Administración de las alertas de seguridad y respuesta a ellas

Defender for Cloud recopila, analiza e integra los datos de registro de los recursos de Azure, híbridos y multinube, la red y las soluciones de asociados conectadas, como firewalls y agentes de puntos de conexión. Defender for Cloud usa los datos de registro para detectar amenazas reales y reducir los falsos positivos. En Defender for Cloud se muestra una lista de alertas de seguridad clasificadas por orden de prioridad junto con la información necesaria para investigar rápidamente el problema y los pasos que se deben seguir para corregir un ataque.

En este artículo se muestra cómo ver y procesar las alertas de Defender for Cloud y cómo proteger los recursos.

Al evaluar las alertas de seguridad, debe priorizar las alertas en función de su gravedad de alerta, abordando primero las alertas de gravedad superior. Obtenga más información sobre cómo se clasifican las alertas.

Sugerencia

Puede conectar Microsoft Defender for Cloud a las soluciones SIEM, incluido Microsoft Sentinel, y consumir las alertas desde la herramienta que prefiera. Puede encontrar más información sobre cómo transmitir alertas a una solución de administración de servicios de TI, SIEM o SOAR.

Requisitos previos

Para conocer los requisitos previos y los requisitos, consulte Matrices de soporte técnico para Defender for Cloud.

Administración de las alertas de seguridad

Siga estos pasos:

1. Inicie sesión en Azure Portal.

2. Vaya a Microsoft Defender for Cloud>Alertas de seguridad.

   

3. (Opcional) Filtre la lista de alertas con cualquiera de los filtros pertinentes. Puede agregar filtros adicionales con la opción Agregar filtro.

   

   La lista se actualiza según los filtros seleccionados. Por ejemplo, podría comprobar las alertas de seguridad que se produjeron en las 24 horas anteriores, ya que se está investigando una posible brecha en el sistema.

Investigación de una alerta de seguridad

Cada alerta contiene información relacionada con ella que le ayuda en la investigación.

Para investigar una alerta de seguridad:

1. Seleccione una alerta. Se abre un panel lateral en el que se muestra una descripción de la alerta y de todos los recursos afectados.

   

2. Revise la información de alto nivel sobre la alerta de seguridad.

   • Gravedad de la alerta, estado y tiempo de actividad.
   • Descripción que explica la actividad precisa detectada.
   • Recursos afectados.
   • Intención de la cadena de eliminación de la actividad en la matriz de MITRE ATT&CK (de ser aplicable)

3. Seleccione View full details (Ver detalles completos).

   En el panel derecho se incluye la pestaña Detalles de alerta que contiene más detalles de la alerta para ayudarle a investigar el problema: Direcciones IP, archivos, procesos, etc.

   

   Además, en el panel derecho se encuentra la pestaña Realizar acción. Use esta pestaña para realizar acciones adicionales con respecto a la alerta de seguridad. Acciones como:

   • Inspección del contexto del recurso: le envía a los registros de actividad del recurso que admiten la alerta de seguridad
   • Mitigar las amenazas: proporciona pasos de corrección manual para esta alerta de seguridad
   • Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie expuesta a ataques, aumentar la postura de seguridad y así evitar futuros ataques
   • Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como respuesta a esta alerta de seguridad
   • Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares si la alerta no es relevante para su organización

   

   Si quiere conocer detalles adicionales, póngase en contacto con el propietario del recurso para comprobar si la actividad detectada es un falso positivo. También puede investigar los registros sin procesar que ha generado el recurso atacado.

Cambio simultaneo del estado de varias alertas de seguridad

La lista de alertas incluye varias casillas, lo que permite controlar varias alertas a la vez. Por ejemplo, para realizar valoraciones se pueden descartar todas las alertas informativas de un recurso concreto.

1. Filtre según las alertas que desee controlar de forma masiva.

   En este ejemplo, se seleccionan las alertas con gravedad de Informational para el recurso ASC-AKS-CLOUD-TALK.

   

2. Use las casillas para seleccionar las alertas que se van a procesar.

   En este ejemplo, se seleccionan todas las alertas. El botón Cambiar estado ahora está disponible.

   

3. Use las opciones de Cambiar estado para establecer el estado deseado.

   

   El estado de las alertas que se muestran en la página actual cambiará al valor seleccionado.

Respuesta a una alerta de seguridad

Después de investigar una alerta de seguridad, puede responder a la alerta desde Microsoft Defender for Cloud.

