Administración de incidentes en Microsoft Defender
La administración de incidentes es fundamental para asegurarse de que los incidentes se denominan, asignan y etiquetan para optimizar el tiempo en el flujo de trabajo de incidentes y contener y abordar amenazas más rápidamente.
Administre los incidentes desde La investigación & respuesta > Incidentes & alertas > Incidentes en el inicio rápido del portal de Microsoft Defender (security.microsoft.com). Por ejemplo:
En este artículo se muestra cómo realizar varias tareas de administración de incidentes asociadas a diferentes fases del ciclo de vida de un incidente.
- Asigne el incidente a un propietario.
- Asignar o cambiar la gravedad.
- Agregue etiquetas de incidente.
- Cambie el estado del incidente.
Investigación y resolución de incidentes:
- Resuelva un incidente.
- Especifique la clasificación de un incidente.
- Agregue comentarios a un incidente.
Registro e informes de incidentes:
- Edite el nombre del incidente.
- Evalúe la auditoría de actividad y agregue comentarios en el registro de actividad.
- Exportación de datos de incidentes a PDF.
La mayoría de estas tareas son accesibles desde el panel Administrar incidentes para un incidente. Puede acceder a este panel desde cualquiera de varias ubicaciones.
Seleccione Investigación & respuesta > Incidentes & alertas > Incidentes en el inicio rápido del portal de Microsoft Defender.
Desde la cola de incidentes, acceda al panel Administrar incidentes de una de estas dos maneras:
Active la casilla de un incidente y seleccione Administrar incidentes en la barra de herramientas situada encima de los filtros. Para administrar muchos incidentes a la vez, active varias casillas.
Seleccione la fila de un incidente (sin seleccionar el nombre del incidente), para que aparezca el panel de detalles del incidente y seleccione Administrar incidente en el panel de detalles del incidente.
Seleccione Investigación & respuesta > Incidentes & alertas > Incidentes en el inicio rápido del portal de Microsoft Defender.
Seleccione el nombre de un incidente de la cola. O bien, seleccione la fila de un incidente en la cola y, a continuación, seleccione Abrir página de incidentes en el panel de detalles del incidente.
En la página del incidente, seleccione Administrar incidente en el panel superior.
Si Administrar incidente no está visible, seleccione los tres puntos de la esquina superior derecha (visibles en la siguiente captura de pantalla junto a "Administrar incidente") y selecciónelo en el menú que aparece.
Las siguientes tareas de administración están estrechamente asociadas con la evaluación de la clasificación de incidentes, aunque se pueden realizar en cualquier momento.
- Asigne el incidente a un propietario.
- Asignar o cambiar la gravedad.
- Agregue etiquetas de incidente.
- Cambie el estado del incidente.
De forma predeterminada, los nuevos incidentes se crean sin propietario. Lo ideal es que el equipo de SecOps tenga mecanismos y procedimientos para asignar automáticamente incidentes a los propietarios. Es posible que tenga que reasignar un incidente en caso de escalamiento o asignación original errónea.
Para asignar manualmente un nuevo propietario a un incidente, siga estos pasos:
Siga las instrucciones de la sección de apertura para acceder al panel Administrar incidente.
Seleccione el cuadro Asignar a . Aparece una lista desplegable de asignados sugeridos.
Si ve la cuenta de usuario o grupo a la que desea asignar el incidente, selecciónela.
De lo contrario, empiece a escribir el nombre o el identificador de cuenta del usuario o grupo deseado en el cuadro de texto de la parte superior de la lista. La lista se actualiza dinámicamente, filtrada por lo que escriba. Cuando vea el usuario o grupo que desee, selecciónelo.
Para quitar una asignación existente, incluida la que acaba de agregar, seleccione la X junto al nombre de la cuenta. A continuación, seleccione el cuadro Asignar a si desea agregar otra asignación.
Solo se puede asignar una cuenta de usuario o grupo a un incidente.
Haga clic en Guardar.
Al asignar la propiedad de un incidente, se asigna la misma propiedad a todas las alertas asociadas a él.
Para ver la lista de incidentes asignados a un usuario o grupo determinados, filtre la cola de incidentes:
En la cola de incidentes, seleccione el filtro Asignación de incidentes . Aparece una lista desplegable de asignados sugeridos.
Si no ve Asignación de incidentes entre los filtros, seleccione Agregar filtro, seleccione Asignación de incidentes en la lista desplegable y seleccione Agregar.
Si ve la cuenta de usuario cuyas incidencias asignadas desea mostrar, selecciónela.
De lo contrario, empiece a escribir el nombre o el identificador de cuenta del usuario o grupo deseado en el cuadro de texto de la parte superior de la lista. La lista se actualiza dinámicamente, filtrada por lo que escriba. Cuando vea el usuario o grupo que desee, selecciónelo.
A diferencia de la asignación de incidentes, aquí puede seleccionar más de un asignado por el que filtrar la lista. Para agregar otra cuenta de usuario o grupo al filtro, seleccione el cuadro de texto (junto a la cuenta existente en el filtro) y la lista de asignados sugeridos aparecerá de nuevo.
Seleccione Aplicar.
Para guardar un vínculo a la cola de incidentes con los filtros actuales aplicados, seleccione Copiar vínculo de lista en la barra de herramientas de la página cola de incidentes. Cree un acceso directo en sus favoritos o en el escritorio y pegue el vínculo en él.
La gravedad de un incidente viene determinada por la gravedad más alta de las alertas asociadas a él. La gravedad de un incidente se puede establecer en alta, media, baja o informativa.
Para asignar o cambiar manualmente la gravedad de un incidente, siga estos pasos:
Siga las instrucciones de la sección de apertura para acceder al panel Administrar incidente.
Seleccione el valor de gravedad que desea aplicar en la lista desplegable Gravedad del panel Administrar incidente .
Haga clic en Guardar.
Las etiquetas personalizadas agregan información para prestar contexto a un incidente. Por ejemplo, una etiqueta puede etiquetar un grupo de incidentes con una característica común. Las etiquetas son un criterio para el filtrado, por lo que puede filtrar posteriormente la cola de incidentes para todos los incidentes que contienen una etiqueta específica. Para aplicar una etiqueta a un incidente:
Siga las instrucciones de la sección de apertura para acceder al panel Administrar incidente.
En el campo Etiquetas de incidentes , empiece a escribir el nombre de la etiqueta que desea aplicar. A medida que escribe, aparece una lista de etiquetas usadas y seleccionadas anteriormente. Si ve la etiqueta que desea aplicar en la lista, selecciónela.
Si ha escrito un nombre de etiqueta que no se ha usado antes, seleccione la última entrada de la lista, que es el texto que escribió seguido de "(Crear nuevo)."
A continuación, la etiqueta aparece como una etiqueta dentro del campo Etiquetas de incidente. Repita este paso para agregar más etiquetas como desee.
Haga clic en Guardar.
Un incidente puede tener etiquetas del sistema o etiquetas personalizadas con ciertos fondos de color. Las etiquetas personalizadas usan el fondo blanco, mientras que las etiquetas del sistema suelen usar colores de fondo rojo o negro. Las etiquetas del sistema identifican lo siguiente en un incidente:
- Un tipo de ataque, como suplantación de identidad de credenciales o fraude de BEC
- Acciones automáticas, como la investigación y respuesta automáticas y la interrupción automática de ataques
- Expertos de Defender que controlan un incidente
- Activos críticos implicados en el incidente
Sugerencia
La Administración de exposición de seguridad de Microsoft, basada en clasificaciones predefinidas, etiqueta automáticamente dispositivos, identidades y recursos en la nube como un recurso crítico. Esta funcionalidad integrada garantiza la protección de los recursos más importantes y valiosos de una organización. También ayuda a los equipos de operaciones de seguridad a priorizar la investigación y la corrección. Obtenga más información sobre la administración de recursos críticos.
