Compartir a través de


Investigación de alertas de seguridad de Defender for Identity en Microsoft Defender XDR

Nota:

Defender for Identity no está diseñado para servir como una solución de auditoría o registro que captura cada operación o actividad única en los servidores donde está instalado el sensor. Solo captura los datos necesarios para sus mecanismos de detección y recomendación.

En este artículo se explican los conceptos básicos de cómo trabajar con Microsoft Defender for Identity alertas de seguridad en Microsoft Defender XDR.

Las alertas de Defender for Identity se integran de forma nativa en Microsoft Defender XDR con un formato de página de alerta de identidad dedicado.

La página Alerta de identidad proporciona a Microsoft Defender for Identity clientes un mejor enriquecimiento de señales entre dominios y nuevas funcionalidades automatizadas de respuesta de identidad. Garantiza la seguridad y ayuda a mejorar la eficacia de las operaciones de seguridad.

Una de las ventajas de investigar alertas a través de Microsoft Defender XDR es que Microsoft Defender for Identity alertas se correlacionan aún más con la información obtenida de cada uno de los demás productos del conjunto. Estas alertas mejoradas son coherentes con los demás formatos de alerta de Microsoft Defender XDR que se origina en Microsoft Defender para Office 365 y Microsoft Defender para punto de conexión. La nueva página elimina eficazmente la necesidad de navegar a otro portal de productos para investigar las alertas asociadas a la identidad.

Las alertas que se originan en Defender for Identity ahora pueden desencadenar las Microsoft Defender XDR funcionalidades de investigación y respuesta automatizadas (AIR), incluida la corrección automática de alertas y la mitigación de herramientas y procesos que pueden contribuir a la actividad sospechosa.

Importante

Como parte de la convergencia con Microsoft Defender XDR, algunas opciones y detalles han cambiado desde su ubicación en el portal de Defender for Identity. Lea los detalles siguientes para descubrir dónde encontrar las características conocidas y nuevas.

Revisión de alertas de seguridad

Se puede acceder a las alertas desde varias ubicaciones, incluida la página Alertas , la página Incidentes , las páginas de dispositivos individuales y desde la página Búsqueda avanzada . En este ejemplo, revisaremos la página Alertas.

En Microsoft Defender XDR, vaya a Incidentes & alertas y, a continuación, a Alertas.

Elemento de menú Alertas

Para ver las alertas de Defender for Identity, en la parte superior derecha, seleccione Filtrar y, a continuación, en Orígenes de servicio, seleccione Microsoft Defender for Identity y seleccione Aplicar:

Filtro para los eventos de Defender for Identity

Las alertas se muestran con información en las columnas siguientes: Nombre de alerta, Etiquetas, Gravedad, Estado de investigación, Estado, Categoría, Origen de detección, Activos afectados, Primera actividad y Última actividad.

Eventos de Defender for Identity

Categorías de alertas de seguridad

Las alertas de seguridad de Defender for Identity se dividen en las siguientes categorías o fases, como las fases que se ven en una típica cadena de eliminación de ataques cibernéticos.

Administrar alertas

Si selecciona el nombre de la alerta para una de las alertas, irá a la página con detalles sobre la alerta. En el panel izquierdo, verá un resumen de Lo que ha ocurrido:

El panel What happened (Lo que ha ocurrido)

Encima del cuadro What happened (Lo que ha ocurrido ) hay botones para las cuentas, el host de destino y el host de origen de la alerta. Para otras alertas, es posible que vea botones para obtener más información sobre hosts, cuentas, direcciones IP, dominios y grupos de seguridad adicionales. Seleccione cualquiera de ellos para obtener más detalles sobre las entidades implicadas.

En el panel derecho, verá los detalles de la alerta. Aquí puede ver más detalles y realizar varias tareas:

  • Clasificación de esta alerta: aquí puede designar esta alerta como una alerta True o una alerta False.

    Página en la que se puede clasificar una alerta

  • Estado de alerta : en Establecer clasificación, puede clasificar la alerta como True o False. En Asignado a, puede asignar la alerta a usted mismo o anular su asignación.

    Panel Estado de alerta

  • Detalles de la alerta : en Detalles de la alerta, puede encontrar más información sobre la alerta específica, seguir un vínculo a la documentación sobre el tipo de alerta, ver con qué incidente está asociada la alerta, revisar las investigaciones automatizadas vinculadas a este tipo de alerta y ver los dispositivos y usuarios afectados.

    Página Detalles de la alerta

  • Comentarios & historial : aquí puede agregar sus comentarios a la alerta y ver el historial de todas las acciones asociadas a la alerta.

    Página Historial de comentarios &

  • Administrar alerta : si selecciona Administrar alerta, irá a un panel que le permitirá editar:

    • Estado : puede elegir Nuevo, Resuelto o En curso.

    • Clasificación : puede elegir Alerta verdadera o Alerta falsa.

    • Comentario : puede agregar un comentario sobre la alerta.

    • Si selecciona los tres puntos junto a Administrar alerta, puede Vincular alerta a otro incidente, Crear regla de supresión (disponible solo para clientes en versión preliminar) o Preguntar a expertos de Defender.

      La opción Administrar alerta

      También puede exportar la alerta a un archivo de Excel. Para ello, seleccione Exportar.

      Nota:

      En el archivo de Excel, ahora tiene dos vínculos disponibles: Ver en Microsoft Defender for Identity y Ver en Microsoft Defender XDR. Cada vínculo le llevará al portal correspondiente y proporcionará información sobre la alerta allí.

Optimización de alertas

Ajuste las alertas para ajustarlas y optimizarlas, lo que reduce los falsos positivos. El ajuste de alertas permite a los equipos de SOC centrarse en alertas de alta prioridad y mejorar la cobertura de detección de amenazas en todo el sistema. En Microsoft Defender XDR, cree condiciones de regla basadas en tipos de evidencia y, a continuación, aplique la regla en cualquier tipo de regla que coincida con las condiciones.

Para obtener más información, vea Optimizar una alerta.

Recursos adicionales

Más información