Compartir vía

Detección y respuesta administradas

  • Artículo

Se aplica a:

Para obtener instrucciones de detección y respuesta administradas, consulte este breve vídeo.

A través de una combinación de automatización y experiencia humana, Expertos de Microsoft Defender para XDR evalúa los incidentes de XDR de Microsoft Defender, los prioriza en su nombre, filtra el ruido, lleva a cabo investigaciones detalladas y proporciona una respuesta administrada accionable a los equipos del Centro de operaciones de seguridad (SOC).

Actualizaciones de incidentes

Una vez que nuestros expertos comienzan a investigar un incidente, los campos Asignados a y Estado del incidente se actualizan a Expertos de Defender y En curso, respectivamente.

Cuando nuestros expertos concluyen su investigación sobre un incidente, el campo clasificación del incidente se actualiza a uno de los siguientes, según los resultados de los expertos:

  • Verdadero positivo
  • Falso positivo
  • Actividad informativa y esperada

El campo Determinación correspondiente a cada clasificación también se actualiza para proporcionar más información sobre los resultados que llevaron a nuestros expertos a determinar dicha clasificación.

Captura de pantalla de la página Incidentes que muestra los campos Etiquetas, Estado, Asignado a, Clasificación y Determinación.

Si un incidente se clasifica como Falso positivo o Actividadesperada, el campo Estado del incidente se actualiza a Resuelto. A continuación, nuestros expertos concluyen su trabajo en este incidente y el campo Asignado a se actualiza a Sin asignar. Nuestros expertos podrían compartir las actualizaciones de su investigación y su conclusión al resolver un incidente. Estas actualizaciones se publican en Resumen de investigación en el panel flotante Respuesta administrada del incidente.

De lo contrario, si un incidente se clasifica como Verdadero positivo, nuestros expertos identificarán las acciones de respuesta necesarias que deben realizarse. El método en el que se realizan las acciones depende de los permisos y niveles de acceso que haya proporcionado al servicio Expertos de Defender para XDR. Obtenga más información sobre la concesión de permisos a nuestros expertos.

  • Si ha concedido a Los expertos de Defender para XDR los permisos de acceso recomendados para operadores de seguridad, nuestros expertos podrían realizar las acciones de respuesta necesarias en el incidente en su nombre. Estas acciones, junto con un resumen de investigación, se muestran en el panel flotante Respuesta administrada del incidente en el portal de Microsoft Defender para que usted o el equipo de SOC lo revisen. Todas las acciones completadas por expertos de Defender para XDR aparecen en la sección Acciones completadas . Las acciones pendientes que requieran que usted o su equipo de SOC completen se enumeran en la sección Acciones pendientes . Para obtener más información, consulte la sección Acciones . Una vez que nuestros expertos han tomado todas las acciones necesarias sobre el incidente, su campo Estado se actualiza a Resuelto y el campo Asignado a se actualiza al cliente.

  • Si ha concedido a Expertos de Defender para XDR el acceso predeterminado del Lector de seguridad, las acciones de respuesta necesarias, junto con un resumen de investigación, se muestran en el panel flotante Respuesta administrada del incidente en la sección Acciones pendientes del portal de Microsoft Defender para que usted o el equipo de SOC realicen. Para obtener más información, consulte la sección Acciones . Para identificar esta entrega, el campo Estado del incidente se actualiza a Awaiting Customer Action y el campo Asignado a se actualiza al cliente.

Puede comprobar el número de incidentes que requieren su acción en el banner Expertos de Defender en la parte superior de la página principal de Microsoft Defender.

Captura de pantalla de la tarjeta Expertos de Defender en el portal de Microsoft Defender que muestra el número de incidentes que esperan la acción del cliente.

Puede ver los incidentes relacionados con los expertos de Defender filtrando la cola de incidentes en el portal de Microsoft Defender mediante varios conjuntos de filtros. Más información sobre cómo agregar filtros de cola de incidentes

  • Para ver los incidentes que nuestros expertos están investigando actualmente, use el filtro Asignación de incidentes y seleccione Asignado a expertos de Defender.

  • Para ver los incidentes que nuestros expertos han investigado y entregado a su equipo para actuar sobre las acciones de corrección pendientes, mediante el filtro Asignación de incidentes , elija Asignado al equipo del cliente.

    Captura de pantalla de la cola incidentes filtrada para mostrar solo aquellos con la etiqueta Asignado a expertos de Defender.

