Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La cola de alertas muestra una lista de alertas marcadas a partir de identidades en la red. De forma predeterminada, la cola muestra las alertas que se han visto en los últimos siete días en una vista agrupada. Las alertas más recientes se muestran en la parte superior de la lista, lo que le ayuda a ver primero las alertas más recientes.
Visualización de la cola de alertas
En el portal de Microsoft Defender, vaya a Incidentes & alertas y, a continuación, a Alertas.
Las alertas de los últimos siete días se muestran con la siguiente información:
- Nombre de alerta
- Etiquetas
- Severity
- Estado de investigación
- Estado
- Categoría
- Origen de detección
- Activos afectados
- Primera actividad
- Última actividad
Personalización de la vista de la cola de alertas
Puede personalizar la vista de la cola de alertas de varias maneras. Con las herramientas de la parte superior de la página, puede hacer lo siguiente:
- Personalice la vista para agregar o quitar columnas.
- Aplicar filtros.
- Personalice la duración. Muestra las alertas durante una duración determinada, como 1 día, 3 días, 1 semana, 30 días y 6 meses.
- Exportar un informe detallado de Excel para su análisis.
Filtrar la vista de alertas
Puede aplicar los siguientes filtros para obtener una vista más centrada de las alertas.
Alerta | Descripción |
---|---|
Gravedad | La gravedad de la alerta se basa en varios factores, como la cantidad de acceso que podría tener el atacante, el posible impacto si el ataque se realiza correctamente y la probabilidad de que la alerta sea un verdadero positivo. Para obtener una lista completa de los tipos de alerta y sus niveles de gravedad asignados, consulte Asignación de nombres de alertas de seguridad e identificadores externos únicos. |
Estado | Puede elegir filtrar la lista de alertas en función de su estado. Por ejemplo, puede filtrar para mostrar solo las alertas que son Nuevas, En curso o Resueltas. |
Fuentes de detección | Puede filtrar las alertas en función de los siguientes orígenes de detección: Microsoft Defender for Identity o Microsoft Defender XDR |
Tags | Puede filtrar las alertas en función de las etiquetas asignadas a las alertas. |
Visualización de una alerta
Puede acceder a alertas individuales desde varias ubicaciones; para ello, seleccione el nombre de alerta de cualquiera de las siguientes opciones:
- Página Alertas
- Página Incidentes
- Página Identidades
- Páginas de dispositivos individuales
- Página Búsqueda avanzada
Página de alertas
La página de alertas proporciona contexto en la alerta mediante la combinación de señales de ataque y alertas relacionadas con la alerta seleccionada para construir un artículo de alerta detallado. La página de alertas le ayuda a evaluar, investigar y tomar medidas eficaces rápidamente en las alertas.
Nota:
Microsoft Defender for Identity alertas aparecen actualmente en dos diseños diferentes en el portal de Microsoft Defender XDR. Aunque las vistas de alerta muestran información diferente, todas las alertas se basan en detecciones de sensores de Defender for Identity. Las diferencias en el diseño y la información que se muestran forman parte de una transición continua a una experiencia unificada de alertas entre Microsoft Defender productos.
Para ver las alertas de Defender for Identity y Defender XDR, seleccione Filtrar y, a continuación, en Orígenes de servicio, elija Microsoft Defender for Identity y Defender XDR y seleccione Aplicar:
alertas de Microsoft Defender for Identity
En la parte superior de la página, hay secciones para las cuentas, host de destino y host de origen de la alerta. En función de la alerta, es posible que vea detalles sobre hosts, cuentas, direcciones IP, dominios y grupos de seguridad adicionales. Seleccione cualquiera de ellos para obtener más detalles sobre las entidades implicadas.
- La sección Historia de alerta proporciona información para proporcionar una historia completa con los detalles de la alerta. El artículo de alerta se divide en dos secciones:
- Lo que ha ocurrido incluye la escala de tiempo de la alerta y las entidades implicadas en la alerta.
- El gráfico de alertas proporciona una representación visual de la alerta, incluidas las entidades implicadas en la alerta y sus relaciones. El gráfico le ayuda a comprender cómo se conectan las entidades y cómo se relacionan con la alerta.
- La información importante proporciona un contexto técnico que admite la investigación de alertas. Puede usar esta información para validar si la actividad era esperada o sospechosa y decidir qué acciones realizar para contener o escalar el incidente.
- Los detalles de la actividad proporcionan información detallada, incluida la marca de tiempo, el objeto base, el ámbito de búsqueda y otros detalles sobre la alerta.
- El panel de detalles del lado derecho de la página proporciona información adicional sobre la alerta, incluidos los detalles de la alerta, los comentarios & el historial. El panel de detalles también proporciona opciones adicionales, como:
- Administrar alerta
- Exportar alerta
- Traslado de la alerta a otro incidente
- Clasificación de una alerta
alertas de Microsoft Defender XDR
En la parte superior de la página, hay secciones para las cuentas, host de destino y host de origen de la alerta. En función de la alerta, es posible que vea botones para obtener detalles sobre hosts, cuentas, direcciones IP, dominios y grupos de seguridad adicionales. Seleccione cualquiera de ellos para obtener más detalles sobre las entidades implicadas.
- La sección Historia de alerta proporciona información para proporcionar una historia completa con los detalles de la alerta. El artículo de alerta se divide en dos secciones:
- Lo que ha ocurrido incluye la escala de tiempo de la alerta y las entidades implicadas en la alerta.
- El panel de detalles del lado derecho de la página proporciona información adicional sobre la alerta, incluidos los detalles de la alerta, los comentarios & el historial. El panel de detalles también proporciona opciones adicionales, como:
- Administrar alerta
- Traslado de la alerta a otro incidente
- Clasificación de una alerta
Administrar alertas de seguridad
Al seleccionar una alerta, se abre el panel Administración de alertas, donde puede realizar las siguientes acciones:
Cambiar el estado de una alerta
Puede clasificar las alertas como Nuevas, En curso o Resueltas cambiando su estado a medida que avanza la investigación. Esto le ayuda a organizar y administrar cómo su equipo puede responder a las alertas. Por ejemplo, un responsable del equipo puede revisar todas las alertas nuevas y decidir asignarlas a la cola En curso para su análisis posterior. El responsable del equipo puede asignar la alerta a la cola Resuelta si sabe que la alerta es benigna, o que procede de un dispositivo que no es relevante (por ejemplo, una que pertenece a un administrador de seguridad) o que se trata a través de una alerta anterior.
Traslado de una alerta a otro incidente
Puede crear un nuevo incidente a partir de la alerta o vincularlo a un incidente existente.
Asignación de alertas
Si aún no se ha asignado una alerta, puede seleccionar Asignarme para asignarla usted mismo.
Adición de comentarios a una alerta
Puede agregar comentarios a una alerta para proporcionar contexto o información adicional. Esto es útil para compartir información con su equipo o documentar el proceso de investigación. Cada vez que se realiza un cambio o comentario en una alerta, se registra en la sección Comentarios e historial.
Clasificación de alertas de seguridad
Para cada alerta, haga las siguientes preguntas para determinar la clasificación de alertas y ayudar a decidir qué hacer a continuación:
- ¿Es la alerta de seguridad un TP, B-TP o FP?
- ¿Cuán común es esta alerta de seguridad específica en su entorno?
- ¿Se desencadenó la alerta por los mismos tipos de equipos o usuarios? Por ejemplo, ¿servidores con el mismo rol o usuarios del mismo grupo o departamento? Si los equipos o los usuarios son similares, puede que decida excluirlo para evitar alertas de FP futuras adicionales.
Tras una investigación adecuada, todas las alertas de seguridad de Defender for Identity se pueden clasificar como uno de los siguientes tipos de actividad:
Verdadero positivo (TP): una acción malintencionada detectada por Defender for Identity.
Verdadero positivo benigno (B-TP): acción detectada por Defender for Identity que es real, pero no malintencionada, como una prueba de penetración o una actividad conocida generada por una aplicación aprobada.
Falso positivo (FP): una falsa alarma, lo que significa que la actividad no ocurrió.
Nota:
Un aumento de alertas exactamente del mismo tipo normalmente reduce el nivel sospechoso o importante de la alerta. En el caso de las alertas repetidas, compruebe las configuraciones y use detalles y definiciones de alertas de seguridad para comprender exactamente lo que sucede que desencadena las repeticiones.
Optimización de alertas
Ajuste las alertas para ajustarlas y optimizarlas, lo que reduce los falsos positivos. El ajuste de alertas permite a los equipos de SOC centrarse en alertas de alta prioridad y mejorar la cobertura de detección de amenazas en todo el sistema. En Microsoft Defender XDR, cree condiciones de regla basadas en tipos de evidencia y, a continuación, aplique la regla en cualquier tipo de regla que coincida con las condiciones.
Para obtener más información, vea Optimizar una alerta.