Compartir a través de


Visualización y administración de alertas de seguridad

La cola de alertas muestra una lista de alertas marcadas a partir de identidades en la red. De forma predeterminada, la cola muestra las alertas que se han visto en los últimos siete días en una vista agrupada. Las alertas más recientes se muestran en la parte superior de la lista, lo que le ayuda a ver primero las alertas más recientes.

Visualización de la cola de alertas

En el portal de Microsoft Defender, vaya a Incidentes & alertas y, a continuación, a Alertas.

Las alertas de los últimos siete días se muestran con la siguiente información:

  • Nombre de alerta
  • Etiquetas
  • Severity
  • Estado de investigación
  • Estado
  • Categoría
  • Origen de detección
  • Activos afectados
  • Primera actividad
  • Última actividad

Captura de pantalla que muestra la página Alertas en el portal de Defender. Dos alertas denominadas Sospecha de fuerza bruta aparecen con detalles completos de alerta.

Personalización de la vista de la cola de alertas

Puede personalizar la vista de la cola de alertas de varias maneras. Con las herramientas de la parte superior de la página, puede hacer lo siguiente:

  • Personalice la vista para agregar o quitar columnas.
  • Aplicar filtros.
  • Personalice la duración. Muestra las alertas durante una duración determinada, como 1 día, 3 días, 1 semana, 30 días y 6 meses.
  • Exportar un informe detallado de Excel para su análisis.

Filtrar la vista de alertas

Puede aplicar los siguientes filtros para obtener una vista más centrada de las alertas.

Alerta Descripción
Gravedad La gravedad de la alerta se basa en varios factores, como la cantidad de acceso que podría tener el atacante, el posible impacto si el ataque se realiza correctamente y la probabilidad de que la alerta sea un verdadero positivo. Para obtener una lista completa de los tipos de alerta y sus niveles de gravedad asignados, consulte Asignación de nombres de alertas de seguridad e identificadores externos únicos.
Estado Puede elegir filtrar la lista de alertas en función de su estado. Por ejemplo, puede filtrar para mostrar solo las alertas que son Nuevas, En curso o Resueltas.
Fuentes de detección Puede filtrar las alertas en función de los siguientes orígenes de detección: Microsoft Defender for Identity o Microsoft Defender XDR
Tags Puede filtrar las alertas en función de las etiquetas asignadas a las alertas.

Visualización de una alerta

Puede acceder a alertas individuales desde varias ubicaciones; para ello, seleccione el nombre de alerta de cualquiera de las siguientes opciones:

  • Página Alertas
  • Página Incidentes
  • Página Identidades
  • Páginas de dispositivos individuales
  • Página Búsqueda avanzada

Página de alertas

La página de alertas proporciona contexto en la alerta mediante la combinación de señales de ataque y alertas relacionadas con la alerta seleccionada para construir un artículo de alerta detallado. La página de alertas le ayuda a evaluar, investigar y tomar medidas eficaces rápidamente en las alertas.

Nota:

Microsoft Defender for Identity alertas aparecen actualmente en dos diseños diferentes en el portal de Microsoft Defender XDR. Aunque las vistas de alerta muestran información diferente, todas las alertas se basan en detecciones de sensores de Defender for Identity. Las diferencias en el diseño y la información que se muestran forman parte de una transición continua a una experiencia unificada de alertas entre Microsoft Defender productos.

Para ver las alertas de Defender for Identity y Defender XDR, seleccione Filtrar y, a continuación, en Orígenes de servicio, elija Microsoft Defender for Identity y Defender XDR y seleccione Aplicar:

Captura de pantalla que muestra el menú de filtro de alertas por servicio.

alertas de Microsoft Defender for Identity

En la parte superior de la página, hay secciones para las cuentas, host de destino y host de origen de la alerta. En función de la alerta, es posible que vea detalles sobre hosts, cuentas, direcciones IP, dominios y grupos de seguridad adicionales. Seleccione cualquiera de ellos para obtener más detalles sobre las entidades implicadas.

  • La sección Historia de alerta proporciona información para proporcionar una historia completa con los detalles de la alerta. El artículo de alerta se divide en dos secciones:
    • Lo que ha ocurrido incluye la escala de tiempo de la alerta y las entidades implicadas en la alerta.
    • El gráfico de alertas proporciona una representación visual de la alerta, incluidas las entidades implicadas en la alerta y sus relaciones. El gráfico le ayuda a comprender cómo se conectan las entidades y cómo se relacionan con la alerta.
  • La información importante proporciona un contexto técnico que admite la investigación de alertas. Puede usar esta información para validar si la actividad era esperada o sospechosa y decidir qué acciones realizar para contener o escalar el incidente.
  • Los detalles de la actividad proporcionan información detallada, incluida la marca de tiempo, el objeto base, el ámbito de búsqueda y otros detalles sobre la alerta.
  • El panel de detalles del lado derecho de la página proporciona información adicional sobre la alerta, incluidos los detalles de la alerta, los comentarios & el historial. El panel de detalles también proporciona opciones adicionales, como:
    • Administrar alerta
    • Exportar alerta
    • Traslado de la alerta a otro incidente
    • Clasificación de una alerta

Captura de pantalla que muestra la estructura de alertas de Defender for Identity.

alertas de Microsoft Defender XDR

En la parte superior de la página, hay secciones para las cuentas, host de destino y host de origen de la alerta. En función de la alerta, es posible que vea botones para obtener detalles sobre hosts, cuentas, direcciones IP, dominios y grupos de seguridad adicionales. Seleccione cualquiera de ellos para obtener más detalles sobre las entidades implicadas.