  • Para ver los incidentes que nuestros expertos han investigado y entregado a su equipo para que actúe sobre las acciones de corrección pendientes, mediante el filtro Estado , elija Awaiting Customer Action (Esperar acción del cliente).

    Captura de pantalla de la cola Incidentes en el portal de Microsoft Defender filtrada para mostrar solo aquellos con la etiqueta Awaiting customer action (Acción del cliente en espera).

  • Para ver los incidentes en los que nuestros expertos han completado su investigación (y se han resuelto o asignado directamente a su equipo para las acciones de corrección pendientes), mediante el filtro Etiquetas , elija Expertos de Defender.

    Captura de pantalla de la cola Incidentes en el portal de Microsoft Defender filtrada para mostrar solo la etiqueta Expertos de Defender.

Uso de la respuesta administrada en XDR de Microsoft Defender

En el portal de Microsoft Defender, un incidente que requiere su atención mediante la respuesta administrada tiene el campo Estado establecido en Awaiting Customer Action (Espera de la acción del cliente), el campo Assigned to (Asignado a ) establecido en Customer (Cliente) y una tarjeta de tarea en la parte superior del panel Incidents (Incidentes ). Los contactos de incidentes designados también reciben una notificación por correo electrónico correspondiente con un vínculo al portal de Defender para ver el incidente. Más información sobre los contactos de notificación. También recibirá una notificación de Teams que le informará sobre las actualizaciones. Más información sobre la configuración de Teams

Seleccione Ver respuesta administrada en la tarjeta de tareas o en la parte superior de la página del portal (pestaña Respuesta administrada ) para abrir un panel flotante donde puede leer el resumen de investigación de nuestros expertos, completar acciones pendientes identificadas por nuestros expertos o interactuar con ellos a través del chat.

Resumen de la investigación

La sección Resumen de investigación le proporciona más contexto sobre el incidente analizado por nuestros expertos para proporcionarle visibilidad sobre su gravedad y su posible impacto si no se aborda inmediatamente. Podría incluir la escala de tiempo del dispositivo, los indicadores de ataque y los indicadores de riesgo (IOC) observados, y otros detalles.

Captura de pantalla del resumen de la investigación de respuesta administrada.

Acciones

La pestaña Acciones muestra tarjetas de tareas que contienen acciones de respuesta recomendadas por nuestros expertos.

Expertos de Defender para XDR admite actualmente las siguientes acciones de respuesta administrada con un solo clic:

Action Descripción
Aislar el dispositivo Aísla un dispositivo, lo que ayuda a evitar que un atacante lo controle y realice otras actividades, como la filtración de datos y el movimiento lateral. El dispositivo aislado seguirá conectado a Microsoft Defender para punto de conexión.
Poner archivo en cuarentena Detiene los procesos en ejecución, pone en cuarentena los archivos y elimina datos persistentes, como las claves del Registro.
Restringir ejecución de aplicación Restringe la ejecución de programas potencialmente malintencionados y bloquea el dispositivo para evitar intentos adicionales.
Liberación del aislamiento Deshace el aislamiento de un dispositivo.
Quitar restricción de aplicación Deshace la liberación del aislamiento.
Deshabilitar usuario Deshabilite el acceso de una identidad a la red y a distintos puntos de conexión.

Además de estas acciones de un solo clic, también puede recibir respuestas administradas de nuestros expertos que debe realizar manualmente.

Nota:

Antes de realizar cualquiera de las acciones de respuesta administrada recomendadas, asegúrese de que las configuraciones de investigación y respuesta automatizadas no las estén solucionando. Obtenga más información sobre las funcionalidades automatizadas de investigación y respuesta en XDR de Microsoft Defender.

Para ver y realizar las acciones de respuesta administrada:

  1. Seleccione los botones de flecha de una tarjeta de acción para expandirla y lea más información sobre la acción necesaria.

    Captura de pantalla de la acción de respuesta administrada para aislar el servidor de producción de dispositivos.

  2. En el caso de las tarjetas con acciones de respuesta de un solo clic, seleccione la acción necesaria. El estado Acción de la tarjeta cambia a En curso y, a continuación, a Error o Completado, según el resultado de la acción.

    Captura de pantalla de la acción de respuesta administrada que muestra en curso para aislar el servidor de producción de dispositivos.

