Compartir a través de

Administración de incidentes en Microsoft Defender

  • Artículo
  • Se aplica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La administración de incidentes es fundamental para asegurarse de que los incidentes se denominan, asignan y etiquetan para optimizar el tiempo en el flujo de trabajo de incidentes y contener y abordar amenazas más rápidamente.

Puede administrar incidentes desde Incidentes & alertas > Incidentes en el inicio rápido del portal de Microsoft Defender (security.microsoft.com). Por ejemplo:

Captura de pantalla que resalta la opción administrar incidentes dentro de la cola de incidentes y el panel de inicio rápido en el portal de Microsoft Defender.

Estas son las maneras de administrar los incidentes:

Puede administrar incidentes desde el panel Administrar incidentes para un incidente. Por ejemplo:

Captura de pantalla que muestra el panel Administrar incidente en el portal de Microsoft Defender.

Puede mostrar este panel desde el vínculo Administrar incidente en:

  • Página del artículo de alertas .
  • Panel Propiedades de un incidente en la cola de incidentes.
  • Página resumen de un incidente.
  • Opción Administrar incidente ubicada en la parte superior derecha de la página Incidente.

En los casos en los que quiera mover alertas de un incidente a otro, también puede hacerlo desde la pestaña Alertas , creando así un incidente mayor o menor que incluya todas las alertas pertinentes.

Editar el nombre del incidente

Microsoft Defender asigna automáticamente un nombre en función de los atributos de alerta, como el número de puntos de conexión afectados, los usuarios afectados, los orígenes de detección o las categorías. El nombre del incidente le permite comprender rápidamente el ámbito del incidente. Por ejemplo: incidente de varias fases en varios puntos de conexión notificados por varios orígenes.

Puede editar el nombre del incidente desde el campo Nombre de incidente en el panel Administrar incidente .

Nota:

Los incidentes que existían antes del lanzamiento de la característica de nomenclatura automática de incidentes conservarán su nombre.

Asignar o cambiar la gravedad del incidente

Puede asignar o cambiar la gravedad de un incidente desde el campo Gravedad del panel Administrar incidente . La gravedad de un incidente viene determinada por la gravedad más alta de las alertas asociadas a él. La gravedad de un incidente se puede establecer en alta, media, baja o informativa.

Agregar etiquetas de incidente

Puede agregar etiquetas personalizadas a un incidente, por ejemplo, para marcar un grupo de incidencias con características comunes. Posteriormente, puede filtrar la cola de incidentes para todos los incidentes que contengan una etiqueta específica.

La opción para seleccionar de una lista de etiquetas usadas anteriormente y seleccionadas aparece después de empezar a escribir.

Un incidente puede tener etiquetas del sistema o etiquetas personalizadas con ciertos fondos de color. Las etiquetas personalizadas usan el fondo blanco, mientras que las etiquetas del sistema suelen usar colores de fondo rojo o negro. Las etiquetas del sistema identifican lo siguiente en un incidente:

  • Un tipo de ataque, como suplantación de identidad de credenciales o fraude de BEC
  • Acciones automáticas, como la investigación y respuesta automáticas y la interrupción automática de ataques
  • Expertos de Defender que controlan un incidente
  • Activos críticos implicados en el incidente

Sugerencia

La Administración de exposición de seguridad de Microsoft, basada en clasificaciones predefinidas, etiqueta automáticamente dispositivos, identidades y recursos en la nube como un recurso crítico. Esta funcionalidad integrada garantiza la protección de los recursos más importantes y valiosos de una organización. También ayuda a los equipos de operaciones de seguridad a priorizar la investigación y la corrección. Obtenga más información sobre la administración de recursos críticos.

Asignación de un incidente

Puede seleccionar el cuadro Asignar a y especificar la cuenta de usuario para asignar un incidente. Para reasignar un incidente, quite la cuenta de asignación actual seleccionando la "x" junto al nombre de la cuenta y, a continuación, seleccione el cuadro Asignar a . Al asignar la propiedad de un incidente, se asigna la misma propiedad a todas las alertas asociadas a él.

Para obtener una lista de incidentes asignados, filtre la cola de incidentes.

  1. En la cola de incidentes, seleccione Filtros.
  2. En la sección Asignación de incidentes , desactive Seleccionar todo. Seleccione Asignado a mí, Asignado a otro usuario o Asignado a un grupo de usuarios.
  3. Seleccione Aplicar y, a continuación, cierre el panel Filtros .

A continuación, puede guardar la dirección URL resultante en el explorador como marcador para ver rápidamente la lista de incidentes que se le han asignado.

Resolución de un incidente

Cuando se corrija y resuelva un incidente, seleccione Resuelto en la lista desplegable Estado . La resolución de un incidente también resuelve todas las alertas vinculadas y activas relacionadas con el incidente.

Al cambiar el estado de un incidente a Resuelto, se muestra un nuevo campo inmediatamente después del campo Estado . Escriba una nota en este campo que explique por qué considera el incidente resuelto. Esta nota está visible en el registro de actividad del incidente, cerca de la entrada que registra la resolución del incidente.

Captura de pantalla del panel de administración de incidentes con la nota de resolución de incidentes.

Tanto en la página de cola de incidentes como en la página de incidentes de un incidente resuelto, puede ver la nota de resolución de incidentes en el panel lateral, en la sección Detalles del incidente .

Captura de pantalla de la apariencia de la nota de resolución en el panel de detalles del incidente.

