Compartir a través de

Evaluar las prioridades de los incidentes de Microsoft Sentinel en Azure Portal, navegar por ellos y administrarlos

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal

En este artículo se describe cómo ejecutar la evaluación básica de prioridades de los incidentes en Azure Portal y cómo navegar por ellos.

Requisitos previos

  • La asignación del rol Respondedor de Microsoft Sentinel es necesaria para poder investigar incidentes.

    Obtenga más información sobre los roles en Microsoft Sentinel.

  • Si tiene un usuario invitado que necesita asignar incidentes, al usuario se le debe asignar el rol Lector de directorio en el inquilino de Microsoft Entra. Los usuarios normales (no invitados) tienen asignado este rol de forma predeterminada.

  1. En el menú de navegación de Microsoft Sentinel, en Administración de amenazas, seleccione Incidentes.

    La página Incidentes proporciona información básica sobre todos los incidentes abiertos. Por ejemplo:

    Captura de pantalla de la vista de la gravedad de los incidentes.

    • En la parte superior de la pantalla, tiene una barra de herramientas con acciones que puede realizar fuera de un incidente específico, ya sea en la cuadrícula como un todo o en varios incidentes seleccionados. También tiene el número de incidentes abiertos, ya sean nuevos o activos, y el número de incidentes abiertos por gravedad.

    • En el panel central, está la cuadrícula de incidentes, que es una lista de incidentes filtrada por los controles de filtrado situados en la parte superior de la lista, donde también hay una barra de búsqueda para buscar incidentes específicos.

    • En el lateral, hay un panel de detalles que muestra información importante sobre el incidente resaltado en la lista central, junto con botones para realizar determinadas acciones con respecto a ese incidente.

  2. Es posible que el equipo de operaciones de seguridad haya implementado reglas de automatización para realizar una evaluación de prioridades básica de los incidentes nuevos y asignarlos al personal adecuado.

    En ese caso, filtre la lista de incidentes por Propietario para limitar la lista a los incidentes asignados a usted o a su equipo. Este conjunto filtrado representa su carga de trabajo personal.

    De forma alternativa, puede realizar la evaluación básica usted mismo. Puede empezar filtrando la lista de incidentes por los criterios de filtrado disponibles, como el estado, la gravedad o el nombre del producto. Para obtener más información, consulte Búsqueda de incidentes.

  3. Puede evaluar las prioridades de un incidente específico y realizar algunas acciones inmediatamente, directamente desde el panel de detalles de la página Incidentes, sin tener que acceder a la página de detalles completos del incidente. Por ejemplo:

    • Investigue incidentes de Microsoft XDR Defender en Microsoft Defender XDR: vaya a Investigar en Microsoft Defender XDR para ver el incidente paralelo en el portal de Defender. Los cambios realizados en el incidente en Microsoft Defender XDR se sincronizarán con el mismo incidente en Microsoft Sentinel.

    • Abra la lista de tareas asignadas: los incidentes que tienen tareas asignadas muestran un recuento de tareas completadas y totales y un vínculo Ver detalles completos. Siga el vínculo para abrir la página Tareas del incidente y ver la lista de tareas para ese incidente.

    • Asigne la propiedad del incidente a un usuario o un grupo seleccionándolo en la lista desplegable Propietario.

      Captura de pantalla de la asignación del incidente al usuario.

      Los usuarios y grupos seleccionados recientemente aparecen en la parte superior de la lista desplegable que se muestra.

    • Actualice el estado del incidente (por ejemplo, de Nuevo a Activo o Cerrado) seleccionando una opción en la lista desplegable Estado. Al cerrar un incidente, se le pedirá que especifique un motivo. Para más información, consulte Cerrar un incidente.

    • Cambie la gravedad del incidente seleccionando una opción en la lista desplegable Gravedad.

    • Agregue etiquetas para clasificar los incidentes. Es posible que tenga que desplazarse hasta la parte inferior del panel de detalles para ver dónde se pueden agregar etiquetas.

    • Agregue comentarios para registrar sus acciones, ideas, preguntas, etc. Es posible que tenga que desplazarse hasta la parte inferior del panel de detalles para ver dónde se pueden agregar comentarios.

  4. Si la información del panel de detalles es suficiente para solicitar más acciones de corrección o mitigación, seleccione el botón Acciones en la parte inferior para realizar una de las siguientes acciones:

    Acción Descripción
    Investigar Use la herramienta de investigación gráfica para descubrir relaciones entre alertas, entidades y actividades, tanto dentro de este incidente como en otros incidentes.
    Ejecutar cuaderno de estrategias Ejecute un cuaderno de estrategias en este incidente para realizar acciones de enriquecimiento, colaboración o respuesta específicas que los ingenieros de SOC pueden haber proporcionado.
    Crear reglas de automatización Cree una regla de automatización que solo se ejecute en incidentes como este (generados por la misma regla de análisis) en el futuro, con el fin de reducir la carga de trabajo futura o para tener en cuenta un cambio temporal en los requisitos (por ejemplo, para una prueba de penetración).
    Crear equipo (versión preliminar) Cree un equipo en Microsoft Teams para colaborar con otras personas o equipos de diferentes departamentos en la gestión del incidente.

