Administrar alertas de Microsoft Defender para puntos de conexiónManage Microsoft Defender for Endpoint alerts

Se aplica a:Applies to:

¿Desea experimentar Defender for Endpoint?Want to experience Defender for Endpoint? Regístrate para obtener una versión de prueba gratuita.Sign up for a free trial.

Defender for Endpoint le notifica posibles eventos malintencionados, atributos e información contextual a través de alertas.Defender for Endpoint notifies you of possible malicious events, attributes, and contextual information through alerts. En el panel de operaciones de seguridad se muestra un resumen de las alertas nuevas y se puede obtener acceso a todas las alertas de la cola De alertas.A summary of new alerts is displayed in the Security operations dashboard, and you can access all alerts in the Alerts queue.

Puedes administrar alertas seleccionando una alerta en la cola de alertas o en la pestaña Alertas de la página Dispositivo de un dispositivo individual.You can manage alerts by selecting an alert in the Alerts queue, or the Alerts tab of the Device page for an individual device.

Al seleccionar una alerta en cualquiera de esos lugares, se muestra el panel de administración de alertas.Selecting an alert in either of those places brings up the Alert management pane.

Imagen del panel de administración de alertas y la cola de alertas

Puede crear un nuevo incidente a partir de la alerta o vínculo a un incidente existente.You can create a new incident from the alert or link to an existing incident.

Asignar alertasAssign alerts

Si aún no se ha asignado una alerta, puedes seleccionar Asignarme para asignarte la alerta.If an alert is not yet assigned, you can select Assign to me to assign the alert to yourself.

Suprimir alertasSuppress alerts

Es posible que haya escenarios en los que necesite suprimir las alertas para que no aparezcan en el Centro de seguridad de Microsoft Defender.There might be scenarios where you need to suppress alerts from appearing in Microsoft Defender Security Center. Defender for Endpoint te permite crear reglas de supresión para alertas específicas que se sabe que son inocuas, como herramientas o procesos conocidos de la organización.Defender for Endpoint lets you create suppression rules for specific alerts that are known to be innocuous such as known tools or processes in your organization.

Las reglas de supresión se pueden crear a partir de una alerta existente.Suppression rules can be created from an existing alert. Se pueden deshabilitar y volver a habilitar si es necesario.They can be disabled and reenabled if needed.

Cuando se crea una regla de supresión, tendrá efecto desde el punto en que se crea la regla.When a suppression rule is created, it will take effect from the point when the rule is created. La regla no afectará a las alertas existentes ya en la cola, antes de la creación de la regla.The rule will not affect existing alerts already in the queue, prior to the rule creation. La regla solo se aplicará en alertas que cumplan las condiciones establecidas después de crear la regla.The rule will only be applied on alerts that satisfy the conditions set after the rule is created.

Hay dos contextos para una regla de supresión entre las que puede elegir:There are two contexts for a suppression rule that you can choose from:

  • Suprimir alerta en este dispositivoSuppress alert on this device
  • Suprimir alerta en mi organizaciónSuppress alert in my organization

El contexto de la regla te permite adaptar lo que se ve en el portal y asegurarte de que solo se desencien alertas de seguridad reales en el portal.The context of the rule lets you tailor what gets surfaced into the portal and ensure that only real security alerts are surfaced into the portal.

Puede usar los ejemplos de la tabla siguiente para ayudarle a elegir el contexto de una regla de supresión:You can use the examples in the following table to help you choose the context for a suppression rule:

ContextContext DefiniciónDefinition Escenarios de ejemploExample scenarios
Suprimir alerta en este dispositivoSuppress alert on this device Las alertas con el mismo título de alerta y en ese dispositivo específico solo se suprimirán.Alerts with the same alert title and on that specific device only will be suppressed.

El resto de alertas de ese dispositivo no se suprimirán.All other alerts on that device will not be suppressed.
  • Un investigador de seguridad está investigando un script malintencionado que se ha usado para atacar otros dispositivos de la organización.A security researcher is investigating a malicious script that has been used to attack other devices in your organization.
  • Un desarrollador crea regularmente scripts de PowerShell para su equipo.A developer regularly creates PowerShell scripts for their team.
Suprimir alerta en mi organizaciónSuppress alert in my organization Las alertas con el mismo título de alerta en cualquier dispositivo se suprimirán.Alerts with the same alert title on any device will be suppressed.
  • Todos los usuarios de la organización usan una herramienta administrativa benigna.A benign administrative tool is used by everyone in your organization.

Suprimir una alerta y crear una nueva regla de supresión:Suppress an alert and create a new suppression rule:

Cree reglas personalizadas para controlar cuándo se suprimen o resuelven las alertas.Create custom rules to control when alerts are suppressed, or resolved. Puede controlar el contexto para cuando se suprime una alerta especificando el título de la alerta, el indicador de compromiso y las condiciones.You can control the context for when an alert is suppressed by specifying the alert title, Indicator of compromise, and the conditions. Después de especificar el contexto, podrá configurar la acción y el ámbito en la alerta.After specifying the context, you’ll be able to configure the action and scope on the alert.

