Investigar incidentes en Microsoft Defender para punto de conexión
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
Investigue los incidentes que afectan a la red, comprenda lo que significan y cotee las pruebas para resolverlos.
Cuando investigue un incidente, verá lo siguiente:
- Detalles del incidente
- Comentarios y acciones de incidentes
- Pestañas (alertas, dispositivos, investigaciones, pruebas, gráficos)
Análisis de los detalles del incidente
Haga clic en un incidente para ver el panel Incidente. Seleccione Abrir página de incidentes para ver los detalles del incidente y la información relacionada (alertas, dispositivos, investigaciones, pruebas, gráficos).
Alertas
Puede investigar las alertas y ver cómo se vincularon en un incidente. Las alertas se agrupan en incidentes por los siguientes motivos:
- Investigación automatizada: la investigación automatizada desencadenó la alerta vinculada mientras investigaba la alerta original.
- Características de archivo: los archivos asociados a la alerta tienen características similares
- Asociación manual: un usuario vinculó manualmente las alertas
- Hora próxima: las alertas se desencadenaron en el mismo dispositivo dentro de un período de tiempo determinado.
- Mismo archivo: los archivos asociados a la alerta son exactamente los mismos
- Misma dirección URL: la dirección URL que desencadenó la alerta es exactamente la misma.
También puede administrar una alerta y ver los metadatos de la alerta junto con otra información. Para obtener más información, vea Investigar alertas.
Dispositivos
También puede investigar los dispositivos que forman parte o están relacionados con un incidente determinado. Para obtener más información, consulte Investigación de dispositivos.
Investigaciones
Seleccione Investigaciones para ver todas las investigaciones automáticas iniciadas por el sistema en respuesta a las alertas de incidentes.
Pasar por las pruebas
Microsoft Defender para punto de conexión investiga automáticamente todos los eventos admitidos por los incidentes y las entidades sospechosas de las alertas, lo que le proporciona autorespuesta e información sobre los archivos, procesos, servicios, etc. importantes.
Cada una de las entidades analizadas se marcará como infectada, corregida o sospechosa.
Visualización de las amenazas de ciberseguridad asociadas
Microsoft Defender para punto de conexión agrega la información de amenazas a un incidente para que pueda ver los patrones y las correlaciones procedentes de varios puntos de datos. Puede ver dicha correlación a través del gráfico de incidentes.
Gráfico de incidentes
Graph cuenta la historia del ataque de ciberseguridad. Por ejemplo, muestra cuál era el punto de entrada, qué indicador de riesgo o actividad se observó en qué dispositivo. etcetera.
Puede hacer clic en los círculos del gráfico de incidentes para ver los detalles de los archivos malintencionados, las detecciones de archivos asociadas, cuántas instancias se han producido en todo el mundo, si se han observado en su organización, si es así, cuántas instancias.
Temas relacionados
- Cola de incidentes
- Investigar incidentes en Microsoft Defender para punto de conexión
- Administración de incidentes Microsoft Defender para punto de conexión
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.