Ver y organizar la cola de Alertas de punto de conexión de Microsoft DefenderView and organize the Microsoft Defender for Endpoint Alerts queue

Se aplica a:Applies to:

¿Desea experimentar Defender for Endpoint?Want to experience Defender for Endpoint? Regístrate para obtener una versión de prueba gratuita.Sign up for a free trial.

La cola De alertas muestra una lista de alertas marcadas desde dispositivos de la red.The Alerts queue shows a list of alerts that were flagged from devices in your network. De forma predeterminada, la cola muestra alertas vistas en los últimos 30 días en una vista agrupada.By default, the queue displays alerts seen in the last 30 days in a grouped view. Las alertas más recientes se muestran en la parte superior de la lista, lo que le ayudará a ver primero las alertas más recientes.The most recent alerts are showed at the top of the list helping you see the most recent alerts first.

Nota

La cola de alertas se reduce considerablemente con la investigación automatizada y la corrección, lo que permite a los expertos en operaciones de seguridad centrarse en amenazas más sofisticadas y otras iniciativas de alto valor.The alerts queue is significantly reduced with automated investigation and remediation, allowing security operations experts to focus on more sophisticated threats and other high value initiatives. Cuando una alerta contiene una entidad compatible para la investigación automatizada (por ejemplo, un archivo) en un dispositivo que tiene un sistema operativo compatible, se puede iniciar una investigación y corrección automatizadas.When an alert contains a supported entity for automated investigation (for example, a file) in a device that has a supported operating system for it, an automated investigation and remediation can start. Para obtener más información sobre las investigaciones automatizadas, vea Overview of Automated investigations.For more information on automated investigations, see Overview of Automated investigations.

Hay varias opciones entre las que puede elegir para personalizar la vista de cola de alertas.There are several options you can choose from to customize the alerts queue view.

En la navegación superior puede:On the top navigation you can:

  • Seleccionar vista agrupada o vista de listaSelect grouped view or list view
  • Personalizar columnas para agregar o quitar columnasCustomize columns to add or remove columns
  • Seleccionar los elementos que se mostrarán por páginaSelect the items to show per page
  • Navegar entre páginasNavigate between pages
  • Aplicar filtrosApply filters

Imagen de la cola de alertas

Ordenar, filtrar y agrupar la cola de alertasSort, filter, and group the alerts queue

Puede aplicar los siguientes filtros para limitar la lista de alertas y obtener una vista más centrada de las alertas.You can apply the following filters to limit the list of alerts and get a more focused view the alerts.

SeveritySeverity

Gravedad de alertaAlert severity DescripciónDescription
AltoHigh
(Rojo)(Red)
Alertas que se ven comúnmente asociadas con amenazas persistentes avanzadas (APT).Alerts commonly seen associated with advanced persistent threats (APT). Estas alertas indican un alto riesgo debido a la gravedad del daño que pueden causar en los dispositivos.These alerts indicate a high risk because of the severity of damage they can inflict on devices. Algunos ejemplos son: actividades de herramientas de robo de credenciales, actividades de ransomware no asociadas con ningún grupo, manipulación de sensores de seguridad o cualquier actividad malintencionada indicativa de un adversario humano.Some examples are: credential theft tools activities, ransomware activities not associated with any group, tampering with security sensors, or any malicious activities indicative of a human adversary.
MedianoMedium
(Naranja)(Orange)
Alertas de comportamientos de detección de puntos de conexión y respuesta posteriores a la infracción que pueden formar parte de una amenaza persistente avanzada (APT).Alerts from endpoint detection and response post-breach behaviors that might be a part of an advanced persistent threat (APT). Esto incluye comportamientos observados típicos de fases de ataque, cambios anómalos en el Registro, ejecución de archivos sospechosos, etc.This includes observed behaviors typical of attack stages, anomalous registry change, execution of suspicious files, and so forth. Aunque algunos podrían formar parte de las pruebas de seguridad interna, requiere investigación, ya que también puede ser parte de un ataque avanzado.Although some might be part of internal security testing, it requires investigation as it might also be a part of an advanced attack.
BajoLow
(Amarillo)(Yellow)
Alertas sobre amenazas asociadas con malware frecuente.Alerts on threats associated with prevalent malware. Por ejemplo, herramientas de piratería, herramientas de piratería no malware, como ejecutar comandos de exploración, borrar registros, etc., que a menudo no indican una amenaza avanzada dirigida a la organización.For example, hack-tools, non-malware hack tools, such as running exploration commands, clearing logs, etc., that often do not indicate an advanced threat targeting the organization. También podría venir de una prueba de herramienta de seguridad aislada por un usuario de la organización.It could also come from an isolated security tool testing by a user in your organization.
InformativoInformational
(Gris)(Grey)
Alertas que podrían no considerarse nocivas para la red, pero que pueden aumentar el conocimiento de la seguridad de la organización en posibles problemas de seguridad.Alerts that might not be considered harmful to the network but can drive organizational security awareness on potential security issues.

