Incidentes y alertas en el portal de Microsoft Defender
El portal de Microsoft Defender reúne un conjunto unificado de servicios de seguridad para reducir la exposición a amenazas de seguridad, mejorar la posición de seguridad de la organización, detectar amenazas de seguridad e investigar y responder a infracciones. Estos servicios recopilan y generan señales que se muestran en el portal. Los dos tipos principales de señales son:
Alertas: señales que resultan de varias actividades de detección de amenazas. Estas señales indican la aparición de eventos malintencionados o sospechosos en su entorno.
Incidentes: contenedores que incluyen colecciones de alertas relacionadas y cuentan la historia completa de un ataque. Las alertas de un único incidente pueden proceder de todas las soluciones de seguridad y cumplimiento de Microsoft, así como de un gran número de soluciones externas recopiladas a través de Microsoft Sentinel y Microsoft Defender para la nube.
Aunque puede investigar y mitigar las amenazas que las alertas individuales aportan a su atención, estas amenazas son repeticiones aisladas que no le indican nada sobre una historia de ataque más amplia y compleja. Puede buscar, investigar, investigar y correlacionar grupos de alertas que pertenecen juntos en una sola historia de ataque, pero eso le costará mucho tiempo, esfuerzo y energía.
En su lugar, los motores y algoritmos de correlación del portal de Microsoft Defender agregan y correlacionan automáticamente las alertas relacionadas para formar incidentes que representan estos casos de ataque más grandes. Defender identifica varias señales como pertenecientes al mismo caso de ataque, mediante la inteligencia artificial para supervisar continuamente sus orígenes de telemetría y agregar más pruebas a incidentes ya abiertos. Los incidentes contienen todas las alertas que se consideran relacionadas entre sí y con la historia general de ataques, y presentan la historia de varias formas:
- Escalas de tiempo de alertas y los eventos sin procesar en los que se basan
- Una lista de las tácticas que se usaron
- Listas de todos los usuarios, dispositivos y otros recursos implicados y afectados
- Una representación visual de cómo interactúan todos los jugadores de la historia
- Registros de procesos de investigación y respuesta automáticos que Defender XDR iniciados y completados
- Colecciones de pruebas que respaldan la historia de ataque: cuentas de usuario y dirección de dispositivos y cuentas de usuario de actores incorrectos, archivos y procesos malintencionados, inteligencia de amenazas pertinente, etc.
- Un resumen textual de la historia del ataque
Los incidentes también proporcionan un marco para administrar y documentar las investigaciones y la respuesta a amenazas. Para obtener más información sobre la funcionalidad de los incidentes en este sentido, consulte Administración de incidentes en Microsoft Defender.
Las alertas del portal de Microsoft Defender proceden de muchos orígenes. Estos orígenes incluyen los muchos servicios que forman parte de Microsoft Defender XDR, así como otros servicios con distintos grados de integración con el portal de Microsoft Defender.
Por ejemplo, cuando Microsoft Sentinel se incorpora al portal de Microsoft Defender, el motor de correlación del portal de Defender tiene acceso a todos los datos sin procesar ingeridos por Microsoft Sentinel, que puede encontrar en las tablas de búsqueda avanzada de Defender.
Microsoft Defender XDR crea también alertas. Las funcionalidades únicas de correlación de Defender XDR proporcionan otra capa de análisis de datos y detección de amenazas para todas las soluciones que no son de Microsoft en su patrimonio digital. Estas detecciones generan alertas de Defender XDR, además de las alertas ya proporcionadas por las reglas de análisis de Microsoft Sentinel.
Dentro de cada uno de estos orígenes, hay uno o varios mecanismos de detección de amenazas que generan alertas basadas en las reglas definidas en cada mecanismo.
Por ejemplo, Microsoft Sentinel tiene al menos cuatro motores diferentes que generan diferentes tipos de alertas, cada uno con sus propias reglas.
El portal de Microsoft Defender incluye herramientas y métodos para automatizar o ayudar en la evaluación, investigación y resolución de incidentes. Estas herramientas se presentan en la tabla siguiente:
Herramienta o método | Descripción |
---|---|
Administración e investigación de incidentes | Asegúrese de priorizar los incidentes según la gravedad y, a continuación, trabaje en ellos para investigarlos. Use la búsqueda avanzada para buscar amenazas y adelantarse a las amenazas emergentes con el análisis de amenazas. |
Investigar y resolver alertas automáticamente | Si está habilitado para hacerlo, Microsoft Defender XDR puede investigar y resolver automáticamente las alertas de orígenes de Microsoft 365 e Id. de entra a través de la automatización y la inteligencia artificial. |
Configuración de acciones de interrupción automática de ataques | Use señales de alta confianza recopiladas de Microsoft Defender XDR y Microsoft Sentinel para interrumpir automáticamente los ataques activos a la velocidad de la máquina, que contengan la amenaza y limiten el impacto. |
Configuración de reglas de automatización de Microsoft Sentinel | Use reglas de automatización para automatizar la evaluación de prioridades, la asignación y la administración de incidentes, independientemente de su origen. Ayude aún más a la eficacia del equipo configurando las reglas para aplicar etiquetas a incidentes en función de su contenido, suprimir incidentes ruidosos (falsos positivos) y cerrar incidentes resueltos que cumplan los criterios adecuados, especificando un motivo y agregando comentarios. |
Búsqueda proactiva con búsqueda avanzada | Use Lenguaje de consulta Kusto (KQL) para inspeccionar eventos de forma proactiva en la red consultando los registros recopilados en el portal de Defender. La búsqueda avanzada admite un modo guiado para los usuarios que buscan la comodidad de un generador de consultas. |
Aprovechamiento de la inteligencia artificial con Microsoft Copilot para la seguridad | Agregue inteligencia artificial para admitir analistas con flujos de trabajo diarios complejos y lentos. Por ejemplo, Microsoft Copilot for Security puede ayudar con la investigación y la respuesta de incidentes de un extremo a otro proporcionando casos de ataque claramente descritos, instrucciones paso a paso para la corrección y informes resumidos de actividad de incidentes, búsqueda de KQL en lenguaje natural y análisis de código experto, optimizando la eficacia de SOC entre datos de todos los orígenes. Esta funcionalidad se suma a la otra funcionalidad basada en inteligencia artificial que Microsoft Sentinel lleva a la plataforma unificada, en las áreas de análisis de comportamiento de usuarios y entidades, detección de anomalías, detección de amenazas en varias fases, etc. |
Para más información sobre la correlación de alertas y la combinación de incidentes en el portal de Defender, consulte Alertas, incidentes y correlación en Microsoft Defender XDR