Compartir a través de


Alertas e incidentes en Microsoft Defender XDR

Microsoft Defender for Cloud ahora está integrado con XDR de Microsoft Defender. Esta integración permite a los equipos de seguridad acceder a las alertas e incidentes de Defender for Cloud desde el portal de Microsoft Defender. Esta integración proporciona un contexto más completo para las investigaciones que abarcan recursos en la nube, dispositivos e identidades.

La asociación con Microsoft Defender XDR permite a los equipos de seguridad obtener la imagen completa de un ataque, incluidos los eventos sospechosos y maliciosos que se producen en su entorno de nube. Los equipos de seguridad pueden lograr este objetivo mediante correlaciones inmediatas de alertas e incidentes.

Microsoft Defender XDR ofrece una solución integral que combina funciones de protección, detección, investigación y respuesta. La solución protege contra ataques a dispositivos, correo electrónico, colaboración, identidad y aplicaciones en la nube. Nuestras funcionalidades de detección e investigación ahora se extienden a las entidades en la nube, ofreciendo a los equipos de operaciones de seguridad de panel único para mejorar significativamente su eficiencia operativa.

Los incidentes y las alertas forman ahora parte de la API pública de Microsoft Defender XDR. Esta integración permite exportar datos de alertas de seguridad a cualquier sistema mediante una sola API. Como Microsoft Defender for Cloud, nos comprometemos a proporcionar a nuestros usuarios las mejores soluciones de seguridad, y esta integración es un paso importante para lograr ese objetivo.

Experiencia en investigación en Microsoft Defender XDR

La siguiente tabla describe la experiencia de detección e investigación en Microsoft Defender XDR con alertas de Defender for Cloud.

Área Descripción
Incidentes Todos los incidentes de Defender for Cloud se integran en Microsoft Defender XDR.
- Se admite la búsqueda de recursos en la nube en la cola de incidentes.
- El grafo historia de ataque muestra el recurso en la nube.
- La pestaña recursos en una página de incidentes muestra el recurso en la nube.
- Cada máquina virtual tiene su propia página de entidad que contiene todas las alertas y actividades relacionadas.

No hay duplicaciones de incidentes de otras cargas de trabajo de Defender.
Alertas Todas las alertas de Defender for Cloud, incluidas las alertas multinube, de proveedores internos y externos, se integran en Microsoft Defender XDR. Las alertas de Defenders for Cloud se muestran en la cola de alertas de Microsoft Defender XDR.
Microsoft Defender XDR
El recurso cloud resource se muestra en la pestaña Recurso de una alerta. Los recursos se identifican claramente como un recurso de Azure, Amazon o Google Cloud.

Las alertas de Defender for Cloud se asocian automáticamente a un inquilino.

No hay duplicaciones de alertas de otras cargas de trabajo de Defender.
Correlación de alertas e incidentes Las alertas y los incidentes se correlacionan automáticamente, lo que proporciona un contexto sólido a los equipos de operaciones de seguridad para comprender todo el caso de ataque en su entorno de nube.
Detección de amenazas Coincidencia precisa de entidades virtuales con entidades de dispositivo para garantizar la precisión y la detección eficaz de amenazas.
Unified API Las alertas e incidentes de Defender for Cloud se incluyen ahora en la API pública de Microsoft Defender XDR, lo que permite a los clientes exportar sus datos de alertas de seguridad a otros sistemas utilizando una API.

Más información sobre el control de alertas en Microsoft Defender XDR.

Búsqueda avanzada en XDR

Las funcionalidades de búsqueda avanzada de XDR de Microsoft Defender se amplían para incluir alertas e incidentes de Defender for Cloud. Esta integración permite a los equipos de seguridad buscar en todos sus recursos, dispositivos e identidades en la nube en una sola consulta.

La experiencia de búsqueda avanzada en XDR de Microsoft Defender está diseñada para proporcionar a los equipos de seguridad la flexibilidad necesaria para la creación de consultas personalizadas para buscar amenazas en su entorno. La integración con alertas e incidentes de Defender for Cloud permite a los equipos de seguridad buscar amenazas en sus recursos, dispositivos e identidades en la nube.

La tabla CloudAuditEvents en la búsqueda avanzada de amenazas le permite investigar y buscar eventos de plano de control, y crear detecciones personalizadas para exponer actividades sospechosas del plano de control de Azure Resource Manager y Kubernetes (KubeAudit).  

La tabla CloudProcessEvents en la búsqueda avanzada de amenazas le permite evaluar, investigar y crear detecciones personalizadas para actividades sospechosas que se invocan en la infraestructura de nube con información que incluye detalles sobre los detalles del proceso.   

Clientes de Microsoft Sentinel

Si es un cliente de Microsoft Sentinel que se ha incorporado a Plataforma unificada de operaciones de seguridad (SecOps) de Microsoft, las alertas de Defender for Cloud ya se ingieren directamente en XDR de Defender. Para beneficiarse del contenido de seguridad integrado, asegúrese de instalar la solución Microsoft Defender for Cloud desde el Centro de contenido de Microsoft Sentinel.

Los clientes de Microsoft Sentinel que no usan la plataforma unificada de SecOps de Microsoft también pueden beneficiarse de la integración de Defender for Cloud con Microsoft 365 Defender en sus áreas de trabajo mediante el conector de incidentes y alertas de Microsoft 365 Defender.

En primer lugar, debe habilitar la integración de incidentes en el conector de Microsoft 365 Defender.

A continuación, habilite el conector de datos de Microsoft Defender for Cloud basado en inquilinos de (versión preliminar) para sincronizar las suscripciones con los incidentes de Defender for Cloud basados en inquilinos para transmitirlos a través del conector de incidentes de Microsoft 365 Defender.

El conector de datos de Microsoft Defender for Cloud (versión preliminar) basado en inquilinos está disponible a través de la solución Microsoft Defender for Cloud, versión 3.0.0, desde el Centro de contenido de Microsoft Sentinel. Si tiene una versión anterior de esta solución, se recomienda actualizar la versión de la solución. Si sigue teniendo habilitada el conector de datos de Microsoft Defender for Cloud (heredado) basado en suscripciones, se recomienda desconectar el conector para evitar la duplicación de alertas en los registros.

También se recomienda deshabilitar las reglas de análisis que creen incidentes a partir de las alertas de Microsoft Defender for Cloud directamente. Use reglas de automatización de Microsoft Sentinel para cerrar incidentes inmediatamente y evitar que determinados tipos de alertas de Defender for Cloud se conviertan en incidentes o usen las funcionalidades de ajuste integradas en el portal de Microsoft Defender para evitar que las alertas se conviertan en incidentes.

Si ha integrado los incidentes de Microsoft 365 Defender en Microsoft Sentinel y desea mantener la configuración basada en suscripción y evitar la sincronización basada en inquilinos puede optar por no recibir la sincronización de incidentes y alertas mediante el conector de Microsoft 365 Defender.

Para más información, vea:

Alertas de seguridad: una guía de referencia