Administración de alertas de seguridad y respuesta a ellas en Microsoft Defender for Cloud

  • Artículo
  • Tiempo de lectura: 3 minutos

En este tema se muestra cómo ver y procesar las alertas de Defender for Cloud y cómo proteger los recursos.

Las detecciones avanzadas que desencadenan alertas de seguridad solo están disponibles con las características de seguridad mejoradas de Microsoft Defender for Cloud habilitadas. Hay una evaluación gratuita disponible. Para efectuar la actualización, consulte Habilitación de las protecciones mejoradas.

¿Qué son las alertas de seguridad?

Defender for Cloud recopila, analiza e integra automáticamente los datos de registro de los recursos de Azure, la red y las soluciones de asociados conectadas, como firewalls y agentes de puntos de conexión. Defender for Cloud usa los datos de registro para detectar amenazas reales y reducir los falsos positivos. En Defender for Cloud se muestra una lista de alertas de seguridad prioritarias junto con la información necesaria para investigar rápidamente el problema y los pasos que se deben seguir para corregir un ataque.

Para más información sobre los distintos tipos de alertas, consulte Alertas de seguridad: una guía de referencia.

Para obtener información general sobre cómo Defender for Cloud genera alertas, consulte How Microsoft Defender for Cloud detects and responds to threats(Cómo Microsoft Defender for Cloud y responde a las amenazas).

Administración de las alertas de seguridad

  1. En la página de información general de Defender for Cloud, seleccione el mosaico Alertas de seguridad en la parte superior de la página o el vínculo de la barra lateral.

    Acceso a la página de alertas de seguridad desde la página de información general de Microsoft Defender for Cloud

    Se abre la página de alertas de seguridad.

    Alertas de seguridad en Microsoft Defender for Cloud

  2. Para filtrar la lista de alertas, seleccione cualquiera de los filtros pertinentes. Opcionalmente, puede agregar más filtros con la opción Agregar filtro.

    Adición de filtros a la vista de alertas.

    La lista se actualiza según las opciones de filtro que haya seleccionado. Por ejemplo, podría comprobar las alertas de seguridad que se produjeron en las 24 horas anteriores, ya que se está investigando una posible brecha en el sistema.

Responder a alertas de seguridad

  1. En la lista Alertas de seguridad, seleccione una alerta. Se abre un panel lateral en el que se muestra una descripción de la alerta y de todos los recursos afectados.

    Vista mínima de detalles de una alerta de seguridad.

    Sugerencia

    Con este panel lateral abierto, puede revisar rápidamente la lista de alertas con las flechas arriba y abajo del teclado.

  2. Para más información, seleccione Ver detalles completos.

    En el panel izquierdo de la página alerta de seguridad se muestra información de alto nivel sobre la alerta de seguridad: título, gravedad, estado, tiempo de actividad, descripción de la actividad sospechosa y el recurso afectado. Las etiquetas de Azure para el recurso afectado le ayudan a comprender el contexto organizativo del recurso.

    En el panel derecho se incluye la pestaña Detalles de alerta que contiene más detalles de la alerta para ayudarle a investigar el problema: Direcciones IP, archivos, procesos, etc.

    Sugerencias sobre qué hacer con las alertas de seguridad.

    Además, en el panel derecho se encuentra la pestaña Realizar acción. Use esta pestaña para realizar acciones adicionales con respecto a la alerta de seguridad. Acciones como:

    • Inspección del contexto del recurso: le envía a los registros de actividad del recurso que admiten la alerta de seguridad
    • Mitigar las amenazas: proporciona pasos de corrección manual para esta alerta de seguridad
    • Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie expuesta a ataques, aumentar la postura de seguridad y así evitar futuros ataques
    • Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como respuesta a esta alerta de seguridad
    • Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares si la alerta no es relevante para su organización

    Pestaña Realizar acción.

Cambio simultaneo del estado de varias alertas de seguridad

La lista de alertas incluye varias casillas, lo que permite controlar varias alertas a la vez. Por ejemplo, para realizar valoraciones se pueden descartar todas las alertas informativas de un recurso concreto.

  1. Filtre según las alertas que desee controlar de forma masiva.

    En este ejemplo, hemos seleccionado todas las alertas con gravedad "Informativa" en el recurso "ASC-AKS-CLOUD-TALK".

    Captura de pantalla del filtrado de las alertas para mostrar alertas relacionadas.

  2. Use las casillas para seleccionar las alertas que se procesarán, o bien use la casilla situada en la parte superior de la lista para seleccionarlas todas.

    En este ejemplo, se han seleccionado todas las alertas. Observe que el botón Cambiar estado ahora está disponible.

    Captura de pantalla de la selección de todas las alertas que se controlan en masa.

  3. Use las opciones de Cambiar estado para establecer el estado deseado.

El estado de las alertas que se muestran en la página actual cambiará al valor seleccionado.

Consulte también

En este documento, aprendió cómo ver alertas de seguridad. Vea las páginas siguientes para obtener material relacionado: