Defender for Endpoint le notifica posibles eventos malintencionados, atributos e información contextual a través de alertas. Se muestra un resumen de las nuevas alertas y puede acceder a todas las alertas de la cola alertas.
Para administrar las alertas, seleccione una alerta en la cola Alertas o en la pestaña Alertas de la página Dispositivo de un dispositivo individual.
Al seleccionar una alerta en cualquiera de esos lugares, aparece el panel Administración de alertas.
Vea este vídeo para obtener información sobre cómo usar la nueva página de alertas de Microsoft Defender para punto de conexión.
Vínculo a otro incidente
Puede crear un nuevo incidente a partir de la alerta o vincularlo a un incidente existente.
Asignación de alertas
Si aún no se ha asignado una alerta, puede seleccionar Asignarme para asignarla usted mismo.
Suprimir alertas
Puede haber escenarios en los que tenga que suprimir la aparición de alertas en Microsoft Defender XDR. Defender para punto de conexión le permite crear reglas de supresión para alertas específicas que se sabe que son inofensas, como herramientas conocidas o procesos de su organización.
Las reglas de supresión se pueden crear a partir de una alerta existente. Se pueden deshabilitar y volver a habilitar si es necesario.
Cuando se crea una regla de supresión, surtirá efecto desde el punto en que se crea la regla. La regla no afectará a las alertas existentes ya en la cola, antes de la creación de la regla. La regla solo se aplicará en las alertas que cumplan las condiciones establecidas después de crear la regla.
Hay dos contextos para una regla de supresión entre los que puede elegir:
Suprimir alerta en este dispositivo
Suprimir alerta en mi organización
El contexto de la regla le permite adaptar lo que aparece en el portal y asegurarse de que solo se exponen alertas de seguridad reales en el portal.
Puede usar los ejemplos de la tabla siguiente para ayudarle a elegir el contexto de una regla de supresión:
Contexto
Definición
Escenarios de ejemplo
Suprimir alerta en este dispositivo
Las alertas con el mismo título de alerta y en ese dispositivo específico solo se suprimirán.
Todas las demás alertas de ese dispositivo no se suprimirán.
Un investigador de seguridad está investigando un script malintencionado que se ha usado para atacar a otros dispositivos de su organización.
Un desarrollador crea periódicamente scripts de PowerShell para su equipo.
Suprimir alerta en mi organización
Se suprimirán las alertas con el mismo título de alerta en cualquier dispositivo.
Todos los usuarios de la organización usan una herramienta administrativa benigna.
Suprimir una alerta y crear una nueva regla de supresión
Create reglas personalizadas para controlar cuándo se suprimen o resuelven las alertas. Puede controlar el contexto para cuando se suprime una alerta especificando el título de la alerta, el indicador de riesgo y las condiciones. Después de especificar el contexto, podrá configurar la acción y el ámbito en la alerta.
Seleccione la alerta que desea suprimir. Esto abre el panel Administración de alertas .
Seleccione Create una regla de supresión.
Puede crear una condición de supresión mediante estos atributos. Se aplica un operador AND entre cada condición, por lo que la supresión solo se produce si se cumplen todas las condiciones.
Archivo SHA1
Nombre de archivo: comodín admitido
Ruta de acceso de carpeta: comodín admitido
Dirección IP
DIRECCIÓN URL: comodín admitido
Línea de comandos: comodín admitido
Seleccione la opción Desencadenar IOC.
Especifique la acción y el ámbito en la alerta.
Puede resolver automáticamente una alerta u ocultarla en el portal. Las alertas que se resuelven automáticamente aparecerán en la sección resuelta de la cola de alertas, la página de alertas y la escala de tiempo del dispositivo y aparecerán como resueltas en las API de Defender para punto de conexión.
Las alertas marcadas como ocultas se suprimirán de todo el sistema, tanto en las alertas asociadas del dispositivo como desde el panel y no se transmitirán a través de las API de Defender para punto de conexión.
Escriba un nombre de regla y un comentario.
Haga clic en Guardar.
Ver la lista de reglas de supresión
En el panel de navegación, seleccione Configuración>Supresión de alertas> depuntos>de conexión.
La lista de reglas de supresión muestra todas las reglas que los usuarios de su organización han creado.
Puede clasificar las alertas (como Nuevas, En curso o Resueltas) cambiando su estado a medida que avanza la investigación. Esto le ayuda a organizar y administrar cómo su equipo puede responder a las alertas.
Por ejemplo, un responsable del equipo puede revisar todas las alertas nuevas y decidir asignarlas a la cola En curso para su análisis posterior.
Como alternativa, el responsable del equipo podría asignar la alerta a la cola Resuelta si sabe que la alerta es benigna, que procede de un dispositivo que no es relevante (por ejemplo, una que pertenece a un administrador de seguridad) o que se trata a través de una alerta anterior.
Clasificación de alerta
Puede elegir no establecer una clasificación o especificar si una alerta es una alerta verdadera o una alerta falsa. Es importante proporcionar la clasificación de verdadero positivo o falso positivo. Esta clasificación se usa para supervisar la calidad de las alertas y hacer que las alertas sean más precisas. El campo "determinación" define una fidelidad adicional para una clasificación "verdaderamente positiva".
Los pasos para clasificar alertas se incluyen en este vídeo:
Agregar comentarios y ver el historial de una alerta
Puede agregar comentarios y ver eventos históricos sobre una alerta para ver los cambios anteriores realizados en la alerta.
Cada vez que se realiza un cambio o comentario en una alerta, se registra en la sección Comentarios e historial .
Los comentarios agregados aparecen al instante en el panel.
Es posible que tenga que impedir que aparezcan alertas en el portal mediante reglas de supresión. Obtenga información sobre cómo administrar las reglas de supresión en Microsoft Defender para punto de conexión.
Realice acciones de respuesta en un dispositivo, como aislar dispositivos, recopilar un paquete de investigación, administrar etiquetas, ejecutar un examen av y restringir la ejecución de la aplicación.