Traslado de alertas de un incidente a otro en el portal de Microsoft Defender
Aunque Microsoft Defender ya usa mecanismos de correlación avanzados, es posible que desee decidir de forma diferente si una alerta determinada pertenece a un incidente determinado o no. En tal caso, puede desasociar una alerta de un incidente y adjuntarla a otro. Cada alerta debe pertenecer a un incidente, por lo que debe adjuntarla a otro incidente existente o a un nuevo incidente que cree en el lugar.
En este artículo se explica cómo mover alertas de un incidente a otro.
Requisitos previos
- Los usuarios deben tener permisos para ver la cola de incidentes.
- Los usuarios deben tener permisos de lectura y escritura en todas las alertas que desean trasladar entre incidentes.
Acceso al panel para mover alertas
Hay muchas maneras de llegar a este panel. Puede acceder a ella desde cualquier lugar donde pueda seleccionar o tomar medidas en las alertas. Por ejemplo:
En cualquiera de las siguientes ubicaciones, seleccione una o varias alertas marcando las casillas al principio de sus filas. Cuando se marcan una o varias alertas, el botón Mover alertas a otro incidente aparece en la barra de herramientas.
- Cola incidentes . Expanda un incidente determinado para mostrar las alertas que contiene.
- La pestaña Alertas de la página de detalles del incidente.
- Cola de alertas .
Además, en el panel de detalles de una página de detalles de alerta, siempre aparece el botón Mover alerta a otro incidente .
Seleccione la alerta o las alertas que se van a mover.
Abra una de las ubicaciones mencionadas en la sección anterior.
Seleccione la alerta o alertas que desea mover marcando las casillas al principio de sus filas en la cola. Cuando se marcan una o varias alertas, el botón Mover alertas a otro incidente aparece en la barra de herramientas.
Seleccione Mover alertas a otro incidente en la barra de herramientas. Se abre un panel flotante. Si seleccionó solo una alerta, el panel se etiqueta Como Mover alerta a otro incidente. Si seleccionó dos o más alertas, se etiqueta como Mover varias alertas a otro incidente. En todos los demás aspectos, es el mismo panel.
Si la alerta o las alertas pertenecen a otro incidente existente, seleccione Vincular a un incidente existente. De lo contrario, seleccione Crear un nuevo incidente. Las alertas deben pertenecer a un incidente.
Traslado de alertas o alertas a un incidente existente
Si seleccionó Vincular a un incidente existente, aparece inmediatamente después de la selección un nuevo campo de texto, nombre o identificador de incidente. Empiece a escribir el nombre o el número de identificador del incidente al que desea adjuntar la alerta o las alertas. A medida que escribe, la lista de incidentes disponibles se muestra y filtra dinámicamente por lo que escribe. Cuando vea el que desea en la lista, selecciónelo.
En el campo Comentario , escriba un comentario que explique por qué desea mover las alertas.
Seleccione Guardar en la parte inferior del panel para ejecutar el movimiento.
Traslado de alertas o alertas a un nuevo incidente
Si seleccionó Crear un incidente, todo lo que debe hacer es escribir un comentario que explique por qué quiere mover las alertas.
Seleccione Guardar en la parte inferior del panel para ejecutar el movimiento.
Cuando se completa el proceso, se crea un nuevo incidente con la alerta o alertas que ha movido a él. Al incidente se le asigna un nombre automáticamente en función del nombre de la alerta o las alertas.
Registro de actividad
Cuando una alerta se correlaciona con un incidente, se escribe un mensaje en el registro de actividad del incidente, atestiguando que la alerta se correlaciona con ella. Este mensaje se escribe en cualquiera de las siguientes circunstancias:
- Se crea una alerta y se correlaciona automáticamente con un incidente nuevo o existente.
- Una alerta se mueve de un incidente a otro. El mensaje aparece en el registro del incidente de destino.