Análisis de amenazas en Microsoft Defender XDR

Nota:

¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.

Se aplica a:

• Microsoft Defender XDR

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

El análisis de amenazas es nuestra solución de inteligencia sobre amenazas en productos de investigadores expertos en seguridad de Microsoft. Está diseñado para ayudar a los equipos de seguridad a ser lo más eficientes posible a la vez que se enfrentan a amenazas emergentes, como:

• Actores de amenazas activos y sus campañas
• Técnicas de ataque populares y nuevas
• Vulnerabilidades críticas
• Superficies de ataque comunes
• Malware frecuentes

Vea este breve vídeo para obtener más información sobre cómo el análisis de amenazas puede ayudarle a realizar un seguimiento de las amenazas más recientes y detenerlas.

Puede acceder al análisis de amenazas desde la parte superior izquierda de la barra de navegación de Microsoft Defender XDR o desde una tarjeta de panel dedicada que muestra las principales amenazas para su organización, tanto en términos de impacto conocido como en términos de exposición.

Obtener visibilidad sobre campañas activas o en curso y saber qué hacer a través del análisis de amenazas podría ayudar a que su equipo de operaciones de seguridad tome decisiones informadas.

Con adversarios cada vez más sofisticados y nuevas amenazas que aparecen con frecuencia y prevalentemente, es fundamental poder:

• Identificar y reaccionar ante amenazas emergentes
• Obtenga información sobre si está actualmente bajo ataque.
• Evaluación del impacto de la amenaza en los recursos
• Revise la resistencia frente a las amenazas o su exposición a las amenazas.
• Identificar las acciones de mitigación, recuperación o prevención que puede realizar para detener o contener las amenazas.

Cada informe proporciona un análisis de una amenaza rastreada y una amplia guía sobre cómo defenderse contra esa amenaza. También incorpora datos de la red, lo que indica si la amenaza está activa y si tiene protecciones aplicables.

Visualización del panel de análisis de amenazas

El panel de análisis de amenazas (security.microsoft.com/threatanalytics3) resalta los informes más relevantes para su organización. Resume las amenazas en las secciones siguientes:

• Amenazas más recientes: enumera los informes de amenazas publicados o actualizados más recientemente, junto con el número de alertas activas y resueltas.
• Amenazas de alto impacto: enumera las amenazas que tienen el mayor impacto en su organización. En esta sección se enumeran primero las amenazas con el mayor número de alertas activas y resueltas.
• Exposición más alta: enumera las amenazas a las que su organización tiene la mayor exposición. El nivel de exposición a una amenaza se calcula mediante dos fragmentos de información: la gravedad de las vulnerabilidades asociadas a la amenaza y cuántos dispositivos de su organización podrían ser explotados por esas vulnerabilidades.

Seleccione una amenaza en el panel para ver el informe de esa amenaza. También puede seleccionar el campo Búsqueda para clave en una palabra clave relacionada con el informe de análisis de amenazas que desea leer.

Visualización de informes por categoría

Puede filtrar la lista de informes de amenazas y ver los informes más relevantes según un tipo de amenaza específico o por tipo de informe.

• Etiquetas de amenazas: le ayudarán a ver los informes más relevantes según una categoría de amenazas específica. Por ejemplo, la etiqueta Ransomware incluye todos los informes relacionados con ransomware.
• Tipos de informe: le ayudarán a ver los informes más relevantes según un tipo de informe específico. Por ejemplo, la etiqueta Herramientas & técnicas incluye todos los informes que cubren herramientas y técnicas.

Las distintas etiquetas tienen filtros equivalentes que le ayudan a revisar de forma eficaz la lista de informes de amenazas y a filtrar la vista en función de una etiqueta de amenaza específica o un tipo de informe. Por ejemplo, para ver todos los informes de amenazas relacionados con la categoría ransomware o los informes de amenazas que implican vulnerabilidades.

El equipo de Inteligencia sobre amenazas de Microsoft ha agregado etiquetas de amenaza a cada informe de amenazas. Actualmente hay cuatro etiquetas de amenaza disponibles:

• Ransomware
• Suplantación de identidad (phishing)
• Vulnerabilidad
• Grupo de actividades

Las etiquetas de amenaza se muestran en la parte superior de la página de análisis de amenazas. Hay contadores para el número de informes disponibles bajo cada etiqueta.

