Detección y respuesta administradas
Se aplica a:
A través de una combinación de automatización y experiencia humana, Microsoft Defender Expertos en triajes XDR Microsoft Defender XDR incidentes, los prioriza en su nombre, filtra el ruido, lleva a cabo investigaciones detalladas y proporciona una respuesta administrada accionable a los equipos del centro de operaciones de seguridad (SOC).
Actualizaciones de incidentes
Una vez que nuestros expertos comienzan a investigar un incidente, los campos Asignados a y Estado del incidente se actualizan a Expertos de Defender y En curso, respectivamente.
Cuando nuestros expertos concluyen su investigación sobre un incidente, el campo clasificación del incidente se actualiza a uno de los siguientes, según los resultados de los expertos:
- Verdadero positivo
- Falso positivo
- Actividad informativa y esperada
El campo Determinación correspondiente a cada clasificación también se actualiza para proporcionar más información sobre los resultados que llevaron a nuestros expertos a determinar dicha clasificación.
Si un incidente se clasifica como Falso positivo o Actividadesperada, el campo Estado del incidente se actualiza a Resuelto. A continuación, nuestros expertos concluyen su trabajo en este incidente y el campo Asignado a se actualiza a Sin asignar. Nuestros expertos pueden compartir las actualizaciones de su investigación y su conclusión al resolver un incidente. Estas actualizaciones se publican en el panel flotante Comentarios y historial del incidente.
Nota:
Los comentarios de incidentes son publicaciones unidireccionales. Los expertos de Defender no pueden responder a ningún comentario o pregunta que agregue en el panel Comentarios e historial . Para obtener más información sobre cómo corresponderse con nuestros expertos, consulte Comunicación con expertos en el servicio Microsoft Defender Experts for XDR.
De lo contrario, si un incidente se clasifica como Verdadero positivo, nuestros expertos identificarán las acciones de respuesta necesarias que deben realizarse. El método en el que se realizan las acciones depende de los permisos y niveles de acceso que haya proporcionado al servicio Expertos de Defender para XDR. Obtenga más información sobre la concesión de permisos a nuestros expertos.
Si ha concedido a Los expertos de Defender para XDR los permisos de acceso recomendados para operadores de seguridad, nuestros expertos podrían realizar las acciones de respuesta necesarias en el incidente en su nombre. Estas acciones, junto con un resumen de investigación, se muestran en el panel flotante Respuesta administrada del incidente en el portal de Microsoft Defender para que usted o el equipo de SOC lo revisen. Todas las acciones completadas por expertos de Defender para XDR aparecen en la sección Acciones completadas . Las acciones pendientes que requieran que usted o su equipo de SOC completen se enumeran en la sección Acciones pendientes . Para obtener más información, consulte la sección Acciones . Una vez que nuestros expertos han tomado todas las acciones necesarias sobre el incidente, su campo Estado se actualiza a Resuelto y el campo Asignado a se actualiza a Sin asignar.
Si ha concedido a Expertos de Defender para XDR el acceso de lector de seguridad predeterminado, las acciones de respuesta necesarias, junto con un resumen de investigación, se muestran en el panel flotante Respuesta administrada del incidente en la sección Acciones pendientes del portal de Microsoft Defender para que usted o el equipo de SOC realicen. Para obtener más información, consulte la sección Acciones . Para identificar esta entrega, el campo Estado del incidente se actualiza a Awaiting Customer Action y el campo Asignado a se actualiza al cliente.
Puede comprobar el número de incidentes que requieren su acción en el banner Expertos de Defender en la parte superior de la página principal de Microsoft Defender.
Para ver los incidentes que nuestros expertos han investigado o están investigando actualmente, filtre la cola de incidentes en el portal de Microsoft Defender mediante la etiqueta Expertos de Defender.
Cómo usar la respuesta administrada en Microsoft Defender XDR
En el portal de Microsoft Defender, un incidente que requiere su atención mediante la respuesta administrada tiene el campo Estado establecido en Awaiting Customer Action (Esperar acción del cliente), el campo Asignado a establecido en Customer (Cliente) y una tarjeta de tarea en la parte superior del panel Incidents (Incidentes). Los contactos de incidentes designados también reciben una notificación por correo electrónico correspondiente con un vínculo al portal de Defender para ver el incidente. Más información sobre los contactos de notificación. También recibirá una notificación de Teams que le informa sobre las actualizaciones. Más información sobre la configuración de Teams
Seleccione Ver respuesta administrada en la tarjeta de tareas o en la parte superior de la página del portal (pestaña Respuesta administrada ) para abrir un panel flotante donde puede leer el resumen de investigación de nuestros expertos, completar acciones pendientes identificadas por nuestros expertos o interactuar con ellos a través del chat.
Resumen de la investigación
La sección Resumen de investigación le proporciona más contexto sobre el incidente analizado por nuestros expertos para proporcionarle visibilidad sobre su gravedad y su posible impacto si no se aborda inmediatamente. Podría incluir la escala de tiempo del dispositivo, los indicadores de ataque y los indicadores de riesgo (IOC) observados, y otros detalles.
Acciones
La pestaña Acciones muestra tarjetas de tareas que contienen acciones de respuesta recomendadas por nuestros expertos.
