Investigar alertas de protección contra amenazas avanzada de Microsoft defender

Se aplica a:

¿Quiere experimentar ATP de Microsoft defender? Regístrate para obtener una prueba gratuita.

Investigue las alertas que afectan a la red, comprenda qué significan y cómo resolverlos.

Haz clic en una alerta para ver los detalles de la alerta y las diversas ventanas que proporcionan información acerca de las alertas.

También puedes administrar una alerta y ver los metadatos de la alerta junto con otra información que puede ayudarte a tomar mejor las decisiones sobre cómo abordarlas. También verá el estado de la investigación automática en la esquina superior derecha. Al hacer clic en el vínculo, se abrirá la vista de investigaciones automatizadas. Para obtener más información, consulte investigaciones automatizadas.

Imagen de la página de alertas

La ventana de contexto de la alerta muestra el dónde, qué y cuándo de la alerta. Al igual que con otras páginas, puedes hacer clic en el icono junto al nombre o la cuenta de usuario para ver el panel de detalles del usuario o de la máquina. La vista de detalles de alerta también tiene una ventana de estado que muestra el estado de la alerta en la cola. También verás una descripción y un conjunto de acciones recomendadas que puedes expandir.

Para obtener más información acerca de cómo administrar alertas, consulta Administrar alertas.

La página de detalles de alerta también muestra el árbol de procesos de alerta, un gráfico de incidentes y una línea de tiempo del artefacto.

Puedes hacer clic en el vínculo de la máquina desde la vista de alertas para navegar a la máquina. La alerta se resaltará automáticamente, y la línea de tiempo mostrará la aparición de la alerta y sus pruebas en Machine timeline. Si la alerta apareció más de una vez en la máquina, se mostrará la aparición más reciente en Machine timeline.

Las alertas atribuidas a un adversario o actor muestran un icono a color con el nombre del actor.

Una vista detallada de una alerta al hacer clic

Haga clic en el nombre del actor para ver el perfil de inteligencia de amenazas del actor, que incluye una breve descripción general del actor, sus intereses o objetivos, sus herramientas, tácticas y procesos (TTPs), y las áreas donde se han observado en todo el mundo. También verás un conjunto de acciones recomendadas.

Algunos perfiles de actor incluyen un vínculo para descargar un informe de inteligencia de amenazas más completo.

Imagen de un perfil de actor detallado

El perfil de alerta detallado te ayuda a que comprender quiénes son los atacantes; a quiénes atacan; qué técnicas, herramientas y procedimientos (TTP) usan; en qué ubicaciones geográficas están activos y, por último, qué acciones recomendadas puedes seguir. En muchos casos, puedes descargar un informe de inteligencia de amenazas más detallado acerca de este atacante o campaña para su lectura sin conexión.

Árbol de procesos de alerta

El árbol de procesos de alerta toma una alerta de evaluación e investigación al siguiente nivel, que muestra la alerta agregada y la evidencia que se produjo dentro del mismo contexto de ejecución y período de tiempo. Este amplio contexto de evaluación y evaluación de las investigaciones está disponible en la página de alertas.

Imagen del árbol de procesos de alerta

El árbol de procesos de alerta se expandirá para mostrar la ruta de ejecución de la alerta y las pruebas relacionadas que se produjeron en el mismo período. Los elementos marcados con un icono de Thunderbolt deben tener prioridad durante la investigación.

Nota

El árbol de procesos de alerta podría no estar disponible en algunas alertas.

Al hacer clic en el círculo inmediatamente a la izquierda del indicador se muestran los detalles.

Imagen del panel de detalles de alerta

El panel de detalles de alerta te ayuda a examinar más en profundidad los detalles de la alerta. Muestra información enriquecida sobre la ejecución, el archivo y las detecciones, observada en todo el mundo y en la organización, además de otros detalles obtenidos de la página de la entidad, mientras que permanece en la página de alerta, por lo que nunca dejas el contexto actual de la investigación.

Gráfico de incidentes

Incident Graph proporciona una representación visual de la superficie organizativa de la alerta y su prueba: dónde se observaron las pruebas que activaron la alerta en otras máquinas. Proporciona un mapa gráfico desde la máquina original y las pruebas se expanden para mostrar otras máquinas de la organización donde también se observaron las pruebas de desencadenamiento.

Imagen del gráfico de incidentes

El gráfico de incidentes admite la expansión por archivo, proceso, línea de comandos o dirección IP de destino, según corresponda.

La expansión de Incident Graph por dirección IP de destino muestra la superficie organizativa de comunicaciones con esta dirección IP sin tener que cambiar de contexto al navegar a la página de direcciones IP.

Puedes hacer clic en los círculos completos en el gráfico de incidentes para expandir los nodos y ver la expansión a otras máquinas donde se han observado criterios coincidentes.

Línea de tiempo de artefacto

La característica escala de tiempo del artefacto proporciona una vista adicional de la evidencia que activó la alerta en el equipo y muestra la fecha y la hora en que se observó la evidencia que activó la alerta, así como la primera vez que se observó en el equipo. Esto puede ayudar a comprender si las pruebas se vieron por primera vez en el momento de la alerta, o si se han observado en la máquina anteriormente, sin desencadenar una alerta.

Imagen de la línea de tiempo de artefactos

Si se selecciona un detalle de alerta, aparecerá el panel Detalles, donde podrás ver más información sobre la alerta, como los detalles del archivo, las detecciones, las instancias de esta que se han observado en todo el mundo y en la organización.

Temas relacionados