Investigación del dispositivo

  • 7 minutos

Investigue los detalles de una alerta generada en un dispositivo específico para identificar otros comportamientos o eventos que podrían estar relacionados con la alerta o el posible ámbito de la infracción.

Puede seleccionar los dispositivos afectados siempre que los vea en el portal para abrir un informe detallado sobre el dispositivo. Los dispositivos afectados se identifican en las áreas siguientes:

  • Lista de dispositivos

  • Cola de alertas

  • Panel de operaciones de seguridad

  • Cualquier alerta individual

  • Cualquier vista individual de detalles de un archivo

  • Cualquier vista de detalles de dirección IP o dominio

Al investigar un dispositivo específico, verá lo siguiente:

  • Detalles del dispositivo

  • Acciones de respuesta

  • Pestañas: información general, alertas, escala de tiempo, recomendaciones de seguridad, inventario de software, vulnerabilidades detectadas, KB que faltan (identificadores de Knowledge Base)

  • Tarjetas (alertas activas, usuarios que han iniciado sesión, evaluación de seguridad)

Detalles del dispositivo

La sección Detalles del dispositivo proporciona información como el dominio del dispositivo, el sistema operativo y el estado de mantenimiento. Si hay un paquete de investigación disponible en el dispositivo, verá un vínculo que le permite descargar el paquete.

Acciones de respuesta

Las acciones de respuesta se ejecutan en la parte superior de la página del archivo e incluyen:

  • Administrar etiquetas

  • Aislar el dispositivo

  • Restringir la ejecución de la aplicación

  • Ejecutar un examen antivirus

  • Recopilar paquete para investigación

  • Iniciar una sesión de respuesta dinámica

  • Iniciar una investigación automatizada

  • Consultar a un experto en amenazas

  • Centro de actividades

Puede realizar acciones de respuesta en el Centro de actividades, en una página de dispositivo específica o en una página de archivo específica.

Pestañas

Información general

La pestaña Información general muestra las tarjetas para las alertas activas, los usuarios que han iniciado sesión y la evaluación de seguridad.

Alertas activas

Puede ver el número total de alertas activas de los últimos 30 días en la red desde el icono. Las alertas se agrupan en Nuevas y En curso. Cada grupo se organiza en subcategorías en sus niveles de gravedad de alerta correspondientes. Seleccione el número de alertas dentro de cada anillo de alertas para tener una vista ordenada de la cola de esa categoría (Nueva o En curso).

Usuarios que han iniciado sesión

La tarjeta Usuarios que han iniciado sesión muestra cuántos usuarios han iniciado sesión en los últimos 30 días y los usuarios más y menos frecuentes. Al seleccionar el vínculo "Ver todos los usuarios", se abre el panel de detalles, que muestra el tipo de usuario, el tipo de inicio de sesión y el momento en que el usuario apareció por primera y última vez.

Valoraciones de seguridad

La tarjeta Valoraciones de seguridad muestra el nivel de exposición general, las recomendaciones de seguridad, el software instalado y las vulnerabilidades detectadas. El nivel de exposición de un dispositivo viene determinado por el impacto acumulativo de las recomendaciones de seguridad pendientes.

Alertas

La pestaña Alertas proporciona una lista de alertas relacionadas con el dispositivo. Esta lista es una versión filtrada de la cola de alertas y muestra una breve descripción de la alerta, la gravedad (alta, media, baja, informativa), el estado de la cola (nueva, en curso, resuelta), la clasificación (no establecida, alerta falsa, alerta real), el estado de la investigación, la categoría de alerta, quién dirige la alerta y la última actividad. También puede filtrar las alertas.

Escala de tiempo

La pestaña Escala de tiempo proporciona una vista cronológica de los eventos y las alertas asociadas que se han observado en el dispositivo. Esto puede ayudarle a correlacionar los eventos, archivos y direcciones IP relacionados con el dispositivo.

La escala de tiempo también le permite explorar en profundidad los eventos que se produjeron dentro de un período de tiempo determinado. Puede ver la secuencia temporal de eventos que se produjeron en un dispositivo durante un período de tiempo seleccionado. Para controlar aún más la vista, puede filtrar por grupos de eventos o personalizar las columnas.

