Investigación de incidentes
La página de incidente proporciona la siguiente información y vínculos de navegación.
Información general sobre incidente
En la página información general se ofrece un vistazo a una instantánea de los principales aspectos que se deben tener en cuenta sobre el incidente.
Las categorías de ataque proporcionan una vista visual y numérica de la evolución del ataque en la cadena de eliminación. Como sucede con otros productos de seguridad de Microsoft, Microsoft Defender XDR está alineado con el marco MITRE ATT&CK™.
En la sección ámbito se ofrece una lista de los recursos principales afectados que forman parte de este incidente. Si hay información específica relacionada con este recurso, como el nivel de riesgo, la prioridad de la investigación y cualquier etiquetado en los recursos, también se mostrará en esta sección.
La escala de tiempo de las alertas proporciona un adelanto en el orden cronológico en el que se produjeron las alertas y los motivos por los que estas alertas se vinculan a este incidente.
Por último, la sección de evidencias proporciona un resumen de cuántos artefactos diferentes se incluyeron en el incidente y su estado de corrección, por lo que puede identificar inmediatamente si es necesaria alguna acción en el final.
Esta introducción puede ayudar a la evaluación de prioridades inicial del incidente, ya que proporciona conclusiones sobre las principales características del incidente que debe tener en cuenta.
Alertas
Puede ver todas las alertas relacionadas con el incidente y otra información sobre ellas, como la gravedad, las entidades implicadas en la alerta, el origen de las alertas (Microsoft Defender for Identity, Microsoft Defender para punto de conexión, Microsoft Defender for Office 365) y la razón por la que se vincularon entre sí.
De manera predeterminada, las alertas se ordenan cronológicamente para que pueda ver primero cómo se reproduce el ataque a lo largo del tiempo. Al hacer clic en cada alerta, se le conducirá a la Página de alerta relevante, donde puede realizar una investigación en profundidad de esa alerta.
Dispositivos
En la pestaña dispositivos se enumeran todos los dispositivos en los que se ven las alertas relacionadas con el incidente.
Al hacer clic en el vínculo del nombre de la máquina donde se realizó el ataque, se le remite a la página de su dispositivo. En la página Dispositivo, puede ver las alertas desencadenadas y los eventos relacionados para facilitar la investigación.
Usuarios
Vea los usuarios que se han identificado como parte de un incidente determinado o están relacionados con él.
Al hacer clic en el nombre de usuario, accederá a la página del usuario de Microsoft Defender para aplicaciones en la nube, donde se puede realizar una investigación más exhaustiva.
Buzones de correo
Investigue los buzones de correo que se han identificado como parte o relacionados con un incidente.
Aplicaciones
Investigue las aplicaciones que se han identificado como parte de un incidente o relacionadas con él.
Investigaciones
Seleccione investigaciones para ver todas las investigaciones automatizadas desencadenadas por las alertas de este incidente. Las investigaciones realizarán acciones de corrección o esperarán a que el analista apruebe las acciones.
Seleccione una investigación para ir a la página de detalles de la investigación y obtener información completa sobre el estado de la investigación y la corrección. Si hay alguna acción pendiente de aprobación como parte de la investigación, aparecerá en la pestaña Acciones pendientes.
Evidencia y respuestas
Microsoft Defender XDR investiga automáticamente todos los eventos admitidos y las entidades sospechosas de los incidentes en las alertas, lo que le proporcionará una respuesta automática e información sobre los archivos, procesos, servicios, correos electrónicos importantes y mucho más. Esto ayuda a detectar y bloquear rápidamente posibles amenazas en el incidente.
Cada una de las entidades analizadas se marcará con un veredicto (malintencionado, sospechoso, limpio) y un estado de corrección. Esto le ayudará a comprender el estado de corrección de todo el incidente y los pasos siguientes para corregirlos.
Grafo
En el gráfico se visualiza la información asociada sobre las amenazas de ciberseguridad para que pueda ver los patrones y las correlaciones procedentes de varios puntos de datos. Puede ver dicha correlación a través del gráfico de incidentes.
El gráfico cuenta la historia del ataque de ciberseguridad. Por ejemplo, le muestra el punto de entrada, qué indicador de compromiso o actividad se observó en qué dispositivo, etc.
Puede seleccionar los círculos del gráfico de incidentes para ver los detalles de los archivos malintencionados, las detecciones de archivos asociados, cuántas instancias ha habido en todo el mundo, si se ha observado en su organización y, si es así, cuántas instancias.