Respuesta a incidentes con Microsoft 365 Defender
Nota:
¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.
Se aplica a:
- Microsoft 365 Defender
Un incidente en Microsoft 365 Defender es una colección de alertas correlacionadas y datos asociados que conforman la historia de un ataque.
Los servicios y aplicaciones de Microsoft 365 crean alertas cuando detectan un evento o actividad sospechosos o malintencionados. Las alertas individuales proporcionan pistas valiosas sobre un ataque completado o en curso. Sin embargo, los ataques suelen emplear varias técnicas en distintos tipos de entidades, como dispositivos, usuarios y buzones de entrada. El resultado son varias alertas para varias entidades del espacio empresarial.
Dado que unir las alertas individuales para obtener información sobre un ataque puede ser un desafío y un consumo de tiempo, Microsoft 365 Defender agrega automáticamente las alertas y su información asociada a un incidente.
La agrupación de alertas relacionadas en un incidente le ofrece una vista completa de un ataque. Por ejemplo, puede ver:
- Dónde se inició el ataque.
- Qué tácticas se usaron.
- Hasta dónde ha llegado el ataque a su cuenta empresarial.
- El ámbito del ataque, como el número de dispositivos, usuarios y buzones de entrada que se vieron afectados.
- Todos los datos asociados al ataque.
Si está habilitada, Microsoft 365 Defender puede investigar y resolver automáticamente las alertas a través de la automatización y la inteligencia artificial. También puede realizar pasos de corrección adicionales para resolver el ataque.
Incidentes y alertas en el portal de Microsoft 365 Defender
Los incidentes se administran a partir de alertas &> de incidentes Incidentes en el inicio rápido del portal de Microsoft 365 Defender. Por ejemplo:
Al seleccionar un nombre de incidente se muestra todo el historial de ataques del incidente, incluidos los siguientes:
- Página de alertas dentro del incidente: el ámbito de las alertas relacionadas con el incidente y su información en la misma pestaña.
- Gráfico: representación visual del ataque que conecta las distintas entidades sospechosas que forman parte del ataque con sus recursos relacionados, como usuarios, dispositivos y buzones de correo.
Puede ver los detalles de la entidad directamente desde el gráfico y actuar sobre ellos con opciones de respuesta, como la eliminación de archivos o el aislamiento del dispositivo.
Las pestañas adicionales para un incidente son:
Historia de ataque
La historia completa del ataque, incluidas todas las alertas, recursos y acciones de corrección realizadas.
Alertas
Todas las alertas relacionadas con el incidente y su información.
Activos
Todos los recursos (dispositivos, usuarios, buzones y aplicaciones) que se han identificado para formar parte del incidente o estar relacionados con él.
Investigaciones
Todas las investigaciones automatizadas desencadenadas por alertas en el incidente.
Evidencia y respuesta
Todos los eventos admitidos y las entidades sospechosas de las alertas del incidente.
Resumen
Información general rápida de los recursos afectados asociados a las alertas.
Nota:
Si ve un estado de alerta de tipo de alerta no compatible , significa que las funcionalidades de investigación automatizada no pueden recoger esa alerta para ejecutar una investigación automatizada. Sin embargo, puede investigar estas alertas manualmente.
Flujo de trabajo de respuesta a incidentes de ejemplo para Microsoft 365 Defender
Este es un flujo de trabajo de ejemplo para responder a incidentes en Microsoft 365 con el portal de Microsoft 365 Defender.
De forma continua, identifique los incidentes más prioritarios para su análisis y resolución en la cola de incidentes y prepárelos para su respuesta. Esta es una combinación de:
- Evaluar para determinar los incidentes de mayor prioridad mediante el filtrado y la ordenación de la cola de incidentes.
- Administrar incidentes modificando su título, asignándolos a un analista y agregando etiquetas y comentarios.
Tenga en cuenta estos pasos para su propio flujo de trabajo de respuesta a incidentes:
Para cada incidente, comience una investigación y análisis de ataques y alertas:
Vea la historia de ataques del incidente para comprender su ámbito, gravedad, origen de detección y qué entidades se ven afectadas.
Comience a analizar las alertas para comprender su origen, ámbito y gravedad con el artículo de alertas dentro del incidente.
