Tutorial: Evaluación de prioridades, investigación y respuesta a alertas de seguridad

  • Artículo
  • Tiempo de lectura: 4 minutos

Microsoft Defender for Cloud analiza continuamente las cargas de trabajo de la nube híbrida y usa el análisis avanzado y la inteligencia sobre amenazas para alertarle de cualquier actividad potencialmente malintencionada en los recursos en la nube. También puede integrar alertas de otros productos y servicios de seguridad en Defender for Cloud. Una vez que se genera una alerta, es necesario investigarla y corregir el posible problema de seguridad.

En este tutorial, aprenderá a:

  • Evaluar las prioridades de las alertas de seguridad
  • Investigar una alerta de seguridad para determinar la causa raíz
  • Responder a una alerta de seguridad y mitigar la causa principal

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Prerrequisitos

Para examinar las características que se tratan en este tutorial, debe tener habilitadas las características de seguridad mejoradas de Defender for Cloud. Puede probarlas sin costo alguno. Para más información, consulte la página de precios. La guía de inicio rápido Introducción a Defender for Cloud le guiará en la actualización.

Evaluación de las prioridades de las alertas de seguridad

Defender for Cloud proporciona una vista unificada de todas las alertas de seguridad. Las alertas de seguridad se clasifican en función de la gravedad de la actividad detectada.

Evalúe la prioridad de las alertas en la página Alertas de seguridad:

Microsoft Defender for Cloud's security alerts list

Esta página se usa para revisar las alertas de seguridad activas en su entorno para decidir qué alerta hay que investigar primero.

Al evaluar la prioridad de las alertas de seguridad, asigne prioridad a las alertas en función de la gravedad de la alerta solucionando en primer lugar las alertas con una mayor gravedad. Obtenga más información sobre la gravedad de las alertas en ¿Cómo se clasifican las alertas?.

Sugerencia

Puede conectar Microsoft Defender for Cloud a las soluciones SIEM más populares, incluido Microsoft Sentinel, y consumir las alertas desde la herramienta que prefiera. Puede encontrar más información en Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR.

Investigación de una alerta de seguridad

Cuando haya decidido qué alerta desea investigar primero:

  1. Seleccione la alerta que desee.

  2. En la página de información general de alertas, seleccione el recurso que desea investigar en primer lugar.

  3. Comience la investigación en el panel izquierdo, que muestra información de alto nivel sobre la alerta de seguridad.

    The left pane of the alert details page highlighting the high-level information.

    Este panel muestra:

    • Gravedad de la alerta, estado y tiempo de actividad.
    • Descripción que explica la actividad precisa detectada.
    • Recursos afectados.
    • Intención de la cadena de eliminación de la actividad en la matriz de MITRE ATT&CK

  4. Para obtener información más detallada que pueda ayudarle a investigar la actividad sospechosa, examine la pestaña Detalles de la alerta.

  5. Cuando haya repasado la información de esta página, puede que sea suficiente para continuar con una respuesta. Si necesita más detalles:

    • Póngase en contacto con el propietario del recurso para comprobar si la actividad detectada es un falso positivo.
    • Investigue los registros sin procesar que ha generado el recurso atacado.

Respuesta a una alerta de seguridad

Después de investigar una alerta de seguridad y comprender su ámbito, puede responder a la alerta desde Microsoft Defender for Cloud:

  1. Abra la pestaña Tomar medidas para ver las respuestas recomendadas.

    Security alerts take action tab.

  2. Consulte la sección Mitigación de la amenaza para ver los pasos de investigación manual necesarios para mitigar el problema.

  3. Para proteger los recursos y evitar futuros ataques de este tipo, lleve a cabo las recomendaciones de seguridad que se indican en la sección Prevención ante futuros ataques.

  4. Para desencadenar una aplicación lógica con pasos de respuesta automatizados, use la sección Desencadenamiento de respuesta automatizada.

  5. Si la actividad detectada no es malintencionada, puede suprimir las alertas futuras de este tipo mediante la sección Supresión de alertas similares.

  6. Cuando haya completado la investigación en la alerta y respondido de la manera adecuada, cambie el estado a Descartado.

    Setting an alert's status

    Así se elimina la alerta de la lista de alertas principales. Puede usar el filtro de la página de la lista de alertas para ver todas las alertas con el estado Descartado.

  7. Le recomendamos que proporcione comentarios sobre la alerta a Microsoft:

    1. Marque la alerta como Útil o No útil.

    2. Seleccione un motivo y agregue un comentario.

      Provide feedback to Microsoft on the usefulness of an alert.

    Sugerencia

    Examinamos sus comentarios para mejorar nuestros algoritmos y proporcionar mejores alertas de seguridad.

Finalización del tutorial

Otras guías de inicio rápido y tutoriales de esta colección se basan en los valores de esta. Si tiene previsto seguir trabajando con las guías de inicio rápido y los tutoriales posteriores, mantenga el aprovisionamiento automático y las características de seguridad mejoradas de Defender for Cloud habilitados.

Si no tiene previsto continuar o desea deshabilitar cualquiera de estas características:

  1. En el menú de Defender for Cloud, abra Parámetros del entorno.

  2. Seleccione la suscripción correspondiente.

  3. Seleccione Defender plans (Planes de Defender) y, después, Enhanced security off (Seguridad mejorada desactivada).

    Enable or disable Defender for Cloud's enhanced security features.

  4. Seleccione Guardar.

    Nota:

    Después de deshabilitar las características de seguridad mejoradas (tanto si deshabilita un plan único como todos los planes a la vez) la recopilación de datos podrá continuar durante un breve período de tiempo.

  5. En el menú de Defender for Cloud, abra Parámetros del entorno.

  6. Seleccione la suscripción correspondiente.

  7. Seleccione Aprovisionamiento automático.

  8. Deshabilite las extensiones pertinentes.

    Nota

    La deshabilitación del aprovisionamiento automático no quita el agente de Log Analytics de las máquinas virtuales de Azure que ya lo tienen. La deshabilitación del aprovisionamiento automático limita la supervisión de seguridad de los recursos.

Pasos siguientes

En este tutorial, ha obtenido información acerca de las características de Defender for Cloud que se deben usar cuando se responde a una alerta de seguridad. Para obtener material relacionado, vea lo siguiente: