Ver y organizar la cola de incidentes de Microsoft Defender para punto de conexión

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

La cola Incidentes muestra una colección de incidentes marcados desde dispositivos de la red. Le ayuda a ordenar los incidentes para asignar prioridades y crear una decisión de respuesta de ciberseguridad fundamentada.

De forma predeterminada, la cola muestra los incidentes vistos en los últimos 30 días, con el incidente más reciente en la parte superior de la lista, lo que le ayuda a ver primero los incidentes más recientes.

Hay varias opciones entre las que puede elegir para personalizar la vista de cola incidentes.

En la navegación superior, puede hacer lo siguiente:

  • Personalización de columnas para agregar o quitar columnas
  • Modificar el número de elementos que se van a ver por página
  • Seleccionar los elementos que se van a mostrar por página
  • Seleccione por lotes los incidentes que se van a asignar.
  • Navegar entre páginas
  • Aplicar filtros
  • Personalización y aplicación de intervalos de fechas

Cola de incidentes

Ordenar y filtrar la cola de incidentes

Puede aplicar los filtros siguientes para limitar la lista de incidentes y obtener una vista más centrada.

Severity

Gravedad del incidente Descripción
Alto
(rojo)
Las amenazas a menudo asociadas a amenazas persistentes avanzadas (APT). Estos incidentes indican un alto riesgo debido a la gravedad de los daños que pueden infligir en los dispositivos.
Medio
(naranja)
Las amenazas rara vez observadas en la organización, como el cambio anómalo del Registro, la ejecución de archivos sospechosos y los comportamientos observados típicos de las fases de ataque.
Bajo
(amarillo)
Amenazas asociadas con malware frecuente y herramientas de hack que no indican necesariamente una amenaza avanzada destinada a la organización.

Informativo (gris)
Es posible que los incidentes informativos no se consideren dañinos para la red, pero podrían ser buenos para realizar un seguimiento de ellos.

Asignado a

Puede filtrar la lista seleccionando los incidentes asignados a cualquiera o solo los asignados a su usuario.

Categoría

Los incidentes se clasifican en función de la descripción de la fase en la que se encuentra la cadena de eliminación de ciberseguridad. Esta vista ayuda al analista de amenazas a determinar la prioridad, la urgencia y la estrategia de respuesta correspondiente para implementar en función del contexto.

Estado

Puede limitar la lista de incidentes que se muestra en función de su estado para ver cuáles están activos o resueltos.

Confidencialidad de datos

Use este filtro para mostrar incidentes que contienen etiquetas de confidencialidad.

Nomenclatura de incidentes

Para comprender el ámbito del incidente de un vistazo, los nombres de incidentes se generan automáticamente en función de los atributos de alerta, como el número de puntos de conexión afectados, los usuarios afectados, los orígenes de detección o las categorías.

Por ejemplo: incidente de varias fases en varios puntos de conexión notificados por varios orígenes.

Nota:

Los incidentes que existían antes del lanzamiento de la nomenclatura automática de incidentes conservarán su nombre.

Vea también