Para responder a una alerta de seguridad:

1. Abra la pestaña Tomar medidas para ver las respuestas recomendadas.

   

2. Consulte la sección Mitigación de la amenaza para ver los pasos de investigación manual necesarios para mitigar el problema.

3. Para proteger los recursos y evitar futuros ataques de este tipo, lleve a cabo las recomendaciones de seguridad que se indican en la sección Prevención ante futuros ataques.

4. Para desencadenar una aplicación lógica con pasos de respuesta automatizados, use la sección Desencadenamiento de respuesta automatizada y seleccione Desencadenar la aplicación lógica.

5. Si la actividad detectada no es malintencionada, puede suprimir alertas futuras de este tipo mediante la sección Suprimir alertas similares si selecciona Crear regla de supresión.

6. Seleccione Configurar las opciones de notificación por correo electrónico para ver quién recibe correos electrónicos relacionados con las alertas de seguridad de esta suscripción. Póngase en contacto con el propietario de la suscripción para configurar las opciones de correo electrónico.

7. Cuando complete la investigación en la alerta y responda de la manera adecuada, cambie el estado a Descartado.

   

   La alerta se quita de la lista de alertas principales. Puede usar el filtro de la página de la lista de alertas para ver todas las alertas con el estado Descartado.

8. Le recomendamos que proporcione comentarios sobre la alerta a Microsoft:

   1. Marque la alerta como Útil o No útil.
   2. Seleccione un motivo y agregue un comentario.

   

   Sugerencia

   Examinamos sus comentarios para mejorar nuestros algoritmos y proporcionar mejores alertas de seguridad.

   Para más información sobre los distintos tipos de alertas, consulte Alertas de seguridad: una guía de referencia.

   Para obtener información general sobre cómo Defender for Cloud genera alertas, consulte How Microsoft Defender for Cloud detects and responds to threats(Cómo Microsoft Defender for Cloud y responde a las amenazas).

   Revisar los resultados del examen sin agente

   Los resultados del examen basado en agente y sin agente aparecen en la página Alertas de seguridad.

   

   Nota:

   La corrección de una de estas alertas no corregirá la otra alerta hasta que se complete el siguiente examen.

Contenido relacionado

• Configuración de reglas de eliminación de alertas
• Automatización de respuestas a desencadenadores de Defender for Cloud
• Alertas de seguridad: una guía de referencia

Defender for Cloud recopila, analiza e integra los datos de registro de los recursos de Azure, híbridos y multinube, la red y las soluciones de asociados conectadas, como firewalls y agentes de puntos de conexión. Defender for Cloud usa los datos de registro para detectar amenazas reales y reducir los falsos positivos. En Defender for Cloud se muestra una lista de alertas de seguridad clasificadas por orden de prioridad junto con la información necesaria para investigar rápidamente el problema y los pasos que se deben seguir para corregir un ataque.

En este artículo se muestra cómo ver y procesar las alertas de Defender for Cloud y cómo proteger los recursos.

Al evaluar las alertas de seguridad, debe priorizar las alertas en función de su gravedad de alerta, abordando primero las alertas de gravedad superior. Obtenga más información sobre cómo se clasifican las alertas.

Sugerencia

Puede conectar Microsoft Defender for Cloud a las soluciones SIEM, incluido Microsoft Sentinel, y consumir las alertas desde la herramienta que prefiera. Puede encontrar más información sobre cómo transmitir alertas a una solución de administración de servicios de TI, SIEM o SOAR.

Para conocer los requisitos previos y los requisitos, consulte Matrices de soporte técnico para Defender for Cloud.

Siga estos pasos:

1. Inicie sesión en Azure Portal.

2. Vaya a Microsoft Defender for Cloud>Alertas de seguridad.

   

3. (Opcional) Filtre la lista de alertas con cualquiera de los filtros pertinentes. Puede agregar filtros adicionales con la opción Agregar filtro.

   

   La lista se actualiza según los filtros seleccionados. Por ejemplo, podría comprobar las alertas de seguridad que se produjeron en las 24 horas anteriores, ya que se está investigando una posible brecha en el sistema.

Cada alerta contiene información relacionada con ella que le ayuda en la investigación.

Para investigar una alerta de seguridad:

1. Seleccione una alerta. Se abre un panel lateral en el que se muestra una descripción de la alerta y de todos los recursos afectados.

