Visualización y administración de incidentes en Microsoft Defender para Empresas

A medida que se detectan amenazas y se generan alertas, se crean incidentes. El equipo de seguridad de la empresa puede ver y administrar incidentes en el portal de Microsoft 365 Defender. Debe tener asignados los permisos adecuados para realizar las tareas de este artículo. Consulte Roles y permisos de seguridad en Microsoft Defender para Empresas.

En este artículo se incluyen:

• Supervisión de incidentes y alertas
• Gravedad de la alerta
• Pasos siguientes

Supervisión de las alertas de & incidentes

1. En el portal de Microsoft 365 Defender (https://security.microsoft.com), en el panel de navegación, vaya a Alertas & de incidentes y, a continuación, seleccione Incidentes. Los incidentes que se crearon aparecen en la página.

2. Seleccione una alerta para abrir su panel flotante, donde puede obtener más información sobre la alerta.

   

3. En el panel flotante, puede ver el título de la alerta, ver una lista de recursos (como puntos de conexión o cuentas de usuario) que se vieron afectados, realizar acciones disponibles y usar vínculos para ver más información e incluso abrir la página de detalles de la alerta seleccionada.

Sugerencia

Defender for Business está diseñado para ayudarle a abordar las amenazas detectadas mediante la recompilación de las acciones que puede realizar. Cuando vea una alerta, busque estas sugerencias. Observe también la gravedad de la alerta, que se determina no solo en función de la gravedad de amenaza detectada, sino también del nivel de riesgo para su empresa.

Gravedad de la alerta

Cuando se detecta una amenaza, se asigna un nivel de gravedad a cada alerta que se genera.

• Microsoft Defender Antivirus asigna una gravedad de alerta basada en la gravedad absoluta de una amenaza detectada (como malware) y el riesgo potencial para un punto de conexión individual (si está infectado).
• Defender for Business asigna una gravedad de alerta en función de la gravedad del comportamiento detectado, el riesgo real para un punto de conexión (dispositivo) y, lo que es más importante, el riesgo potencial para la empresa.

En la tabla siguiente se enumeran algunos ejemplos de alertas y sus niveles de gravedad:

Escenario	Gravedad y motivo de la alerta
Microsoft Defender Antivirus detecta y detiene una amenaza antes de que se produzcan daños.	Informativo. La amenaza se detuvo antes de que se realizara cualquier daño.
Microsoft Defender Antivirus detecta el malware que se estaba ejecutando en su empresa. El malware se detiene y se corrige.	Bajo. Aunque es posible que se haya producido algún daño en un punto de conexión individual, el malware no supone ninguna amenaza para su empresa.
Defender for Business detecta el malware que se está ejecutando. El malware se bloquea casi inmediatamente.	Medio o Alto. El malware supone una amenaza para puntos de conexión individuales y para su empresa.
Se detecta un comportamiento sospechoso, pero aún no se realizan acciones correctivas.	Bajo, Medio o Alto. La gravedad depende del grado en que el comportamiento supone una amenaza para la empresa.

Siguientes pasos

• Respuesta y mitigación de amenazas en Defender para empresas
• Revisión de las acciones de corrección en el Centro de acciones
• Visualización o edición de directivas de dispositivos en Defender para empresas