La resolución de un incidente también resuelve todas las alertas vinculadas y activas relacionadas con el incidente. Un incidente que no se resuelve se muestra como Activo.

Especificar la clasificación

En el campo Clasificación , especifique si el incidente es:

  • No establecido (valor predeterminado).
  • Verdadero positivo con un tipo de amenaza. Use esta clasificación para incidentes que indiquen con precisión una amenaza real. La especificación del tipo de amenaza ayuda a su equipo de seguridad a ver los patrones de amenaza y a actuar para defender a su organización de ellos.
  • Actividad informativa y esperada con un tipo de actividad. Use las opciones de esta categoría para clasificar los incidentes de las pruebas de seguridad, la actividad del equipo rojo y el comportamiento inusual esperado de aplicaciones y usuarios de confianza.
  • Los falsos positivos para los tipos de incidentes que determine se pueden omitir porque son técnicamente inexactos o engañosos.

La clasificación de incidentes y la especificación de su estado y tipo ayuda a ajustar Microsoft Defender XDR para proporcionar una mejor determinación de la detección a lo largo del tiempo.

Agregar comentarios

Puede agregar varios comentarios a un incidente con el campo Comentario . El campo de comentario admite texto y formato, vínculos e imágenes. Cada comentario está limitado a 30 000 caracteres.

Todos los comentarios se agregan a los eventos históricos del incidente. Puede ver los comentarios y el historial de un incidente en el vínculo Comentarios e historial de la página Resumen .

Registro de actividad

El registro de actividad muestra una lista de todos los comentarios y acciones realizados en el incidente, conocidos como auditorías y comentarios. Todos los cambios realizados en el incidente, ya sea por un usuario o por el sistema, se registran en el registro de actividad. El registro de actividad está disponible en la opción Registro de actividad en la página del incidente o en el panel lateral del incidente.

Captura de pantalla que resalta la opción de registro de actividad de la página incidente en el portal de Microsoft Defender.

Puede filtrar las actividades del registro por comentarios y acciones. Haga clic en Contenido: Auditorías, Comentarios y, a continuación, seleccione el tipo de contenido para filtrar las actividades. Por ejemplo:

Captura de pantalla en la que se resaltan las opciones de filtro en el panel del registro de actividad de la página de incidentes del portal de Microsoft Defender.

También puede agregar sus propios comentarios mediante el cuadro de comentario disponible en el registro de actividad. El cuadro de comentario acepta texto y formato, vínculos e imágenes.

Captura de pantalla que resalta el cuadro de comentario de la página incidente en el portal de Microsoft Defender.

Exportación de datos de incidentes a PDF

Importante

Parte de la información contenida en este artículo se refiere a productos lanzados previamente que pueden sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

La característica de exportación de datos de incidentes está disponible actualmente para Microsoft Defender XDR y los clientes del Centro unificado de operaciones de seguridad (SOC) de Microsoft con la Microsoft Copilot para la licencia de seguridad.

Puede exportar los datos de un incidente a PDF a través de la función Exportar incidente como PDF y guardarlos en formato PDF. Esta función permite a los equipos de seguridad revisar los detalles de un incidente sin conexión en un momento dado.

Los datos de incidentes exportados incluyen la siguiente información:

Este es un ejemplo del PDF exportado:

Captura de pantalla de la primera página del PDF exportado.

Si tiene la licencia de Copilot for Security , el PDF exportado contiene los siguientes datos de incidentes adicionales:

La función exportar a PDF también está disponible en el panel lateral de Copilot. Al seleccionar los puntos suspensivos Más acciones (...) en la esquina superior derecha de la tarjeta de resultados del informe de incidentes, puede elegir Exportar incidente como PDF.

Captura de pantalla de las acciones adicionales en la tarjeta de resultados del informe de incidentes.

Para generar el PDF, siga estos pasos:

  1. Abra una página de incidente. Seleccione los puntos suspensivos Más acciones (...) en la esquina superior derecha y elija Exportar incidente como PDF.

    Captura de pantalla que resalta los puntos suspensivos Más acciones en la página del incidente.

  2. En el cuadro de diálogo que aparece a continuación, confirme la información de incidente que desea incluir o excluir en el PDF. Toda la información de incidente está seleccionada de forma predeterminada. Seleccione Exportar PDF para continuar.

    Captura de pantalla en la que se resalta la opción exportar incidente a PDF.

  3. Un mensaje de estado que indica el estado actual de la descarga aparece debajo del título del incidente. El proceso de exportación puede tardar unos minutos en función de la complejidad del incidente y de la cantidad de datos que se van a exportar.

    Captura de pantalla que resalta el mensaje de exportación y el estado antes de la descarga.

  4. Aparece otro cuadro de diálogo que indica que el PDF está listo. Seleccione Descargar en el cuadro de diálogo para guardar el PDF en el dispositivo. El mensaje de estado debajo del título del incidente también se actualiza para indicar que la descarga está disponible.

    Captura de pantalla que resalta el mensaje y el estado de exportación cuando la descarga está disponible.

El informe se almacena en caché durante un par de minutos. El sistema proporciona el PDF generado anteriormente si intenta volver a exportar el mismo incidente en un breve período de tiempo. Para generar una versión más reciente del PDF, espere unos minutos a que expire la memoria caché.

Pasos siguientes

Para nuevos incidentes, comience la investigación.

Para incidentes en proceso, continúe con la investigación.

Para incidentes resueltos, realice una revisión posterior a los incidentes.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.