Cuadernos de estrategias de clasificación de alertas

Artículo
04/26/2024

Se aplica a:

Microsoft Defender XDR

Los cuadernos de estrategias de clasificación de alertas permiten revisar y clasificar rápidamente las alertas de ataques conocidos y realizar las acciones recomendadas para corregir el ataque y proteger la red. La clasificación de alertas también ayudará a clasificar correctamente el incidente general.

Como investigador de seguridad o analista del Centro de operaciones de seguridad (SOC), debe tener acceso al portal de Microsoft Defender para que pueda:

Evalúe y revise las alertas generadas y los incidentes asociados. Consulte Investigar alertas.
Búsqueda los datos de señal de seguridad del inquilino y compruebe si hay posibles amenazas y actividades sospechosas. Consulte búsqueda avanzada.

Nota:

Puede proporcionar comentarios a Microsoft sobre alertas de verdaderos positivos y falsos positivos, no solo al final de la investigación, sino también durante el proceso de investigación. Esto puede ayudar a Microsoft con el análisis y la clasificación futuros de eventos de seguridad.

Microsoft Defender para Office 365

Microsoft Defender para Office 365 protege a su organización frente a amenazas malintencionadas planteadas por mensajes de correo electrónico, vínculos (DIRECCIONES URL) y herramientas de colaboración. Microsoft Defender para Office 365 incluye:

Directivas de protección contra amenazas

Defina directivas de protección contra amenazas para establecer el nivel de protección adecuado para su organización.
Informes

Vea informes en tiempo real para supervisar el rendimiento de Defender para Office 365 en su organización.
Capacidades de investigación y respuesta de amenazas

Use herramientas de vanguardia para investigar, comprender, simular y evitar amenazas.
Funcionalidades automatizadas de investigación y respuesta

Ahorre tiempo y esfuerzo investigando y mitigando amenazas.

Defender para Office 365 alertas se pueden clasificar como:

Verdadero positivo (TP) para la actividad malintencionada confirmada.
Falso positivo (FP) para la actividad no malintencionada confirmada.

Nota:

Microsoft Defender portal https://security.microsoft.com reúne la funcionalidad de los portales de seguridad de Microsoft existentes. El portal de Microsoft Defender hace hincapié en el acceso rápido a la información, diseños más sencillos y reunir información relacionada para facilitar su uso.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps es un agente de seguridad de acceso a la nube (CASB) que admite varios modos de implementación, como la recopilación de registros, los conectores de API y el proxy inverso. Ofrece una visibilidad completa, control sobre los datos que se transmiten y análisis sofisticados para identificar y combatir las ciberamenazas en todos los servicios en la nube de Microsoft y de terceros.

Defender for Cloud Apps se integra de forma nativa con las principales soluciones de Microsoft y está diseñado pensando en los profesionales de seguridad. Ofrece una implementación simple, una administración centralizada y capacidades de automatización innovadoras.

El marco de Defender for Cloud Apps incluye la capacidad de proteger la red contra ciberamenazas y anomalías, detecta un comportamiento inusual en las aplicaciones en la nube para identificar ransomware, usuarios en peligro o aplicaciones no autorizadas. Permite el análisis del uso de alto riesgo y puede corregirse automáticamente para limitar el riesgo para su organización.

Las alertas de Defender for Cloud Apps se pueden clasificar como:

TP para la actividad malintencionada confirmada.
Verdadero positivo benigno (B-TP) para actividades sospechosas pero no malintencionadas, como una prueba de penetración u otra acción sospechosa autorizada.
FP para actividad no malintencionada confirmada.