Administrar incidentes en Microsoft 365 DefenderManage incidents in Microsoft 365 Defender

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

La administración de incidentes es fundamental para garantizar que las amenazas se contengan y se aborde.Incident management is critical in ensuring that threats are contained and addressed.

Puede administrar incidentes desde incidentes & alertas > incidentes en el inicio rápido del centro de seguridad de Microsoft 365 (security.microsoft.com).You manage incidents from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 security center (security.microsoft.com). Por ejemplo:Here's an example.

Ejemplo de la cola de incidentes

Estas son las formas en que puede administrar sus incidentes:Here are the ways you can manage your incidents:

  • Cambiar el nombre del incidenteChange the incident name
  • Agregar etiquetas de incidentes.Add incident tags.
  • Asignar el incidente a una cuenta de usuarioAssign the incident to a user account
  • ResolverlosResolve them
  • Establecer su clasificación y determinaciónSet its classification and determination
  • Agregar comentarios.Add comments.

Puede administrar incidentes desde el panel Administrar incidentes para un incidente.You can manage incidents from the Manage incident pane for an incident. Por ejemplo:Here's an example.

Ejemplo del panel Administrar incidentes de un incidente

Puede mostrar este panel desde el vínculo Administrar incidentes en:You can display this pane from the Manage incident link on the:

  • Panel de propiedades de un incidente en la cola de incidentes.Properties pane of an incident in the incident queue.
  • Página de resumen de un incidente.Summary page of an incident.

En los casos en los que, al analizar las alertas de un incidente a otro, también puede hacerlo desde la pestaña Alertas, creando así un incidente mayor o menor que incluya todas las alertas relevantes.In cases where, while analyzing you would like to move alerts from one incident to another, you can also do so from the Alerts tab, thus creating a larger or smaller incident that includes all relevant alerts.

Editar el nombre del incidenteEdit the incident name

Microsoft 365 Defender asigna automáticamente un nombre en función de los atributos de alerta, como el número de puntos de conexión afectados, los usuarios afectados, los orígenes de detección o las categorías.Microsoft 365 Defender automatically assigns a name based on alert attributes such as the number of endpoints affected, users affected, detection sources or categories. Esto le permite comprender rápidamente el ámbito del incidente.This allows you to quickly understand the scope of the incident. Por ejemplo: Incidente de varias fases en varios puntos de conexión notificados por varios orígenes.For example: Multi-stage incident on multiple endpoints reported by multiple sources.

Puede editar el nombre del incidente desde el campo Nombre del incidente en el panel Administrar incidente.You can edit the incident name from the Incident name field on the Manage incident pane.

Nota

Los incidentes que existían antes de la implementación de la característica de nomenclatura automática de incidentes conservarán su nombre.Incidents that existed before the rollout of the automatic incident naming feature will retain their name.

Agregar etiquetas de incidenteAdd incident tags

Puede agregar etiquetas personalizadas a un incidente, por ejemplo, para marcar un grupo de incidentes con una característica común.You can add custom tags to an incident, for example to flag a group of incidents with a common characteristic. Más adelante, puede filtrar la cola de incidentes para todos los incidentes que contengan una etiqueta específica.You can later filter the incident queue for all incidents that contain a specific tag.

Al empezar a escribir, tiene la opción de seleccionar de una lista de etiquetas seleccionadas.When you start typing, you have the option to select from a list of selected tags.

Asignar incidentesAssign incidents

Si aún no se ha asignado un incidente, puede seleccionar Asignar a y especificar la cuenta de usuario.If an incident has not yet been assigned, you can select Assign to and specify the user account. Al hacerlo, se asigna la propiedad del incidente y todas las alertas asociadas con él.Doing so assigns ownership of the incident and all the alerts associated with it.

Resolver incidenteResolve incident

Si el incidente se ha corregido, seleccione Resolver incidente para mover la alternancia a la derecha.If the incident has been remediated, select Resolve incident to move the toggle to the right. Tenga en cuenta que la resolución de un incidente también resuelve todas las alertas vinculadas y activas relacionadas con el incidente.Note that resolving an incident also resolves all the linked and active alerts related to the incident.

Un incidente que no se resuelve se muestra como Activo.An incident that is not resolved displays as Active.

Establecer la clasificación y la determinaciónSet the classification and determination

La clasificación de incidentes es si se trata de una alerta verdadera o una alerta falsa, que se configura desde el campo Clasificación.The incident classification is whether it was a true alert or a false alert, which you configure from the Classification field.

Si se trataba de una alerta verdadera, también debe especificar qué tipo de amenaza era con el campo Determinación.If it was a true alert, you should also specify what type of threat it was with the Determination field. Especificar el tipo de amenaza ayuda a su equipo de seguridad a ver patrones de amenazas y actuar para defender su organización de ellos.Specifying the threat type helps your security team see threat patterns and act to defend your organization from them.

Agregar comentariosAdd comments

Puede agregar varios comentarios a un incidente con el campo Comentario.You can add multiple comments to an incident with the Comment field. Cada comentario se agrega a los eventos históricos del incidente.Each comment gets added to the historical events of the incident. Puede ver los comentarios y el historial de un incidente desde el vínculo Comentarios e historial en la página Resumen.You can see the comments and history of an incident from the Comments and history link on the Summary page.