Realizar un seguimiento y responder a amenazas emergentes con análisis de amenazasTrack and respond to emerging threats with threat analytics

Importante

Bienvenido a Microsoft defender para el punto final, el nuevo nombre de protección contra amenazas avanzada de Microsoft defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Obtén más información sobre esta y otras actualizaciones aquí.Read more about this and other updates here. Actualizaremos los nombres de los productos y de los documentos en el futuro.We'll be updating names in products and in the docs in the near future.

Se aplica a:Applies to:

Con los adversariess más sofisticados y las nuevas amenazas emergentes con frecuencia y con frecuencia, es fundamental poder:With more sophisticated adversaries and new threats emerging frequently and prevalently, it's critical to be able to quickly:

  • Evaluar el impacto de las nuevas amenazasAssess the impact of new threats
  • Revisar su resistencia o exposición a las amenazasReview your resilience against or exposure to the threats
  • Identificar las acciones que puede llevar a cabo para detener o contener las amenazasIdentify the actions you can take to stop or contain the threats

El análisis de amenazas es un conjunto de informes de investigadores de seguridad de Microsoft que cubren las amenazas más relevantes, entre las que se incluyen:Threat analytics is a set of reports from expert Microsoft security researchers covering the most relevant threats, including:

  • Actores de amenazas activos y sus campañasActive threat actors and their campaigns
  • Técnicas de ataque más populares y nuevasPopular and new attack techniques
  • Vulnerabilidades críticasCritical vulnerabilities
  • Superficies de ataque comunesCommon attack surfaces
  • Malware predominantePrevalent malware

Cada informe proporciona un análisis detallado de una amenaza y un amplio asesoramiento sobre cómo defenderse contra esa amenaza.Each report provides a detailed analysis of a threat and extensive guidance on how to defend against that threat. También incorpora datos de su red, lo que indica si la amenaza está activa y si tiene las protecciones vigentes.It also incorporates data from your network, indicating whether the threat is active and if you have applicable protections in place.

Vea este breve vídeo para obtener más información sobre cómo los análisis de amenazas pueden ayudarle a realizar un seguimiento de las amenazas más recientes y a detenerlos.Watch this short video to learn more about how threat analytics can help you track the latest threats and stop them.

Ver el panel de análisis de amenazasView the threat analytics dashboard

El panel de análisis de amenazas es un excelente punto de acceso para llegar a los informes más relevantes para su organización.The threat analytics dashboard is a great jump off point for getting to the reports that are most relevant to your organization. Resume las amenazas de las siguientes secciones:It summarizes the threats in the following sections:

  • Amenazas más recientes: muestra los informes de amenazas publicados recientemente, junto con el número de dispositivos con alertas activas y activas.Latest threats—lists the most recently published threat reports, along with the number of devices with active and resolved alerts.
  • Amenazas de gran impacto: enumera las amenazas que han tenido más impacto en la organización.High-impact threats—lists the threats that have had the highest impact to the organization. En esta sección se clasifican las amenazas por el número de dispositivos que tienen alertas activas.This section ranks threats by the number of devices that have active alerts.
  • Resumen de amenazas: muestra el impacto general de las amenazas con seguimiento al mostrar la cantidad de amenazas con alertas activas y resueltas.Threat summary—shows the overall impact of tracked threats by showing the number of threats with active and resolved alerts.

Seleccione una amenaza del panel para ver el informe de esa amenaza.Select a threat from the dashboard to view the report for that threat.

Imagen de un panel de análisis de amenazas

Ver un informe de análisis de amenazasView a threat analytics report

Cada informe de análisis de amenazas proporciona información en tres secciones: información general, Informe de analistasy mitigaciones.Each threat analytics report provides information in three sections: Overview, Analyst report, and Mitigations.

Información general: entienda rápidamente la amenaza, evalúe su impacto y revise las defensasOverview: Quickly understand the threat, assess its impact, and review defenses

La sección Descripción general proporciona una vista previa del informe detallado de analistas.The Overview section provides a preview of the detailed analyst report. También proporciona gráficos que resaltan el impacto de la amenaza para su organización y su exposición a través de dispositivos mal configurados y sin revisar.It also provides charts that highlight the impact of the threat to your organization and your exposure through misconfigured and unpatched devices.

Imagen de la sección de información general de una sección General del informe de análisis de amenazas de un informe de análisis de amenazasImage of the overview section of a threat analytics report](images/ta-overview.png) Overview section of a threat analytics report

Evaluar el impacto en la organizaciónAssess the impact to your organization

Cada informe incluye gráficos diseñados para proporcionar información sobre el impacto organizacional de una amenaza:Each report includes charts designed to provide information about the organizational impact of a threat:

  • Dispositivos con alertas: muestra el número actual de dispositivos distintos que se han visto afectados por la amenaza.Devices with alerts—shows the current number of distinct devices that have been impacted by the threat. Un dispositivo se clasifica como activo si hay al menos una alerta asociada con esa amenaza y se resuelve si todas las alertas asociadas a la amenaza en el dispositivo se han resuelto.A device is categorized as Active if there is at least one alert associated with that threat and Resolved if all alerts associated with the threat on the device have been resolved.
  • Dispositivos con alertas a lo largo del tiempo: muestra el número de dispositivos distintos con alertas activas y resueltas a lo largo del tiempo.Devices with alerts over time—shows the number of distinct devices with Active and Resolved alerts over time. El número de alertas resueltas indica la rapidez con la que su organización responde a alertas asociadas a una amenaza.The number of resolved alerts indicates how quickly your organization responds to alerts associated with a threat. Idealmente, el gráfico debería mostrar las alertas resueltas en unos días.Ideally, the chart should be showing alerts resolved within a few days.

