Administración de incidentes

  • 5 minutos

Una vez que empiece a usar Microsoft Sentinel para generar incidentes, usted y el equipo de TI de Contoso pueden investigar los incidentes. Microsoft Sentinel tiene herramientas avanzadas de investigación y análisis que puede usar para recopilar información y determinar los pasos de corrección.

Revisión de incidentes

Para identificar y resolver problemas de seguridad, investigue primero los incidentes. En la página Información general de Microsoft Sentinel se ofrece una lista de los incidentes más recientes para referencia rápida. Para obtener más detalles y una introducción completa sobre los incidentes, use la página Incidentes, que muestra todos los incidentes del área de trabajo actual y los detalles de dichos incidentes.

En la página Incidentes se proporciona una lista completa de incidentes en Microsoft Sentinel. En la página también se proporciona información básica sobre los incidentes. Entre la información se incluyen la gravedad, el identificador, el título, las alertas, los nombres de producto, la hora de creación, la hora de la última actualización, el propietario y el estado. Puede ordenar por cualquier columna del incidente y filtrar la lista por nombre, gravedad, estado, nombre de producto o propietario.

Screenshot of a list of incidents in Microsoft Sentinel.

Desde esta página, puede realizar varios pasos para investigar los incidentes.

Importante

Los usuarios de Microsoft Entra que investigan los incidentes deben ser miembros del rol Lector de directorio.

Examen de los detalles de un incidente

Seleccione cualquier incidente en la página Incidentes para mostrar más información sobre el incidente en el panel derecho. En este panel se proporciona una descripción del incidente y se indican la evidencia, las entidades y las tácticas relacionadas. El panel también contiene vínculos a libros asociados y a la regla analítica que ha generado el incidente. Esta información puede ayudar a aclarar la naturaleza, el contexto y la forma de actuar con respecto al incidente.

Screenshot of the incident details pane.

En el panel de detalles del incidente, seleccione Ver detalles completos para abrir la página Incidente y ver más detalles sobre el incidente. Puede usar estos detalles para entender mejor el contexto del incidente. Por ejemplo, en un incidente de ataque por fuerza bruta, puede ir a la consulta de Log Analytics de la alerta para determinar el número de ataques.

Administración de la propiedad, el estado y la gravedad de un incidente

Cada incidente que crea Microsoft Sentinel tiene metadatos adjuntos que puede ver y administrar. Esta información le permite:

  • Asignar y seguir la propiedad de un incidente.
  • Establecer y realizar un seguimiento del estado de un incidente desde la creación hasta la resolución.
  • Establecer y revisar la gravedad.

The screenshot displays the section of the Incidents page where you can assign ownership, status, and severity.

Propiedad

En un entorno típico, cada incidente debe estar asignado a un propietario del equipo de seguridad. El propietario del incidente es responsable de la administración general de este, lo que incluye la investigación y las actualizaciones de estado. Puede cambiar la propiedad en cualquier momento a fin de asignar el incidente a otro miembro del equipo de seguridad para investigarlo más o escalarlo.

Status

Cada incidente que se crea en Microsoft Sentinel tiene asignado el estado Nuevo. Al revisar incidentes y responder a ellos, cambie manualmente su estado para reflejar el actual. Si los incidentes están en proceso de investigación, establezca el estado en Activo. Cuando un incidente se resuelva por completo, establezca el estado en Cerrado.

Al establecer el estado en Cerrado, se le pide que elija una de las siguientes resoluciones:

  • Verdadero positivo: actividad sospechosa
  • Positivo benigno: sospechosa, pero esperada
  • Falso positivo: lógica de alerta incorrecta
  • Falso positivo: datos inexactos
  • Indeterminada

severity

La regla u origen de seguridad de Microsoft que generó el incidente establece inicialmente la gravedad. En la mayoría de los casos, la gravedad del incidente permanece sin cambios, pero puede cambiarse si se decide que es más o menos grave que la clasificación inicial. Las opciones de gravedad son Informativa, Baja, Media y Alta.

Uso del gráfico de investigación

Puede investigar más en profundidad un incidente seleccionando Investigar en la página Incidente. Esta acción abre el grafo de investigación, una herramienta visual que ayuda a identificar las entidades implicadas en el ataque y las relaciones entre ellas. Si el incidente conlleva varias alertas a lo largo del tiempo, también puede revisar la escala de tiempo de las alertas y las correlaciones entre ellas.

The screenshot shows the investigation graph.

Revisión de los detalles de una entidad

Puede seleccionar cada entidad en el grafo para ver más información sobre ella. Esta información incluye relaciones con otras entidades, el uso de la cuenta y la información del flujo de datos. En cada área de información, puede desplazarse a los eventos relacionados de Log Analytics y agregar los datos de alerta relacionados al grafo.

Revisión de los detalles de un incidente

Puede seleccionar un incidente en el grafo para observar metadatos de él relacionados con su contexto de seguridad y entorno.

Comprobar los conocimientos

1.

Para escalar un incidente al equipo de seguridad del siguiente nivel, ¿qué parámetro del incidente debería cambiar?

2.

¿Qué interfaz de Microsoft Sentinel le permite ver las escalas de tiempo y las relaciones entre recursos de incidentes?