Investigación de alertas en Microsoft Defender XDR

Nota:

¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.

Se aplica a:

  • Microsoft Defender XDR

Nota:

En este artículo se describen las alertas de seguridad en Microsoft Defender XDR. Sin embargo, puede usar alertas de actividad para enviar notificaciones por correo electrónico a usted mismo u otros administradores cuando los usuarios realicen actividades específicas en Microsoft 365. Para obtener más información, consulte Creación de alertas de actividad: Microsoft Purview | Microsoft Docs.

Las alertas son la base de todos los incidentes e indican la aparición de eventos malintencionados o sospechosos en su entorno. Las alertas suelen formar parte de un ataque más amplio y proporcionan pistas sobre un incidente.

En Microsoft Defender XDR, las alertas relacionadas se agregan juntas para formar incidentes. Los incidentes siempre proporcionarán el contexto más amplio de un ataque; sin embargo, el análisis de alertas puede ser útil cuando se requiere un análisis más profundo.

La cola Alertas muestra el conjunto actual de alertas. Puede acceder a la cola de alertas desde Incidentes & alertas Alertas > en el inicio rápido del portal de Microsoft Defender.

La sección Alertas del portal de Microsoft Defender

Aquí aparecen alertas de diferentes soluciones de seguridad de Microsoft, como Microsoft Defender para punto de conexión, Microsoft Defender para Office 365 y Microsoft Defender XDR.

De forma predeterminada, la cola de alertas del portal de Microsoft Defender muestra las alertas nuevas y en curso de los últimos 30 días. La alerta más reciente está en la parte superior de la lista para que pueda verla primero.

En la cola de alertas predeterminada, puede seleccionar Filtrar para ver un panel Filtro , desde el que puede especificar un subconjunto de las alertas. Por ejemplo:

La sección Filtros del portal de Microsoft Defender.

Puede filtrar las alertas según estos criterios:

  • Severity
  • Estado
  • Orígenes del servicio
  • Entidades (los recursos afectados)
  • Estado de investigación automatizada

Roles necesarios para las alertas de Defender para Office 365

Tendrá que tener cualquiera de los siguientes roles para acceder a Microsoft Defender para Office 365 alertas:

  • Para Microsoft Entra roles globales:

    • Administrador global
    • Administrador de seguridad
    • Operador de seguridad
    • Lector global
    • Lector de seguridad
  • Grupos de roles de cumplimiento de & seguridad de Office 365

    • Administrador de cumplimiento
    • Administración de la organización
  • Un rol personalizado

Analizar una alerta

Para ver la página principal de la alerta, seleccione el nombre de la alerta. Por ejemplo:

Captura de pantalla que muestra los detalles de una alerta en el portal de Microsoft Defender

También puede seleccionar la acción Abrir la página de alerta principal en el panel Administrar alertas .

Una página de alertas se compone de estas secciones:

  • Historia de alertas, que es la cadena de eventos y alertas relacionadas con esta alerta en orden cronológico
  • Detalles de resumen

A lo largo de una página de alerta, puede seleccionar los puntos suspensivos (...) junto a cualquier entidad para ver las acciones disponibles, como vincular la alerta a otro incidente. La lista de acciones disponibles depende del tipo de alerta.

Orígenes de alertas

Microsoft Defender XDR alertas pueden provenir de soluciones como Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, el complemento de gobernanza de aplicaciones para Microsoft Defender for Cloud Apps, Protección de Microsoft Entra IDy Prevención de pérdida de datos de Microsoft. Es posible que observe alertas con caracteres antepuestos en la alerta. En la tabla siguiente, se proporcionan instrucciones para ayudarle a comprender la asignación de orígenes de alertas en función del carácter antepuesto en la alerta.

Nota:

  • Los GUID antepuestos son específicos solo para experiencias unificadas, como la cola de alertas unificadas, la página de alertas unificadas, la investigación unificada y el incidente unificado.
  • El carácter antepuesto no cambia el GUID de la alerta. El único cambio en el GUID es el componente antepuesto.
Origen de la alerta Carácter antepuesto
Microsoft Defender XDR ra
ta para ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender para Office 365 fa{GUID}
Ejemplo: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender para punto de conexión da o ed para alertas de detección personalizadas
Microsoft Defender for Identity aa{GUID}
Ejemplo: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Ejemplo: ca123a456b-c789-1d2e-12f1g33h445h6i
Protección de Microsoft Entra ID ad
Gobernanza de aplicaciones ma
Prevención de pérdida de datos de Microsoft dl

Configuración del servicio de alertas IP de Microsoft Entra

  1. Vaya al portal de Microsoft Defender (security.microsoft.com), seleccione Configuración>Microsoft Defender XDR.

  2. En la lista, seleccione Configuración del servicio de alertas y, a continuación, configure el servicio de alertas de Protección de Microsoft Entra ID.

    Captura de pantalla de Protección de Microsoft Entra ID configuración de alertas en el portal de Microsoft Defender.

De forma predeterminada, solo están habilitadas las alertas más relevantes para el centro de operaciones de seguridad. Si desea obtener todas las detecciones de riesgo de IP Microsoft Entra, puede cambiarla en la sección Configuración del servicio de alertas.

También puede acceder a la configuración del servicio de alertas directamente desde la página Incidentes del portal de Microsoft Defender.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Analizar los recursos afectados

La sección Acciones tomadas tiene una lista de recursos afectados, como buzones, dispositivos y usuarios afectados por esta alerta.

También puede seleccionar Ver en el centro de acciones para ver la pestaña Historial del Centro de acciones en el portal de Microsoft Defender.

Segur el rol de una alerta en el historial de la alerta

El historial de la alerta muestra todos los recursos o entidades relacionados con la alerta en una vista de árbol de procesos. La alerta del título es lo más importante cuando llega por primera vez a la página de la alerta seleccionada. Los recursos del artículo de alertas se pueden expandir y hacer clic. Proporcionan información adicional y aceleran la respuesta, ya que le permiten tomar medidas directamente en el contexto de la página de la alerta.

Nota:

La sección del artículo de alertas puede contener más de una alerta, con alertas adicionales relacionadas con el mismo árbol de ejecución que aparecen antes o después de la alerta que ha seleccionado.

Ver más información de alerta en la página de detalles

La página de detalles muestra los detalles de la alerta seleccionada, con detalles y acciones relacionadas con ella. Si selecciona cualquiera de los recursos o entidades afectados en el historial de la alerta, la página de detalles cambia para proporcionar información contextual y acciones para el objeto seleccionado.

Una vez seleccionada una entidad de interés, la página de detalles cambia para mostrar información sobre el tipo de entidad seleccionado, información histórica cuando está disponible y opciones para realizar acciones en esta entidad directamente desde la página de alertas.

Administrar alertas

Para administrar una alerta, seleccione Administrar alerta en la sección de detalles del resumen de la página de la alerta. Para una sola alerta, este es un ejemplo del panel Administrar alerta.

Captura de pantalla de la sección Administrar alerta en el portal de Microsoft Defender

El panel Administrar alertas permite ver o especificar:

  • El estado de la alerta (Nueva, Resuelta, En curso).
  • La cuenta de usuario a la que se ha asignado la alerta.
  • La clasificación de la alerta:
    • No establecido (valor predeterminado).
    • Verdadero positivo con un tipo de amenaza. Use esta clasificación para las alertas que indican con precisión una amenaza real. Al especificar este tipo de amenaza, el equipo de seguridad verá patrones de amenazas y actuará para defender su organización de ellos.
    • Actividad informativa y esperada con un tipo de actividad. Use esta opción para las alertas que sean técnicamente precisas, pero que representen un comportamiento normal o una actividad de amenaza simulada. Por lo general, quiere omitir estas alertas, pero esperarlas para actividades similares en el futuro, donde las actividades las desencadenan atacantes o malware reales. Use las opciones de esta categoría para clasificar las alertas de las pruebas de seguridad, la actividad del equipo rojo y el comportamiento inusual esperado de aplicaciones y usuarios de confianza.
    • Falso positivo para los tipos de alertas que se crearon incluso cuando no hay ninguna actividad malintencionada o para una falsa alarma. Use las opciones de esta categoría para clasificar las alertas que se identifican erróneamente como eventos o actividades normales como malintencionados o sospechosos. A diferencia de las alertas de "Actividad informativa y esperada", que también puede ser útil para detectar amenazas reales, por lo general no quiere volver a ver estas alertas. La clasificación de alertas como falsos positivos ayuda a Microsoft Defender XDR mejorar su calidad de detección.
  • Un comentario sobre la alerta.