Para establecer los tipos de informes que desea en la lista, seleccione Filtros, elija en la lista y seleccione Aplicar.

Si ha establecido más de un filtro, la lista de informes de análisis de amenazas también se puede ordenar por etiqueta de amenaza seleccionando la columna etiquetas de amenazas:

Visualización de un informe de análisis de amenazas

Cada informe de análisis de amenazas proporciona información en varias secciones:

• Información general
• Informe de analistas
• Incidentes relacionados
• Activos afectados
• Intentos de correo electrónico impedidos
• Mitigaciones & exposición

Información general: Comprender rápidamente la amenaza, evaluar su impacto y revisar las defensas

En la sección Información general se proporciona una vista previa del informe detallado del analista. También proporciona gráficos que resaltan el impacto de la amenaza para su organización y su exposición a través de dispositivos mal configurados y no revisados.

Evaluación del impacto en la organización

Cada informe incluye gráficos diseñados para proporcionar información sobre el impacto en la organización de una amenaza:

• Incidentes relacionados: proporciona información general sobre el impacto de la amenaza de seguimiento en su organización con los siguientes datos:
  • Número de alertas activas y el número de incidentes activos a los que están asociados
  • Gravedad de los incidentes activos
• Alertas a lo largo del tiempo: muestra el número de alertas activas y resueltas relacionadas a lo largo del tiempo. El número de alertas resueltas indica la rapidez con la que la organización responde a las alertas asociadas a una amenaza. Lo ideal es que el gráfico muestre alertas resueltas en unos días.
• Activos afectados: muestra el número de dispositivos distintos y cuentas de correo electrónico (buzones) que actualmente tienen al menos una alerta activa asociada a la amenaza de la que se ha realizado el seguimiento. Las alertas se desencadenarán para los buzones que hayan recibido correos electrónicos de amenazas. Revise las directivas de nivel de organización y usuario para ver si hay invalidaciones que provocan la entrega de correos electrónicos de amenazas.
• Impedir intentos de correo electrónico: muestra el número de correos electrónicos de los últimos siete días que se bloquearon antes de la entrega o se entregaron a la carpeta de correo no deseado.

Revisión de la resistencia y la posición de la seguridad

Cada informe incluye gráficos que proporcionan información general sobre la resistencia de su organización frente a una amenaza determinada:

• Estado de configuración seguro: muestra el número de dispositivos con valores de seguridad mal configurados. Aplique la configuración de seguridad recomendada para ayudar a mitigar la amenaza. Los dispositivos se consideran seguros si han aplicado toda la configuración de seguimiento.
• Estado de aplicación de revisiones de vulnerabilidades: muestra el número de dispositivos vulnerables. Aplique actualizaciones o revisiones de seguridad para abordar las vulnerabilidades que aprovecha la amenaza.

Informe de analistas: Obtener información de expertos de investigadores de seguridad de Microsoft

En la sección Informe de analistas , lea la escritura detallada de expertos. La mayoría de los informes proporcionan descripciones detalladas de las cadenas de ataques, incluidas las tácticas y técnicas asignadas al marco de MITRE ATT&CK, listas exhaustivas de recomendaciones y potentes instrucciones para la búsqueda de amenazas .

Más información sobre el informe de analistas

Incidentes relacionados: Ver y administrar incidentes relacionados

La pestaña Incidentes relacionados proporcionará la lista de todos los incidentes relacionados con las amenazas de las que se realice el seguimiento. Es posible asignar incidentes o administrar alertas vinculadas a cada incidente.

Recursos afectados: obtener una lista de dispositivos y buzones afectados

Un recurso se considerará afectado si se viera afectado por una alerta activa sin resolver. En la pestaña Recursos afectados se enumerarán los siguientes tipos de recursos afectados:

• Dispositivos afectados: puntos de conexión que tienen alertas de Microsoft Defender para punto de conexión sin resolver. Estas alertas suelen activarse en los avistamientos de actividades e indicadores de amenazas conocidos.
• Buzones afectados: buzones que han recibido mensajes de correo electrónico que han desencadenado alertas de Microsoft Defender para Office 365. Aunque la mayoría de los mensajes que desencadenan alertas suelen estar bloqueados, las directivas de nivel de usuario u organización podrían invalidar los filtros.

