Compartir a través de


Análisis del primer incidente en Microsoft Defender XDR

Se aplica a:

  • Microsoft Defender XDR

Comprender el contexto que rodea a los incidentes es esencial para analizar los ataques. La combinación de su experiencia y experiencia con las características y funcionalidades de Microsoft Defender XDR garantiza una resolución más rápida de incidentes y la seguridad de su organización frente a ciberataques.

Las amenazas actuales en la seguridad de los datos - compromiso de correo electrónico empresarial (BEC), malware como puertas traseras y ransomware, infracciones organizativas y ataques de estado de nación - requieren una acción rápida, inteligente y decisiva de los respondedores de incidentes. Herramientas como Microsoft Defender XDR permiten a los equipos de respuesta detectar, evaluar e investigar incidentes a través de su experiencia de panel único y encontrar la información necesaria para tomar estas decisiones oportunas.

Tareas de investigación

Las investigaciones suelen implicar que los respondedores vean varias aplicaciones al mismo tiempo que comprueban varios orígenes de inteligencia sobre amenazas. A veces, las investigaciones se extienden para buscar otras amenazas. Documentar hechos y soluciones en una investigación de ataques es una tarea importante adicional que proporciona historial y contexto para el uso de otros investigadores o para investigaciones posteriores. Estas tareas de investigación se simplifican al usar Microsoft Defender XDR a través de lo siguiente:

  • Pivoting : el portal agrega información de ataque importante contextualizada en las cargas de trabajo de Defender habilitadas en su organización. El portal consolida toda la información en los componentes de un solo ataque (archivo, dirección URL, buzón, una cuenta de usuario o dispositivo), que muestra las relaciones y la escala de tiempo de las actividades. Con toda la información disponible en una página, el portal permite a los respondedores de incidentes pivotar entre entidades y eventos relacionados para encontrar la información que necesitan para tomar decisiones.

  • Búsqueda : los cazadores de amenazas pueden encontrar amenazas conocidas y posibles dentro de una organización a través de la funcionalidad de búsqueda avanzada del portal mediante consultas kusto. Si no está familiarizado con Kusto, use el modo guiado para buscar amenazas.

  • Información : si procede, los respondedores de incidentes pueden ver las acciones de eventos y alertas detectados anteriormente para ayudar a las investigaciones actuales. También se agregan información adicional automáticamente a eventos y alertas a través de los propios esfuerzos de inteligencia sobre amenazas de Microsoft y de orígenes como el marco DE ATT de MITRE&CK® y VirusTotal.

  • Colaboración : los equipos de operaciones de seguridad pueden ver las decisiones y acciones de cada miembro del equipo sobre incidentes y alertas pasados y presentes a través de características del portal, como comentarios, etiquetado, marcado y asignación. También hay disponible una colaboración adicional con el servicio de detección y respuesta administrada de Microsoft a través de Expertos de Defender para XDR y Expertos de detección de Defender cuando una organización requiere una respuesta aumentada.

Información general sobre ataques

La historia de ataque proporciona a los respondedores de incidentes una visión general completa y contextualizada de lo que ocurrió en un ataque. Los respondedores pueden ver todas las alertas y eventos relacionados, incluidas las acciones de corrección automatizadas realizadas por Microsoft Defender XDR para mitigar un ataque.

En la historia de ataques, puede profundizar en los detalles de un ataque explorando las pestañas disponibles en la página del incidente. Puede corregir rápidamente ataques comunes como phishing, difusión de contraseñas y peligro de aplicaciones malintencionadas a través de cuadernos de estrategias de respuesta a incidentes accesibles en el portal. Estos cuadernos de estrategias contienen instrucciones de detección, respuesta y mitigación que admiten investigaciones de incidentes.

Este vídeo sobre cómo investigar un ataque en Microsoft Defender XDR y cómo usar las características del portal en la investigación le guiará por el caso de ataque y la página del incidente.

Investigación de amenazas

Las amenazas complejas, como los ataques adversarios en el medio y el ransomware a menudo requieren una investigación manual. Un respondedor de incidentes que aborda estos ataques complicados busca la siguiente información crucial:

  • Presencia de malware o uso sospechoso de herramientas y aplicaciones
  • Pistas sobre los canales de comunicación o puntos de entrada usados por cualquier entidad malintencionada o sospechosa
  • Pistas que apuntan a un posible riesgo de identidad
  • Identificación del impacto en la posición de seguridad y datos de la organización

Las secciones siguientes contienen tutoriales y vídeos de características de Microsoft Defender XDR que ayudan a los equipos de respuesta a incidentes a investigar varios ataques complejos.

