Administración de incidentes en Microsoft 365 Defender

Nota:

¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.

Se aplica a:

  • Microsoft 365 Defender

La administración de incidentes es fundamental para asegurarse de que los incidentes se denominan, asignan y etiquetan para optimizar el tiempo en el flujo de trabajo de incidentes y contener y abordar amenazas más rápidamente.

Puede administrar incidentes desde alertas &> de incidentes Incidentes en el inicio rápido del portal de Microsoft 365 Defender (security.microsoft.com). Por ejemplo:

Página Incidentes del portal de Microsoft 365 Defender

Estas son las maneras de administrar los incidentes:

Puede administrar incidentes desde el panel Administrar incidentes para un incidente. Por ejemplo:

El panel Administrar incidente del portal de Microsoft 365 Defender

Puede mostrar este panel desde el vínculo Administrar incidente en:

  • Página del artículo de alertas .
  • Panel De propiedades de un incidente en la cola de incidentes.
  • Página resumen de un incidente.

En los casos en los que quiera mover alertas de un incidente a otro, también puede hacerlo desde la pestaña Alertas , creando así un incidente mayor o menor que incluya todas las alertas pertinentes.

Editar el nombre del incidente

Microsoft 365 Defender asigna automáticamente un nombre basado en atributos de alerta, como el número de puntos de conexión afectados, los usuarios afectados, los orígenes de detección o las categorías. Esto le permite comprender rápidamente el ámbito del incidente. Por ejemplo: incidente de varias fases en varios puntos de conexión notificados por varios orígenes.

Puede editar el nombre del incidente desde el campo Nombre de incidente en el panel Administrar incidente .

Nota:

Los incidentes que existían antes del lanzamiento de la característica de nomenclatura automática de incidentes conservarán su nombre.

Agregar etiquetas de incidente

Puede agregar etiquetas personalizadas a un incidente, por ejemplo, para marcar un grupo de incidencias con características comunes. Posteriormente, puede filtrar la cola de incidentes para todos los incidentes que contengan una etiqueta específica.

Al empezar a escribir, tiene la opción de seleccionar entre una lista de etiquetas usadas y seleccionadas anteriormente.

Asignación de un incidente

Si aún no se ha asignado un incidente, puede seleccionar el cuadro Asignar a y especificar la cuenta de usuario. Para volver a asignar un incidente, quite la cuenta de asignación actual seleccionando la "x" junto al nombre de la cuenta y, a continuación, seleccione el cuadro Asignar a . Al asignar la propiedad de un incidente, se asigna la misma propiedad a todas las alertas asociadas a él.

Para obtener una lista de incidentes asignados, filtre la cola de incidentes.

  1. En la cola de incidentes, seleccione Filtros.
  2. En la sección Asignación de incidentes , desactive Seleccionar todo y seleccione Asignado a mí.
  3. Seleccione Aplicar y, a continuación, cierre el panel Filtros .

A continuación, puede guardar la dirección URL resultante en el explorador como marcador para ver rápidamente la lista de incidentes que se le han asignado.

Resolución de un incidente

Si el incidente se ha corregido, seleccione Resolver incidente para mover el botón de alternancia a la derecha. Tenga en cuenta que la resolución de un incidente también resuelve todas las alertas vinculadas y activas relacionadas con el incidente.

Un incidente que no se resuelve se muestra como Activo.

Especificar la clasificación

En el campo Clasificación , especifique si el incidente es:

  • No establecido (valor predeterminado).
  • Verdadero positivo con un tipo de amenaza. Use esta clasificación para incidentes que indiquen con precisión una amenaza real. La especificación del tipo de amenaza ayuda a su equipo de seguridad a ver los patrones de amenaza y a actuar para defender a su organización de ellos.
  • Actividad informativa y esperada con un tipo de actividad. Use las opciones de esta categoría para clasificar los incidentes de las pruebas de seguridad, la actividad del equipo rojo y el comportamiento inusual esperado de aplicaciones y usuarios de confianza.
  • Los falsos positivos para los tipos de incidentes que determine se pueden omitir porque son técnicamente inexactos o engañosos.

La clasificación de incidentes y la especificación de su estado y tipo ayuda a ajustar Microsoft 365 Defender para proporcionar una mejor determinación de la detección con el tiempo.

Agregar comentarios

Puede agregar varios comentarios a un incidente con el campo Comentario . Cada comentario se agrega a los eventos históricos del incidente. Puede ver los comentarios y el historial de un incidente en el vínculo Comentarios e historial de la página Resumen .

Pasos siguientes

Para nuevos incidentes, comience la investigación.

Para incidentes en proceso, continúe con la investigación.

Para incidentes resueltos, realice una revisión posterior a los incidentes.

Vea también