Según sea necesario, recopile información sobre dispositivos, usuarios y buzones afectados con el gráfico. Haga clic con el botón derecho en cualquier entidad para abrir un control flotante con todos los detalles.
Vea cómo Microsoft 365 Defender ha resuelto automáticamente algunas alertas con la pestaña Investigaciones.
Según sea necesario, use información en el conjunto de datos del incidente para obtener más información con la pestaña Evidencia y respuesta .
Después o durante el análisis, realice la contención para reducir cualquier impacto adicional del ataque y la detención de la amenaza de seguridad.
En la medida de lo posible, recupérese del ataque restaurando los recursos de sus cuentas empresariales al estado en que se encontraban antes del incidente.
Resuelva el incidente y tómese tiempo para el aprendizaje posterior al incidente para:
- Comprender el tipo de ataque y su impacto.
- Investigue el ataque en Threat Analytics y la comunidad de seguridad para detectar una tendencia de ataque de seguridad.
- Recordar el flujo de trabajo que se utilizó para resolver el incidente y actualizar los flujos de trabajo estándar, los procesos, las directivas y los libros de instrucciones según sea necesario.
- Determinar si son necesarios cambios en la configuración de seguridad e implementarlos.
Si no está familiarizado con el análisis de seguridad, consulte la introducción a la respuesta al primer incidente para obtener información adicional y para recorrer un incidente de ejemplo.
Para obtener más información sobre la respuesta a incidentes en los productos de Microsoft, consulte este artículo.
Operaciones de seguridad de ejemplo para Microsoft 365 Defender
Este es un ejemplo de operaciones de seguridad (SecOps) para Microsoft 365 Defender.
Las tareas diarias pueden incluir:
- Administración de incidentes
- Revisión de las acciones de investigación y respuesta automatizadas (AIR) en el Centro de acción
- Revisión de la versión más reciente de Threat Analytics
- Respuesta a incidentes
Las tareas mensuales pueden incluir:
- Revisión de la configuración de AIR
- Revisión de la puntuación segura y la Administración de vulnerabilidades de Microsoft Defender
- Informes a la cadena de administración de seguridad de TI
Las tareas trimestrales pueden incluir un informe y un informe de los resultados de seguridad al director de seguridad de la información (CISO).
Las tareas anuales pueden incluir la realización de un ejercicio importante de incidentes o infracciones para probar el personal, los sistemas y los procesos.
Las tareas diarias, mensuales, trimestrales y anuales se pueden usar para actualizar o refinar procesos, directivas y configuraciones de seguridad.
Consulte Integración de Microsoft 365 Defender en las operaciones de seguridad para obtener más información.
Recursos de SecOps en los productos de Microsoft
Para obtener más información sobre SecOps en los productos de Microsoft, consulte estos recursos:
Obtención de notificaciones de incidentes por correo electrónico
Puede configurar Microsoft 365 Defender para notificar a su personal un correo electrónico sobre nuevos incidentes o actualizaciones de incidentes existentes. Puede elegir obtener notificaciones basadas en:
- Gravedad de la alerta
- Orígenes de alertas
- Grupo de dispositivos
Elija recibir notificaciones por correo electrónico solo para un origen de servicio específico: puede seleccionar fácilmente orígenes de servicio específicos para los que desea obtener notificaciones por correo electrónico.
Obtener más granularidad con orígenes de detección específicos: solo puede obtener notificaciones para un origen de detección específico.
Establecer la gravedad por detección o origen de servicio: puede elegir obtener notificaciones por correo electrónico solo en gravedades específicas por origen. Por ejemplo, puede recibir notificaciones de alertas medias y altas para EDR y todas las gravedades de Microsoft Defender Experts.
La notificación por correo electrónico contiene detalles importantes sobre el incidente, como el nombre del incidente, la gravedad y las categorías, entre otros. También puede ir directamente al incidente e iniciar el análisis de inmediato. Para obtener más información, consulte Investigación de incidentes.
Puede agregar o quitar destinatarios en las notificaciones por correo electrónico. Los nuevos destinatarios reciben notificaciones sobre incidentes después de agregarse.
Nota:
Necesita el permiso Administrar configuración de seguridad para configurar las opciones de notificación por correo electrónico. Si ha elegido usar la administración básica de permisos, los usuarios con roles administrador de seguridad o administrador global pueden configurar las notificaciones por correo electrónico.
