Compartir a través de


Respuesta al primer incidente en Microsoft Defender XDR

Se aplica a:

  • Microsoft Defender XDR

En esta guía se enumeran los recursos de Microsoft para que los nuevos usuarios Microsoft Defender XDR realicen con confianza tareas de respuesta a incidentes diarias mientras usan el portal. Los resultados previstos del uso de esta guía son:

  • Aprenderá rápidamente a usar Microsoft Defender XDR para responder a incidentes y alertas.
  • Descubrirá las características del portal para ayudar a la investigación y corrección de incidentes a través de los vídeos y tutoriales.

Microsoft Defender XDR permite ver eventos de amenazas relevantes en todos los recursos (dispositivos, identidades, buzones, aplicaciones en la nube, etc.). El portal consolida las señales del conjunto de protección de Defender, Microsoft Sentinel y otras soluciones integradas de administración de eventos e información de seguridad (SIEM). La información de ataque correlacionada con el contexto completo en un único panel de cristal le permite defender y proteger correctamente su organización.

Esta guía tiene tres secciones principales:

  • Descripción de los incidentes: acceso, evaluación y administración de incidentes en el portal
  • Análisis de ataques: una colección de vídeos y tutoriales sobre cómo investigar ataques específicos mediante las características del portal.
  • Corrección de ataques: enumera las acciones automatizadas y manuales que están disponibles en el portal para corregir las amenazas. Esta sección incluye vínculos a vídeos y tutoriales.

Descripción de los incidentes

Un incidente es una cadena de procesos creados, comandos y acciones que podrían no haber coincidido. Un incidente proporciona una imagen holística y un contexto de actividad sospechosa o malintencionada. Un único incidente proporciona el contexto completo de un ataque en lugar de evaluar cientos de alertas de varios servicios.

Microsoft Defender XDR tiene muchas características que puede usar para responder a un incidente. Puede navegar por los incidentes seleccionando Ver todos los incidentes en la tarjeta Incidentes activos en la página Inicio o a través de Incidentes & alertas en el panel de navegación izquierdo.

Ver todos los incidentes que se muestran en Microsoft Defender XDR página principal figura 1. Tarjeta de incidentes activos en la página principal de Microsoft Defender XDR

Cola de incidentes en Microsoft Defender XDR Figura 2. Cola de incidentes

Cada incidente contiene alertas correlacionadas automáticamente de diferentes orígenes de detección y pueden implicar varios puntos de conexión, identidades o aplicaciones en la nube.

Evaluación de incidentes

La priorización de incidentes varía según el respondedor, el equipo de seguridad y la organización. Los planes de respuesta a incidentes y la dirección de los equipos de seguridad pueden exigir la prioridad de incidentes.

Microsoft Defender XDR tiene varios indicadores, como la gravedad de los incidentes, los tipos de usuarios o los tipos de amenazas para evaluar y priorizar los incidentes. Puede usar cualquier combinación de estos indicadores fácilmente disponible a través de los filtros de cola de incidentes .

Un ejemplo de determinación de la prioridad de incidentes es combinar los siguientes factores para un incidente:

  • El incidente tiene una gravedad alta.
  • Error en el estado de la investigación de automatización.
  • Hay 5 recursos afectados donde dos de los recursos se etiquetan con confidencialidad de datos altamente confidencial.
  • El estado del incidente es nuevo.
  • El incidente no se asigna a ningún miembro del equipo para su investigación.

Puede asignar una prioridad alta al incidente mediante la información anterior. Puede comenzar la investigación de incidentes una vez que se determine una prioridad.

Nota:

Microsoft Defender XDR determina automáticamente filtros como la gravedad, los estados de investigación, los recursos afectados y los estados de incidentes. La información se basa en las actividades de red de la organización contextualizadas con fuentes de inteligencia sobre amenazas y las acciones de corrección automatizadas aplicadas.

Administrar incidentes

Puede contribuir a la eficacia de la administración de incidentes proporcionando información esencial sobre incidentes y alertas. Al agregar información a los filtros siguientes desde el momento en que se evalúan y analizan cada incidente, se proporciona un contexto adicional a ese incidente del que otros respondedores pueden aprovechar:

Obtenga información sobre cómo clasificar incidentes y alertas a través de este vídeo:

Pasos siguientes

Recursos adicionales

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.