Descripción de la gravedad de la alertaUnderstanding alert severity

Las gravedades de alerta de Microsoft Defender Antivirus (Antivirus de Microsoft Defender) y Defender para endpoints son diferentes porque representan distintos ámbitos.Microsoft Defender Antivirus (Microsoft Defender AV) and Defender for Endpoint alert severities are different because they represent different scopes.

La gravedad de la amenaza antivirus de Microsoft Defender representa la gravedad absoluta de la amenaza detectada (malware) y se asigna en función del riesgo potencial para el dispositivo individual, si está infectado.The Microsoft Defender AV threat severity represents the absolute severity of the detected threat (malware), and is assigned based on the potential risk to the individual device, if infected.

La gravedad de la alerta defender para el extremo representa la gravedad del comportamiento detectado, el riesgo real para el dispositivo pero, lo que es más importante, el riesgo potencial para la organización.The Defender for Endpoint alert severity represents the severity of the detected behavior, the actual risk to the device but more importantly the potential risk to the organization.

Por ejemplo:So, for example:

  • La gravedad de una alerta de Defender for Endpoint sobre un antivirus de Microsoft Defender detectado que se impidió por completo y no infectó el dispositivo se clasifica como "Informativo" porque no hubo ningún daño real.The severity of a Defender for Endpoint alert about a Microsoft Defender AV detected threat that was completely prevented and did not infect the device is categorized as "Informational" because there was no actual damage.
  • Una alerta sobre un malware comercial que se detectó durante la ejecución, pero bloqueada y subsanada por Microsoft Defender AV, se clasifica como "Baja" porque puede haber causado algún daño en el dispositivo individual, pero no representa ninguna amenaza organizativa.An alert about a commercial malware was detected while executing, but blocked and remediated by Microsoft Defender AV, is categorized as "Low" because it may have caused some damage to the individual device but poses no organizational threat.
  • Una alerta sobre malware detectado durante la ejecución que puede suponer una amenaza no solo para el dispositivo individual, sino para la organización, independientemente de si finalmente se bloqueó, puede clasificarse como "Mediana" o "Alta".An alert about malware detected while executing which can pose a threat not only to the individual device but to the organization, regardless if it was eventually blocked, may be ranked as "Medium" or "High".
  • Las alertas de comportamiento sospechosas, que no se han bloqueado o corregido, se clasificarán como "Baja", "Media" o "Alta" siguiendo las mismas consideraciones de amenazas organizativas.Suspicious behavioral alerts, which weren't blocked or remediated will be ranked "Low", "Medium" or "High" following the same organizational threat considerations.

Descripción de las categorías de alertasUnderstanding alert categories

Hemos redefinido las categorías de alertas para alinearlas con las tácticas de ataque empresarial en la matriz DE ATT de MITRE&CK.We've redefined the alert categories to align to the enterprise attack tactics in the MITRE ATT&CK matrix. Los nuevos nombres de categoría se aplican a todas las alertas nuevas.New category names apply to all new alerts. Las alertas existentes conservarán los nombres de categoría anteriores.Existing alerts will keep the previous category names.

En la tabla siguiente se enumeran las categorías actuales y cómo se asignan generalmente a categorías anteriores.The table below lists the current categories and how they generally map to previous categories.

