Detalles y resultados de una investigación automatizada
Nota:
¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.
Se aplica a:
- Microsoft Defender XDR
Con Microsoft Defender XDR, cuando se ejecuta una investigación automatizada, los detalles sobre esa investigación están disponibles durante y después del proceso de investigación automatizado. Si tiene los permisos necesarios, puede ver esos detalles en una vista de detalles de investigación que le proporciona el estado actualizado y la capacidad de aprobar las acciones pendientes.
(NUEVO) Página de investigación unificada
La página de investigación se ha actualizado recientemente para incluir información en los dispositivos, el correo electrónico y el contenido de colaboración. La nueva página de investigación unificada define un lenguaje común y proporciona una experiencia unificada para las investigaciones automáticas en Microsoft Defender para punto de conexión y Microsoft Defender para Office 365. Para acceder a la página de investigación unificada, seleccione el vínculo en el banner amarillo en el que verá:
- Cualquier página de investigación del portal de cumplimiento Microsoft Purview
- Cualquier página de investigación en el portal de Microsoft Defender (https://security.microsoft.com)
- Cualquier incidente o experiencia del Centro de acción en el portal de Microsoft Defender
Abrir la vista de detalles de la investigación
Puede abrir un informe en la vista previa de impresión utilizando uno de los métodos siguientes:
- Seleccionar un elemento en el centro de actividades
- Seleccionar una investigación en una página de detalles de un incidente
Seleccionar un elemento en el centro de actividades
El Centro de acciones mejorado (https://security.microsoft.com/action-center) reúne acciones de corrección en todos los dispositivos, correo electrónico & contenido de colaboración e identidades. Las acciones enumeradas incluyen acciones de corrección que se realizaron de forma automática o manual. En el Centro de actividades, puede ver las acciones que están esperando la aprobación y las acciones que ya se aprobaron o completaron. También puede navegar para más detalles, como una página de investigación.
Sugerencia
Debe tener ciertos permisos para aprobar, rechazar o deshacer acciones.
Vaya a Microsoft Defender portal e inicie sesión.
En el panel de navegación, elija Centro de actividades.
En la pestaña pendiente o historial, seleccione un elemento. Se abre el panel flotante.
Revise la información del panel flotante y, a continuación, realice uno de los pasos siguientes:
- Seleccione Abrir la página de investigación para ver más detalles sobre la investigación.
- Seleccione Aprobar para iniciar una acción pendiente.
- Seleccione Rechazar para evitar que se realice una acción pendiente.
- Seleccione Ir a buscar para ir a Búsqueda avanzada.
Abrir una investigación desde una página de detalles de un incidente
Use una página de detalles de un incidente para ver información detallada sobre un incidente, incluidas las alertas que contenían información acerca de cualquier dispositivo, cuenta de usuario o buzón que les afecten.
Vaya a Microsoft Defender portal e inicie sesión.
En el panel de navegación, elija Incidentes & alertas>Incidentes.
Seleccione un elemento de la lista y, a continuación, elija Abrir página de incidente.
Seleccione la pestaña de Investigacionesy, a continuación, seleccione una investigación en la lista. Se abre el panel flotante.
Seleccione Abrir página de investigación.
Por ejemplo:
Detalles de la investigación
Use la vista detalles de la investigación para ver la actividad pasada, actual y pendiente relacionada con una investigación. Por ejemplo:
En la vista de detalles de la investigación, puede ver información en las pestañas gráfico de investigación, alertas, dispositivos, identidades, resultados clave, entidades, registro, y acciones pendientes, que se describen en la siguiente tabla.
Nota:
Las pestañas específicas que se ven en una página de detalles de investigación dependen de lo que incluya su suscripción. Por ejemplo, si la suscripción no incluye Microsoft Defender para Office 365 plan 2, no verá una pestaña Buzones.
| Pestaña | Descripción |
|---|---|
| Gráfico de investigación | Proporciona una representación visual de la investigación. Muestra una lista de las entidades y enumera las amenazas encontradas, junto con las alertas y si hay acciones pendientes de aprobación. Puede seleccionar un elemento del gráfico para ver más detalles. Por ejemplo, al seleccionar el icono Evidencia se le lleva a la pestaña Evidencia , donde puede ver las entidades detectadas y sus veredictos. |
| Alertas | Muestra las alertas relacionadas con la investigación. Las alertas pueden provenir de características de protección contra amenazas en el dispositivo de un usuario, en aplicaciones de Office, Microsoft Defender for Cloud Apps y otras características de Microsoft Defender XDR. Si ve tipo de alerta no compatible, significa que las funcionalidades de investigación automatizada no pueden recoger esa alerta para ejecutar una investigación automatizada. Sin embargo, puede investigar estas alertas manualmente. |
| Devices | Listas dispositivos incluidos en la investigación junto con su nivel de corrección. (Los niveles de corrección corresponden al nivel de automatización de los grupos de dispositivos). |
| Buzones | Listas buzones que se ven afectados por las amenazas detectadas. |
| Usuarios | Listas cuentas de usuario que se ven afectadas por las amenazas detectadas. |
| Evidencia | Listas fragmentos de evidencia generados por alertas o investigaciones. Incluye veredictos (malintencionados, Sospechosos, Desconocido o No se encontraron amenazas) y el estado de corrección. |
| Entities | Proporciona detalles sobre cada entidad analizada, incluido un veredicto para cada tipo de entidad (Malintencionada, Sospechosa o No se encontraron amenazas). |
| Log | Proporciona una vista cronológica y detallada de todas las acciones de investigación realizadas después de que se desencadenara una alerta. |
| Historial de acciones pendientes | Muestra los elementos que necesitan aprobación para continuar. Vaya al Centro de acciones (https://security.microsoft.com/action-center) para aprobar las acciones pendientes. |
Estados de investigación
En la tabla siguiente se enumeran los estados de investigación y lo que indican.
