Administrar incidentes en Microsoft 365 Defender

Importante

El Portal de Microsoft 365 Defender mejorado ya está disponible. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el portal de Microsoft 365 Defender. Ver las novedades.

Se aplica a:

  • Microsoft 365 Defender

La administración de incidentes es fundamental para garantizar que las amenazas se contengan y se aborde.

Puede administrar incidentes desde incidentes & alertas > incidentes en el inicio rápido del portal de Microsoft 365 Defender (security.microsoft.com). Por ejemplo:

Ejemplo de la cola de incidentes.

Estas son las formas en que puede administrar sus incidentes:

Puede administrar incidentes desde el panel Administrar incidentes para un incidente. Por ejemplo:

Ejemplo del panel Administrar incidentes de un incidente.

Puede mostrar este panel desde el vínculo Administrar incidentes en:

  • Panel de propiedades de un incidente en la cola de incidentes.
  • Página de resumen de un incidente.

En los casos en los que quiera mover alertas de un incidente a otro, también puede hacerlo desde la pestaña Alertas, creando así un incidente más grande o más pequeño que incluya todas las alertas relevantes.

Editar el nombre del incidente

Microsoft 365 Defender asigna automáticamente un nombre en función de los atributos de alerta, como el número de puntos de conexión afectados, los usuarios afectados, los orígenes de detección o las categorías. Esto le permite comprender rápidamente el ámbito del incidente. Por ejemplo: Incidente de varias fases en varios puntos de conexión notificados por varios orígenes.

Puede editar el nombre del incidente desde el campo Nombre del incidente en el panel Administrar incidente.

Nota

Los incidentes que existían antes de la implementación de la característica de nomenclatura automática de incidentes conservarán su nombre.

Agregar etiquetas de incidente

Puede agregar etiquetas personalizadas a un incidente, por ejemplo, para marcar un grupo de incidencias con características comunes. Posteriormente, puede filtrar la cola de incidentes para todos los incidentes que contengan una etiqueta específica.

Al empezar a escribir, tiene la opción de seleccionar de una lista de etiquetas seleccionadas.

Asignar un incidente

Si aún no se ha asignado un incidente, puede seleccionar el cuadro Asignar a y especificar la cuenta de usuario. Para volver a asignar un incidente, quite la cuenta de asignación actual seleccionando la "x" junto al nombre de la cuenta y, a continuación, seleccione el cuadro Asignar a. Al asignar la propiedad de un incidente, se asigna la misma propiedad a todas las alertas asociadas.

Puede obtener una lista de incidentes asignados filtrando la cola de incidentes.

  1. En la cola de incidentes, seleccione Filtros.
  2. en la sección Asignación de incidentes, desactive Seleccionar todo y seleccione Asignado a mí.
  3. Seleccione Aplicar y, a continuación, cierre el panel Filtros.

A continuación, puede guardar la dirección URL resultante en el explorador como marcador para ver rápidamente la lista de incidentes asignados.

Resolver un incidente

Si el incidente se ha corregido, seleccione Resolver incidente para mover la alternancia a la derecha. Tenga en cuenta que la resolución de un incidente también resuelve todas las alertas vinculadas y activas relacionadas con el incidente.

Un incidente que no se resuelve se muestra como Activo.

Establecer la clasificación y la determinación

La clasificación de incidentes es si se trata de una alerta verdadera o una alerta falsa, que se configura desde el campo Clasificación.

Si se trataba de una alerta verdadera, también debe especificar qué tipo de amenaza era con el campo Determinación. La especificación del tipo de amenaza ayuda a su equipo de seguridad a ver los patrones de amenaza y a actuar para defender a su organización de ellos.

Agregar comentarios

Puede agregar varios comentarios a un incidente con el campo Comentario. Cada comentario se agrega a los eventos históricos del incidente. Puede ver los comentarios y el historial de un incidente desde el vínculo Comentarios e historial en la página Resumen.

Siguientes pasos

Para nuevos incidentes, inicie la investigación.

Para incidentes en el proceso, continúe con la investigación.

Para los incidentes resueltos, realice una revisión posterior al incidente.

Vea también