Nueva categoríaNew category Nombre de categoría apiAPI category name Componente o actividad de amenazas detectadasDetected threat activity or component
ColecciónCollection ColecciónCollection Localización y recopilación de datos para exfiltraciónLocating and collecting data for exfiltration
Comando y controlCommand and control CommandAndControlCommandAndControl Conexión a una infraestructura de red controlada por atacantes para retransmitir datos o recibir comandosConnecting to attacker-controlled network infrastructure to relay data or receive commands
Acceso a credencialesCredential access CredentialAccessCredentialAccess Obtener credenciales válidas para extender el control sobre dispositivos y otros recursos de la redObtaining valid credentials to extend control over devices and other resources in the network
Evasión de defensaDefense evasion DefenseEvasionDefenseEvasion Evitar controles de seguridad, por ejemplo, desactivar aplicaciones de seguridad, eliminar implantes y ejecutar rootkitsAvoiding security controls by, for example, turning off security apps, deleting implants, and running rootkits
DescubrimientoDiscovery DescubrimientoDiscovery Recopilación de información sobre dispositivos y recursos importantes, como equipos de administrador, controladores de dominio y servidores de archivosGathering information about important devices and resources, such as administrator computers, domain controllers, and file servers
EjecuciónExecution EjecuciónExecution Iniciar herramientas de atacante y código malintencionado, incluidos los RAT y puertas traserasLaunching attacker tools and malicious code, including RATs and backdoors
ExfiltraciónExfiltration ExfiltraciónExfiltration Extraer datos de la red a una ubicación externa controlada por atacantesExtracting data from the network to an external, attacker-controlled location
ExploitExploit ExploitExploit Código de vulnerabilidad y posible actividad de explotaciónExploit code and possible exploitation activity
Acceso inicialInitial access InitialAccessInitialAccess Obtener una entrada inicial a la red de destino, que suele implicar la suposición de contraseñas, vulnerabilidades de seguridad o correos electrónicos de suplantación de identidadGaining initial entry to the target network, usually involving password-guessing, exploits, or phishing emails
Movimiento lateralLateral movement LateralMovementLateralMovement Mover entre dispositivos de la red de destino para alcanzar recursos críticos o obtener persistencia de redMoving between devices in the target network to reach critical resources or gain network persistence
MalwareMalware MalwareMalware Puertas traseras, troyanos y otros tipos de código malintencionadoBackdoors, trojans, and other types of malicious code
PersistenciaPersistence PersistenciaPersistence Creación de puntos de extensibilidad de inicio automático (ASEP) para permanecer activo y sobrevivir a los reinicios del sistemaCreating autostart extensibility points (ASEPs) to remain active and survive system restarts
Escalamiento de privilegiosPrivilege escalation PrivilegeEscalationPrivilegeEscalation Obtener niveles de permisos más altos para el código ejecutándose en el contexto de un proceso o cuenta con privilegiosObtaining higher permission levels for code by running it in the context of a privileged process or account
RansomwareRansomware RansomwareRansomware Malware que cifra archivos y extorsiona el pago para restaurar el accesoMalware that encrypts files and extorts payment to restore access
Actividad sospechosaSuspicious activity SuspiciousActivitySuspiciousActivity Actividad atípica que podría ser actividad de malware o parte de un ataqueAtypical activity that could be malware activity or part of an attack
Software no deseadoUnwanted software UnwantedSoftwareUnwantedSoftware Aplicaciones y aplicaciones de baja reputación que afectan a la productividad y a la experiencia del usuario; detectados como aplicaciones potencialmente no deseadas (PUA)Low-reputation apps and apps that impact productivity and the user experience; detected as potentially unwanted applications (PUAs)

EstadoStatus

Puede elegir limitar la lista de alertas en función de su estado.You can choose to limit the list of alerts based on their status.

Estado de investigaciónInvestigation state

Corresponde al estado de investigación automatizada.Corresponds to the automated investigation state.

CategoríaCategory

Puede elegir filtrar la cola para mostrar tipos específicos de actividad malintencionada.You can choose to filter the queue to display specific types of malicious activity.

Asignado aAssigned to

Puede elegir entre mostrar las alertas que se le han asignado o la automatización.You can choose between showing alerts that are assigned to you or automation.

Origen de detecciónDetection source

Seleccione el origen que desencadenó la detección de alertas.Select the source that triggered the alert detection. Los participantes de vista previa de Microsoft Threat Experts ahora pueden filtrar y ver detecciones desde el nuevo servicio de búsqueda administrado por expertos en amenazas.Microsoft Threat Experts preview participants can now filter and see detections from the new threat experts-managed hunting service.

Nota

El filtro Antivirus solo aparecerá si los dispositivos usan Antivirus de Microsoft Defender como el producto antimalware de protección en tiempo real predeterminado.The Antivirus filter will only appear if devices are using Microsoft Defender Antivirus as the default real-time protection antimalware product.

Origen de detecciónDetection source Valor de APIAPI value
Sensores de terceros3rd party sensors ThirdPartySensorsThirdPartySensors
AntivirusAntivirus WindowsDefenderAvWindowsDefenderAv
Investigación automatizadaAutomated investigation AutomatedInvestigationAutomatedInvestigation
Detección personalizadaCustom detection CustomDetectionCustomDetection
TI personalizadaCustom TI CustomerTICustomerTI
EDREDR WindowsDefenderAtpWindowsDefenderAtp
Microsoft 365 DefenderMicrosoft 365 Defender MTPMTP
Microsoft Defender para Office 365Microsoft Defender for Office 365 OfficeATPOfficeATP
Expertos en amenazas de MicrosoftMicrosoft Threat Experts ThreatExpertsThreatExperts
SmartScreenSmartScreen WindowsDefenderSmartScreenWindowsDefenderSmartScreen

Plataforma del sistema operativoOS platform

Limite la vista de cola de alertas seleccionando la plataforma del sistema operativo que le interesa investigar.Limit the alerts queue view by selecting the OS platform that you're interested in investigating.

Grupo de dispositivosDevice group

Si tienes grupos de dispositivos específicos que te interesan comprobar, puedes seleccionar los grupos para limitar la vista de cola de alertas.If you have specific device groups that you're interested in checking, you can select the groups to limit the alerts queue view.

Amenaza asociadaAssociated threat

Use este filtro para centrarse en las alertas relacionadas con amenazas de perfil alto.Use this filter to focus on alerts that are related to high profile threats. Puede ver la lista completa de amenazas de alto perfil en Análisis de amenazas.You can see the full list of high-profile threats in Threat analytics.