Nota:

Alrededor del 29 de agosto de 2022, los valores de determinación de alertas admitidos anteriormente ("Apt" y "SecurityPersonnel") quedarán en desuso y ya no estarán disponibles a través de la API.

Nota:

Una forma de administrar las alertas mediante el uso de etiquetas. La funcionalidad de etiquetado para Microsoft Defender para Office 365 se está implementando de forma incremental y se encuentra actualmente en versión preliminar.

Actualmente, los nombres de etiqueta modificados solo se aplican a las alertas creadas después de la actualización. Las alertas que se generaron antes de la modificación no reflejarán el nombre de etiqueta actualizado.

Para administrar un conjunto de alertas similar a una alerta específica, seleccione Ver alertas similares en el cuadro INSIGHT de la sección de detalles de resumen de la página de alertas.

Captura de pantalla de la selección de una alerta en el portal de Microsoft Defender

En el panel Administrar alertas, puede clasificar todas las alertas relacionadas al mismo tiempo. Por ejemplo:

Captura de pantalla de la administración de alertas relacionadas en el portal de Microsoft Defender

Si ya se clasificaron alertas similares en el pasado, puede ahorrar tiempo mediante Microsoft Defender XDR recomendaciones para obtener información sobre cómo se resolvieron las otras alertas. En la sección de detalles de resumen, seleccione Recomendaciones.

Captura de pantalla de un ejemplo de selección de recomendaciones para una alerta

La pestaña Recomendaciones proporciona acciones y consejos para la investigación, la corrección y la prevención. Por ejemplo:

Captura de pantalla de un ejemplo de recomendaciones de alertas

Ajuste de una alerta

Como analista del Centro de operaciones de seguridad (SOC), uno de los principales problemas es evaluar el gran número de alertas que se desencadenan diariamente. El tiempo de un analista es valioso, ya que solo quiere centrarse en alertas de alta gravedad y prioridad alta. Mientras tanto, los analistas también deben evaluar y resolver alertas de prioridad inferior, lo que tiende a ser un proceso manual.

El ajuste de alertas proporciona la capacidad de optimizar y administrar alertas de antemano. Esto simplifica la cola de alertas y ahorra tiempo de evaluación de prioridades ocultando o resolviendo alertas automáticamente, cada vez que se produce un determinado comportamiento organizativo esperado y se cumplen las condiciones de regla.

Puede crear condiciones de regla basadas en "tipos de evidencia", como archivos, procesos, tareas programadas y muchos otros tipos de evidencia que desencadenan la alerta. Después de crear la regla, puede aplicar la regla en la alerta seleccionada o en cualquier tipo de alerta que cumpla las condiciones de regla para ajustar la alerta.

Además, la característica también cubre las alertas procedentes de varios orígenes de servicio Microsoft Defender XDR. La característica de optimización de alertas en versión preliminar pública es obtener alertas de cargas de trabajo como Defender para punto de conexión, Defender para Office 365, Defender for Identity, Defender for Cloud Apps, Protección de Microsoft Entra ID (ip de Microsoft Entra) y otros, si estos orígenes están disponibles en la plataforma y Plan. Anteriormente, la funcionalidad de optimización de alertas solo capturaba las alertas de la carga de trabajo de Defender para punto de conexión.

Nota:

Se recomienda usar el ajuste de alertas, anteriormente conocido como supresión de alertas, con precaución. En determinadas situaciones, una aplicación empresarial interna conocida o pruebas de seguridad desencadenan una actividad esperada y no desea ver estas alertas. Por lo tanto, puede crear una regla para ajustar estos tipos de alertas.

Creación de condiciones de regla para ajustar alertas

Hay dos maneras de ajustar una alerta en Microsoft Defender XDR. Para ajustar una alerta desde la página Configuración :

  1. Vaya a Configuración. En el panel izquierdo, vaya a Reglas y seleccione Optimización de alertas.

    Captura de pantalla de la opción De optimización de alertas en la página Configuración de Microsoft Defender XDR.

    Seleccione Agregar nueva regla para ajustar una nueva alerta. También puede editar una regla existente en esta vista seleccionando una regla de la lista.

    Captura de pantalla de la adición de nuevas reglas en la página Optimización de alertas.

  2. En el panel Optimizar alerta , puede seleccionar los orígenes de servicio donde se aplica la regla en el menú desplegable en Orígenes de servicio.

