Vincular alertas a otro incidente en el portal de Microsoft Defender
Aunque Microsoft Defender ya usa mecanismos de correlación avanzados, es posible que desee decidir de forma diferente si una alerta determinada pertenece a un incidente determinado o no. En tal caso, puede desvincular una alerta de un incidente y vincularla a otro. Cada alerta debe pertenecer a un incidente, por lo que debe vincularla a otro incidente existente o a un nuevo incidente que cree en el lugar.
En este artículo se explica cómo desvincular alertas de un incidente y vincularlas a otro.
Requisitos previos
- Los usuarios deben tener permisos para ver la cola de incidentes.
- Los usuarios deben tener permisos de lectura y escritura en todas las alertas que desean trasladar entre incidentes.
Acceso al panel para desvincular alertas
Hay muchas maneras de llegar a este panel. Puede acceder a ella desde cualquier lugar donde pueda seleccionar o tomar medidas en las alertas. Por ejemplo:
En cualquiera de las siguientes ubicaciones, seleccione una o varias alertas marcando las casillas al principio de sus filas. Cuando se marcan una o varias alertas, el botón Vincular alertas a otro incidente aparece en la barra de herramientas.
- Cola incidentes . Expanda un incidente determinado para mostrar las alertas que contiene.
- La pestaña Alertas de la página de detalles del incidente.
- Cola de alertas .
Además, en el panel de detalles de una página de detalles de alerta, siempre aparece el botón Vincular alertas a otro incidente .
Seleccione la alerta o las alertas que desea desvincular.
Abra una de las ubicaciones mencionadas en la sección anterior.
Seleccione la alerta o alertas que desea mover marcando las casillas al principio de sus filas en la cola. Cuando se marcan una o varias alertas, el botón Vincular alertas a otro incidente aparece en la barra de herramientas.
Seleccione Vincular alertas a otro incidente en la barra de herramientas. Se abre un panel flotante. Si seleccionó solo una alerta, el panel se etiqueta Como vincular alerta a otro incidente. Si seleccionó dos o más alertas, se etiquetará Vincular varias alertas a otro incidente. En todos los demás aspectos, es el mismo panel.
Si la alerta o las alertas pertenecen a otro incidente existente, seleccione Vincular a un incidente existente. De lo contrario, seleccione Crear un nuevo incidente. Las alertas deben pertenecer a un incidente.
Vinculación de alertas o alertas a un incidente existente
Si seleccionó Vincular a un incidente existente, aparece inmediatamente después de la selección un nuevo campo de texto, nombre o identificador de incidente. Empiece a escribir el nombre o el número de identificador del incidente al que desea vincular la alerta o las alertas. A medida que escribe, la lista de incidentes disponibles se muestra y filtra dinámicamente por lo que escribe. Cuando vea el que desea en la lista, selecciónelo.
En el campo Comentario , escriba un comentario que explique por qué desea mover las alertas.
Seleccione Guardar en la parte inferior del panel para ejecutar el movimiento.
Vinculación de alertas o alertas a un nuevo incidente
Si seleccionó Crear un incidente, todo lo que debe hacer es escribir un comentario que explique por qué quiere mover las alertas.
Seleccione Guardar en la parte inferior del panel para ejecutar el movimiento.
Cuando se completa el proceso, se crea un nuevo incidente con la alerta o alertas que ha movido a él. Al incidente se le asigna un nombre automáticamente en función del nombre de la alerta o las alertas.
Registro de actividad
Cuando una alerta se correlaciona con un incidente, se escribe un mensaje en el registro de actividad del incidente, atestiguando que la alerta se correlaciona con ella. Este mensaje se escribe en cualquiera de las siguientes circunstancias:
- Se crea una alerta y se correlaciona automáticamente con un incidente nuevo o existente.
- Una alerta se desvincula de un incidente y está vinculada a otro. El mensaje aparece en el registro del incidente de destino.