Administración de incidentes Microsoft Defender para punto de conexión
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
La administración de incidentes es una parte importante de cada operación de ciberseguridad. Para administrar los incidentes, seleccione un incidente en la cola Incidentes o en el panel Administración de incidentes.
Sugerencia
Durante un tiempo limitado durante enero de 2024, cuando visita la página Incidentes , aparece Defender Boxed. Defender Boxed resalta los éxitos de seguridad, las mejoras y las acciones de respuesta de su organización durante 2023. Para volver a abrir Defender Boxed, en el portal de Microsoft Defender, vaya a Incidentes y, a continuación, seleccione Su defender boxed.
Al seleccionar un incidente en la cola Incidentes , se abre el panel Administración de incidentes , donde puede abrir la página del incidente para obtener más información.
Puede asignar incidentes a sí mismo, cambiar el estado y la clasificación, cambiar el nombre o comentarlos para realizar un seguimiento de su progreso.
Sugerencia
Para obtener visibilidad adicional de un vistazo, los nombres de incidentes se generan automáticamente en función de los atributos de alerta, como el número de puntos de conexión afectados, los usuarios afectados, los orígenes de detección o las categorías. Esto le permite comprender rápidamente el ámbito del incidente.
Por ejemplo: incidente de varias fases en varios puntos de conexión notificados por varios orígenes.
Los incidentes que existían antes del lanzamiento de la nomenclatura automática de incidentes conservarán sus nombres.
Asignar incidentes
Si aún no se ha asignado un incidente, puede seleccionar Asignarme para asignar el incidente a sí mismo. Esta asignación no incluye solo el incidente, sino también todas las alertas asociadas a él.
Establecer estado y clasificación
Estado del incidente
Puede categorizar los incidentes (por ejemplo, como Activo o Resuelto) cambiando su estado a medida que progresa la investigación. Esto le ayuda a organizar y administrar la forma en que su equipo puede responder a incidencias.
Por ejemplo, el analista de SOC puede revisar los incidentes activos urgentes del día y decidir asignarlos a sí mismo para su investigación.
O, si el incidente se ha corregido, el analista puede establecerlo como Resuelto.
Clasificación
Si lo desea, puede decidir no establecer ninguna clasificación o especificar si un incidente es verdadero o falso. Al hacerlo, su equipo podrá ver los patrones y obtener información.
Agregar comentarios
Puede agregar comentarios y ver eventos históricos de un incidente para comprobar los cambios ya realizados.
Siempre que se realice un cambio o comentario en una alerta, esta se registra en la sección Comentarios e historial.
Los comentarios agregados aparecen al instante en el panel.
Temas relacionados
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de