Alertas de seguridad: una guía de referencia
En este artículo se proporcionan vínculos a páginas que enumeran las alertas de seguridad que puede recibir de Microsoft Defender for Cloud y de los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que protege y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Esta página también incluye una tabla que describe la cadena de eliminación de Microsoft Defender for Cloud alineada con la versión 9 de la matriz MITRE ATT&CK.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Páginas de alertas de seguridad por categoría
- Alertas de máquinas Windows
- Alertas de máquinas Linux
- Alertas de DNS
- Alertas para extensiones de máquina virtual de Azure
- Alertas de Azure App Service
- Alertas para contenedores: clústeres de Kubernetes
- Alertas de SQL Database y Azure Synapse Analytics
- Alertas para bases de datos relacionales de código abierto
- Alertas de Resource Manager
- Alertas de Azure Storage
- Alertas de Azure Cosmos DB
- Alertas de la capa de red de Azure
- Alertas de Azure Key Vault
- Alertas de Azure DDoS Protection
- Alertas de Defender para LAS API
- Alertas para cargas de trabajo de IA
- Alertas de seguridad en desuso
Tácticas de MITRE ATT&CK
Comprender la intención de un ataque puede ayudarle a investigar y notificar el evento más fácilmente. Para ayudar con estos esfuerzos, las alertas de Microsoft Defender for Cloud incluyen las tácticas de MITRE con muchas alertas.
La serie de pasos que describen la progresión de un ciberataque desde el reconocimiento a la exfiltración de datos se denomina a menudo "cadena de eliminación".
Las intenciones de cadena de eliminación admitidas de Defender for Cloud se basan en la versión 9 de la matriz DE MITRE ATT&CK y se describen en la tabla siguiente.
| Táctica | ATT&CK Versión | Descripción |
|---|---|---|
| PreAttack | PreAttack podría ser un intento de tener acceso a un recurso determinado, con independencia de que se trate de un intento malintencionado, o bien un error al intentar obtener acceso a un sistema de destino para recopilar información antes de la explotación. Este paso se detecta normalmente como un intento, que se origina desde fuera de la red, para examinar el sistema de destino e identificar un punto de entrada. | |
| Acceso inicial | V7, V9 | Acceso inicial es la fase en la que un atacante se encarga de poner en marcha el recurso atacado. Esta fase es importante para los hosts de proceso y recursos, como las cuentas de usuario, los certificados, etc. Los actores de amenazas suelen ser capaces de controlar el recurso después de esta fase. |
| Persistencia | V7, V9 | La persistencia es cualquier cambio en el acceso, la acción o la configuración de un sistema que proporcione a un actor de amenaza una presencia persistente en ese sistema. Los actores de amenazas suelen necesitar mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requieran que se reinicie una herramienta de acceso remoto o que proporcionen una puerta trasera alternativa para recuperar el acceso. |
| Elevación de privilegios | V7, V9 | La elevación de privilegios es el resultado de una serie de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Ciertas herramientas o acciones requieren un mayor nivel de privilegios para trabajar y es probable que necesiten muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios logren su objetivo también podrían considerarse una escalación de privilegios. |
| Evasión defensiva | V7, V9 | La evasión de defensa consiste en técnicas que un adversario podría usar para eludir la detección o evitar otras defensas. A veces, estas acciones son las mismas que las técnicas (o variaciones de) de otras categorías que tienen la ventaja adicional de revertir una defensa o mitigación determinada. |
| Acceso de credenciales | V7, V9 | El acceso a credenciales representa técnicas que tienen como resultado el acceso o el control sobre las credenciales del sistema, dominio o servicio que se usan en un entorno empresarial. Los adversarios probablemente intentarán obtener credenciales legítimas de usuarios o cuentas de administrador (administrador del sistema local o usuarios del dominio con acceso de administrador) para usarlas dentro de la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno. |
| Detección | V7, V9 | La detección consiste en una serie de técnicas que permiten al adversario obtener información sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben orientarse a lo que ahora tienen el control y lo que las ventajas que aportan ese sistema a su objetivo actual o a sus objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase de recopilación de información que se pone en peligro. |
| LateralMovement | V7, V9 | El movimiento lateral se compone de técnicas que permiten a un adversario tener acceso y controlar sistemas remotos en una red y, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, como la ejecución remota de herramientas, la dinamización de sistemas adicionales, el acceso a información específica o archivos, el acceso a otras credenciales o la causa de un efecto. |
| Ejecución | V7, V9 | La táctica de ejecución representa una serie de técnicas para ejecutar código controlado por adversarios en un sistema local o remoto. Esta táctica suele usarse junto con el movimiento lateral para expandir el acceso a los sistemas remotos de una red. |
| Colección | V7, V9 | La colección consta de técnicas que se utilizan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la exfiltración. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario podría buscar información para filtrar. |
| Comando y control | V7, V9 | La táctica de control y comando representa la forma en la que los adversarios se comunican con los sistemas bajo su control en una red de destino. |
| Exfiltración | V7, V9 | La exfiltración hace referencia a técnicas y atributos que permiten o ayudan a que el adversario elimine archivos e información de una red de destino. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario podría buscar información para filtrar. |
| Impacto | V7, V9 | Los eventos de impacto intentan principalmente reducir directamente la disponibilidad o la integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto suele hacer referencia a técnicas como ransomware, desmiración, manipulación de datos y otros. |
Nota
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.