Sugerencia

También puede supervisar el estado de las acciones de respuesta en el portal en el Centro de acciones. Si se produce un error en una acción de respuesta, intente hacerlo de nuevo desde la página Ver detalles del dispositivo o inicie un chat con expertos de Defender.

  1. Para las tarjetas con las acciones necesarias que necesita realizar manualmente, seleccione He completado esta acción una vez que las haya realizado y, a continuación , seleccione Sí, lo he hecho en el cuadro de diálogo de confirmación que aparece.

    Captura de pantalla de la acción de respuesta administrada para confirmar la finalización de la acción.

  2. Si no desea completar una acción necesaria inmediatamente, seleccione Omitir y, a continuación , seleccione Sí, omita esta acción en el cuadro de diálogo de confirmación que aparece.

Importante

Si observa que cualquiera de los botones de las tarjetas de acción está atenuado, podría indicar que no tiene los permisos necesarios para realizar la acción. Asegúrese de que ha iniciado sesión en el portal de XDR de Microsoft Defender con los permisos adecuados. La mayoría de las acciones de respuesta administradas requieren que tenga al menos el acceso del operador de seguridad. Si sigue teniendo este problema incluso con los permisos adecuados, vaya a Ver detalles del dispositivo y complete los pasos desde allí.

Obtener visibilidad de las investigaciones de expertos de Defender en la aplicación SIEM o ITSM

A medida que expertos de Defender para XDR investigan incidentes y crean acciones de corrección, puede tener visibilidad de su trabajo sobre los incidentes en las aplicaciones de administración de eventos e información de seguridad (SIEM) y administración de servicios de TI (ITSM), incluidas las aplicaciones que están disponibles de forma inmediata.

Microsoft Sentinel

Para obtener visibilidad de incidentes en Microsoft Sentinel, active su conector de datos XDR de Microsoft Defender de fábrica. Más información.

Una vez que haya activado el conector, las actualizaciones de los expertos de Defender en los campos Estado, Asignado a, Clasificación y Determinación en XDR de Microsoft Defender se mostrarán en los campos Estado, Propietario y Motivo correspondientes para cerrar campos en Sentinel.

Nota:

El estado de los incidentes investigados por expertos de Defender en XDR de Microsoft Defender suele pasar de Activo a En curso a Espera de acción del cliente a Resuelto, mientras que en Sentinel, sigue la ruta de acceso Nuevo a Activo a Resuelto . El estado XDR de Microsoft Defender que espera la acción del cliente no tiene un campo equivalente en Sentinel; en su lugar, se muestra como una etiqueta en un incidente en Sentinel.

En la sección siguiente se describe cómo se actualiza un incidente controlado por nuestros expertos en Sentinel a medida que avanza en el recorrido de investigación:

  1. Un incidente que están investigando nuestros expertos tiene el estadoactivo y el propietario como expertos de Defender.

  2. Un incidente que nuestros expertos han confirmado como verdadero positivo tiene una respuesta administrada publicada en XDR de Microsoft Defender y una etiquetaque espera la acción del cliente y el propietario aparece como Cliente. Debe actuar en función del incidente en función del uso de la respuesta administrada proporcionada en el portal de Defender.

  3. Un incidente que nuestros expertos han confirmado como verdadero positivo, con todas las acciones de corrección realizadas por expertos de Defender, tiene el estado del incidente actualizado a Resuelto y el propietario aparece como Cliente. Puede revisar las acciones completadas en el incidente mediante la respuesta administrada proporcionada en el portal de Defender.

  4. Una vez que nuestros expertos han concluido su investigación y cerrado un incidente como Falso positivo o Actividad informativa esperada, el estado del incidente se actualiza a Resuelto, el propietario se actualiza a Sin asignar y se proporciona una razón para el cierre.

    Captura de pantalla de los incidentes de Microsoft Sentinel.

Otras aplicaciones

Puede obtener visibilidad de los incidentes en la aplicación SIEM o ITSM mediante la API XDR de Microsoft Defender o los conectores de Sentinel.

Después de configurar un conector, las actualizaciones de los expertos de Defender para los campos Status, Assigned to, Classification y Determination de Microsoft Defender XDR se pueden sincronizar con las aplicaciones SIEM o ITSM de terceros, en función de cómo se haya implementado la asignación de campos. Para ilustrar, puede echar un vistazo al conector disponible desde Sentinel a ServiceNow.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.