   

2. Revise la información de alto nivel sobre la alerta de seguridad.

   • Gravedad de la alerta, estado y tiempo de actividad.
   • Descripción que explica la actividad precisa detectada.
   • Recursos afectados.
   • Intención de la cadena de eliminación de la actividad en la matriz de MITRE ATT&CK (de ser aplicable)

3. Seleccione View full details (Ver detalles completos).

   En el panel derecho se incluye la pestaña Detalles de alerta que contiene más detalles de la alerta para ayudarle a investigar el problema: Direcciones IP, archivos, procesos, etc.

   

   Además, en el panel derecho se encuentra la pestaña Realizar acción. Use esta pestaña para realizar acciones adicionales con respecto a la alerta de seguridad. Acciones como:

   • Inspección del contexto del recurso: le envía a los registros de actividad del recurso que admiten la alerta de seguridad
   • Mitigar las amenazas: proporciona pasos de corrección manual para esta alerta de seguridad
   • Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie expuesta a ataques, aumentar la postura de seguridad y así evitar futuros ataques
   • Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como respuesta a esta alerta de seguridad
   • Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares si la alerta no es relevante para su organización

   

   Si quiere conocer detalles adicionales, póngase en contacto con el propietario del recurso para comprobar si la actividad detectada es un falso positivo. También puede investigar los registros sin procesar que ha generado el recurso atacado.

La lista de alertas incluye varias casillas, lo que permite controlar varias alertas a la vez. Por ejemplo, para realizar valoraciones se pueden descartar todas las alertas informativas de un recurso concreto.

1. Filtre según las alertas que desee controlar de forma masiva.

   En este ejemplo, se seleccionan las alertas con gravedad de Informational para el recurso ASC-AKS-CLOUD-TALK.

   

2. Use las casillas para seleccionar las alertas que se van a procesar.

   En este ejemplo, se seleccionan todas las alertas. El botón Cambiar estado ahora está disponible.

   

3. Use las opciones de Cambiar estado para establecer el estado deseado.

   

   El estado de las alertas que se muestran en la página actual cambiará al valor seleccionado.

Después de investigar una alerta de seguridad, puede responder a la alerta desde Microsoft Defender for Cloud.

Para responder a una alerta de seguridad:

1. Abra la pestaña Tomar medidas para ver las respuestas recomendadas.

   

2. Consulte la sección Mitigación de la amenaza para ver los pasos de investigación manual necesarios para mitigar el problema.

3. Para proteger los recursos y evitar futuros ataques de este tipo, lleve a cabo las recomendaciones de seguridad que se indican en la sección Prevención ante futuros ataques.

4. Para desencadenar una aplicación lógica con pasos de respuesta automatizados, use la sección Desencadenamiento de respuesta automatizada y seleccione Desencadenar la aplicación lógica.

5. Si la actividad detectada no es malintencionada, puede suprimir alertas futuras de este tipo mediante la sección Suprimir alertas similares si selecciona Crear regla de supresión.

6. Seleccione Configurar las opciones de notificación por correo electrónico para ver quién recibe correos electrónicos relacionados con las alertas de seguridad de esta suscripción. Póngase en contacto con el propietario de la suscripción para configurar las opciones de correo electrónico.

7. Cuando complete la investigación en la alerta y responda de la manera adecuada, cambie el estado a Descartado.

   

   La alerta se quita de la lista de alertas principales. Puede usar el filtro de la página de la lista de alertas para ver todas las alertas con el estado Descartado.

8. Le recomendamos que proporcione comentarios sobre la alerta a Microsoft:

   1. Marque la alerta como Útil o No útil.
   2. Seleccione un motivo y agregue un comentario.

   

   Sugerencia

   Examinamos sus comentarios para mejorar nuestros algoritmos y proporcionar mejores alertas de seguridad.

   Para más información sobre los distintos tipos de alertas, consulte Alertas de seguridad: una guía de referencia.

   Para obtener información general sobre cómo Defender for Cloud genera alertas, consulte How Microsoft Defender for Cloud detects and responds to threats(Cómo Microsoft Defender for Cloud y responde a las amenazas).

   Revisar los resultados del examen sin agente

   Los resultados del examen basado en agente y sin agente aparecen en la página Alertas de seguridad.

   

   Nota:

   La corrección de una de estas alertas no corregirá la otra alerta hasta que se complete el siguiente examen.