Impedir intentos de correo electrónico: Ver correos electrónicos de amenazas bloqueados o no deseados

Microsoft Defender para Office 365 normalmente bloqueará los correos electrónicos con indicadores de amenazas conocidos, incluyendo vínculos malintencionados o datos adjuntos. En algunos casos, los mecanismos de filtrado proactivo que comprueban el contenido sospechoso enviarán correos electrónicos de amenaza a la carpeta de correo no deseado. En cualquier caso, se reducirán las posibilidades de que las amenazas inicien código de malware en el dispositivo.

La pestaña Intentos de correo electrónico impedidos muestra todos los correos electrónicos que se han bloqueado antes de la entrega o que Microsoft Defender para Office 365 han enviado a la carpeta de correo no deseado.

Exposición y mitigaciones: revise la lista de mitigaciones y el estado de los dispositivos.

En la sección Mitigaciones de exposición & , revise la lista de recomendaciones accionables específicas que pueden ayudarle a aumentar la resistencia de la organización frente a la amenaza. La lista de mitigaciones con seguimiento incluye:

• Actualizaciones de seguridad: implementación de actualizaciones de seguridad de software compatibles para las vulnerabilidades encontradas en los dispositivos incorporados
• Configuraciones de seguridad admitidas
  • Protección entregada en la nube
  • Protección contra aplicaciones potencialmente no deseadas (PUA)
  • Protección en tiempo real

La información de mitigación de esta sección incorpora datos de Administración de vulnerabilidades de Microsoft Defender, que también proporciona información detallada de los distintos vínculos del informe.

Sección de mitigaciones & exposición de un informe de análisis de amenazas

Configuración de notificaciones por correo electrónico para actualizaciones de informes

Puede configurar notificaciones por correo electrónico que le enviarán actualizaciones en informes de análisis de amenazas. Para crear notificaciones por correo electrónico, siga los pasos descritos en Obtención de notificaciones por correo electrónico para las actualizaciones de Análisis de amenazas en Microsoft Defender XDR.

Detalles y limitaciones adicionales del informe

Nota:

Como parte de la experiencia de seguridad unificada, el análisis de amenazas ahora está disponible no solo para Microsoft Defender para punto de conexión, sino también para Microsoft Defender para Office 365 titulares de licencias.

Si no usa el portal de seguridad de Microsoft 365 (Microsoft Defender XDR), también puede ver los detalles del informe (sin la Microsoft Defender para datos de Office) en el portal de Centro de seguridad de Microsoft Defender ( Microsoft Defender para punto de conexión).

Para acceder a los informes de análisis de amenazas, necesita determinados roles y permisos. Consulte Roles personalizados en el control de acceso basado en rol para obtener Microsoft Defender XDR para obtener más información.

• Para ver alertas, incidentes o datos de recursos afectados, debe tener permisos para Microsoft Defender para Office o Microsoft Defender para punto de conexión datos de alertas, o ambos.
• Para ver los intentos de correo electrónico impedidos, debe tener permisos para Microsoft Defender para los datos de búsqueda de Office.
• Para ver las mitigaciones, debe tener permisos para los datos de Administración de vulnerabilidades de Defender en Microsoft Defender para punto de conexión.

Al examinar los datos de análisis de amenazas, recuerde los siguientes factores:

• Los gráficos reflejan solo las mitigaciones de las que se realiza el seguimiento. Compruebe la información general del informe para ver mitigaciones adicionales que no se muestran en los gráficos.
• Las mitigaciones no garantizan una resistencia completa. Las mitigaciones proporcionadas reflejan las mejores acciones posibles necesarias para mejorar la resistencia.
• Los dispositivos se cuentan como "no disponibles" si no han transmitido datos al servicio.
• Las estadísticas relacionadas con el antivirus se basan en Microsoft Defender configuración del antivirus. Los dispositivos con soluciones antivirus de terceros pueden aparecer como "expuestos".

Artículos relacionados

• Búsqueda proactiva de amenazas con la búsqueda avanzada
• Descripción de la sección del informe de analistas
• Evaluación y resolución de debilidades y exposiciones de seguridad

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.