| Estado de investigación | Definición |
|---|---|
| Benigno | Se investigaron los artefactos y se estableció que no se encontraron amenazas. |
| PendingResource | Una investigación automatizada se pausa porque una acción de corrección está pendiente de aprobación o el dispositivo en el que se encontró un artefacto no está disponible temporalmente. |
| UnsupportedAlertType | No hay disponible una investigación automatizada para este tipo de alerta. Se puede realizar una investigación adicional manualmente mediante la búsqueda avanzada. |
| Error | Al menos un analizador de investigación se encontró con un problema en el que no pudo completar la investigación. Si se produce un error en una investigación después de aprobar las acciones de corrección, es posible que las acciones de corrección se hayan realizado correctamente. |
| Corrección correcta | Se completó una investigación automatizada y se completaron o aprobaron todas las acciones de corrección. |
Para proporcionar más contexto sobre cómo se muestran los estados de investigación, en la tabla siguiente se enumeran las alertas y su estado de investigación automatizado correspondiente. Esta tabla se incluye como ejemplo de lo que un equipo de operaciones de seguridad podría ver en el portal de Microsoft Defender.
| Nombre de alerta | Severity | Estado de investigación | Estado | Categoría |
|---|---|---|---|---|
| Se detectó malware en un archivo de imagen de disco wim | Informativo | Benigno | Resuelto | Malware |
| Se detectó malware en un archivo de archivo rar | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo de archivo rar | Informativo | UnsupportedAlertType | Nuevo | Malware |
| Se detectó malware en un archivo de archivo rar | Informativo | UnsupportedAlertType | Nuevo | Malware |
| Se detectó malware en un archivo de archivo rar | Informativo | UnsupportedAlertType | Nuevo | Malware |
| Se detectó malware en un archivo zip | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo zip | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo zip | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo zip | Informativo | PendingResource | Nuevo | Malware |
| Wpakill hacktool se ha evitado | Bajo | Error | Nuevo | Malware |
| GendowsBatch hacktool se ha evitado | Bajo | Error | Nuevo | Malware |
| Keygen hacktool se ha evitado | Bajo | Error | Nuevo | Malware |
| Se detectó malware en un archivo zip | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo de archivo rar | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo de archivo rar | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo zip | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo de archivo rar | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo de archivo rar | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo de imagen de disco iso | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo de imagen de disco iso | Informativo | PendingResource | Nuevo | Malware |
| Se detectó malware en un archivo de datos de Outlook pst | Informativo | UnsupportedAlertType | Nuevo | Malware |
| Se detectó malware en un archivo de datos de Outlook pst | Informativo | UnsupportedAlertType | Nuevo | Malware |
| MediaGet detectado | Mediano | Parcialmente invertido | Nuevo | Malware |
| TrojanEmailFile | Mediano | CorrectamenteRemediated | Resuelto | Malware |
| Se ha evitado el malware CustomEnterpriseBlock | Informativo | CorrectamenteRemediated | Resuelto | Malware |
| Se bloqueó un malware CustomEnterpriseBlock activo | Bajo | CorrectamenteRemediated | Resuelto | Malware |
| Se bloqueó un malware CustomEnterpriseBlock activo | Bajo | CorrectamenteRemediated | Resuelto | Malware |
| Se bloqueó un malware CustomEnterpriseBlock activo | Bajo | CorrectamenteRemediated | Resuelto | Malware |
| TrojanEmailFile | Mediano | Benigno | Resuelto | Malware |
| Se ha evitado el malware CustomEnterpriseBlock | Informativo | UnsupportedAlertType | Nuevo | Malware |
| Se ha evitado el malware CustomEnterpriseBlock | Informativo | CorrectamenteRemediated | Resuelto | Malware |
| TrojanEmailFile | Mediano | CorrectamenteRemediated | Resuelto | Malware |
| TrojanEmailFile | Mediano | Benigno | Resuelto | Malware |
| Se bloqueó un malware CustomEnterpriseBlock activo | Bajo | PendingResource | Nuevo | Malware |
Pasos siguientes
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de