Estas son algunas de las funcionalidades que se incluyen:

  • Búsqueda de eventos específicos

    • Utilice la barra de búsqueda para buscar eventos de escala de tiempo específicos.

  • Filtrado de eventos de una fecha específica

    • Seleccione el icono de calendario en la parte superior izquierda de la tabla para mostrar los eventos del último día, la última semana, los últimos 30 días o un intervalo personalizado. De manera predeterminada, la escala de tiempo del dispositivo se establece para mostrar los eventos de los últimos 30 días.

    • Use la escala de tiempo para saltar a un momento concreto en el tiempo resaltando la sección. Las flechas de la escala de tiempo identifican las investigaciones automatizadas.

  • Exportación de eventos detallados de la escala de tiempo del dispositivo

    • Exporte la escala de tiempo del dispositivo para la fecha actual o un intervalo de fechas especificado hasta siete días.

Se proporcionan más detalles sobre determinados eventos y varían en función del tipo de evento, por ejemplo:

  • Incluido en Protección de aplicaciones: el evento del explorador web estaba restringido por un contenedor aislado.

  • Amenaza activa detectada: la detección de amenazas se produjo durante la ejecución de la amenaza.

  • Corrección incorrecta: se invocó un intento de corregir la amenaza detectada, pero se produjo un error.

  • Corrección correcta: se ha detenido y limpiado la amenaza detectada.

  • Advertencia omitida por el usuario: un usuario descartó e invalidó la advertencia de SmartScreen de Windows Defender.

  • Script sospechoso detectado: se encontró un script potencialmente malintencionado en ejecución.

  • Categoría de la alerta: si el evento condujo a la generación de una alerta, se proporciona la categoría de la alerta ("Movimiento lateral", por ejemplo).

Marcado de un evento

Mientras navega por la escala de tiempo del dispositivo, puede buscar y filtrar eventos específicos. Puede establecer marcas de evento de la siguiente manera:

  • Resaltado de los eventos más importantes

  • Marcado de los eventos que requieren un análisis profundo

  • Compilación de una escala de tiempo de infracción limpia

Busque el evento que quiere marcar. Seleccione el icono de marca en la columna Marca.

Visualización de los eventos marcados

En la sección Filtros de la escala de tiempo, habilite Solo eventos marcados. Seleccione Aplicar. Solo se muestran los eventos marcados. Para aplicar más filtros, haga clic en la barra de tiempo. Esto solo mostrará los eventos anteriores al evento marcado.

Detalles del evento

Seleccione un evento para ver los detalles pertinentes. Se muestra un panel para mostrar información general sobre el evento. Cuando es aplicable y los datos están disponibles, también se muestra un gráfico que muestra las entidades relacionadas y sus relaciones.

Para inspeccionar aún más el evento y los eventos relacionados, puede ejecutar rápidamente una consulta de búsqueda avanzada mediante la selección de Buscar eventos relacionados. La consulta devolverá el evento seleccionado y la lista de otros eventos que se produjeron aproximadamente al mismo tiempo en el mismo punto de conexión.

Recomendaciones de seguridad

Las recomendaciones de seguridad se generan a partir de la capacidad de administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión. Al seleccionar una recomendación, se mostrará un panel en el que podrá ver los detalles pertinentes, como la descripción de la recomendación y los posibles riesgos asociados si no se aplica.

Inventario de software

La pestaña Inventario de software le permite ver el software del dispositivo, junto con los puntos débiles o amenazas. Al seleccionar el nombre del software, se le dirigirá a la página de detalles del software, donde podrá ver las recomendaciones de seguridad, las vulnerabilidades detectadas, los dispositivos instalados y la distribución de la versión.

Vulnerabilidades detectadas

La pestaña Vulnerabilidades detectadas muestra el nombre, la gravedad y la información sobre amenazas de vulnerabilidades detectadas en el dispositivo. Al seleccionar vulnerabilidades específicas, se mostrará una descripción y detalles.

Faltan las knowledge base

En la pestaña KB que faltan se muestran las actualizaciones de seguridad que faltan para el dispositivo.