Leer en inglés

Compartir a través de


Priorización de incidentes en el portal de Microsoft Defender

La plataforma de operaciones de seguridad unificada del portal de Microsoft Defender aplica análisis de correlación y agrega alertas relacionadas e investigaciones automatizadas de diferentes productos en un incidente. Microsoft Sentinel y Defender XDR también desencadenan alertas únicas sobre actividades que solo se pueden identificar como malintencionadas dada la visibilidad completa en la plataforma unificada en todo el conjunto de productos. Esta vista proporciona a los analistas de seguridad la historia de ataques más amplia, lo que les ayuda a comprender mejor y tratar las amenazas complejas en toda la organización.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. En versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Cola de incidentes

La cola de incidentes muestra una colección de incidentes que se crearon entre dispositivos, usuarios, buzones y otros recursos. Le ayuda a ordenar los incidentes para priorizar y crear una decisión de respuesta de ciberseguridad informada, un proceso conocido como evaluación de incidentes.

Puede llegar a la cola de incidentes desde Incidentes & alertas > Incidentes en el inicio rápido del portal de Microsoft Defender. Por ejemplo:

Captura de pantalla de la cola incidentes en el portal de Microsoft Defender.

Seleccione Incidentes y alertas más recientes para alternar la expansión de la sección superior, que muestra un gráfico de escala de tiempo del número de alertas recibidas e incidentes creados en las últimas 24 horas.

Captura de pantalla del gráfico de incidentes de 24 horas.

A continuación, la cola de incidentes del portal de Microsoft Defender muestra los incidentes detectados en los últimos seis meses. Puede elegir un período de tiempo diferente seleccionándolo en la lista desplegable de la parte superior. Los incidentes se organizan según las últimas actualizaciones automáticas o manuales realizadas a un incidente. Puede organizar los incidentes por la columna de hora de última actualización para ver los incidentes según las últimas actualizaciones automáticas o manuales realizadas.

La cola de incidentes tiene columnas personalizables que proporcionan visibilidad sobre las distintas características del incidente o las entidades afectadas. Este filtrado le ayuda a tomar una decisión informada con respecto a la priorización de incidentes para su análisis. Seleccione Personalizar columnas para realizar las siguientes personalizaciones en función de la vista que prefiera:

  • Active o desactive las columnas que desea ver en la cola de incidentes.
  • Organice el orden de las columnas arrastrándolas.

Captura de pantalla de los controles de columna y filtro de página incidente.

Nombres de incidentes

Para obtener más visibilidad de un vistazo, Microsoft Defender XDR genera nombres de incidentes automáticamente, en función de los atributos de alerta, como el número de puntos de conexión afectados, los usuarios afectados, los orígenes de detección o las categorías. Esta nomenclatura específica le permite comprender rápidamente el ámbito del incidente.

Por ejemplo: incidente de varias fases en varios puntos de conexión notificados por varios orígenes.

Si ha incorporado Microsoft Sentinel a la plataforma de operaciones de seguridad unificadas, es probable que las alertas e incidentes procedentes de Microsoft Sentinel cambien sus nombres (independientemente de si se crearon antes o después de la incorporación).

Se recomienda evitar el uso del nombre del incidente como condición para desencadenar reglas de automatización. Si el nombre del incidente es una condición y el nombre del incidente cambia, la regla no se desencadenará.

Filtros

La cola de incidentes también proporciona varias opciones de filtrado que, cuando se aplican, le permiten realizar un amplio barrido de todos los incidentes existentes en su entorno o decidir centrarse en un escenario o una amenaza específicos. Aplicar filtros en la cola de incidentes puede ayudar a determinar qué incidente requiere atención inmediata.

La lista Filtros situada encima de la lista de incidentes muestra los filtros aplicados actualmente.

En la cola de incidentes predeterminada, puede seleccionar Agregar filtro para ver la lista desplegable Agregar filtro , desde la que se especifican filtros que se aplicarán a la cola de incidentes para limitar el conjunto de incidentes mostrado. Por ejemplo:

El panel Filtros de la cola de incidentes en el portal de Microsoft Defender.

Seleccione los filtros que desea usar y, a continuación, seleccione Agregar en la parte inferior de la lista para que estén disponibles.

Ahora se muestran los filtros seleccionados junto con los filtros aplicados existentes. Seleccione el nuevo filtro para especificar sus condiciones. Por ejemplo, si eligió el filtro "Orígenes de servicio/detección", selecciónelo para elegir los orígenes por los que filtrar la lista.

También puede ver el panel Filtro seleccionando cualquiera de los filtros de la lista Filtros situada encima de la lista de incidentes.

En esta tabla se enumeran los nombres de filtro que están disponibles.

