Administración de incidentes de seguridad en Azure Security CenterManage security incidents in Azure Security Center

La clasificación e investigación de las alertas de seguridad puede ser un proceso largo incluso para los analistas de seguridad más cualificados.Triaging and investigating security alerts can be time consuming for even the most skilled security analysts. Para muchos, es difícil saber por dónde empezar.For many, it's hard to know where to begin.

Security Center usa análisis para conectar la información entre alertas de seguridad diferentes.Security Center uses analytics to connect the information between distinct security alerts. Con estas conexiones, Security Center puede proporcionar una vista única de una campaña de ataque y sus alertas relacionadas para ayudarle a comprender las acciones del atacante y los recursos afectados.Using these connections, Security Center can provide a single view of an attack campaign and its related alerts to help you understand the attacker's actions and the affected resources.

Esta página contiene información general sobre los incidentes de Security Center.This page provides an overview of incidents in Security Center.

¿Qué es un incidente de seguridad?What is a security incident?

En Security Center, un incidente de seguridad es la suma de todas las alertas de un recurso que se alinean con patrones de cadenas de eliminación .In Security Center, a security incident is an aggregation of all alerts for a resource that align with kill chain patterns. Los incidentes aparecen en la página Alertas de seguridad.Incidents appear in the Security alerts page. Seleccione un incidente para ver las alertas relacionadas y obtener más información.Select an incident to view the related alerts and get more information.

Administración de incidentes de seguridadManaging security incidents

  1. En la página de alertas de Security Center, use el botón Agregar filtro para filtrar por nombre de alerta en el nombre de alerta Incidente de seguridad detectado en varios recursos.On Security Center's alerts page, use the Add filter button to filter by alert name to the alert name Security incident detected on multiple resources.

    Búsqueda de incidentes en la página de alertas de Azure Security Center

    La lista está ahora filtrada para que muestre solo los incidentes.The list is now filtered to show only incidents. Tenga en cuenta que los incidentes de seguridad tienen un icono diferente a las alertas de seguridad.Notice that security incidents have a different icon to security alerts.

    Lista de incidentes en la página de alertas de Azure Security Center

  2. Para ver los detalles de un incidente, seleccione uno de la lista.To view details of an incident, select one from the list. Aparece un panel lateral con más detalles sobre el incidente.A side pane appears with more details about the incident.

    Panel lateral que muestra los detalles del incidente

  3. Para ver más detalles, seleccione Ver detalles completos.To view more details, select View full details.

    Respuesta a incidentes de seguridad en Azure Security CenterRespond to security incidents in Azure Security Center

    En el panel izquierdo de la página Incidente de seguridad se muestra información de alto nivel sobre el incidente de seguridad: título, gravedad, estado, tiempo de actividad, descripción y el recurso afectado.The left pane of the security incident page shows high-level information about the security incident: title, severity, status, activity time, description, and the affected resource. Junto al recurso afectado, puede ver las etiquetas relevantes de Azure.Next to the affected resource you can see the relevant Azure tags. Use estas etiquetas para deducir el contexto de la organización del recurso al investigar la alerta.Use these tags to infer the organizational context of the resource when investigating the alert.

    En el panel derecho se incluye la pestaña Alertas con las alertas de seguridad que se correlacionan como parte de este incidente.The right pane includes the Alerts tab with the security alerts that were correlated as part of this incident.

    Sugerencia

    Para obtener más información acerca de una alerta específica, selecciónela.For more information about a specific alert, select it.

    Pestaña Realizar acción del incidenteIncident's take action tab

    Para cambiar a la pestaña Realizar acción, seleccione la pestaña o el botón en la parte inferior del panel derecho.To switch to the Take action tab, select the tab or the button on the bottom of the right pane. Use esta pestaña para realizar acciones adicionales, como:Use this tab to take further actions such as:

    • Mitigar las amenazas: proporciona pasos de corrección manual para este incidente de seguridad.Mitigate the threat - provides manual remediation steps for this security incident
    • Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie expuesta a ataques, aumentar la postura de seguridad y evitar futuros ataques.Prevent future attacks - provides security recommendations to help reduce the attack surface, increase security posture, and prevent future attacks
    • Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como respuesta a este incidente de seguridad.Trigger automated response - provides the option to trigger a Logic App as a response to this security incident
    • Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares si la alerta no es relevante para su organización.Suppress similar alerts - provides the option to suppress future alerts with similar characteristics if the alert isn’t relevant for your organization

    Nota

    La misma alerta puede existir como parte de un incidente y estar visible como alerta independiente.The same alert can exist as part of an incident, as well as to be visible as a standalone alert.

  4. Para corregir las amenazas del incidente, siga los pasos de corrección que se proporcionan con cada alerta.To remediate the threats in the incident, follow the remediation steps provided with each alert.

Pasos siguientesNext steps

En esta página se han explicado las capacidades de incidentes de seguridad de Security Center.This page explained the security incident capabilities of Security Center. Para obtener información relacionada, consulte las páginas siguientes:For related information, see the following pages: