Investigar incidentes con Microsoft 365 Defender
Nota
¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.
Se aplica a:
- Microsoft 365 Defender
Microsoft 365 Defender agrega todas las alertas, recursos, investigaciones y pruebas relacionadas de todos los dispositivos, usuarios y buzones de correo en un incidente para darle una visión completa de toda la amplitud de un ataque.
Dentro de un incidente, se analizan las alertas que afectan a la red, se entiende lo que significan y se intercalan las pruebas para que pueda diseñar un plan de corrección eficaz.
Investigación inicial
Antes de profundizar en los detalles, eche un vistazo a las propiedades y el resumen del incidente.
Para empezar, seleccione el incidente en la columna de marca de verificación. Por ejemplo:
Cuando lo hace, se abre un panel de resumen con información clave sobre el incidente, como la gravedad, a quién se asigna y las categorías MITRE ATT&CK™ para el incidente. Por ejemplo:
Desde aquí, puede seleccionar Abrir página de incidente. Se abre la página principal del incidente, donde encontrará más información de resumen y pestañas para alertas, dispositivos, usuarios, investigaciones y pruebas.
También puede abrir la página principal de un incidente seleccionando el nombre del incidente de la cola de incidentes.
Resumen
La página Resumen le ofrece un vistazo de instantáneas a los elementos principales para observar el incidente.
La información se organiza en estas secciones.
| Sección | Descripción |
|---|---|
| Alertas y categorías | Una vista visual y numérica de cómo ha progresado el ataque en la cadena de eliminación. Al igual que con otros productos de seguridad de Microsoft, Microsoft 365 Defender está alineado con el marco de TRABAJO de MITRE ATT&CK™. La escala de tiempo de alertas muestra el orden cronológico en el que se produjeron las alertas y, para cada una, su estado y su nombre. |
| Ámbito | Muestra el número de dispositivos, usuarios y buzones afectados y enumera las entidades en orden de nivel de riesgo y prioridad de investigación. |
| Evidencia | Muestra el número de entidades afectadas por el incidente. |
| Información sobre incidentes | Muestra las propiedades del incidente, como etiquetas, estado y gravedad. |
Use la página Resumen para evaluar la importancia relativa del incidente y acceder rápidamente a las alertas asociadas y las entidades afectadas.
Alertas
En la pestaña Alertas , puede ver la cola de alertas para las alertas relacionadas con el incidente y otra información sobre ellas, como:
- Severidad.
- Entidades implicadas en la alerta.
- Origen de las alertas (Microsoft Defender for Identity, Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Defender for Cloud Apps y el complemento de gobernanza de aplicaciones).
- La razón por la que se vincularon.
Por ejemplo:
De forma predeterminada, las alertas se ordenan cronológicamente para que pueda ver cómo se ha realizado el ataque a lo largo del tiempo. Al seleccionar una alerta dentro de un incidente, Microsoft 365 Defender muestra la información de alerta específica del contexto del incidente general.
Puede ver los eventos de la alerta, que otras alertas desencadenadas provocaron la alerta actual, y todas las entidades y actividades afectadas implicadas en el ataque, incluidos dispositivos, archivos, usuarios y buzones.
Por ejemplo:
La página de alertas de incidente tiene estas secciones:
Historia de alertas, que incluye:
Qué ha pasado
Acciones realizadas
Eventos relacionados
Propiedades de alerta en el panel derecho (estado, detalles, descripción y otros)
No todas las alertas tendrán todas las subsecciones enumeradas en la sección Artículo de alerta .
Obtenga información sobre cómo usar la cola de alertas y las páginas de alertas en la investigación de alertas.
Dispositivos
En la pestaña Dispositivos se enumeran todos los dispositivos relacionados con el incidente. Por ejemplo:
Puede seleccionar la marca de verificación de un dispositivo para ver los detalles del dispositivo, los datos de directorio, las alertas activas y los usuarios que han iniciado sesión. Seleccione el nombre del dispositivo para ver los detalles del dispositivo en el inventario de dispositivos de Defender para punto de conexión. Por ejemplo:
En la página del dispositivo, puede recopilar información adicional sobre el dispositivo, como todas sus alertas, una escala de tiempo y recomendaciones de seguridad. Por ejemplo, desde la pestaña Escala de tiempo , puede desplazarse por la escala de tiempo de la máquina y ver todos los eventos y comportamientos observados en la máquina en orden cronológico, intercalados con las alertas desencadenadas.