Los incidentes comienzan con un estado activo. Cuando esté trabajando en un incidente, cambie el estado a En curso.
Las siguientes tareas de administración están estrechamente asociadas a la investigación y resolución de incidentes, aunque se pueden realizar en cualquier momento.
- Resuelva un incidente.
- Especifique la clasificación de un incidente.
- Agregue comentarios a un incidente.
Cuando se corrija y resuelva un incidente, realice las siguientes acciones para registrar la resolución:
Siga las instrucciones de la sección de apertura para acceder al panel Administrar incidente.
Cambie el estado. Seleccione Resuelto en la lista desplegable Estado . Al cambiar el estado de un incidente a Resuelto, se muestra un nuevo campo inmediatamente después del campo Estado .
Escriba una nota en este campo que explique por qué considera el incidente resuelto. Esta nota está visible en el registro de actividad del incidente, cerca de la entrada que registra la resolución del incidente.
La nota de resolución también está visible en el panel Detalles del incidente en la página de cola de incidentes y en la página de incidentes de un incidente resuelto.
Haga clic en Guardar.
La resolución de un incidente también resuelve todas las alertas vinculadas y activas relacionadas con el incidente. Un incidente que no se resuelve se muestra como Activo.
Cuando resuelva un incidente o en cualquier punto de la investigación de un incidente, en cuanto tenga en cuenta cómo se debe clasificar el incidente, establezca el campo Clasificación en consecuencia.
Siga las instrucciones de la sección de apertura para acceder al panel Administrar incidente.
Elija el valor adecuado en la lista desplegable Clasificación :
- No establecido (valor predeterminado).
- Verdadero positivo con un tipo de amenaza. Use esta clasificación para incidentes que indiquen con precisión una amenaza real. La especificación del tipo de amenaza ayuda a su equipo de seguridad a ver los patrones de amenaza y a actuar para defender a su organización de ellos.
- Actividad informativa y esperada con un tipo de actividad. Use las opciones de esta categoría para clasificar los incidentes de las pruebas de seguridad, la actividad del equipo rojo y el comportamiento inusual esperado de aplicaciones y usuarios de confianza.
- Los falsos positivos para los tipos de incidentes que determine se pueden omitir porque son técnicamente inexactos o engañosos.
Vea los tipos de actividades y amenazas disponibles para cada una de estas clasificaciones en la captura de pantalla siguiente.
Haga clic en Guardar.
Clasificar incidentes y especificar su estado y tipo ayuda a ajustar Microsoft Defender para proporcionar una mejor determinación de la detección con el tiempo.
En el transcurso de la investigación y el incidente, agregue comentarios para registrar sus actividades, conclusiones y conclusiones.
Abra el registro de actividad del incidente. En la página del incidente o en el panel de detalles del incidente de la página de cola de incidentes, seleccione los tres puntos de la esquina superior derecha y, en el menú resultante, seleccione Registro de actividad.
Escriba el comentario en el campo de texto. El campo de comentario admite texto y formato, vínculos e imágenes. Cada comentario está limitado a 30 000 caracteres.
Haga clic en Guardar.
Todos los comentarios se agregan a los eventos históricos del incidente. Puede ver los comentarios y el historial de un incidente en el vínculo Comentarios e historial de la página Resumen .
Las siguientes tareas de administración se pueden asociar con la auditoría y la generación de informes sobre las investigaciones de incidentes, aunque se pueden realizar en cualquier momento.
- Edite el nombre del incidente.
- Evalúe la auditoría de actividad y agregue comentarios en el registro de actividad.
- Exportación de datos de incidentes a PDF.
Microsoft Defender asigna automáticamente un nombre en función de los atributos de alerta, como el número de puntos de conexión afectados, los usuarios afectados, los orígenes de detección o las categorías. El nombre del incidente le permite comprender rápidamente el ámbito del incidente. Por ejemplo: incidente de varias fases en varios puntos de conexión notificados por varios orígenes.