Del mismo modo, si su organización usa el control de acceso basado en rol (RBAC), solo puede crear, editar, eliminar y recibir notificaciones basadas en grupos de dispositivos que pueda administrar.
Creación de una regla para notificaciones por correo electrónico
Siga estos pasos para crear una nueva regla y personalizar la configuración de notificaciones por correo electrónico.
Vaya a Microsoft 365 Defender en el panel de navegación y seleccione Configuración > Microsoft 365 Defender > notificaciones por correo electrónico de incidentes.
Seleccione Agregar elemento.
En la página Aspectos básicos , escriba el nombre de la regla y una descripción y, a continuación, seleccione Siguiente.
En la página Configuración de notificación , configure:
- Gravedad de alerta: elija los niveles de gravedad de alerta que desencadenarán una notificación de incidente. Por ejemplo, si solo desea que se le informe sobre incidentes de gravedad alta, seleccione Alto.
- Ámbito del grupo de dispositivos: puede especificar todos los grupos de dispositivos o seleccionarlos en la lista de grupos de dispositivos del inquilino.
- Enviar solo una notificación por incidente : seleccione si desea una notificación por incidente.
- Incluir el nombre de la organización en el correo electrónico: seleccione si desea que el nombre de la organización aparezca en la notificación por correo electrónico.
- Incluir vínculo del portal específico del inquilino: seleccione si desea agregar un vínculo con el identificador de inquilino en la notificación de correo electrónico para acceder a un inquilino de Microsoft 365 específico.
Seleccione Siguiente. En la página Destinatarios , agregue las direcciones de correo electrónico que recibirán las notificaciones de incidentes. Seleccione Agregar después de escribir cada nueva dirección de correo electrónico. Para probar las notificaciones y asegurarse de que los destinatarios las reciben en las bandejas de entrada, seleccione Enviar correo electrónico de prueba.
Seleccione Siguiente. En la página Revisar regla , revise la configuración de la regla y, a continuación, seleccione Crear regla. Los destinatarios comenzarán a recibir notificaciones de incidentes por correo electrónico en función de la configuración.
Para editar una regla existente, selecciónela en la lista de reglas. En el panel con el nombre de la regla, seleccione Editar regla y realice los cambios en las páginas Aspectos básicos, Configuración de notificación y Destinatarios .
Para eliminar una regla, selecciónela en la lista de reglas. En el panel con el nombre de la regla, seleccione Eliminar.
Una vez que reciba la notificación, puede ir directamente al incidente e iniciar la investigación de inmediato. Para obtener más información sobre cómo investigar incidentes, vea Investigar incidentes en Microsoft 365 Defender.
Aprendizaje para analistas de seguridad
Use este módulo de aprendizaje de Microsoft Learn para comprender cómo usar Microsoft 365 Defender para administrar incidentes y alertas.
| Aprendizaje: | Investigar incidentes con Microsoft 365 Defender |
|---|---|
 |
Microsoft 365 Defender unifica los datos de amenazas de varios servicios y usa la inteligencia artificial para combinarlos en incidentes y alertas. Obtenga información sobre cómo minimizar el tiempo entre un incidente y su administración mediante respuesta y resolución posteriores. 27 min - 6 unidades |
Pasos siguientes
Use los pasos enumerados en función del nivel de experiencia o el rol del equipo de seguridad.
Nivel de experiencia
Siga esta tabla para conocer el nivel de experiencia con el análisis de seguridad y la respuesta a incidentes.
| Nivel | Pasos |
|---|---|
| New |
|
| Experimentado |
|
Rol de equipo de seguridad
Siga esta tabla en función del rol de equipo de seguridad.
| Role | Pasos |
|---|---|
| Respondedor de incidentes (nivel 1) | Empiece a trabajar con la cola de incidentes desde la página Incidentes del portal de Microsoft 365 Defender. Desde allí, puedes hacer lo siguiente:
|
| Investigador o analista de seguridad (nivel 2) |
|
| Analista de seguridad avanzada o cazador de amenazas (nivel 3) |
|
| Administrador de SOC | Consulte cómo integrar Microsoft 365 Defender en Security Operations Center (SOC). |
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft 365 Defender Tech Community.