Editar

Compartir vía


Administración de las alertas de seguridad y respuesta a ellas

Defender for Cloud recopila, analiza e integra los datos de registro de los recursos de Azure, híbridos y multinube, la red y las soluciones de asociados conectadas, como firewalls y agentes de puntos de conexión. Defender for Cloud usa los datos de registro para detectar amenazas reales y reducir los falsos positivos. En Defender for Cloud se muestra una lista de alertas de seguridad clasificadas por orden de prioridad junto con la información necesaria para investigar rápidamente el problema y los pasos que se deben seguir para corregir un ataque.

En este artículo se muestra cómo ver y procesar las alertas de Defender for Cloud y cómo proteger los recursos.

Al evaluar las alertas de seguridad, debe priorizar las alertas en función de su gravedad de alerta, abordando primero las alertas de gravedad superior. Obtenga más información sobre cómo se clasifican las alertas.

Sugerencia

Puede conectar Microsoft Defender for Cloud a las soluciones SIEM, incluido Microsoft Sentinel, y consumir las alertas desde la herramienta que prefiera. Puede encontrar más información sobre cómo transmitir alertas a una solución de administración de servicios de TI, SIEM o SOAR.

Requisitos previos

Para conocer los requisitos previos y los requisitos, consulte Matrices de soporte técnico para Defender for Cloud.

Administración de las alertas de seguridad

Siga estos pasos:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Alertas de seguridad.

    Captura de pantalla que muestra la página de alertas de seguridad desde la página de información general de Microsoft Defender for Cloud.

  3. (Opcional) Filtre la lista de alertas con cualquiera de los filtros pertinentes. Puede agregar filtros adicionales con la opción Agregar filtro.

    Captura de pantalla que muestra cómo agregar filtros a la vista de alertas.

    La lista se actualiza según los filtros seleccionados. Por ejemplo, podría comprobar las alertas de seguridad que se produjeron en las 24 horas anteriores, ya que se está investigando una posible brecha en el sistema.

Investigación de una alerta de seguridad

Cada alerta contiene información relacionada con ella que le ayuda en la investigación.

Para investigar una alerta de seguridad:

  1. Seleccione una alerta. Se abre un panel lateral en el que se muestra una descripción de la alerta y de todos los recursos afectados.

    Captura de pantalla de la vista de detalles de alto nivel de una alerta de seguridad.

  2. Revise la información de alto nivel sobre la alerta de seguridad.

    • Gravedad de la alerta, estado y tiempo de actividad.
    • Descripción que explica la actividad precisa detectada.
    • Recursos afectados.
    • Intención de la cadena de eliminación de la actividad en la matriz de MITRE ATT&CK (de ser aplicable)
  3. Seleccione View full details (Ver detalles completos).

    En el panel derecho se incluye la pestaña Detalles de alerta que contiene más detalles de la alerta para ayudarle a investigar el problema: Direcciones IP, archivos, procesos, etc.

    Captura de pantalla que muestra la página de detalles completa de una alerta.

    Además, en el panel derecho se encuentra la pestaña Realizar acción. Use esta pestaña para realizar acciones adicionales con respecto a la alerta de seguridad. Acciones como:

    • Inspección del contexto del recurso: le envía a los registros de actividad del recurso que admiten la alerta de seguridad
    • Mitigar las amenazas: proporciona pasos de corrección manual para esta alerta de seguridad
    • Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie expuesta a ataques, aumentar la postura de seguridad y así evitar futuros ataques
    • Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como respuesta a esta alerta de seguridad
    • Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares si la alerta no es relevante para su organización

    Captura de pantalla que muestra las opciones disponibles en la pestaña Realizar acción.

    Si quiere conocer detalles adicionales, póngase en contacto con el propietario del recurso para comprobar si la actividad detectada es un falso positivo. También puede investigar los registros sin procesar que ha generado el recurso atacado.

Cambio simultaneo del estado de varias alertas de seguridad

La lista de alertas incluye varias casillas, lo que permite controlar varias alertas a la vez. Por ejemplo, para realizar valoraciones se pueden descartar todas las alertas informativas de un recurso concreto.

  1. Filtre según las alertas que desee controlar de forma masiva.

    En este ejemplo, se seleccionan las alertas con gravedad de Informational para el recurso ASC-AKS-CLOUD-TALK.

    Captura de pantalla que muestra cómo filtrar las alertas para mostrar alertas relacionadas.

  2. Use las casillas para seleccionar las alertas que se van a procesar.

    En este ejemplo, se seleccionan todas las alertas. El botón Cambiar estado ahora está disponible.

    Captura de pantalla de la selección de todas las alertas que se controlan en masa.

  3. Use las opciones de Cambiar estado para establecer el estado deseado.

    Captura de pantalla de la pestaña Estado de las alertas de seguridad.

    El estado de las alertas que se muestran en la página actual cambiará al valor seleccionado.

Respuesta a una alerta de seguridad

Después de investigar una alerta de seguridad, puede responder a la alerta desde Microsoft Defender for Cloud.

Para responder a una alerta de seguridad:

  1. Abra la pestaña Tomar medidas para ver las respuestas recomendadas.

    Captura de pantalla de la pestaña Acción de las alertas de seguridad.

  2. Consulte la sección Mitigación de la amenaza para ver los pasos de investigación manual necesarios para mitigar el problema.

  3. Para proteger los recursos y evitar futuros ataques de este tipo, lleve a cabo las recomendaciones de seguridad que se indican en la sección Prevención ante futuros ataques.

  4. Para desencadenar una aplicación lógica con pasos de respuesta automatizados, use la sección Desencadenamiento de respuesta automatizada y seleccione Desencadenar la aplicación lógica.

  5. Si la actividad detectada no es malintencionada, puede suprimir alertas futuras de este tipo mediante la sección Suprimir alertas similares si selecciona Crear regla de supresión.

  6. Seleccione Configurar las opciones de notificación por correo electrónico para ver quién recibe correos electrónicos relacionados con las alertas de seguridad de esta suscripción. Póngase en contacto con el propietario de la suscripción para configurar las opciones de correo electrónico.

  7. Cuando complete la investigación en la alerta y responda de la manera adecuada, cambie el estado a Descartado.

    Captura de pantalla del menú desplegable Estado de la alerta.

    La alerta se quita de la lista de alertas principales. Puede usar el filtro de la página de la lista de alertas para ver todas las alertas con el estado Descartado.

  8. Le recomendamos que proporcione comentarios sobre la alerta a Microsoft:

    1. Marque la alerta como Útil o No útil.
    2. Seleccione un motivo y agregue un comentario.

    Captura de pantalla de la ventana Proporcionar comentarios a Microsoft que le permite seleccionar la utilidad de una alerta.

    Sugerencia

    Examinamos sus comentarios para mejorar nuestros algoritmos y proporcionar mejores alertas de seguridad.

    Para más información sobre los distintos tipos de alertas, consulte Alertas de seguridad: una guía de referencia.

    Para obtener información general sobre cómo Defender for Cloud genera alertas, consulte How Microsoft Defender for Cloud detects and responds to threats(Cómo Microsoft Defender for Cloud y responde a las amenazas).

    Revisar los resultados del examen sin agente

    Los resultados del examen basado en agente y sin agente aparecen en la página Alertas de seguridad.

    Captura de pantalla de la página de alertas de seguridad que muestra los resultados de los exámenes con y sin agente.

    Nota:

    La corrección de una de estas alertas no corregirá la otra alerta hasta que se complete el siguiente examen.