Revisar la resistencia y la postura de seguridadReview security resilience and posture

Cada informe incluye gráficos que proporcionan una descripción general de la resistencia de la organización a una amenaza determinada:Each report includes charts that provide an overview of how resilient your organization is against a given threat:

  • Estado de configuración de seguridad: muestra el número de dispositivos que han aplicado la configuración de seguridad recomendada que puede ayudar a mitigar la amenaza.Security configuration status—shows the number of devices that have applied the recommended security settings that can help mitigate the threat. Los dispositivos se consideran seguros si han aplicado todas las opciones de seguimiento.Devices are considered Secure if they have applied all the tracked settings.
  • Estado de revisión de vulnerabilidades: muestra el número de dispositivos que han aplicado actualizaciones o revisiones de seguridad que tratan vulnerabilidades explotadas por la amenaza.Vulnerability patching status—shows the number of devices that have applied security updates or patches that address vulnerabilities exploited by the threat.

Informe de analistas: Obtenga información experta de investigadores de seguridad de MicrosoftAnalyst report: Get expert insight from Microsoft security researchers

Vaya a la sección del Informe de analistas para leer el experto detallado.Go to the Analyst report section to read through the detailed expert write-up. La mayoría de los informes proporcionan descripciones detalladas de cadenas de ataques, entre las que se incluyen tácticas y técnicas asignadas al marco de MITRE ATT&CK, listas exhaustivas de recomendaciones e instrucciones de búsqueda de amenazas eficaces.Most reports provide detailed descriptions of attack chains, including tactics and techniques mapped to the MITRE ATT&CK framework, exhaustive lists of recommendations, and powerful threat hunting guidance.

Más información sobre el informe de analistasLearn more about the analyst report

Mitigaciones: revisar la lista de mitigaciones y el estado de los dispositivosMitigations: Review list of mitigations and the status of your devices

En la sección de mitigaciones , revise la lista de recomendaciones específicas que pueden ayudarle a aumentar la resistencia organizacional contra la amenaza.In the Mitigations section, review the list of specific actionable recommendations that can help you increase your organizational resilience against the threat. La lista de mitigaciones con seguimiento incluye:The list of tracked mitigations includes:

  • Actualizaciones de seguridad: implementación de actualizaciones o revisiones de seguridad para vulnerabilidadesSecurity updates—deployment of security updates or patches for vulnerabilities
  • Configuración de antivirus de Microsoft defenderMicrosoft Defender Antivirus settings
    • Versión de inteligencia de seguridadSecurity intelligence version
    • Protección proporcionada por la nubeCloud-delivered protection
    • Protección de aplicaciones potencialmente no deseadas (PUA)Potentially unwanted application (PUA) protection
    • Protección en tiempo realReal-time protection

La información de mitigación de esta sección incluye los datos de la Administración de amenazas y vulnerabilidades, que también proporciona información detallada de varios vínculos en el informe.Mitigation information in this section incorporates data from threat and vulnerability management, which also provides detailed drill-down information from various links in the report.

Imagen de la sección de mitigaciones de una sección de mitigaciones de informes de análisis de amenazas de un informe de análisis de amenazasImage of the mitigations section of a threat analytics report](images/ta-mitigations.png) Mitigations section of a threat analytics report

Detalles y limitaciones de informes adicionalesAdditional report details and limitations

Cuando use los informes, tenga en cuenta lo siguiente:When using the reports, keep the following in mind:

  • El ámbito de los datos se basa en el ámbito de control de acceso basado en roles (RBAC).Data is scoped based on your role-based access control (RBAC) scope. Verá el estado de los dispositivos en grupos a los que tiene acceso.You will see the status of devices in groups that you can access.
  • Los gráficos solo reflejan las mitigaciones que se controlan.Charts reflect only mitigations that are tracked. Consulte la descripción general de los informes para mitigaciones adicionales que no se muestran en los gráficos.Check the report overview for additional mitigations that are not shown in the charts.
  • Los factores atenuantes no garantizan una resistencia completa.Mitigations don't guarantee complete resilience. Los factores atenuantes proporcionados reflejan las mejores acciones posibles necesarias para mejorar la resistencia.The provided mitigations reflect the best possible actions needed to improve resiliency.
  • Los dispositivos se cuentan como "no disponibles" si no han transmitido datos al servicio.Devices are counted as "unavailable" if they have not transmitted data to the service.
  • Las estadísticas relacionadas con el antivirus se basan en la configuración de antivirus de Microsoft defender.Antivirus-related statistics are based on Microsoft Defender Antivirus settings. Los dispositivos con soluciones antivirus de terceros pueden mostrarse como "expuestos".Devices with third-party antivirus solutions can appear as "exposed".

Temas relacionadosRelated topics