Información general sobre la respuesta a incidentes

La respuesta a incidentes es la práctica de investigar y corregir campañas de ataque activas en su organización. Esto forma parte de la disciplina de operaciones de seguridad (SecOps) y es principalmente reactiva de naturaleza.

La respuesta a incidentes tiene la mayor influencia directa en el tiempo medio general para reconocer (MTTA) y el tiempo medio para corregir (MTTR) que miden la capacidad de las operaciones de seguridad para reducir el riesgo organizativo. Los equipos de respuesta a incidentes dependen en gran medida de buenas relaciones de trabajo entre los equipos de búsqueda de amenazas, inteligencia y administración de incidentes (si están presentes) para reducir realmente el riesgo. Vea Métricas de SecOps para obtener más información.

Para obtener más información sobre roles y responsabilidades de las operaciones de seguridad, vea Funciones soc en la nube.

Recursos de nuevo rol

Si es un analista de seguridad, vea estos recursos para empezar.

Tema Recurso
Planificación de SecOps para la respuesta a incidentes Planificación de respuesta a incidentes para preparar la organización para un incidente.
Proceso de respuesta a incidentes de SecOps Proceso de respuesta a incidentes para procedimientos recomendados sobre la respuesta a un incidente.
Flujo de trabajo de respuesta a incidentes Flujo de trabajo de respuesta a incidentes de ejemplo para Microsoft 365 Defender
Operaciones de seguridad periódicas Ejemplo de operaciones de seguridad periódicas para Microsoft 365 Defender
Investigación de Microsoft Sentinel Incidentes en Microsoft Sentinel
Investigación para Microsoft 365 Defender Incidentes en Microsoft 365 Defender

Recursos de analistas de seguridad experimentados

Si es un analista de seguridad experimentado, vea estos recursos para aumentar rápidamente el equipo de SecOps para los servicios de seguridad de Microsoft.

Tema Recurso
Microsoft Sentinel Cómo investigar incidentes
Microsoft Defender for Cloud (recursos de Azure) Cómo investigar alertas
Microsoft 365 Defender Cómo investigar incidentes
Establecimiento o modernización de operaciones de seguridad Artículos Cloud Adoption Framework de Azure para las funciones SecOps y SecOps
Procedimientos recomendados de seguridad de Microsoft Cómo usar mejor el centro de SecOps
Libros de reproducción de respuesta a incidentes Información general en https://aka.ms/IRplaybooks

- Suplantación de identidad (phishing
- Rociado con contraseña
- Concesión de consentimiento de aplicaciones
Marco de proceso de SOC Microsoft Sentinel
Blocs de notas de MSTICPy y Jupyter Microsoft Sentinel

Serie de blog sobre SecOps en Microsoft

Vea esta serie de blogs sobre cómo funciona el equipo de SecOps en Microsoft.

Simuland

Simuland es una iniciativa de código abierto para implementar entornos de laboratorio y simulaciones de un extremo a otro que:

  • Reproducir técnicas conocidas usadas en escenarios de ataque real.
  • Pruebe y compruebe activamente la eficacia de las detecciones relacionadas Microsoft 365 Defender, Microsoft Defender for Cloud y Microsoft Sentinel.
  • Extender la investigación sobre amenazas con telemetría y artefactos forenses generados después de cada ejercicio de simulación.

Los entornos de laboratorio simulados proporcionan casos de uso de una variedad de orígenes de datos, incluida telemetría de productos de seguridad de Microsoft 365 Defender, Microsoft Defender for Cloud y otros orígenes de datos integrados a través de conectores de datos de Microsoft Sentinel.

En la seguridad de una suscripción de prueba o de espacio aislado de pago, puede:

  • Comprender el comportamiento y la funcionalidad subyacentes de los productos comerciales de los adversarios.
  • Identifique mitigaciones y rutas de ataque documentando condiciones previas para cada acción del atacante.
  • Agilice el diseño y la implementación de entornos de laboratorio de investigación de amenazas.
  • Manténgase al día con las técnicas y herramientas más recientes que usan los agentes de amenazas reales.
  • Identifique, documente y comparta orígenes de datos relevantes para modelar y detectar acciones adversas.
  • Validar y ajustar las capacidades de detección.

Los aprendizajes de escenarios de entorno de laboratorio simulado se pueden implementar en su entorno de producción y procesos de seguridad.

Vea esta información general sobre Simuland y los recursos en el repositorio GitHub Simuland.

Recursos de respuesta a incidentes

Recursos de seguridad clave de Microsoft

Recurso Descripción
Informe de defensa digital de Microsoft 2021 Un informe que abarca los aprendizajes de expertos en seguridad, profesionales y defensores de Microsoft para que las personas de todas partes puedan defenderse de las ciberamenazas.
Arquitecturas de referencia de ciberseguridad de Microsoft Un conjunto de diagramas de arquitectura visual que muestran las capacidades de ciberseguridad de Microsoft y su integración con plataformas de nube de Microsoft, como Microsoft 365 y Microsoft Azure y aplicaciones en la nube de terceros.
Descarga de infografía de cuestión de minutos Información general sobre cómo el equipo de SecOps de Microsoft responde a incidentes para mitigar los ataques en curso.
Operaciones Cloud Adoption Framework seguridad de Azure Instrucciones estratégicas para los líderes que establecen o modernizan una función de operación de seguridad.
Procedimientos recomendados de seguridad de Microsoft para operaciones de seguridad Cómo usar mejor el centro de SecOps para moverse más rápido que los atacantes dirigidos a su organización.
Modelo de seguridad en la nube de Microsoft para arquitectos de TI Seguridad en todos los servicios y plataformas en la nube de Microsoft para el acceso a identidades y dispositivos, protección contra amenazas y protección de información.
Documentación de seguridad de Microsoft Instrucciones de seguridad adicionales de Microsoft.