    Captura de pantalla del menú desplegable de origen del servicio en la página Ajustar una alerta.

    Nota:

    Solo se muestran los servicios a los que el usuario tiene permiso.

  3. Agregue indicadores de riesgo (IOC) que desencadenan la alerta en la sección IOC . Puede agregar una condición para detener la alerta cuando se desencadene por un IOC específico o por cualquier IOC agregado a la alerta.

    Los IOC son indicadores como archivos, procesos, tareas programadas y otros tipos de evidencia que desencadenan la alerta.

    Captura de pantalla del menú IOC en la página Ajustar una alerta.

    Para establecer varias condiciones de regla, use AND, OR y opciones de agrupación para crear una relación entre estos varios "tipos de evidencia" que provocan la alerta.

    1. Por ejemplo, seleccione la evidencia desencadenante Entity Role: Trigger, equals y any para detener la alerta cuando se desencadene por cualquier IOC agregado a la alerta. Todas las propiedades de esta "evidencia" se rellenarán automáticamente como un nuevo subgrupo en los campos respectivos siguientes.

    Nota:

    Los valores de condición no distinguen mayúsculas de minúsculas.

    1. Puede editar o eliminar propiedades de esta "evidencia" en función de sus necesidades (con caracteres comodín, cuando se admita).

    2. Aparte de los archivos y procesos, el script de la Interfaz de examen de AntiMalware (AMSI), el evento instrumental de administración de Windows (WMI) y las tareas programadas son algunos de los tipos de evidencia recién agregados que puede seleccionar en la lista desplegable tipos de evidencia.

    3. Para agregar otro IOC, haga clic en Agregar filtro.

    Nota:

    Es necesario agregar al menos un IOC a la condición de regla para ajustar cualquier tipo de alerta.

  4. En la sección Acción , realice la acción adecuada de Ocultar alerta o Resolver alerta.

    Escriba Nombre, Descripción y haga clic en Guardar.

    Nota:

    El título de la alerta (Nombre) se basa en el tipo de alerta (IoaDefinitionId), que decide el título de la alerta. Dos alertas que tienen el mismo tipo de alerta pueden cambiar a un título de alerta diferente.

    Captura de pantalla del menú Acción de la página Ajustar una alerta.

Para ajustar una alerta desde la página Alertas :

  1. Seleccione una alerta en la página Alertas en Incidentes y alertas. Como alternativa, puede seleccionar una alerta al revisar los detalles del incidente en la página Incidente.

    Puede ajustar una alerta a través del panel Ajustar alerta que se abre automáticamente en el lado derecho de la página de detalles de la alerta.

    Captura de pantalla del panel Ajustar una alerta dentro de una página Alerta.

  2. Seleccione las condiciones en las que se aplica la alerta en la sección Tipos de alerta . Seleccione Solo este tipo de alerta para aplicar la regla en la alerta seleccionada.

    Sin embargo, para aplicar la regla en cualquier tipo de alerta que cumpla las condiciones de regla, seleccione Cualquier tipo de alerta en función de las condiciones de IOC.

    Captura de pantalla del panel Ajustar una alerta que resalta la sección Tipos de alerta.

  3. Si el ajuste de alertas es específico de Defender para punto de conexión, es necesario rellenar la sección Ámbito . Seleccione si la regla se aplica a todos los dispositivos de la organización o a un dispositivo específico.

    Nota:

    La aplicación de la regla a toda la organización requiere un permiso de rol administrativo.

    Captura de pantalla del panel Ajustar una alerta que resalta la sección Ámbito.

  4. Agregue condiciones en la sección Condiciones para detener la alerta cuando se desencadene por un IOC específico o por cualquier IOC agregado a la alerta. Puede seleccionar un dispositivo específico, varios dispositivos, grupos de dispositivos, toda la organización o por usuario en esta sección.

    Nota:

    Debe tener Administración permiso cuando el ámbito solo se establece para El usuario. Administración permiso no es necesario cuando el ámbito se establece para el usuario junto con dispositivos, grupos de dispositivos.

    Captura de pantalla del panel Ajustar una alerta que resalta la sección Condiciones.

  5. Agregue IOC donde se aplica la regla en la sección IOC . Puede seleccionar Cualquier COI para detener la alerta independientemente de la "evidencia" que haya provocado la alerta.