    Por ejemplo:

    Captura de pantalla del menú de acciones que se pueden realizar en un incidente desde el panel de detalles.

  5. Si se necesita más información sobre el incidente, seleccione Ver detalles completos en el panel de detalles para abrir y ver todos los detalles del incidente, incluidas las alertas y las entidades del incidente, una lista de incidentes similares y algunas conclusiones principales.

Búsqueda de incidentes

Para buscar rápidamente un incidente concreto, escriba una cadena de búsqueda en el cuadro de búsqueda situado encima de la cuadrícula de incidentes y presione Entrar para modificar la lista de incidentes que se muestra en consecuencia. Si el incidente no se incluye en los resultados, es posible que desee restringir la búsqueda mediante las opciones de Búsqueda avanzada.

Para modificar los parámetros de búsqueda, seleccione el botón Buscar y, después, seleccione los parámetros donde desea ejecutar la búsqueda.

Por ejemplo:

Captura de pantalla del cuadro de búsqueda de incidentes y el botón para seleccionar opciones de búsqueda básicas o avanzadas.

De forma predeterminada, las búsquedas de incidentes se ejecutan solo en los valores de Identificador de incidente, Título, Etiquetas, Propietario y Nombre de producto. En el panel de búsqueda, desplácese hacia abajo en la lista para seleccionar uno o varios otros parámetros para buscar y seleccione Aplicar para actualizar los parámetros de búsqueda. Seleccione Establecer como predeterminado para restablecer los parámetros seleccionados a la opción predeterminada.

Nota

Las búsquedas en el campo Propietario admiten nombres y direcciones de correo electrónico.

El uso de opciones de búsqueda avanzada cambia el comportamiento de búsqueda como se indica a continuación:

Comportamiento de búsqueda Descripción
Color del botón Buscar El color del botón de búsqueda cambia en función de los tipos de parámetros que se usen en la búsqueda.
  • Si solo están seleccionados los parámetros predeterminados, el botón será gris.
  • Si hay distintos parámetros seleccionados, como los parámetros de búsqueda avanzada, el botón se vuelve azul.
Actualización automática El uso de parámetros de búsqueda avanzada impide seleccionar que los resultados se actualicen automáticamente.
Parámetros de la entidad Todos los parámetros de la entidad se admiten para búsquedas avanzadas. Al buscar en cualquier parámetro de la entidad, la búsqueda se ejecuta en todos los parámetros de la entidad.
Búsqueda en las cadenas La búsqueda de una cadena de palabras incluye todas las palabras de la consulta de búsqueda. Las cadenas de búsqueda distinguen mayúsculas de minúsculas.
Compatibilidad entre áreas de trabajo Las búsquedas avanzadas no son compatibles con las vistas entre áreas de trabajo.
Número de resultados de búsqueda que se muestran Cuando se usan parámetros de búsqueda avanzados, no se muestran más de 50 resultados a la vez.

Sugerencia

Si no puede encontrar el incidente que busca, quite los parámetros de búsqueda para expandir la búsqueda. Si la búsqueda genera demasiados elementos, agregue más filtros para restringir los resultados.

Cerrar un incidente

Una vez que resuelva un incidente determinado (por ejemplo, cuando la investigación llegue a su conclusión), establezca el estado del incidente en Cerrado. Al hacerlo, a los efectos de clasificar el incidente, se le pedirá que indique el motivo por el que lo cierra. Este paso es obligatorio.

Seleccione Seleccionar clasificación y elija una de las siguientes opciones de la lista desplegable:

  • Verdadero positivo: actividad sospechosa
  • Positivo inofensivo: sospechoso, pero esperado
  • Falso positivo: lógica de alerta incorrecta
  • Falso positivo: datos incorrectos
  • Indeterminada

Captura de pantalla que destaca las clasificaciones disponibles en la lista Seleccionar clasificación.

Para más información sobre los falsos positivos y los positivos inofensivos, consulte Control de falsos positivos en Microsoft Sentinel.

Después de elegir la clasificación adecuada, agregue texto descriptivo en el campo Comentario. Esto es útil en el caso de que tenga que volver a consultar este incidente. Seleccione Aplicar cuando haya terminado y el incidente esté cerrado.

Recorte de pantalla del cierre de un incidente.

Paso siguiente

Para más información, consulte Investigación de incidentes de Microsoft Sentinel en profundidad en Azure Portal.