Sugerencia
Puede realizar exámenes a petición en una página del dispositivo. En el portal de Microsoft 365 Defender, elija Puntos de conexión > inventario de dispositivos. Seleccione un dispositivo que tenga alertas y, a continuación, ejecute un examen antivirus. Se realiza un seguimiento de las acciones, como los exámenes antivirus, y se muestran en la página Inventario de dispositivos. Para más información, consulte Run Defender Antivirus scan on devices (Ejecutar examen del Antivirus de Defender en dispositivos).
Usuarios
En la pestaña Usuarios se enumeran todos los usuarios que se han identificado para formar parte del incidente o estar relacionados con él. Por ejemplo:
Puede seleccionar la marca de verificación de un usuario para ver los detalles de la amenaza, la exposición y la información de contacto de la cuenta de usuario. Seleccione el nombre de usuario para ver detalles adicionales de la cuenta de usuario.
Obtenga información sobre cómo ver información adicional del usuario y administrar los usuarios de un incidente en la investigación de usuarios.
Buzones
En la pestaña Buzones se enumeran todos los buzones que se han identificado para formar parte del incidente o estar relacionados con él. Por ejemplo:
Puede seleccionar la marca de verificación de un buzón para ver una lista de alertas activas. Seleccione el nombre del buzón para ver detalles adicionales del buzón en la página Explorador de Defender para Office 365.
Investigaciones
En la pestaña Investigaciones se enumeran todas las investigaciones automatizadas desencadenadas por las alertas de este incidente. Las investigaciones automatizadas realizarán acciones de corrección o esperarán la aprobación por parte del analista de las acciones, en función de cómo haya configurado las investigaciones automatizadas para que se ejecuten en Defender para punto de conexión y Defender para Office 365.
Seleccione una investigación para ir a su página de detalles para obtener información completa sobre el estado de investigación y corrección. Si hay acciones pendientes de aprobación como parte de la investigación, aparecerán en la pestaña Historial de acciones pendientes . Tome medidas como parte de la corrección de incidentes.
También hay una pestaña Grafo de investigación que muestra:
- Conexión de alertas a los recursos afectados en su organización.
- Qué entidades están relacionadas con qué alertas y cómo forman parte de la historia del ataque.
- Alertas del incidente.
El gráfico de investigación le ayuda a comprender rápidamente el ámbito completo del ataque conectando las distintas entidades sospechosas que forman parte del ataque con sus recursos relacionados, como usuarios, dispositivos y buzones de correo.
Para obtener más información, consulte Investigación y respuesta automatizadas en Microsoft 365 Defender.
Evidencia y respuesta
La pestaña Evidencia y respuesta muestra todos los eventos admitidos y entidades sospechosas en las alertas del incidente. Por ejemplo:
Microsoft 365 Defender investiga automáticamente todos los eventos admitidos por los incidentes y las entidades sospechosas de las alertas, proporcionándole información sobre los correos electrónicos, archivos, procesos, servicios, direcciones IP importantes, etc. Esto le ayuda a detectar y bloquear rápidamente posibles amenazas en el incidente.
Cada una de las entidades analizadas se marca con un veredicto (Malintencionado, Sospechoso, Limpio) y un estado de corrección. Esto le ayuda a comprender el estado de corrección de todo el incidente y qué pasos siguientes se pueden realizar.
Graph (versión preliminar)
En la pestaña Graph se muestra el ámbito completo del ataque, cómo se extendió el ataque a través de la red a lo largo del tiempo, dónde se inició y hasta dónde llegó el atacante. Conecta las distintas entidades sospechosas que forman parte del ataque con sus recursos relacionados, como usuarios, dispositivos y buzones.
En la pestaña Graph, puede hacer lo siguiente:
Reproduzca las alertas y los nodos del gráfico a medida que se produjeron con el tiempo para comprender la cronología del ataque.
Abra un panel de entidades, lo que le permite revisar los detalles de la entidad y actuar sobre las acciones de corrección, como eliminar un archivo o aislar un dispositivo.
Resalte las alertas basadas en la entidad a la que están relacionadas.
Siguientes pasos
Según sea necesario: