Leer en inglés

Compartir a través de

Respuesta a alertas de Microsoft Defender para DNS

  • Artículo

Importante

Desde el 1 de agosto de 2023, los clientes con una suscripción existente a Defender para DNS pueden seguir usando el servicio, pero los nuevos suscriptores recibirán alertas sobre la actividad DNS sospechosa como parte de Defender para servidores P2.

Cuando reciba una alerta de seguridad sobre actividades sospechosas y anómalas identificadas en transacciones de DNS, se recomienda investigar y responder a la alerta como se describe a continuación. Incluso si está familiarizado con la aplicación o el usuario que desencadenó la alerta, es importante verificar la situación que rodea a cada alerta.

Paso 1: Contacto

  1. Póngase en contacto con el propietario del recurso para determinar si se esperaba el comportamiento o era intencionado.
  2. Si la actividad se espera, descarte la alerta.
  3. Si la actividad es inesperada, trate el recurso como si potencialmente corriera peligro y mitíguelo como se describe en el paso siguiente.

Paso 2: Mitigación inmediata

  1. Aísle el recurso de la red para evitar el movimiento lateral.
  2. Ejecute un examen de antimalware completo en el recurso, siguiendo cualquier consejo de corrección resultante.
  3. Revise el software instalado y en ejecución en el recurso y quite los paquetes que no conozca o que no desee.
  4. Revierta la máquina a un estado bueno conocido, vuelva a instalar el sistema operativo si fuera necesario y restaure el software de un origen que esté comprobado que no tiene malware.
  5. Resuelva las recomendaciones para la máquina de Microsoft Defender para nube y corrija los problemas de seguridad resaltados para evitar infracciones futuras.

Pasos siguientes

Ahora que sabe cómo responder a las alertas de DNS, obtenga más información sobre cómo administrar alertas.

Administración de alertas de seguridad

Para obtener material relacionado, consulte los siguientes artículos:

  • Para exportar las alertas de Defender for Cloud a su sistema centralizado de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel, cualquier SIEM de terceros o cualquier otra herramienta externa.
  • Para enviar alertas en tiempo real a Log Analytics o Event Hubs para crear procesos automatizados para analizar y responder a las alertas de seguridad.