Investigaciones de ransomware

El ransomware sigue siendo una amenaza significativa para las organizaciones. Microsoft tiene los siguientes recursos para ayudarle a investigar y responder a ataques de ransomware:

análisis de ataques basados en Email

La identificación y el seguimiento de identidades modificadas, creadas o robadas son esenciales para investigar los ataques de phishing y BEC. Use los siguientes recursos al investigar estos ataques:

En los vídeos siguientes se describe cómo investigar ataques de phishing y BEC en Microsoft Defender XDR:

Investigue un riesgo de identidad y sepa lo que puede hacer para contener un ataque a través de este vídeo:

Análisis de malware

La información y las funcionalidades de un archivo malintencionado son clave para investigar el malware. Microsoft Defender XDR, en la mayoría de los casos, puede detonar el archivo para mostrar datos críticos, incluidos hash, metadatos, prevalencia dentro de la organización y capacidades de archivo basadas en técnicas de MITRE ATT&CK®. Esto elimina la necesidad de realizar pruebas de caja negra o análisis estático de archivos. Puede ver la información de archivo desde el gráfico de incidentes o mediante la visualización de un árbol de proceso de alertas, una escala de tiempo de artefactos o una escala de tiempo del dispositivo.

Los siguientes recursos proporcionan detalles sobre cómo usar las funcionalidades del portal para investigar archivos:

Análisis de aplicaciones de riesgo y prevención de amenazas basadas en la nube

Los actores malintencionados pueden aprovechar las aplicaciones basadas en la nube. Las aplicaciones pueden filtrar involuntariamente información confidencial a través de abuso o mal uso. Los respondedores de incidentes que investigan y protegen aplicaciones en entornos en la nube pueden usar los siguientes recursos en los que Defender for Cloud Apps se implementa en sus organizaciones:

Descubra cómo puede proteger las aplicaciones en la nube en tiempo real con este vídeo de la carga de trabajo de Defender for Cloud Apps:

  • Vídeo: Protección de aplicaciones en la nube y archivos relacionados a través de Defender for Cloud Apps

Análisis de infracciones

Los ataques de estado de nación, los ataques contra la infraestructura crítica y las infracciones organizativas suelen requerir que un atacante establezca puntos de comunicación una vez que se encuentren en una red. Los respondedores de incidentes buscan pistas mediante la identificación de tráfico sospechoso o intercambios entre un origen y un destino. Microsoft tiene los siguientes tutoriales para investigar los componentes de comunicación:

Los atacantes suelen usar vulnerabilidades para obtener acceso a una organización. Algunos ataques de ransomware aprovechan inicialmente las vulnerabilidades no extendidas, como la vulnerabilidad de Log4Shell. Los siguientes recursos ayudan a los respondedores de incidentes a identificar vulnerabilidades y dispositivos vulnerables en su organización a través del servicio Defender for Vulnerability Management:

Las infracciones también se producen a través de varios dispositivos, como teléfonos y tabletas que se conectan a la red de su organización. Los respondedores de incidentes pueden investigar aún más estos dispositivos en el portal. En el vídeo siguiente se habla de las principales amenazas de los dispositivos móviles y de cómo puede investigarlas:

  • Defensa contra amenazas móviles en Microsoft Defender XDR

Recursos para la inteligencia y la búsqueda de amenazas

las funcionalidades integradas de inteligencia sobre amenazas de Microsoft Defender XDR y los equipos de respuesta a incidentes de ayuda de búsqueda para realizar una protección proactiva contra amenazas y ataques emergentes. Tiene acceso directo a la información más reciente sobre amenazas y ataques emergentes a través del análisis de amenazas del portal.

Página principal de Análisis de amenazas

Use la inteligencia de Análisis de amenazas para profundizar en las nuevas amenazas con el siguiente vídeo:

Busque amenazas de forma proactiva dentro de la organización mediante la funcionalidad de búsqueda avanzada integrada del portal.

Página de búsqueda avanzada en Microsoft Defender XDR

Los siguientes recursos proporcionan más información sobre cómo usar la búsqueda avanzada:

Amplíe su inteligencia sobre amenazas con las últimas investigaciones y cambios de seguridad de los equipos de investigación de seguridad de Microsoft:

Colabore con los expertos de Microsoft para la respuesta a incidentes y la búsqueda de amenazas con el fin de mejorar las funcionalidades de los equipos de operaciones de seguridad. Conozca más sobre nuestros expertos y cómo involucrarlos en los siguientes recursos:

Paso siguiente

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.