Nombre del filtro Descripción/Condiciones
Estado Seleccione Nuevo, En curso o Resuelto.
Gravedad de la alerta
Gravedad del incidente
La gravedad de una alerta o incidente indica el impacto que puede tener en los recursos. Cuanto mayor sea la gravedad, mayor será el impacto y, por lo general, se requiere la atención más inmediata. Seleccione Alto, Medio, Bajo o Informativo.
Asignación de incidentes Seleccione el usuario o los usuarios asignados.
Múltiples orígenes del servicio Especifique si el filtro es para más de un origen de servicio.
Orígenes de servicio/detección Especifique incidentes que contengan alertas de uno o varios de los siguientes:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para punto de conexión
  • Microsoft Defender XDR
  • Microsoft Defender para Office 365
  • Gobernanza de aplicaciones
  • Protección de Microsoft Entra ID
  • Prevención de pérdida de datos de Microsoft
  • Microsoft Defender for Cloud
  • Microsoft Sentinel

    Muchos de estos servicios se pueden expandir en el menú para mostrar más opciones de orígenes de detección dentro de un servicio determinado.
  • Tags Seleccione uno o varios nombres de etiqueta de la lista.
    Categoría múltiple Especifique si el filtro es para más de una categoría.
    Categories Elija categorías para centrarse en tácticas, técnicas o componentes de ataque específicos vistos.
    Entities Especifique el nombre de un recurso, como un usuario, un dispositivo, un buzón o un nombre de aplicación.
    Confidencialidad de datos Algunos ataques tienen por objetivo extraer datos confidenciales o importantes. Al aplicar un filtro para etiquetas de confidencialidad específicas, puede determinar rápidamente si la información confidencial se ha puesto en peligro potencialmente y dar prioridad a abordar esos incidentes.

    Este filtro solo muestra información cuando se han aplicado etiquetas de confidencialidad desde Microsoft Purview Information Protection.
    Grupos de dispositivo Especifique un nombre de grupo de dispositivos .
    Plataforma del sistema operativo Especifique los sistemas operativos del dispositivo.
    Clasificación Especifique el conjunto de clasificaciones de las alertas relacionadas.
    Estado de investigación automatizada Especifique el estado de la investigación automatizada.
    Amenaza asociada Especifique una amenaza con nombre.
    Directivas de alerta Especifique un título de directiva de alerta.
    Identificadores de suscripción de alerta Especifique una alerta basada en un identificador de suscripción.

    El filtro predeterminado es mostrar todas las alertas e incidentes con un estado nuevo y en curso y con una gravedad alta, media o baja.

    Para quitar rápidamente un filtro, seleccione la X en el nombre de un filtro en la lista Filtros .

    También puede crear conjuntos de filtros dentro de la página incidentes seleccionando Consultas > de filtro guardadas Crear conjunto de filtros. Si no se ha creado ningún conjunto de filtros, seleccione Guardar para crear uno.

    La opción crear conjuntos de filtros para la cola de incidentes en el portal de Microsoft Defender.

    Nota

    Microsoft Defender XDR clientes ahora pueden filtrar incidentes con alertas en las que un dispositivo en peligro se comunica con dispositivos de tecnología operativa (OT) conectados a la red empresarial mediante la integración de detección de dispositivos de Microsoft Defender para IoT y Microsoft Defender para punto de conexión. Para filtrar estos incidentes, seleccione Cualquiera en los orígenes de servicio o detección y, a continuación, seleccione Microsoft Defender para IoT en el nombre del producto o consulte Investigar incidentes y alertas en Microsoft Defender para IoT en el portal de Defender. También puede usar grupos de dispositivos para filtrar las alertas específicas del sitio. Para obtener más información sobre los requisitos previos de Defender para IoT, consulte Introducción a la supervisión de IoT empresarial en Microsoft Defender XDR.

    Guardar filtros personalizados como direcciones URL

    Una vez que haya configurado un filtro útil en la cola de incidentes, puede marcar la dirección URL de la pestaña del explorador o guardarla como un vínculo en una página web, un documento Word o un lugar de su elección. La creación de marcadores proporciona acceso de un solo clic a las vistas clave de la cola de incidentes, como:

    • Nuevos incidentes
    • Incidentes de gravedad alta
    • Incidentes sin asignar
    • Incidentes sin asignar de gravedad alta
    • Incidentes asignados a mí
    • Incidentes asignados a mí y a Microsoft Defender para punto de conexión
    • Incidentes con etiquetas o etiquetas específicas
    • Incidentes con una categoría de amenaza específica
    • Incidentes con una amenaza asociada específica
    • Incidentes con un actor específico

    Una vez que haya compilado y almacenado la lista de vistas de filtro útiles como direcciones URL, úsela para procesar y priorizar rápidamente los incidentes en la cola y administrarlos para su asignación y análisis posteriores.

    En el cuadro Buscar nombre o identificador situado encima de la lista de incidentes, puede buscar incidentes de varias maneras para encontrar rápidamente lo que está buscando.

    Búsqueda por nombre o identificador de incidente

    Busque directamente un incidente escribiendo el identificador de incidente o el nombre del incidente. Al seleccionar un incidente de la lista de resultados de búsqueda, el portal de Microsoft Defender abre una nueva pestaña con las propiedades del incidente, desde la que puede iniciar la investigación.

    Búsqueda por recursos afectados

    Puede asignar un nombre a un recurso (como un usuario, dispositivo, buzón, nombre de aplicación o recurso en la nube) y buscar todos los incidentes relacionados con ese recurso.

    Especificar un intervalo de tiempo

    La lista predeterminada de incidentes es para los que se han producido en los últimos seis meses. Puede especificar un nuevo intervalo de tiempo en el cuadro desplegable situado junto al icono de calendario seleccionando:

    • Un día
    • Tres días
    • Una semana
    • 30 días
    • 30 días
    • Seis meses
    • Intervalo personalizado en el que puede especificar fechas y horas

    Pasos siguientes

    Después de determinar qué incidente requiere la prioridad más alta, selecciónelo y:

    • Administre las propiedades del incidente para etiquetas, asignación, resolución inmediata para incidentes falsos positivos y comentarios.
    • Comience sus investigaciones.

    Recursos adicionales

    Sugerencia

    ¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.