Incidentes: una guía de referencia
Nota
En el caso de los incidentes que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
En este artículo se enumeran los incidentes que puede obtener de Microsoft Defender for Cloud y los planes de Microsoft Defender que ha habilitado. Los incidentes que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Un incidente de seguridad es una correlación de alertas con un caso de ataque que comparte una entidad. Por ejemplo, Recurso, Dirección IP, Usuario o compartir patrones una cadena de eliminación.
Puede seleccionar un incidente para ver todas las alertas relacionadas con él y obtener más información.
Aprenda a administrar los incidentes de seguridad.
Nota
La misma alerta puede existir como parte de un incidente y estar visible como alerta independiente.
Incidente de seguridad
| Alerta | Descripción | severity |
|---|---|---|
| Incidente de seguridad ha detectado una actividad sospechosa del usuario (versión preliminar) | Este incidente indica operaciones de usuario sospechosas en el entorno. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en este usuario, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para poner en peligro los recursos del entorno. Esto podría indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de entidad de servicio (versión preliminar) | Este incidente indica operaciones de entidad de servicio sospechosas en el entorno. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en esta entidad de servicio, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para poner en peligro los recursos del entorno. Esto podría indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de la criptominería (versión preliminar) | Escenario 1: este incidente indica que se ha detectado una actividad sospechosa de minería de datos criptográficas después de una actividad sospechosa de usuario o de entidad de servicio. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa de la cuenta podría indicar que un actor de amenazas obtuvo acceso no autorizado al entorno, y la actividad de minería de cifrado correcta puede sugerir que ponen en peligro correctamente el recurso y que la usan para las criptodivisas de minería, lo que puede provocar un aumento de los costos de su organización. Escenario 2: este incidente indica que se ha detectado una actividad sospechosa de minería de datos criptográficas después de un ataque por fuerza bruta en el mismo recurso de máquina virtual. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. El ataque por fuerza bruta en la máquina virtual podría indicar que un actor de amenazas está intentando obtener acceso no autorizado al entorno, y la actividad de minería de cifrado correcta puede sugerir que ponen en peligro correctamente el recurso y que la usan para las criptodivisas de minería, lo que puede provocar un aumento de los costos de su organización. |
Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de Key Vault (versión preliminar) | Escenario 1: este incidente indica que se ha detectado actividad sospechosa en el entorno relacionado con el uso de Key Vault. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en este usuario o en esta entidad de servicio, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. Una actividad sospechosa de Key Vault podría indicar que un actor de amenazas está intentando obtener acceso a los datos confidenciales, como claves, secretos y certificados, y la cuenta está en peligro y se usa con intenciones malintencionadas. Escenario 2: este incidente indica que se ha detectado actividad sospechosa en el entorno relacionado con el uso de Key Vault. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud de la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. Una actividad sospechosa de Key Vault podría indicar que un actor de amenazas está intentando obtener acceso a los datos confidenciales, como claves, secretos y certificados, y la cuenta está en peligro y se usa con intenciones malintencionadas. Escenario 3: este incidente indica que se ha detectado actividad sospechosa en el entorno relacionado con el uso de Key Vault. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. Una actividad sospechosa de Key Vault podría indicar que un actor de amenazas está intentando obtener acceso a los datos confidenciales, como claves, secretos y certificados, y la cuenta está en peligro y se usa con intenciones malintencionadas. |
Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de la SAS (versión preliminar) | Este incidente indica que se ha detectado actividad sospechosa después del posible uso incorrecto de un token de SAS. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. El uso de un token de SAS puede indicar que un actor de amenazas ha obtenido acceso no autorizado a la cuenta de almacenamiento e intenta acceder o filtrar datos confidenciales. | Alto |
| Incidente de seguridad detectado actividad anómala de ubicación geográfica (versión preliminar) | Escenario 1: este incidente indica que se ha detectado una actividad anómala de ubicación geográfica en su entorno. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. Una actividad sospechosa que se origina en ubicaciones anómalas podría indicar que un actor de amenazas obtuvo acceso no autorizado al entorno y está intentando ponerlo en peligro. Escenario 2: este incidente indica que se ha detectado una actividad anómala de ubicación geográfica en su entorno. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud de la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. Una actividad sospechosa que se origina en ubicaciones anómalas podría indicar que un actor de amenazas obtuvo acceso no autorizado al entorno y está intentando ponerlo en peligro. |
Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de la IP (versión preliminar) | Escenario 1: este incidente indica que se ha detectado actividad sospechosa que se origina en una dirección IP sospechosa. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud de la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. Una actividad sospechosa originada en una dirección IP sospechosa podría indicar que un atacante ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. Escenario 2: este incidente indica que se ha detectado actividad sospechosa que se origina en una dirección IP sospechosa. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en este mismo usuario o entidad de servicio, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. Una actividad sospechosa originada en una dirección IP sospechosa puede indicar que un atacante ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. |
Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de ataque sin archivos (versión preliminar) | Este incidente indica que se ha detectado un kit de herramientas de ataques sin archivos en una máquina virtual después de un posible intento de vulnerabilidad de seguridad en el mismo recurso. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en la misma máquina virtual, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La presencia de un kit de herramientas de ataques sin archivos en la máquina virtual podría indicar que un actor de amenazas ha obtenido acceso no autorizado a su entorno y está intentando eludir la detección al realizar otras actividades malintencionadas. | Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de DDOS (versión preliminar) | Este incidente indica que se ha detectado una actividad sospechosa de denegación de servicio distribuido (DDOS) en el entorno. Los ataques DDOS están diseñados para sobrecargar la red o la aplicación con un gran volumen de tráfico, lo que hace que no esté disponible para los usuarios legítimos. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. | Alto |
| Incidente de seguridad detectado actividad de filtración de datos sospechosos (versión preliminar) | Escenario 1: este incidente indica que se ha detectado una actividad sospechosa de filtración de datos después de una actividad sospechosa de usuario o de entidad de servicio. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa de la cuenta podría indicar que un actor de amenazas obtuvo acceso no autorizado a su entorno y la actividad de filtración de datos correcta puede sugerir que están intentando robar información confidencial. Escenario 2: este incidente indica que se ha detectado una actividad sospechosa de filtración de datos después de una actividad sospechosa de usuario o de entidad de servicio. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud de la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa de la cuenta podría indicar que un actor de amenazas obtuvo acceso no autorizado a su entorno y la actividad de filtración de datos correcta puede sugerir que están intentando robar información confidencial. Escenario 3: este incidente indica que se ha detectado una actividad sospechosa de filtración de datos después del restablecimiento de contraseña inusual en una máquina virtual. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud de la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa de la cuenta podría indicar que un actor de amenazas obtuvo acceso no autorizado a su entorno y la actividad de filtración de datos correcta puede sugerir que están intentando robar información confidencial. |
Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de la API (versión preliminar) | Este incidente indica que se ha detectado actividad de API sospechosa. Se han desencadenado varias alertas de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. El uso sospechoso de la API podría indicar que un actor de amenazas está intentando acceder a información confidencial o ejecutar acciones no autorizadas. | Alto |
| Incidente de seguridad detectado actividad sospechosa del clúster de Kubernetes (versión preliminar) | Este incidente indica que se ha detectado actividad sospechosa en el clúster de Kubernetes después de una actividad de usuario sospechosa. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo clúster, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa en el clúster de Kubernetes podría indicar que un actor de amenazas ha obtenido acceso no autorizado a su entorno y está intentando ponerlo en peligro. | Alto |
| Incidente de seguridad ha detectado una actividad del almacenamiento sospechosa (versión preliminar) | Escenario 1: este incidente indica que se ha detectado una actividad sospechosa del almacenamiento después de una actividad sospechosa de usuario o de entidad de servicio. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa de la cuenta podría indicar que un actor de amenazas obtuvo acceso no autorizado a su entorno y la actividad de almacenamiento sospechosa correcta puede sugerir que están intentando acceder a datos potencialmente confidenciales. Escenario 2: este incidente indica que se ha detectado una actividad sospechosa del almacenamiento después de una actividad sospechosa de usuario o de entidad de servicio. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud de la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa de la cuenta podría indicar que un actor de amenazas obtuvo acceso no autorizado a su entorno y la actividad de almacenamiento sospechosa correcta puede sugerir que están intentando acceder a datos potencialmente confidenciales. |
Alto |
