Descripción del informe de analistas en análisis de amenazas en Microsoft Defender XDR
Se aplica a:
- Microsoft Defender XDR
Importante
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Cada informe de análisis de amenazas incluye secciones dinámicas y una sección completa escrita denominada informe de analistas. Para acceder a esta sección, abra el informe sobre la amenaza de la que se ha seguido y seleccione la pestaña Informe de analista .
Sección de informe de analistas de un informe de análisis de amenazas
Examinar el informe del analista
Cada sección del informe de analistas está diseñada para proporcionar información accionable. Aunque los informes varían, la mayoría de los informes incluyen las secciones descritas en la tabla siguiente.
Sección informe | Descripción |
---|---|
Resumen ejecutivo | Introducción a la amenaza, incluida la primera vez que se vio, sus motivaciones, eventos notables, objetivos principales y herramientas y técnicas distintas. Puede usar esta información para evaluar aún más cómo priorizar la amenaza en el contexto del sector, la ubicación geográfica y la red. |
Análisis | Información técnica sobre las amenazas, incluidos los detalles de un ataque y cómo los atacantes podrían usar una nueva técnica o superficie de ataque |
Técnicas de MITRE ATT&CK observadas | Cómo se asignan las técnicas observadas al marco de ataque de MITRE ATT&CK |
Mitigaciones | Recomendaciones que pueden detener o ayudar a reducir el impacto de la amenaza. Esta sección también incluye mitigaciones que no se realizan un seguimiento dinámico como parte del informe de análisis de amenazas. |
Detalles de detección | Detecciones específicas y genéricas proporcionadas por soluciones de seguridad de Microsoft que pueden exponer la actividad o los componentes asociados a la amenaza. |
Búsqueda avanzada de amenazas | Consultas de búsqueda avanzadas para identificar proactivamente la posible actividad de amenazas. La mayoría de las consultas se proporcionan para complementar las detecciones, especialmente para localizar componentes potencialmente malintencionados o comportamientos que no se pudieron evaluar dinámicamente como malintencionados. |
Referencias | Publicaciones de Microsoft y de terceros a las que hacen referencia los analistas durante la creación del informe. El contenido de análisis de amenazas se basa en los datos validados por los investigadores de Microsoft. La información de fuentes de terceros disponibles públicamente se identifica claramente como tal. |
Registro de cambios | El momento en que se publicó el informe y cuándo se realizaron cambios significativos en el informe. |
Aplicación de mitigaciones adicionales
Análisis de amenazas realiza un seguimiento dinámico del estado de las actualizaciones de seguridad y las configuraciones seguras. Esta información está disponible como gráficos y tablas en la pestaña Exposición & mitigaciones .
Además de estas mitigaciones de seguimiento, el informe del analista también describe las mitigaciones que no se supervisan dinámicamente. Estos son algunos ejemplos de mitigaciones importantes de las que no se realiza un seguimiento dinámico:
- Bloquear correos electrónicos con datos adjuntos .lnk u otros tipos de archivos sospechosos
- Aleatorización de contraseñas de administrador local
- Educar a los usuarios finales sobre el correo electrónico de suplantación de identidad (phishing) y otros vectores de amenazas
- Activar reglas específicas de reducción de superficie expuesta a ataques
Aunque puede usar la pestaña Mitigaciones & exposición para evaluar la posición de seguridad frente a una amenaza, estas recomendaciones le permiten realizar pasos adicionales para mejorar su posición de seguridad. Lea detenidamente todas las instrucciones de mitigación del informe del analista y aplíquelas siempre que sea posible.
Comprender cómo se puede detectar cada amenaza
El informe del analista también proporciona las detecciones de Microsoft Defender antivirus y las funcionalidades de detección y respuesta de puntos de conexión (EDR).
Detecciones antivirus
Estas detecciones están disponibles en dispositivos con Microsoft Defender Antivirus en Windows activado. Cuando estas detecciones se producen en dispositivos que se han incorporado a Microsoft Defender para punto de conexión, también desencadenan alertas que iluminan los gráficos del informe.
Nota:
El informe de analistas también enumera detecciones genéricas que pueden identificar una amplia gama de amenazas, además de componentes o comportamientos específicos de la amenaza de seguimiento. Estas detecciones genéricas no se reflejan en los gráficos.
Alertas de detección y respuesta de puntos de conexión (EDR)
Se generan alertas de EDR para los dispositivos incorporados a Microsoft Defender para punto de conexión. Por lo general, estas alertas se basan en señales de seguridad recopiladas por el sensor de Microsoft Defender para punto de conexión y otras funcionalidades de punto de conexión(como antivirus, protección de red y protección contra alteraciones) que sirven como fuentes de señal eficaces.
Al igual que la lista de detecciones de antivirus, algunas alertas de EDR están diseñadas para marcar genéricamente el comportamiento sospechoso que podría no estar asociado a la amenaza de seguimiento. En tales casos, el informe identificará claramente la alerta como "genérica" y que no influye en ninguno de los gráficos del informe.
detecciones y mitigaciones relacionadas con Email
las detecciones y mitigaciones relacionadas con Email de Microsoft Defender para Office 365 se incluyen en los informes de analistas, además de los datos de punto de conexión que ya están disponibles en Microsoft Defender para punto de conexión.
La información de intento de correo electrónico evitada proporciona información sobre si su organización era un objetivo de la amenaza abordada en el informe del analista, incluso si el ataque se ha bloqueado de forma eficaz antes de la entrega o se ha entregado a la carpeta de correo no deseado.
Búsqueda de artefactos de amenazas sutiles mediante la búsqueda avanzada
Aunque las detecciones permiten identificar y detener la amenaza rastreada automáticamente, muchas actividades de ataque dejan seguimientos sutiles que requieren inspección adicional. Algunas actividades de ataque muestran comportamientos que también pueden ser normales, por lo que detectarlas dinámicamente puede dar lugar a ruido operativo o incluso falsos positivos.
La búsqueda avanzada proporciona una interfaz de consulta basada en Lenguaje de consulta Kusto que simplifica la localización de indicadores sutiles de actividad de amenazas. También permite exponer información contextual y comprobar si los indicadores están conectados a una amenaza.
Los analistas de Microsoft han revisado las consultas de búsqueda avanzada en los informes de analistas y están listas para ejecutarse en el editor de consultas de búsqueda avanzada. También puede usar las consultas para crear reglas de detección personalizadas que desencadenen alertas para futuras coincidencias.
Nota:
El análisis de amenazas también está disponible en Microsoft Defender para punto de conexión. Sin embargo, no tiene la integración de datos entre Microsoft Defender para Office 365 y Microsoft Defender para punto de conexión.
Temas relacionados
- Información general sobre el Análisis de amenazas
- Búsqueda proactiva de amenazas con la búsqueda avanzada
- Reglas de detección personalizada
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de