Generación de informes de inteligencia sobre amenazas

  • 6 minutos

La clasificación e investigación de las alertas de seguridad puede ser un proceso largo incluso para los analistas de seguridad más cualificados. Para muchos, es difícil saber por dónde empezar.

Defender for Cloud usa análisis para conectar la información entre alertas de seguridad diferentes. Con estas conexiones, Defender for Cloud puede proporcionar una vista única de una campaña de ataque y sus alertas relacionadas para ayudarle a comprender las acciones del atacante y los recursos afectados.

Los incidentes aparecen en la página Alertas de seguridad. Seleccione un incidente para ver las alertas relacionadas y obtener más información.

En la página de información general de Defender for Cloud, seleccione el icono de alertas de seguridad. Se enumerarán los incidentes y alertas. Tenga en cuenta que los incidentes de seguridad tienen un icono diferente a las alertas de seguridad.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Para ver detalles, seleccione un incidente. En la página Incidente de seguridad se muestran más detalles.

Screenshot of Defender for Cloud Security Alert Incident details.

En el panel izquierdo de la página Incidente de seguridad se muestra información de alto nivel sobre el incidente de seguridad: título, gravedad, estado, tiempo de actividad, descripción y el recurso afectado. Junto al recurso afectado, puede ver las etiquetas relevantes de Azure. Use estas etiquetas para deducir el contexto de la organización del recurso al investigar la alerta.

En el panel derecho se incluye la pestaña Alertas con las alertas de seguridad que se correlacionan como parte de este incidente.

Para cambiar a la pestaña Realizar acción, seleccione la pestaña o el botón en la parte inferior del panel derecho. Use esta pestaña para realizar acciones adicionales, como:

  • Mitigar las amenazas: proporciona pasos de corrección manual para este incidente de seguridad.

  • Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie expuesta a ataques, aumentar la postura de seguridad y evitar futuros ataques.

  • Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como respuesta a este incidente de seguridad.

  • Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares si la alerta no es relevante para su organización

Para corregir las amenazas del incidente, siga los pasos de corrección que se proporcionan con cada alerta.

Generación de informes de inteligencia sobre amenazas

La protección contra amenazas de Defender for Cloud consiste en supervisar la información de seguridad de los recursos de Azure, la red y las soluciones de asociados conectadas. Después, analiza estos datos (a menudo, relacionando la información de diferentes orígenes) para identificar las amenazas.

Cuando Defender for Cloud identifica una amenaza, desencadena una alerta de seguridad, que contiene información detallada sobre el evento, junto con sugerencias para corregirlo. Para ayudar a los equipos de respuesta a incidentes a investigar y solucionar las amenazas, Defender for Cloud proporciona informes de inteligencia de amenazas que contienen información sobre las amenazas detectadas. El informe incluye información como la siguiente:

  • Identidad o asociaciones del atacante (si esta información está disponible)

  • Objetivos de los atacantes

  • Campañas de ataques históricas y actuales (si esta información está disponible)

  • Tácticas, herramientas y procedimientos de los atacantes

  • Indicadores asociados de peligro (IoC), como direcciones URL y hash de archivo

  • Victimología, que es el predominio geográfico y del sector para ayudarle a determinar si sus recursos de Azure están en peligro

  • Información de corrección y mitigación

Defender for Cloud tiene tres tipos de informes de amenazas, que pueden variar según el ataque. Los informes disponibles son:

  • Informe de grupo de actividad: proporciona información detallada sobre los atacantes, sus objetivos y las tácticas que emplean.

  • Informe de campaña: se centra en los detalles de campañas de ataque específicas.

  • Informe de resumen de amenazas: cubre todos los elementos de los dos informes anteriores.

Este tipo de información resulta útil durante los procesos de respuesta a incidentes, en los que hay una investigación en curso para comprender el origen del ataque, las motivaciones del atacante y lo que se debe hacer para mitigar este problema en el futuro.

Para acceder al informe de inteligencia de amenazas, realice lo siguiente:

Para generar el informe:

En la barra lateral de Defender for Cloud, abra la página Alertas de seguridad.

Seleccione una alerta. Se abre la página de detalles de las alertas con más información sobre la alerta. A continuación se muestra la página de detalles de la alerta Se detectaron indicadores de ransomware.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Seleccione el vínculo al informe y se abrirá un archivo PDF en el explorador predeterminado.