Administración de incidentes de seguridad en Microsoft Defender for Cloud

  • Artículo

La clasificación e investigación de las alertas de seguridad puede ser un proceso largo incluso para los analistas de seguridad más cualificados. Para muchos, es difícil saber por dónde empezar.

Defender for Cloud usa análisis para conectar la información entre alertas de seguridad diferentes. Con estas conexiones, Defender for Cloud puede proporcionar una vista única de una campaña de ataque y sus alertas relacionadas para ayudarle a comprender las acciones del atacante y los recursos afectados.

En esta página se proporciona información general sobre los incidentes en Defender for Cloud.

¿Qué es un incidente de seguridad?

En Defender for Cloud, un incidente de seguridad es la suma de todas las alertas de un recurso que se alinean con patrones de cadenas de eliminación. Los incidentes aparecen en la página Alertas de seguridad. Seleccione un incidente para ver las alertas relacionadas y obtener más información.

Administración de incidentes de seguridad

  1. En la página de alertas de seguridad de Defender for Cloud, use el botón Agregar filtro para filtrar por el nombre de alerta Incidente de seguridad detectado en varios recursos.

    Búsqueda de incidentes en la página de alertas de seguridad de Microsoft Defender for Cloud.

    La lista está ahora filtrada para que muestre solo los incidentes. Tenga en cuenta que los incidentes de seguridad tienen un icono diferente a las alertas de seguridad.

    Lista de incidentes en la página de alertas de seguridad de Microsoft Defender for Cloud.

  2. Para ver los detalles de un incidente, seleccione uno de la lista. Aparece un panel lateral con más detalles sobre el incidente.

    Panel lateral que muestra los detalles del incidente.

  3. Para ver más detalles, seleccione Ver detalles completos.

    Responder a incidentes de seguridad en Microsoft Defender for Cloud.

    En el panel izquierdo de la página Incidente de seguridad se muestra información de alto nivel sobre el incidente de seguridad: título, gravedad, estado, tiempo de actividad, descripción y el recurso afectado. Junto al recurso afectado, puede ver las etiquetas relevantes de Azure. Use estas etiquetas para deducir el contexto de la organización del recurso al investigar la alerta.

    En el panel derecho se incluye la pestaña Alertas con las alertas de seguridad que se correlacionan como parte de este incidente.

    Sugerencia

    Para obtener más información acerca de una alerta específica, selecciónela.

    Pestaña Realizar acción del incidente

    Para cambiar a la pestaña Realizar acción, seleccione la pestaña o el botón en la parte inferior del panel derecho. Use esta pestaña para realizar acciones adicionales, como:

    • Mitigar las amenazas: proporciona pasos de corrección manual para este incidente de seguridad.
    • Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie expuesta a ataques, aumentar la postura de seguridad y evitar futuros ataques.
    • Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como respuesta a este incidente de seguridad.
    • Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares si la alerta no es relevante para su organización.

    Nota

    La misma alerta puede existir como parte de un incidente y estar visible como alerta independiente.

  4. Para corregir las amenazas del incidente, siga los pasos de corrección que se proporcionan con cada alerta.

Pasos siguientes

En esta página se han explicado las capacidades de incidentes de seguridad de Defender for Cloud. Para obtener información relacionada, consulte las páginas siguientes: