Descripción de la inteligencia sobre amenazas de Microsoft Defender

  • 5 minutos

Los analistas de inteligencia sobre amenazas luchan por equilibrar la ingestión de una gran cantidad de inteligencia sobre amenazas con el análisis de qué inteligencia sobre amenazas plantea las mayores amenazas para su organización y/o industria. Del mismo modo, los analistas de inteligencia de vulnerabilidades luchan por correlacionar su inventario de recursos con la información de Vulnerabilidades y riesgos comunes (CVE) para priorizar la investigación y corrección de las vulnerabilidades más críticas asociadas a su organización.

La inteligencia sobre amenazas de Microsoft Defender aborda estos desafíos agregando y enriqueciendo orígenes de datos críticos y mostrándolos en una interfaz innovadora y fácil de usar. A continuación, los analistas pueden correlacionar indicadores de riesgo (IOC) con artículos relacionados, perfiles de actor y vulnerabilidades. Defender TI también permite a los analistas colaborar con otros usuarios con licencia de Defender TI dentro de su inquilino en investigaciones.

La funcionalidad de Inteligencia contra amenazas de Microsoft Defender incluye:

  • Análisis de amenazas
  • Perfiles de inteligencia
  • Explorador de inteligencia
  • Proyectos

Análisis de amenazas

El análisis de amenazas le ayuda, como analista, a comprender cómo afectan las amenazas emergentes al entorno de su organización.

Los informes de análisis de amenazas proporcionan un análisis de una amenaza en seguimiento e instrucciones exhaustivas sobre cómo defenderse frente a ella. También incorpora datos de la red, que indican si la amenaza está activa y si dispone de los mecanismos de protección adecuados. Puede filtrar y buscar en informes, pero Defender TI también proporciona un panel.

El panel de análisis de amenazas resaltará los informes que sean más relevantes para la organización. Resume las amenazas en tres categorías:

  • Amenazas más recientes: enumera los informes de amenazas publicados o actualizados más recientemente, junto con el número de alertas activas y resueltas.
  • Amenazas de alto impacto: enumera las amenazas que tienen el mayor impacto en la organización. En esta sección se enumeran primero las amenazas con el mayor número de alertas activas y resueltas.
  • Exposición más alta: enumera las amenazas a las que su organización está más expuesta. Su nivel de exposición a una amenaza se calcula mediante dos fragmentos de información: la gravedad de las vulnerabilidades asociadas a la amenaza y el número de dispositivos de la organización que esas vulnerabilidades podrían aprovechar.

Cada informe proporciona información general, un informe analítico, los incidentes relacionados, los recursos afectados, la exposición de puntos de conexión y las acciones recomendadas.

Perfiles de inteligencia

Los perfiles de Intel son una fuente definitiva de conocimientos compartidos de Microsoft sobre actores de amenazas de seguimiento, herramientas malintencionadas y vulnerabilidades. Los expertos en Inteligencia contra amenazas de Microsoft se encargan de mantener y actualizar continuamente este contenido para proporcionar un contexto de amenazas relevante y procesable.

Explorador de inteligencia

El explorador de Intel es donde los analistas pueden examinar rápidamente los nuevos artículos destacados y realizar una búsqueda por palabra clave, indicador o id. de CVE para comenzar sus tareas de recopilación de inteligencia, evaluación de prioridades, respuesta a incidentes y búsqueda.

Los artículos de Inteligencia contra amenazas de Microsoft Defender son narraciones que proporcionan información sobre actores de amenazas, herramientas, ataques y vulnerabilidades. En los artículos se resumen las distintas amenazas y también se vinculan al contenido accionable y a las IOC clave para ayudar a los usuarios a tomar medidas.

Defender TI ofrece búsquedas de CVE-ID para ayudar a los usuarios a identificar información crítica sobre CVE. Las búsquedas de CVE-ID ofrecen como resultado artículos sobre vulnerabilidades.

Proyectos de Intel

Inteligencia contra amenazas de Microsoft Defender (Defender TI) le permite crear proyectos para organizar indicadores de interés e indicadores de compromiso (IOC) a partir de una investigación. Los proyectos contienen una lista de todos los artefactos asociados y un historial detallado que conserva los nombres, las descripciones, los colaboradores y los perfiles de supervisión.

Inteligencia sobre amenazas de Microsoft Defender en el portal de Microsoft Defender

Microsoft Defender TI se experimenta a través del portal de Microsoft Defender.

El nodo Inteligencia sobre amenazas del panel de navegación del portal de Microsoft Defender es donde puede encontrar la funcionalidad de Inteligencia contra amenazas de Microsoft Defender.

Recorte de pantalla de las opciones seleccionables para la inteligencia sobre amenazas en el panel de navegación izquierdo del portal de Microsoft Defender.

Para ver un recorte de pantalla de cada una de las categorías, seleccione la pestaña de la imagen siguiente. En cada caso, hay un panel lateral que muestra la funcionalidad insertada de Microsoft Security Copilot.

Integración de Microsoft Security Copilot con Inteligencia contra amenazas

Security Copilot se integra con Microsoft Defender TI. Con plugin TI de Defender habilitado, Copilot ofrece información sobre los grupos de actividades de amenazas, los indicadores de riesgo (IOC), las herramientas y la inteligencia sobre amenazas contextuales. Puede usar las indicaciones y los libros de mensajes para investigar incidentes, enriquecer los flujos de búsqueda con información de inteligencia sobre amenazas u obtener más conocimiento sobre el panorama global de amenazas o la organización.

Las funcionalidades de Inteligencia contra amenazas de Microsoft Defender en Copilot son indicaciones integradas que puede usar, pero también puede escribir sus propias indicaciones en función de las funcionalidades admitidas. La imagen siguiente muestra solo un subconjunto de las funcionalidades admitidas.

Captura de pantalla de las funcionalidades del sistema de Defender TI que se pueden ejecutar en la experiencia independiente.

Copilot también incluye una secuencia de indicaciones integrada que proporciona información de Defender TI, que incluye:

  • Evaluación del impacto en la vulnerabilidad: genera un informe que resume la inteligencia de una vulnerabilidad conocida, incluidos los pasos sobre cómo abordarla.
  • Perfil de actor de amenazas: genera un informe con el perfil de un grupo de actividad conocido, incluyendo sugerencias para defenderse de sus herramientas y tácticas comunes.

La integración de Copilot con Defender TI también se puede experimentar a través de la experiencia insertada. Puede experimentar la funcionalidad de Security Copilot para buscar inteligencia sobre amenazas en las páginas siguientes del portal de Microsoft Defender:

  • Análisis de amenazas
  • Perfiles de inteligencia
  • Explorador de inteligencia
  • Proyectos de Intel

Para cada una de estas páginas, puede usar una de las indicaciones disponibles o puede escribir su propia indicación.

Recorte de pantalla de las indicaciones de Copilot insertados en Defender TI en el portal de Microsoft Defender.