  1. Seleccione la alerta que desea suprimir.Select the alert you'd like to suppress. Esto muestra el panel administración de alertas.This brings up the Alert management pane.

  2. Seleccione Crear una regla de supresión.Select Create a suppression rule.

    Puede crear una condición de supresión con estos atributos.You can create a suppression condition using these attributes. Se aplica un operador AND entre cada condición, por lo que la supresión se produce solo si se cumplen todas las condiciones.An AND operator is applied between each condition, so suppression occurs only if all conditions are met.

    • Archivo SHA1File SHA1
    • Nombre de archivo: comodín admitidoFile name - wildcard supported
    • Ruta de acceso de carpeta: comodín compatibleFolder path - wildcard supported
    • Dirección IPIP address
    • DIRECCIÓN URL: comodín compatibleURL - wildcard supported
    • Línea de comandos: comodín compatibleCommand line - wildcard supported
  3. Seleccione el IOC desencadenante.Select the Triggering IOC.

  4. Especifique la acción y el ámbito en la alerta.Specify the action and scope on the alert.
    Puede resolver automáticamente una alerta u ocultarla del portal.You can automatically resolve an alert or hide it from the portal. Las alertas que se resuelven automáticamente aparecerán en la sección resuelta de la cola de alertas, la página de alertas y la escala de tiempo del dispositivo y aparecerán como resueltas en Defender para las API de extremo.Alerts that are automatically resolved will appear in the resolved section of the alerts queue, alert page, and device timeline and will appear as resolved across Defender for Endpoint APIs.

    Las alertas marcadas como ocultas se suprimirán de todo el sistema, tanto en las alertas asociadas del dispositivo como desde el panel y no se transmitirán a través de las API de Defender para puntos de conexión.Alerts that are marked as hidden will be suppressed from the entire system, both on the device's associated alerts and from the dashboard and will not be streamed across Defender for Endpoint APIs.

  5. Escriba un nombre de regla y un comentario.Enter a rule name and a comment.

  6. Haga clic en Guardar.Click Save.

Ver la lista de reglas de supresiónView the list of suppression rules

  1. En el panel de navegación, seleccione Configuración > supresión de alertas.In the navigation pane, select Settings > Alert suppression.

  2. La lista de reglas de supresión muestra todas las reglas que los usuarios de la organización han creado.The list of suppression rules shows all the rules that users in your organization have created.

Para obtener más información sobre la administración de reglas de supresión, vea Administrar reglas de supresiónFor more information on managing suppression rules, see Manage suppression rules

Cambiar el estado de una alertaChange the status of an alert

Puede clasificar las alertas (como Nuevo, En curso o Resuelto) cambiando su estado a medida que avanza la investigación.You can categorize alerts (as New, In Progress, or Resolved) by changing their status as your investigation progresses. Esto te ayuda a organizar y administrar cómo tu equipo puede responder a las alertas.This helps you organize and manage how your team can respond to alerts.

Por ejemplo, un jefe de equipo puede revisar todas las alertas Nuevas y decidir asignarlas a la cola En curso para un análisis posterior.For example, a team leader can review all New alerts, and decide to assign them to the In Progress queue for further analysis.

Como alternativa, el jefe de equipo puede asignar la alerta a la cola Resuelto si sabe que la alerta es benigna, procedente de un dispositivo que es irrelevante (por ejemplo, uno que pertenece a un administrador de seguridad) o que se trata a través de una alerta anterior.Alternatively, the team leader might assign the alert to the Resolved queue if they know the alert is benign, coming from a device that is irrelevant (such as one belonging to a security administrator), or is being dealt with through an earlier alert.

Clasificación de alertasAlert classification

Puede elegir no establecer una clasificación o especificar si una alerta es una alerta verdadera o una alerta falsa.You can choose not to set a classification, or specify whether an alert is a true alert or a false alert. Es importante proporcionar la clasificación de verdadero positivo/falso positivo.It's important to provide the classification of true positive/false positive. Esta clasificación se usa para supervisar la calidad de las alertas y hacer que las alertas sea más precisa.This classification is used to monitor alert quality, and make alerts more accurate. El campo "determinación" define fidelidad adicional para una clasificación "verdadero positivo".The "determination" field defines additional fidelity for a "true positive" classification.

Agregar comentarios y ver el historial de una alertaAdd comments and view the history of an alert

Puede agregar comentarios y ver eventos históricos sobre una alerta para ver los cambios anteriores realizados en la alerta.You can add comments and view historical events about an alert to see previous changes made to the alert.

Cada vez que se realiza un cambio o comentario en una alerta, se registra en la sección Comentarios e historial.Whenever a change or comment is made to an alert, it is recorded in the Comments and history section.

Los comentarios agregados aparecen al instante en el panel.Added comments instantly appear on the pane.