  • La sección Historia de alerta proporciona información para proporcionar una historia completa con los detalles de la alerta. El artículo de alerta se divide en dos secciones:
    • Lo que ha ocurrido incluye la escala de tiempo de la alerta y las entidades implicadas en la alerta.
  • El panel de detalles del lado derecho de la página proporciona información adicional sobre la alerta, incluidos los detalles de la alerta, los comentarios & el historial. El panel de detalles también proporciona opciones adicionales, como:
    • Administrar alerta
    • Traslado de la alerta a otro incidente
    • Clasificación de una alerta

Captura de pantalla que muestra la estructura de alertas de Defender for XDR

Administrar alertas de seguridad

Al seleccionar una alerta, se abre el panel Administración de alertas, donde puede realizar las siguientes acciones:

Cambiar el estado de una alerta

Puede clasificar las alertas como Nuevas, En curso o Resueltas cambiando su estado a medida que avanza la investigación. Esto le ayuda a organizar y administrar cómo su equipo puede responder a las alertas. Por ejemplo, un responsable del equipo puede revisar todas las alertas nuevas y decidir asignarlas a la cola En curso para su análisis posterior. El responsable del equipo puede asignar la alerta a la cola Resuelta si sabe que la alerta es benigna, o que procede de un dispositivo que no es relevante (por ejemplo, una que pertenece a un administrador de seguridad) o que se trata a través de una alerta anterior.

Traslado de una alerta a otro incidente

Puede crear un nuevo incidente a partir de la alerta o vincularlo a un incidente existente.

Captura de pantalla que muestra la opción para mover una alerta a otro incidente.

Asignación de alertas

Si aún no se ha asignado una alerta, puede seleccionar Asignarme para asignarla usted mismo.

Captura de pantalla que muestra cómo asignar una alerta a sí mismo.

Adición de comentarios a una alerta

Puede agregar comentarios a una alerta para proporcionar contexto o información adicional. Esto es útil para compartir información con su equipo o documentar el proceso de investigación. Cada vez que se realiza un cambio o comentario en una alerta, se registra en la sección Comentarios e historial.

Captura de pantalla que muestra la sección Comments & history (Historial de comentarios &) en el portal de Microsoft Defender. Se proporciona un cuadro de texto para escribir comentarios.

Clasificación de alertas de seguridad

Para cada alerta, haga las siguientes preguntas para determinar la clasificación de alertas y ayudar a decidir qué hacer a continuación:

  1. ¿Es la alerta de seguridad un TP, B-TP o FP?
  2. ¿Cuán común es esta alerta de seguridad específica en su entorno?
  3. ¿Se desencadenó la alerta por los mismos tipos de equipos o usuarios? Por ejemplo, ¿servidores con el mismo rol o usuarios del mismo grupo o departamento? Si los equipos o los usuarios son similares, puede que decida excluirlo para evitar alertas de FP futuras adicionales.

Tras una investigación adecuada, todas las alertas de seguridad de Defender for Identity se pueden clasificar como uno de los siguientes tipos de actividad:

  • Verdadero positivo (TP): una acción malintencionada detectada por Defender for Identity.

  • Verdadero positivo benigno (B-TP): acción detectada por Defender for Identity que es real, pero no malintencionada, como una prueba de penetración o una actividad conocida generada por una aplicación aprobada.

  • Falso positivo (FP): una falsa alarma, lo que significa que la actividad no ocurrió.

Captura de pantalla que muestra cómo clasificar una alerta como una alerta verdadera o falsa.

Nota:

Un aumento de alertas exactamente del mismo tipo normalmente reduce el nivel sospechoso o importante de la alerta. En el caso de las alertas repetidas, compruebe las configuraciones y use detalles y definiciones de alertas de seguridad para comprender exactamente lo que sucede que desencadena las repeticiones.

Optimización de alertas

Ajuste las alertas para ajustarlas y optimizarlas, lo que reduce los falsos positivos. El ajuste de alertas permite a los equipos de SOC centrarse en alertas de alta prioridad y mejorar la cobertura de detección de amenazas en todo el sistema. En Microsoft Defender XDR, cree condiciones de regla basadas en tipos de evidencia y, a continuación, aplique la regla en cualquier tipo de regla que coincida con las condiciones.

Para obtener más información, vea Optimizar una alerta.