Compartir vía


Investigación de alertas en Microsoft Defender para punto de conexión

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Investigue las alertas que afectan a la red, comprenda lo que significan y cómo resolverlas.

Seleccione una alerta de la cola de alertas para ir a la página de alertas. Esta vista contiene el título de la alerta, los recursos afectados, el panel lateral de detalles y el artículo de alertas.

En la página de alertas, comience la investigación seleccionando los recursos afectados o cualquiera de las entidades en la vista de árbol del artículo de alertas. El panel de detalles se rellena automáticamente con más información sobre lo que seleccionó. Para ver qué tipo de información puede ver aquí, lea Revisar alertas en Microsoft Defender para punto de conexión.

Investigación mediante el artículo de alertas

En el artículo de alerta se detalla por qué se desencadenó la alerta, los eventos relacionados que se produjeron antes y después, así como otras entidades relacionadas.

Las entidades se pueden hacer clic y todas las entidades que no son una alerta se pueden expandir mediante el icono de expansión del lado derecho de la tarjeta de esa entidad. La entidad en foco se indicará mediante una franja azul al lado izquierdo de la tarjeta de esa entidad, con la alerta en el título en el foco al principio.

Expanda las entidades para ver los detalles de un vistazo. Al seleccionar una entidad, se cambiará el contexto del panel de detalles a esta entidad y se le permitirá revisar más información, así como administrar esa entidad. Al seleccionar ... a la derecha de la tarjeta de entidad, se mostrarán todas las acciones disponibles para esa entidad. Estas mismas acciones aparecen en el panel de detalles cuando esa entidad está en el foco.

Nota:

La sección del artículo de alertas puede contener más de una alerta, con alertas adicionales relacionadas con el mismo árbol de ejecución que aparecen antes o después de la alerta que ha seleccionado.

un artículo de alerta con una alerta en el foco y algunas tarjetas expandidas

Investigación mediante la escala de tiempo de alertas

La escala de tiempo de alertas complementa la vista "árbol de procesos" existente al ofrecer a los usuarios una perspectiva completa sobre cada alerta. Aunque el árbol de procesos proporciona un desglose detallado de los procesos y actividades asociados de la alerta, la escala de tiempo de la alerta presenta una vista cronológica condensada que facilita la evaluación rápida de la evaluación y la toma de decisiones.

Realizar una acción desde el panel de detalles

Una vez que haya seleccionado una entidad de interés, el panel de detalles cambiará para mostrar información sobre el tipo de entidad seleccionado, información histórica cuando esté disponible y ofrecer controles para realizar acciones en esta entidad directamente desde la página de alertas.

Una vez que haya terminado de investigar, vuelva a la alerta con la que comenzó, marque el estado de la alerta como Resuelto y clasifique como Alerta falsa o Alerta verdadera. La clasificación de alertas ayuda a optimizar esta funcionalidad para proporcionar más alertas verdaderas y menos alertas falsas.

Si la clasifica como una alerta verdadera, también puede seleccionar una determinación, como se muestra en la imagen siguiente.

Panel de detalles con una alerta resuelta y la lista desplegable de determinación expandida

Si experimenta una alerta falsa con una aplicación de línea de negocio, cree una regla de supresión para evitar este tipo de alerta en el futuro.

Acciones y clasificación en el panel de detalles con la regla de supresión resaltada

Sugerencia

Si experimenta algún problema no descrito anteriormente, use el 🙂 botón para proporcionar comentarios o abrir una incidencia de soporte técnico.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.