| Incidente de seguridad ha detectado una actividad sospechosa del kit de herramientas de Azure (versión preliminar) | Este incidente indica que se ha detectado actividad sospechosa después del posible uso incorrecto de un kit de herramientas de Azure. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en este mismo usuario o entidad de servicio, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. El uso de un kit de herramientas de Azure puede indicar que un atacante ha obtenido acceso no autorizado a su entorno y está intentando ponerla en peligro. | Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de DNS (versión preliminar) | Escenario 1: Este incidente indica que se ha detectado actividad de DNS sospechosa. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad de DNS sospechosa puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. Escenario 2: Este incidente indica que se ha detectado actividad de DNS sospechosa. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud de la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad de DNS sospechosa puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. |
Media |
| Incidente de seguridad ha detectado actividad sospechosa de SQL (versión preliminar) | Escenario 1: Este incidente indica que se ha detectado actividad de SQL sospechosa. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud de la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa de SQL puede indicar que un actor de amenazas tiene como objetivo su servidor SQL y puede estar intentando ponerlo en peligro. Escenario 2: Este incidente indica que se ha detectado actividad de SQL sospechosa. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa de SQL puede indicar que un actor de amenazas tiene como objetivo su servidor SQL y puede estar intentando ponerlo en peligro. |
Alto |
| Incidente de seguridad ha detectado una actividad sospechosa de App Service (versión preliminar) | Escenario 1: este incidente indica que se ha detectado actividad sospechosa en App Service Environment. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en el mismo recurso, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa del servicio de aplicaciones puede indicar que un actor de amenazas tiene como objetivo su aplicación y puede estar intentando ponerla en peligro. Escenario 2: este incidente indica que se ha detectado actividad sospechosa en App Service Environment. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud de la misma dirección IP, lo que aumenta la fidelidad de la actividad malintencionada en el entorno. La actividad sospechosa del servicio de aplicaciones puede indicar que un actor de amenazas tiene como objetivo su aplicación y puede estar intentando ponerla en peligro. |
Alto |
| El incidente de seguridad ha detectado una máquina en peligro con la comunicación con botnet | Este incidente indica una actividad sospechosa de red de robots (botnet) en la máquina virtual. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en orden cronológico en el mismo recurso, siguiendo el marco MITRE ATT&CK. Esto puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. | Medio/Alt |
| El incidente de seguridad ha detectado máquinas en peligro con la comunicación con botnet | Este incidente indica una actividad sospechosa de red de robots (botnet) en las máquinas virtuales. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en orden cronológico en el mismo recurso, siguiendo el marco MITRE ATT&CK. Esto puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. | Medio/Alt |
| El incidente de seguridad ha detectado una máquina en peligro con actividad saliente malintencionada | Este incidente indica una actividad de salida sospechosa en la máquina virtual. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en orden cronológico en el mismo recurso, siguiendo el marco MITRE ATT&CK. Esto puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. | Medio/Alt |
| Se ha detectado un incidente de seguridad en las máquinas en peligro | Este incidente indica una actividad sospechosa en una o más máquinas virtuales. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en orden cronológico en los mismos recursos, siguiendo el marco MITRE ATT&CK. Esto puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y ha puesto en peligro estas máquinas correctamente. | Medio/Alt |
| El incidente de seguridad ha detectado unas máquinas en peligro con actividad saliente malintencionada | Este incidente indica una actividad de salida sospechosa de las máquinas virtuales. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en orden cronológico en los mismos recursos, siguiendo el marco MITRE ATT&CK. Esto puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. | Medio/Alt |
| Incidente de seguridad detectado en varias máquinas | Este incidente indica una actividad sospechosa en una o más máquinas virtuales. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud en orden cronológico en el mismo recurso, siguiendo el marco MITRE ATT&CK. Esto puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. | Medio/Alt |
| Incidente de seguridad detectado con proceso compartido | Escenario 1: este incidente indica una actividad sospechosa en la máquina virtual. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud que comparten el mismo proceso. Esto puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. Escenario 2: este incidente indica una actividad sospechosa en las máquinas virtuales. Se han desencadenado varias alertas de diferentes planes de Defender for Cloud que comparten el mismo proceso. Esto puede indicar que un actor de amenazas ha obtenido acceso no autorizado al entorno y está intentando ponerlo en peligro. |
Medio/Alt |
Pasos siguientes
Administración de incidentes de seguridad en Microsoft Defender for Cloud
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de