Compartir a través de

Respuesta a un incidente mediante el portal de Defender

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Microsoft Defender portal

En este artículo se explica cómo responder a un incidente mediante Microsoft Sentinel en el portal de Defender, que abarca la evaluación de prioridades, la investigación y la resolución.

Prerrequisitos

Investigue incidentes en el portal de Defender:

Proceso de respuesta a incidentes

Al trabajar en el portal de Defender, realice los pasos iniciales de evaluación, resolución y seguimiento, como lo haría. Al investigar, asegúrese de:

  • Comprenda el incidente y su ámbito revisando las escalas de tiempo de los recursos.
  • Revise las acciones pendientes de autocuración, remedie manualmente las entidades y realice una respuesta en vivo.
  • Agregar medidas de prevención.

El área agregada Microsoft Sentinel del portal de Defender le ayuda a profundizar su investigación, incluyendo:

  • Comprender el ámbito del incidente al correlacionarlo con los procesos de seguridad, las directivas y los procedimientos (3P).
  • Realizar acciones automatizadas de investigación y corrección de 3P y crear cuadernos de estrategias personalizados de orquestación de seguridad, automatización y respuesta (SOAR).
  • Grabación de evidencias para la administración de incidentes.
  • Agregar medidas personalizadas.

Para obtener más información, consulte:

Automatización con Microsoft Sentinel

Asegúrese de aprovechar las ventajas del cuaderno de estrategias y la funcionalidad de reglas de automatización de Microsoft Sentinel:

  • un cuaderno de estrategias es una colección de acciones de investigación y corrección que se pueden ejecutar desde el portal de Microsoft Sentinel como rutina. Los cuadernos de estrategias pueden ayudar a automatizar y organizar la respuesta a las amenazas. Se pueden ejecutar manualmente a petición en incidentes, entidades y alertas, o establecerse para ejecutarse automáticamente en respuesta a alertas o incidentes específicos, cuando se desencadena mediante una regla de automatización. Para obtener más información, consulte Automatizar la respuesta a amenazas con manuales de procedimientos.

  • reglas de Automatización son una manera de administrar de forma centralizada la automatización en Microsoft Sentinel, ya que permite definir y coordinar un pequeño conjunto de reglas que se pueden aplicar en distintos escenarios. Para obtener más información, consulte Automatización de la respuesta a amenazas en Microsoft Sentinel con reglas de automatización.

Después de incorporar el área de trabajo de Microsoft Sentinel a la plataforma unificada de operaciones de seguridad, tenga en cuenta que hay diferencias en la forma en que funciona la automatización en el área de trabajo. Para obtener más información, consulte Automation con la plataforma unificada de operaciones de seguridad.

Respuesta posterior al incidente

Después de resolver el incidente, notifique el incidente al responsable de la respuesta a incidentes para un posible seguimiento para determinar más acciones. Por ejemplo:

  • Informe a los analistas de seguridad de nivel 1 para detectar mejor el ataque temprano.
  • Investigue el ataque en Análisis de amenazas XDR de Microsoft Defender y en la comunidad de seguridad informática para identificar tendencias de ataques de seguridad. Para obtener más información, consulte el análisis de amenazas en Microsoft Defender XDR .
  • Según sea necesario, registre el flujo de trabajo que usó para resolver el incidente y actualizar los flujos de trabajo, procesos, directivas y cuadernos de estrategias estándar.
  • Determine si se necesitan cambios en la configuración de seguridad e implemplemente.
  • Cree un cuaderno de estrategias de orquestación para automatizar y organizar la respuesta a amenazas para un riesgo similar en el futuro. Para obtener más información, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel.

Contenido relacionado

Para obtener más información, consulte: