Incidentes en Microsoft 365 DefenderIncidents in Microsoft 365 Defender

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

¿Quiere experimentar Microsoft 365 Defender?Want to experience Microsoft 365 Defender? Puede evaluarlo en un entorno de pruebas o bien ejecutar el proyecto piloto en producción.You can evaluate it in a lab environment or run your pilot project in production.

Un incidente en Microsoft 365 Defender es una colección de alertas correlacionadas y datos asociados que son la historia de un ataque.An incident in Microsoft 365 Defender is a collection of correlated alerts and associated data that make up the story of an attack.

Microsoft 365 servicios y aplicaciones crean alertas cuando detectan un evento o actividad sospechosos o malintencionados.Microsoft 365 services and apps create alerts when they detect a suspicious or malicious event or activity. Las alertas individuales proporcionan pistas valiosas sobre un ataque completado o en curso.Individual alerts provide valuable clues about a completed or ongoing attack. Sin embargo, los ataques suelen emplear varias técnicas en distintos tipos de entidades, como dispositivos, usuarios y buzones.However, attacks typically employ various techniques against different types of entities, such as devices, users, and mailboxes. El resultado son varias alertas para varias entidades del espacio empresarial.The result is multiple alerts for multiple entities in your tenant.

Dado que unir las alertas individuales para obtener información sobre un ataque puede ser un desafío y un consumo de tiempo, Microsoft 365 Defender agrega automáticamente las alertas y su información asociada a un incidente.Because piecing the individual alerts together to gain insight into an attack can be challenging and time-consuming, Microsoft 365 Defender automatically aggregates the alerts and their associated information into an incident.

Cómo Microsoft 365 Defender correlaciona eventos de entidades en un incidente

Vea esta breve introducción a los incidentes en Microsoft 365 Defender (4 minutos).Watch this short overview of incidents in Microsoft 365 Defender (4 minutes).


La agrupación de alertas relacionadas en un incidente le ofrece una vista completa de un ataque.Grouping related alerts into an incident gives you a comprehensive view of an attack. Por ejemplo, puede ver:For example, you can see:

  • Donde se inició el ataque.Where the attack started.
  • Qué tácticas se usaron.What tactics were used.
  • Cuánto ha llegado el ataque a su inquilino.How far the attack has gone into your tenant.
  • El ámbito del ataque, como el número de dispositivos, usuarios y buzones de correo afectados.The scope of the attack, such as how many devices, users, and mailboxes were impacted.
  • Todos los datos asociados con el ataque.All of the data associated with the attack.

Si está habilitado,Microsoft 365 Defender puede investigar y resolver alertas automáticamente a través de la automatización y la inteligencia artificial.If enabled, Microsoft 365 Defender can automatically investigate and resolve alerts through automation and artificial intelligence. También puedes realizar pasos de corrección adicionales para resolver el ataque.You can also perform additional remediation steps to resolve the attack.

Incidentes y alertas en el centro Microsoft 365 seguridadIncidents and alerts in the Microsoft 365 security center

Puede administrar incidentes de incidentes & alertas > incidentes en el inicio rápido del centro de seguridad de Microsoft 365 (security.microsoft.com).You manage incidents from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 security center (security.microsoft.com). Por ejemplo:Here's an example.

La página Incidentes en el centro de Microsoft 365 seguridad

Al seleccionar un nombre de incidente, se muestra un resumen del incidente y se proporciona acceso a las pestañas con información adicional.Selecting an incident name displays a summary of the incident and provides access to tabs with additional information.

Ejemplo de la página Resumen de un incidente en el centro Microsoft 365 seguridad

Las pestañas adicionales para un incidente son:The additional tabs for an incident are:

  • AlertasAlerts

    Todas las alertas relacionadas con el incidente y su información.All the alerts related to the incident and their information.

  • DispositivosDevices

    Todos los dispositivos que se han identificado para formar parte o relacionados con el incidente.All the devices that have been identified to be part of or related to the incident.

  • UsuariosUsers

    Todos los usuarios identificados para formar parte del incidente o relacionados con ellos.All the users that have been identified to be part of or related to the incident.

  • BuzonesMailboxes

    Todos los buzones que se han identificado para formar parte o relacionados con el incidente.All the mailboxes that have been identified to be part of or related to the incident.

  • InvestigacionesInvestigations

    Todas las investigaciones automatizadas desencadenadas por alertas en el incidente.All the automated investigations triggered by alerts in the incident.

  • Evidencia y respuestaEvidence and Response

    Todos los eventos admitidos y las entidades sospechosas en las alertas del incidente.All the supported events and suspicious entities in the alerts in the incident.

  • Graph (en versión preliminar)Graph (in preview)

    Una figura que muestra la conexión de alertas a los activos afectados de la organización.A figure showing the connection of alerts to the impacted assets in your organization.

Esta es la relación entre un incidente y sus datos y las pestañas de un incidente en el centro Microsoft 365 seguridad.Here's the relationship between an incident and its data and the tabs of an incident in the Microsoft 365 security center.

La relación de un incidente y sus datos con las pestañas de un incidente en el centro Microsoft 365 seguridad

Flujo de trabajo de respuesta a incidentes de ejemplo para Microsoft 365 DefenderExample incident response workflow for Microsoft 365 Defender

Este es un flujo de trabajo de ejemplo para responder a incidentes en Microsoft 365 con el centro Microsoft 365 seguridad.Here's an example workflow for responding to incidents in Microsoft 365 with the Microsoft 365 security center.

Ejemplo de flujo de trabajo de respuesta a incidentes para Microsoft 365

De forma continua, identifique los incidentes de mayor prioridad para el análisis y la resolución en la cola de incidentes y prepárese para la respuesta.On an ongoing basis, identify the highest priority incidents for analysis and resolution in the incident queue and get them ready for response. Esta es una combinación de:This is a combination of:

  • Triaging to determining the highest priority incidents through filtering and sorting of the incident queue.Triaging to determining the highest priority incidents through filtering and sorting of the incident queue.
  • Administrar incidentes modificando su título, asignándolos a un analista y agregando etiquetas y comentarios.Managing incidents by modifying their title, assigning them to an analyst, and adding tags and comments.
  1. Para cada incidente, inicie una investigación y análisis de ataques y alertas:For each incident, begin an attack and alert investigation and analysis:

    a.a. Vea el resumen del incidente para comprender su ámbito y gravedad y qué entidades se ven afectadas (la pestaña Resumen).View the summary of the incident to understand it's scope and severity and what entities are affected (the Summary tab).

    b.b. Comience a analizar las alertas para comprender su origen, ámbito y gravedad (la pestaña Alertas).Begin analyzing the alerts to understand their origin, scope, and severity (the Alerts tab).

    c.c. Según sea necesario, recopila información sobre dispositivos, usuarios y buzones afectados (las pestañas Dispositivos, Usuarios y Buzones).As needed, gather information on impacted devices, users, and mailboxes (the Devices, Users, and Mailboxes tabs).

    d.d. Vea cómo Microsoft 365 Defender ha resuelto automáticamente algunas alertas (la pestaña Investigaciones).See how Microsoft 365 Defender has automatically resolved some alerts (the Investigations tab).

    e.e. Según sea necesario, use la información del conjunto de datos para el incidente para obtener más información (la pestaña Evidencia y respuesta).As needed, use information in the data set for the incident for more information (the Evidence and Response tab).

  2. Después o durante el análisis, realice la contención para reducir cualquier impacto adicional del ataque y la eliminación de la amenaza de seguridad.After or during your analysis, perform containment to reduce any additional impact of the attack and eradication of the security threat.

  3. En la medida de lo posible, recuperándose del ataque restaurando los recursos del espacio empresarial al estado en el que se encontraban antes del incidente.As much as possible, recover from the attack by restoring your tenant resources to the state they were in before the incident.

  4. Resuelva el incidente y tome tiempo para aprender después del incidente a:Resolve the incident and take time for post-incident learning to:

    • Comprender el tipo de ataque y su impacto.Understand the type of the attack and its impact.
    • Investigue el ataque en Análisis de amenazas y la comunidad de seguridad para obtener una tendencia de ataque de seguridad.Research the attack in Threat Analytics and the security community for a security attack trend.
    • Recuerde el flujo de trabajo que usó para resolver el incidente y actualice los flujos de trabajo, procesos, directivas y libros de reproducción estándar según sea necesario.Recall the workflow you used to resolve the incident and update your standard workflows, processes, policies, and playbooks as needed.
    • Determine si es necesario realizar cambios en la configuración de seguridad e implementarlos.Determine whether changes in your security configuration are needed and implement them.

Si es nuevo en el análisis de seguridad, vea la introducción para responder al primer incidente para obtener información adicional y para pasar por un incidente de ejemplo.If you are new to security analysis, see the introduction to responding to your first incident for additional information and to step through an example incident.

Operaciones de seguridad de ejemplo para Microsoft 365 DefenderExample security operations for Microsoft 365 Defender

Este es un ejemplo de operaciones de seguridad para Microsoft 365 Defender.Here's an example of security operations for Microsoft 365 Defender.

Un ejemplo de operaciones de seguridad para Micosoft 365 Defender

Las tareas diarias pueden incluir:Daily tasks can include:

Las tareas mensuales pueden incluir:Monthly tasks can include:

Las tareas trimestrales pueden incluir un informe y un informe de los resultados de seguridad al director de seguridad de la información (CISO).Quarterly tasks can include a report and briefing of security results to the Chief Information Security Officer (CISO).

Las tareas anuales pueden incluir llevar a cabo un ejercicio importante de incidentes o infracciones para probar el personal, los sistemas y los procesos.Annual tasks can include conducting a major incident or breach exercise to test your staff, systems, and processes.

Las tareas diarias, mensuales, trimestrales y anuales se pueden usar para actualizar o refinar procesos, directivas y configuraciones de seguridad.Daily, monthly, quarterly, and annual tasks can be used to update or refine processes, policies, and security configurations.

Pasos siguientesNext steps

Si es nuevo en el análisis de seguridad y la respuesta a incidentes:If you are new to security analysis and incident response:

  • Consulte el tutorial Responder a su primer incidente para obtener una visita guiada de un proceso típico de análisis, corrección y revisión posterior al incidente en el centro de seguridad de Microsoft 365 con un ejemplo de un ataque.See the Respond to your first incident walkthrough to get a guided tour of a typical process of analysis, remediation, and post-incident review in the Microsoft 365 security center with an example of an attack.

Si tiene experiencia con el análisis de seguridad y la respuesta a incidentes:If you have experience with security analysis and incident response:

  • Introducción a la cola de incidentes desde la página Incidentes del centro Microsoft 365 seguridad.Get started with the incident queue from the Incidents page of the Microsoft 365 security center. Desde aquí, puede:From here, you can:

    • Vea qué incidentes deben priorizarse en función de la gravedad y otros factores.See which incidents should be prioritized based on severity and other factors.

    • Administrar incidentes, queincluye cambiar el nombre, la asignación, clasificar y agregar etiquetas y comentarios en función del flujo de trabajo de administración de incidentes.Manage incidents, which includes renaming, assignment, classifying, and adding tags and comments based on your incident management workflow.

    • Realizar investigaciones de incidentes.Perform investigations of incidents.

  • Consulta estos libros de reproducción de respuesta a incidentes para obtener instrucciones detalladas sobre los ataques de suplantación de identidad (phishing), el uso de contraseñas y la concesión de consentimiento de la aplicación.See these incident response playbooks for detailed guidance for phishing, password spray, and app consent grant attacks.