Ver y organizar la cola de alertas de protección contra amenazas avanzada de Defender de Microsoft

Se aplica a:

¿Quieres probar ATP de Defender de Microsoft? Regístrate para obtener una prueba gratuita.

La cola de alertas muestra una lista de las alertas que se marcaron desde equipos de la red. De manera predeterminada, la cola muestra las alertas que se ha visto en los últimos 30 días en una vista agrupada, con las alertas más recientes que muestra la parte superior de la lista, lo que ayuda a ver las alertas más recientes primero.

Hay varias opciones que puedes elegir entre para personalizar la vista de la cola de alertas.

En la barra de navegación superior, puedes:

  • Selecciona Vista agrupada o vista de lista
  • Personalizar columnas para agregar o quitar columnas
  • Selecciona los elementos que se mostrarán por página
  • Navegar entre páginas
  • Aplicar filtros

Imagen de cola de alertas

Ordenar, filtrar y agrupar la cola de alertas

Puedes aplicar los siguientes filtros para limitar la lista de alertas y obtener una vista más detallada de las alertas.

Gravedad

Gravedad de alerta Descripción
Alta
(Rojo)
Amenazas asociadas a menudo a las amenazas persistentes avanzadas (APT). Estas alertas indican un riesgo alto debido a la gravedad del daño que pueden producir en máquinas.
Media
(Naranja)
Amenazas que se observan pocas veces en la organización, como cambios anómalos en el registro, ejecución de archivos sospechosos y comportamientos observados comunes en las fases de ataque.
Baja
(Amarillo)
Amenazas asociadas con software malintencionado y herramientas de acceso ilegal que no indica necesariamente una amenaza avanzada destinada a la organización.
Informativo
(Gris)
Las alertas informativas son aquellas que no se pueden considerar perjudiciales para la red, pero que un seguimiento de ellas podría ser conveniente.

Descripción de la gravedad de alerta

Es importante comprender que el Antivirus de Windows Defender (AV de Windows Defender) y los niveles de gravedad de alertas de ATP de Defender de Microsoft son diferentes ya que representan distintos ámbitos.

La gravedad de amenaza del Antivirus de Windows Defender representa la gravedad absoluta de las amenazas detectadas (malware) y se asigna en función de los posibles riesgos para el equipo individual, si está infectado.

La gravedad de alerta de ATP de Defender de Microsoft representa la gravedad del comportamiento detectado, el riesgo real en la máquina, lo más importante en los posibles riesgos para la organización.

Por ejemplo:

  • La gravedad de una alerta de ATP de Defender de Microsoft sobre un antivirus de Windows Defender detectó amenaza que se impidió completamente y que no infectó el equipo se clasifica como "Informativo" porque se había incurrido en ningún ningún daño real.
  • Se detectó una alerta sobre malware comercial mientras se ejecutaba, pero se bloqueó y se corrigió por el Antivirus de Windows Defender. Se clasifica como "Baja", porque puede haber ocasionado algunos daños en el equipo individual, pero no supone ninguna amenaza organizativa.
  • Una alerta sobre malware detectado mientras se ejecutaba que puede suponer una amenaza no solo al equipo individual sino a la organización, independientemente de si se bloqueó finalmente, se puede clasificar como "Media" o "Alta".
  • Las alertas de comportamiento sospechoso que no se bloquearon o se corrigen tendrán la clasificación de "Baja", "Mediana" o "Alta" siguiendo las mismas consideraciones de amenaza organizativas.

Estado

Puedes elegir limitar la lista de alertas en función de su estado.

Estado de investigación

Corresponde al estado de investigación automatizada.

Asignado a

Puedes elegir entre que muestra las alertas que se asignan a TI ni automatización.

Origen de la detección

Seleccione el origen que desencadenó la detección de la alerta. Los participantes de vista previa de expertos de amenazas de Microsoft ahora pueden filtrar y ver las detecciones desde el nuevo servicio de búsqueda administrado de expertos de la amenaza.

Nota

El filtro Antivirus de Windows Defender solo aparecerá si las máquinas están usando Antivirus de Windows Defender como producto antimalware predeterminado para protección en tiempo real.

Plataforma de SO

Limitar la vista de la cola de alertas seleccionando la plataforma de sistema operativo que estás interesado en investigar.

Grupo de máquinas

Si tienes que estás interesado en la comprobación de las alertas en los grupos máquina específica, puedes seleccionar los grupos para limitar la vista de la cola de alertas para mostrar únicamente los grupos de máquinas.

Amenazas asociadas

Usa este filtro centrarse en las alertas que están relacionados con las amenazas de perfil alto. Puedes ver la lista completa de las amenazas de alto perfil de análisis de amenazas.

Temas relacionados