Compartir por


Visualización y administración de incidentes en Microsoft Defender para Empresas

A medida que se detectan amenazas y se generan alertas, se crean incidentes. El equipo de seguridad de la empresa puede ver y administrar incidentes en el portal de Microsoft Defender. Debe tener asignados los permisos adecuados para realizar las tareas de este artículo. Consulte Roles y permisos de seguridad en Microsoft Defender para Empresas.

En este artículo se incluyen:

Supervisión de los incidentes & alertas

  1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, vaya a Incidentes & alertas y, a continuación, seleccione Incidentes. Los incidentes que se crearon aparecen en la página.

    Importante

    Si ve un incidente etiquetado con Attack disruption, significa que se ha detectado un ataque avanzado. Consulte Interrupción automática de ataques.

  2. Seleccione una alerta para abrir su panel flotante, donde puede obtener más información sobre la alerta.

    Captura de pantalla del incidente seleccionado con el control flotante abierto

  3. En el panel flotante, puede ver el título de la alerta, ver una lista de recursos (como dispositivos o cuentas de usuario) que se vieron afectados, realizar acciones disponibles y usar vínculos para ver más información e incluso abrir la página de detalles de la alerta seleccionada.

Sugerencia

Defender for Business está diseñado para ayudarle a abordar las amenazas detectadas mediante la recomendación de acciones que puede realizar. Cuando vea una alerta, busque estas sugerencias. Observe también la gravedad de la alerta, que se determina no solo en función de la gravedad de amenaza detectada, sino también del nivel de riesgo para su empresa.

Gravedad de la alerta

Cuando se detecta una amenaza, se asigna un nivel de gravedad a cada alerta que se genera.

  • Microsoft Defender Antivirus asigna una gravedad de alerta basada en la gravedad absoluta de una amenaza detectada (como malware) y el riesgo potencial para un dispositivo individual (si está infectado).
  • Defender for Business asigna una gravedad de alerta en función de la gravedad del comportamiento detectado, el riesgo real para un dispositivo y, lo que es más importante, el riesgo potencial para su empresa.

En la tabla siguiente se enumeran algunos ejemplos de alertas y sus niveles de gravedad:

Escenario Gravedad y motivo de la alerta
La interrupción automatizada de ataques detecta un ataque avanzado y contiene dispositivos o cuentas de usuario para ayudar a evitar que el ataque continúe. Alto. Las funcionalidades de interrupción de ataques ayudan a contener un ataque para que el equipo de TI y seguridad pueda solucionarlo.
Microsoft Defender Antivirus detecta y detiene una amenaza antes de que se produzcan daños. Informativo. La amenaza se detuvo antes de que se realizara cualquier daño.
Microsoft Defender Antivirus detecta el malware que se estaba ejecutando en su empresa. El malware se detiene y se corrige. Bajo. Aunque es posible que se haya hecho algún daño a un dispositivo individual, el malware ahora no supone ninguna amenaza para su empresa.
Defender for Business detecta el malware que se está ejecutando. El malware se bloquea casi inmediatamente. Medio o Alto. El malware supone una amenaza para dispositivos individuales y para su empresa.
Se detecta un comportamiento sospechoso, pero aún no se realizan acciones correctivas. Bajo, Medio o Alto. La gravedad depende del grado en que el comportamiento supone una amenaza para la empresa.

Pasos siguientes