    Captura de pantalla del panel Ajustar una alerta que resalta la sección IOC.

  6. Como alternativa, puede seleccionar Rellenar automáticamente todas las E/S relacionadas con alertas 7 en la sección IOC para agregar todos los tipos de evidencia relacionados con alertas y sus propiedades a la vez en la sección Condiciones .

    Captura de pantalla del relleno automático de todas las IOC relacionadas con alertas.

  7. En la sección Acción , realice la acción adecuada de Ocultar alerta o Resolver alerta.

    Escriba Nombre, Comentario y haga clic en Guardar.

    Captura de pantalla de la sección Acción en el panel Ajustar alertas.

  8. Evite que las IOC se bloqueen en el futuro:

    Una vez que guarde la regla de optimización de alertas, en la página Creación correcta de reglas que aparece, puede agregar los IOC seleccionados como indicadores a la "lista de permitidos" y evitar que se bloqueen en el futuro.

    Todos los IOC relacionados con alertas se mostrarán en la lista.

    Las IOC que se seleccionaron en las condiciones de supresión se seleccionarán de forma predeterminada.

    1. Por ejemplo, puede agregar archivos para que puedan usarse en la opción Seleccionar evidencia (IOC) que se va a permitir. De forma predeterminada, se selecciona el archivo que desencadenó la alerta.
    2. Escriba el ámbito en seleccionar el ámbito al que se va a aplicar. De forma predeterminada, se selecciona el ámbito de la alerta relacionada.
    3. Haga clic en Guardar. Ahora el archivo no está bloqueado como está en la lista de permitidos.
  9. La nueva funcionalidad de optimización de alertas está disponible de forma predeterminada.

    Sin embargo, puede volver a la experiencia anterior en Microsoft Defender portal; para ello, vaya a Configuración > Microsoft Defender XDR > Optimización de alertas de reglas >y desactive el botón de alternancia Nueva creación de reglas de ajuste habilitada.

    Nota:

    Pronto, solo estará disponible la nueva experiencia de optimización de alertas. No podrá volver a la experiencia anterior.

  10. Editar reglas existentes:

    Siempre puede agregar o cambiar las condiciones de regla y el ámbito de las reglas nuevas o existentes en el portal de Microsoft Defender, seleccionando la regla pertinente y haciendo clic en Editar regla.

    Para editar las reglas existentes, asegúrese de que está habilitado el botón de alternancia Nueva creación de reglas de optimización de alertas habilitada .

Resolución de una alerta

Una vez que haya terminado de analizar una alerta y se pueda resolver, vaya al panel Administrar alerta para la alerta o alertas similares, marque el estado como Resuelto y clasifique como Un verdadero positivo con un tipo de amenaza, una actividad informativa y esperada con un tipo de actividad o un Falso positivo.

La clasificación de alertas ayuda a Microsoft Defender XDR mejorar su calidad de detección.

Uso de Power Automate para evaluar las alertas

Los equipos de operaciones de seguridad modernas (SecOps) necesitan automatización para funcionar de forma eficaz. Para centrarse en la búsqueda e investigación de amenazas reales, los equipos de SecOps usan Power Automate para evaluar la lista de alertas y eliminar las que no son amenazas.

Criterios para resolver alertas

  • El usuario tiene el mensaje fuera de la oficina activado
  • El usuario no está etiquetado como de alto riesgo

Si ambos son true, SecOps marca la alerta como viaje legítimo y la resuelve. Una notificación se publica en Microsoft Teams una vez resuelta la alerta.

Conexión de Power Automate a Microsoft Defender for Cloud Apps

Para crear la automatización, necesitará un token de API para poder conectar Power Automate a Microsoft Defender for Cloud Apps.

  1. Abra Microsoft Defender y seleccione Configuración> Token deAPI deCloud Apps> y, a continuación, seleccione Agregar token en la pestaña Tokens de API.

  2. Proporcione un nombre para el token y, a continuación, seleccione Generar. Guarde el token, ya que lo necesitará más adelante.

Creación de un flujo automatizado

Vea este breve vídeo para obtener información sobre cómo funciona la automatización de forma eficaz para crear un flujo de trabajo fluido y cómo conectar Power Automate a Defender for Cloud Apps.

Pasos siguientes

Según sea necesario para incidentes en proceso, continúe con la investigación.

Consulte también

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.