Expertos de Defender para XDR admite actualmente las siguientes acciones de respuesta administrada con un solo clic:
| Action | Descripción |
|---|---|
| Aislar el dispositivo | Aísla un dispositivo, lo que ayuda a evitar que un atacante lo controle y realice otras actividades, como la filtración de datos y el movimiento lateral. El dispositivo aislado seguirá conectado a Microsoft Defender para punto de conexión. |
| Poner archivo en cuarentena | Detiene los procesos en ejecución, pone en cuarentena los archivos y elimina datos persistentes, como las claves del Registro. |
| Restringir ejecución de aplicación | Restringe la ejecución de programas potencialmente malintencionados y bloquea el dispositivo para evitar intentos adicionales. |
| Liberación del aislamiento | Deshace el aislamiento de un dispositivo. |
| Quitar restricción de aplicación | Deshace la liberación del aislamiento. |
Además de estas acciones de un solo clic, también puede recibir respuestas administradas de nuestros expertos que debe realizar manualmente.
Nota:
Antes de realizar cualquiera de las acciones de respuesta administrada recomendadas, asegúrese de que las configuraciones de investigación y respuesta automatizadas no las estén solucionando. Obtenga más información sobre las funcionalidades automatizadas de investigación y respuesta en Microsoft Defender XDR.
Para ver y realizar las acciones de respuesta administrada:
- Seleccione los botones de flecha de una tarjeta de acción para expandirla y lea más información sobre la acción necesaria.
- En el caso de las tarjetas con acciones de respuesta de un solo clic, seleccione la acción necesaria. El estado Acción de la tarjeta cambia a En curso y, a continuación, a Error o Completado, según el resultado de la acción.
Sugerencia
También puede supervisar el estado de las acciones de respuesta en el portal en el Centro de acciones. Si se produce un error en una acción de respuesta, intente hacerlo de nuevo desde la página Ver detalles del dispositivo o inicie un chat con expertos de Defender.
- Para las tarjetas con las acciones necesarias que necesita realizar manualmente, seleccione He completado esta acción una vez que las haya realizado y, a continuación , seleccione Sí, lo he hecho en el cuadro de diálogo de confirmación que aparece.
- Si no desea completar una acción necesaria inmediatamente, seleccione Omitir y, a continuación , seleccione Sí, omita esta acción en el cuadro de diálogo de confirmación que aparece.
Importante
Si observa que cualquiera de los botones de las tarjetas de acción está atenuado, podría indicar que no tiene los permisos necesarios para realizar la acción. Asegúrese de que ha iniciado sesión en el portal de Microsoft Defender XDR con los permisos adecuados. La mayoría de las acciones de respuesta administradas requieren que tenga al menos el acceso del operador de seguridad. Si sigue teniendo este problema incluso con los permisos adecuados, vaya a Ver detalles del dispositivo y complete los pasos desde allí.
Obtener visibilidad de las investigaciones de expertos de Defender en la aplicación SIEM o ITSM
A medida que expertos de Defender para XDR investigan incidentes y crean acciones de corrección, puede tener visibilidad de su trabajo sobre los incidentes en las aplicaciones de administración de eventos e información de seguridad (SIEM) y administración de servicios de TI (ITSM), incluidas las aplicaciones que están disponibles de forma inmediata.
Microsoft Sentinel
Para obtener visibilidad de incidentes en Microsoft Sentinel, active su conector de datos Microsoft Defender XDR de fábrica. Más información.
Una vez que haya activado el conector, las actualizaciones de los expertos de Defender en los campos Estado, Asignado a, Clasificación y Determinación de Microsoft Defender XDR se mostrarán en los campos Estado, Propietario y Motivo correspondientes para cerrar campos en Sentinel.
Nota:
El estado de los incidentes investigados por los expertos de Defender en Microsoft Defender XDR normalmente pasa de Activo a En curso a Espera de la acción del cliente a Resuelta, mientras que en Sentinel, sigue la ruta de acceso Nuevo a Activo a Resuelto. El Microsoft Defender XDR Status Awaiting Customer Action no tiene un campo equivalente en Sentinel; en su lugar, se muestra como una etiqueta en un incidente en Sentinel.
En la sección siguiente se describe cómo se actualiza un incidente controlado por nuestros expertos en Sentinel a medida que avanza en el recorrido de investigación:
- Un incidente que están investigando nuestros expertos tiene el estadoactivo y el propietario como expertos de Defender.
- Un incidente que nuestros expertos han confirmado como verdadero positivo tiene una respuesta administrada publicada en Microsoft Defender XDR y una etiquetaque espera la acción del cliente y el propietario aparece como Cliente. Debe actuar en función del incidente en función del uso de la respuesta administrada proporcionada.
- Una vez que nuestros expertos han concluido su investigación y cerrado un incidente como Falso positivo o Actividad informativa esperada, el estado del incidente se actualiza a Resuelto, el propietario se actualiza a Sin asignar y se proporciona una razón para el cierre.
Otras aplicaciones
Puede obtener visibilidad de los incidentes en la aplicación SIEM o ITSM mediante la API de Microsoft Defender XDR o los conectores de Sentinel.
Después de configurar un conector, las actualizaciones de los expertos de Defender en los campos Estado, Asignado a, Clasificación y Determinación de un incidente en Microsoft Defender XDR se pueden sincronizar con las aplicaciones SIEM o ITSM de terceros, en función de cómo se haya implementado la asignación de campos. Para ilustrar, puede echar un vistazo al conector disponible desde Sentinel a ServiceNow.
Consulte también
- Descripción y administración de las notificaciones de incidentes de Expertos de Defender para XDR
- Descripción de la respuesta administrada
- Obtener visibilidad en tiempo real con los informes de Expertos de Defender para XDR
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de