a buscar amenazas de forma proactiva mediante Microsoft Defender datos. Este servicio proactivo de búsqueda de amenazas va más allá del punto de conexión para buscar puntos de conexión, Office 365, aplicaciones en la nube e identidad. Nuestros expertos investigan todo lo que encuentren y luego entregan la información de alerta contextual junto con las instrucciones de corrección para que pueda responder rápidamente.

Solicitud de conocimientos avanzados sobre amenazas a petición

Seleccione Preguntar a expertos de Defender directamente en el portal de Microsoft Defender XDR para obtener respuestas rápidas y precisas a todas las preguntas sobre amenazas. Los expertos pueden proporcionar información para comprender mejor las complejas amenazas a las que puede enfrentarse su organización. Consulte a un experto para:

  • Recopile información adicional sobre alertas e incidentes, incluidas las causas principales y el ámbito.
  • Obtenga claridad sobre los dispositivos sospechosos, las alertas o los incidentes y obtenga los pasos siguientes si se enfrenta a un atacante avanzado.
  • Determine los riesgos y las protecciones disponibles relacionadas con los grupos de actividad, las campañas o las técnicas emergentes de los atacantes.

Nota:

Ask Defender Experts no es un servicio de respuesta a incidentes de seguridad. Está pensado para proporcionar una mejor comprensión de las amenazas complejas que afectan a su organización. Engage con su propio equipo de respuesta a incidentes de seguridad para solucionar problemas urgentes de respuesta a incidentes de seguridad. Si no tiene su propio equipo de respuesta a incidentes de seguridad y desea la ayuda de Microsoft, cree una solicitud de soporte técnico en el Centro de servicios Premier.

La opción Preguntar a expertos de Defender está disponible en las páginas de incidentes y alertas para que pueda formular preguntas contextuales sobre un incidente o una alerta específicos:

  • Menú flotante de la página Alertas:

Captura de pantalla de la opción de menú Preguntar a los expertos de Defender en el menú desplegable de la página Alertas del portal de Microsoft Defender.

  • Menú acciones de la página Incidentes:

Captura de pantalla de la opción de menú Preguntar a expertos de Defender en el menú acciones de la página Incidentes del portal de Microsoft Defender.

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.