Administración de incidentes en Microsoft Defender XDR

Nota:

¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.

Se aplica a:

  • Microsoft Defender XDR

La administración de incidentes es fundamental para asegurarse de que los incidentes se denominan, asignan y etiquetan para optimizar el tiempo en el flujo de trabajo de incidentes y contener y abordar amenazas más rápidamente.

Sugerencia

Durante un tiempo limitado durante enero de 2024, cuando visita la página Incidentes , aparece Defender Boxed. Defender Boxed resalta los éxitos de seguridad, las mejoras y las acciones de respuesta de su organización durante 2023. Para volver a abrir Defender Boxed, en el portal de Microsoft Defender, vaya a Incidentes y, a continuación, seleccione Su defender boxed.

Puede administrar incidentes desde Incidentes & alertas > Incidentes en el inicio rápido del portal de Microsoft Defender (security.microsoft.com). Por ejemplo:

Resaltado de la opción administrar incidentes dentro de la cola de incidentes y el panel de inicio rápido en el portal de Microsoft Defender

Estas son las maneras de administrar los incidentes:

Puede administrar incidentes desde el panel Administrar incidentes para un incidente. Por ejemplo:

El panel Administrar incidente del portal de Microsoft Defender

Puede mostrar este panel desde el vínculo Administrar incidente en:

  • Página del artículo de alertas .
  • Panel Propiedades de un incidente en la cola de incidentes.
  • Página resumen de un incidente.
  • Opción Administrar incidente ubicada en la parte superior derecha de la página Incidente.

En los casos en los que quiera mover alertas de un incidente a otro, también puede hacerlo desde la pestaña Alertas , creando así un incidente mayor o menor que incluya todas las alertas pertinentes.

Editar el nombre del incidente

Microsoft Defender XDR asigna automáticamente un nombre basado en atributos de alerta, como el número de puntos de conexión afectados, los usuarios afectados, los orígenes de detección o las categorías. El nombre del incidente le permite comprender rápidamente el ámbito del incidente. Por ejemplo: incidente de varias fases en varios puntos de conexión notificados por varios orígenes.

Puede editar el nombre del incidente desde el campo Nombre de incidente en el panel Administrar incidente .

Nota:

Los incidentes que existían antes del lanzamiento de la característica de nomenclatura automática de incidentes conservarán su nombre.

Asignar o cambiar la gravedad del incidente

Puede asignar o cambiar la gravedad de un incidente desde el campo Gravedad del panel Administrar incidente . La gravedad de un incidente viene determinada por la gravedad más alta de las alertas asociadas a él. La gravedad de un incidente se puede establecer en alta, media, baja o informativa.

Agregar etiquetas de incidente

Puede agregar etiquetas personalizadas a un incidente, por ejemplo, para marcar un grupo de incidencias con características comunes. Posteriormente, puede filtrar la cola de incidentes para todos los incidentes que contengan una etiqueta específica.

La opción para seleccionar de una lista de etiquetas usadas anteriormente y seleccionadas aparece después de empezar a escribir.

Asignación de un incidente

Puede seleccionar el cuadro Asignar a y especificar la cuenta de usuario para asignar un incidente. Para reasignar un incidente, quite la cuenta de asignación actual seleccionando la "x" junto al nombre de la cuenta y, a continuación, seleccione el cuadro Asignar a . Al asignar la propiedad de un incidente, se asigna la misma propiedad a todas las alertas asociadas a él.

Para obtener una lista de incidentes asignados, filtre la cola de incidentes.

  1. En la cola de incidentes, seleccione Filtros.
  2. En la sección Asignación de incidentes , desactive Seleccionar todo. Seleccione Asignado a mí, Asignado a otro usuario o Asignado a un grupo de usuarios.
  3. Seleccione Aplicar y, a continuación, cierre el panel Filtros .

A continuación, puede guardar la dirección URL resultante en el explorador como marcador para ver rápidamente la lista de incidentes que se le han asignado.

Resolución de un incidente

Seleccione Resolver incidente para mover el botón de alternancia a la derecha cuando se corrija un incidente. La resolución de un incidente también resuelve todas las alertas vinculadas y activas relacionadas con el incidente.

Un incidente que no se resuelve se muestra como Activo.

Especificar la clasificación

En el campo Clasificación , especifique si el incidente es:

  • No establecido (valor predeterminado).
  • Verdadero positivo con un tipo de amenaza. Use esta clasificación para incidentes que indiquen con precisión una amenaza real. La especificación del tipo de amenaza ayuda a su equipo de seguridad a ver los patrones de amenaza y a actuar para defender a su organización de ellos.
  • Actividad informativa y esperada con un tipo de actividad. Use las opciones de esta categoría para clasificar los incidentes de las pruebas de seguridad, la actividad del equipo rojo y el comportamiento inusual esperado de aplicaciones y usuarios de confianza.
  • Los falsos positivos para los tipos de incidentes que determine se pueden omitir porque son técnicamente inexactos o engañosos.

La clasificación de incidentes y la especificación de su estado y tipo ayuda a ajustar Microsoft Defender XDR para proporcionar una mejor determinación de la detección a lo largo del tiempo.

Agregar comentarios

Puede agregar varios comentarios a un incidente con el campo Comentario . El campo de comentario admite texto y formato, vínculos e imágenes. Cada comentario está limitado a 30 000 caracteres.

Todos los comentarios se agregan a los eventos históricos del incidente. Puede ver los comentarios y el historial de un incidente en el vínculo Comentarios e historial de la página Resumen .

Registro de actividad

El registro de actividad muestra una lista de todos los comentarios y acciones realizados en el incidente, conocidos como auditorías y comentarios. Todos los cambios realizados en el incidente, ya sea por un usuario o por el sistema, se registran en el registro de actividad. El registro de actividad está disponible en la opción Registro de actividad en la página del incidente o en el panel lateral del incidente.

Resaltado de la opción de registro de actividad en la página de incidentes del portal de Microsoft Defender

Puede filtrar las actividades del registro por comentarios y acciones. Haga clic en Contenido: Auditorías, Comentarios y, a continuación, seleccione el tipo de contenido para filtrar las actividades. Por ejemplo:

Resaltado de las opciones de filtro en el panel del registro de actividad desde la página de incidentes del portal de Microsoft Defender

También puede agregar sus propios comentarios mediante el cuadro de comentario disponible en el registro de actividad. El cuadro de comentario acepta texto y formato, vínculos e imágenes.

Resaltado del cuadro de comentario de la página incidente en el portal de Microsoft Defender

Pasos siguientes

Para nuevos incidentes, comience la investigación.

Para incidentes en proceso, continúe con la investigación.

Para incidentes resueltos, realice una revisión posterior a los incidentes.

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.