Respuesta al primer incidente en Microsoft Defender XDR
Se aplica a:
- Microsoft Defender XDR
En esta guía se enumeran los recursos de Microsoft para que los nuevos usuarios Microsoft Defender XDR realicen con confianza tareas de respuesta a incidentes diarias mientras usan el portal. Los resultados previstos del uso de esta guía son:
- Aprenderá rápidamente a usar Microsoft Defender XDR para responder a incidentes y alertas.
- Descubrirá las características del portal para ayudar a la investigación y corrección de incidentes a través de los vídeos y tutoriales.
Microsoft Defender XDR permite ver eventos de amenazas relevantes en todos los recursos (dispositivos, identidades, buzones, aplicaciones en la nube, etc.). El portal consolida las señales del conjunto de protección de Defender, Microsoft Sentinel y otras soluciones integradas de administración de eventos e información de seguridad (SIEM). La información de ataque correlacionada con el contexto completo en un único panel de cristal le permite defender y proteger correctamente su organización.
Esta guía tiene tres secciones principales:
- Descripción de los incidentes: acceso, evaluación y administración de incidentes en el portal
- Análisis de ataques: una colección de vídeos y tutoriales sobre cómo investigar ataques específicos mediante las características del portal.
- Corrección de ataques: enumera las acciones automatizadas y manuales que están disponibles en el portal para corregir las amenazas. Esta sección incluye vínculos a vídeos y tutoriales.
Descripción de los incidentes
Un incidente es una cadena de procesos creados, comandos y acciones que podrían no haber coincidido. Un incidente proporciona una imagen holística y un contexto de actividad sospechosa o malintencionada. Un único incidente proporciona el contexto completo de un ataque en lugar de evaluar cientos de alertas de varios servicios.
Sugerencia
Durante un tiempo limitado durante enero de 2024, cuando visita la página Incidentes , aparece Defender Boxed. Defender Boxed resalta los éxitos de seguridad, las mejoras y las acciones de respuesta de su organización durante 2023. Para volver a abrir Defender Boxed, en el portal de Microsoft Defender, vaya a Incidentes y, a continuación, seleccione Su defender boxed.
Microsoft Defender XDR tiene muchas características que puede usar para responder a un incidente. Puede navegar por los incidentes seleccionando Ver todos los incidentes en la tarjeta Incidentes activos en la página Inicio o a través de Incidentes & alertas en el panel de navegación izquierdo.
figura 1. Tarjeta de incidentes activos en la página principal de Microsoft Defender XDR
Cada incidente contiene alertas correlacionadas automáticamente de diferentes orígenes de detección y pueden implicar varios puntos de conexión, identidades o aplicaciones en la nube.
Evaluación de incidentes
La priorización de incidentes varía según el respondedor, el equipo de seguridad y la organización. Los planes de respuesta a incidentes y la dirección de los equipos de seguridad pueden exigir la prioridad de incidentes.
Microsoft Defender XDR tiene varios indicadores, como la gravedad de los incidentes, los tipos de usuarios o los tipos de amenazas para evaluar y priorizar los incidentes. Puede usar cualquier combinación de estos indicadores fácilmente disponible a través de los filtros de cola de incidentes .
Un ejemplo de determinación de la prioridad de incidentes es combinar los siguientes factores para un incidente:
- El incidente tiene una gravedad alta.
- Error en el estado de la investigación de automatización.
- Hay 5 recursos afectados donde dos de los recursos se etiquetan con confidencialidad de datos altamente confidencial.
- El estado del incidente es nuevo.
- El incidente no se asigna a ningún miembro del equipo para su investigación.
Puede asignar una prioridad alta al incidente mediante la información anterior. Puede comenzar la investigación de incidentes una vez que se determine una prioridad.
Nota:
Microsoft Defender XDR determina automáticamente filtros como la gravedad, los estados de investigación, los recursos afectados y los estados de incidentes. La información se basa en las actividades de red de la organización contextualizadas con fuentes de inteligencia sobre amenazas y las acciones de corrección automatizadas aplicadas.
Administrar incidentes
Puede contribuir a la eficacia de la administración de incidentes proporcionando información esencial sobre incidentes y alertas. Al agregar información a los filtros siguientes desde el momento en que se evalúan y analizan cada incidente, se proporciona un contexto adicional a ese incidente del que otros respondedores pueden aprovechar:
- Clasificación de incidentes y alertas
- Nomenclatura de incidentes
- Adición de etiquetas
- Proporcionar comentarios
Obtenga información sobre cómo clasificar incidentes y alertas a través de este vídeo:
Pasos siguientes
- Análisis del primer incidente
- Corregir el primer incidente
- Vea demostraciones y los nuevos desarrollos del portal en acción en el Microsoft Defender XDR Entrenamiento de Virtual Ninja
Consulte también
- Integración de Microsoft Defender XDR en las operaciones de seguridad
- Respuesta a ataques comunes mediante cuadernos de estrategias de respuesta a incidentes
- Obtenga información sobre las características y funciones del portal a través del entrenamiento Microsoft Defender XDR Ninja.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.