Para editar el nombre del incidente, siga estos pasos:
Siga las instrucciones de la sección de apertura para acceder al panel Administrar incidente.
Escriba un nuevo nombre en el campo Nombre de incidente del panel Administrar incidente .
Haga clic en Guardar.
Nota
Los incidentes que existían antes del lanzamiento de la característica de nomenclatura automática de incidentes conservan sus nombres.
Si otro incidente se combina en un incidente cuyo nombre ha cambiado, Defender le asigna un nombre nuevo, sobrescribiendo cualquier nombre personalizado que le haya dado de antemano.
Al realizar un postmortem de un incidente, vea el registro de actividad del incidente para ver el historial de las acciones realizadas en el incidente (denominadas "Auditorías") y los comentarios registrados. Todos los cambios realizados en el incidente, ya sea por un usuario o por el sistema, se registran en el registro de actividad.
Abra el registro de actividad del incidente. En la página del incidente o en el panel de detalles del incidente de la página de cola de incidentes, seleccione los tres puntos de la esquina superior derecha y, en el menú resultante, seleccione Registro de actividad.
Filtre las actividades del registro por comentarios y acciones. Seleccione Contenido: Auditorías, Comentarios y, a continuación, seleccione el tipo de contenido para filtrar las actividades. Por ejemplo:
Seleccione Aplicar.
También puede agregar sus propios comentarios mediante el cuadro de comentario disponible en el registro de actividad. El cuadro de comentario acepta texto y formato, vínculos e imágenes.
Importante
Parte de la información contenida en este artículo se refiere a productos lanzados previamente que pueden sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Puede exportar los datos de un incidente a PDF a través de la función Exportar incidente como PDF y guardarlos en formato PDF. Esta función permite a los equipos de seguridad revisar los detalles de un incidente sin conexión en un momento dado.
Los datos de incidentes exportados incluyen la siguiente información:
- Información general que contiene los detalles del incidente
- El gráfico del caso de ataque y las categorías de amenazas
- Los activos afectados, que abarcan hasta 10 activos para cada tipo de recurso
- Lista de pruebas que abarca hasta 100 elementos
- Datos auxiliares, incluidas todas las alertas y actividades relacionadas registradas en el registro de actividad
Este es un ejemplo del PDF exportado:
Si tiene la licencia de Copilot for Security , el PDF exportado contiene los siguientes datos de incidentes adicionales:
La función exportar a PDF también está disponible en el panel lateral de Copilot. Al seleccionar los puntos suspensivos Más acciones (...) en la esquina superior derecha de la tarjeta de resultados del informe de incidentes, puede elegir Exportar incidente como PDF.
Para generar el PDF, siga estos pasos:
Abra una página de incidente. Seleccione los puntos suspensivos Más acciones (...) en la esquina superior derecha y elija Exportar incidente como PDF.
En el cuadro de diálogo que aparece a continuación, confirme la información de incidente que desea incluir o excluir en el PDF. Toda la información de incidente está seleccionada de forma predeterminada. Seleccione Exportar PDF para continuar.
Un mensaje de estado que indica el estado actual de la descarga aparece debajo del título del incidente. El proceso de exportación puede tardar unos minutos en función de la complejidad del incidente y de la cantidad de datos que se van a exportar.
Aparece otro cuadro de diálogo que indica que el PDF está listo. Seleccione Descargar en el cuadro de diálogo para guardar el PDF en el dispositivo. El mensaje de estado debajo del título del incidente también se actualiza para indicar que la descarga está disponible.
El informe se almacena en caché durante un par de minutos. El sistema proporciona el PDF generado anteriormente si intenta volver a exportar el mismo incidente en un breve período de tiempo. Para generar una versión más reciente del PDF, espere unos minutos a que expire la memoria caché.
Para incidentes nuevos y en proceso, continúe con la investigación de incidentes.
Para incidentes resueltos, realice una revisión posterior a los incidentes.
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.