Investigar alertas de protección contra amenazas de avanzada de Defender de Microsoft

Se aplica a:

¿Quieres probar ATP de Defender de Microsoft? Regístrate para obtener una prueba gratuita.

Investigar las alertas que afectan a la red, comprender lo que significa y cómo resolverlas.

Haz clic en una alerta para ver los detalles de la alerta y las diversas ventanas que proporcionan información acerca de las alertas.

También puedes administrar una alerta y ver los metadatos de la alerta junto con otra información que puede ayudarte a tomar mejor las decisiones sobre cómo abordarlas. También verás un estado de la investigación automatizada en la esquina superior derecha. Al hacer clic en el vínculo te llevará a la vista de las investigaciones automatizadas. Para obtener más información, consulta las investigaciones automatizadas.

Imagen de la página de alertas

La ventana de contexto de la alerta muestra el dónde, qué y cuándo de la alerta. Al igual que con otras páginas, puedes hacer clic en el icono junto al nombre o la cuenta de usuario para ver el panel de detalles del usuario o de la máquina. La vista de detalles de alerta también tiene una ventana de estado que muestra el estado de la alerta en la cola. También verás una descripción y un conjunto de acciones recomendadas que puedes expandir.

Para obtener más información acerca de cómo administrar alertas, consulta Administrar alertas.

La página de detalles de alerta también muestra el árbol de procesos de alerta, un gráfico de incidentes y una línea de tiempo del artefacto.

Puedes hacer clic en el vínculo de la máquina desde la vista de alertas para navegar a la máquina. La alerta se resaltará automáticamente, y la línea de tiempo mostrará la aparición de la alerta y sus pruebas en Machine timeline. Si la alerta apareció más de una vez en la máquina, se mostrará la aparición más reciente en Machine timeline.

Las alertas atribuidas a un adversario o actor muestran un icono a color con el nombre del actor.

Una vista detallada de una alerta al hacer clic

Haz clic en el nombre del actor para ver el perfil de inteligencia de amenazas del actor, incluida una breve introducción del actor, sus intereses u objetivos, sus herramientas, tácticas y procesos (TTP), así como las áreas donde se ha observado en todo el mundo. También verás un conjunto de acciones recomendadas.

Algunos perfiles de actor incluyen un vínculo para descargar un informe de inteligencia de amenazas más completo.

Imagen de un perfil de actor detallado

El perfil de alerta detallado te ayuda a que comprender quiénes son los atacantes; a quiénes atacan; qué técnicas, herramientas y procedimientos (TTP) usan; en qué ubicaciones geográficas están activos y, por último, qué acciones recomendadas puedes seguir. En muchos casos, puedes descargar un informe de inteligencia de amenazas más detallado acerca de este atacante o campaña para su lectura sin conexión.

Árbol de procesos de alerta

El árbol de procesos de alerta toma clasificación de alertas e investigación al siguiente nivel, mostrar la alerta agregada y alrededor de prueba que se produjeron en el mismo período de contexto y hora de ejecución. En este contexto de evaluación e investigación enriquecido está disponible en la página de alerta.

Imagen del árbol de procesos de alerta

Expande el árbol de procesos de alerta para mostrar la ruta de acceso de ejecución de la alerta y relacionada pruebas que se han producido alrededor del mismo período. Elementos de marcado con un icono de rayo se deben dar prioridad durante la investigación.

Nota

El árbol de procesos de alerta podría no estar disponible en algunas alertas.

Al hacer clic en el círculo inmediatamente a la izquierda del indicador se muestran los detalles.

Imagen del panel de detalles de alerta

El panel de detalles de alerta te ayuda a examinar más en profundidad los detalles de la alerta. Muestra información enriquecida sobre la ejecución, el archivo y las detecciones, observada en todo el mundo y en la organización, además de otros detalles obtenidos de la página de la entidad, mientras que permanece en la página de alerta, por lo que nunca dejas el contexto actual de la investigación.

Gráfico de incidentes

Incident Graph proporciona una representación visual de la superficie organizativa de la alerta y su prueba: dónde se observaron las pruebas que activaron la alerta en otras máquinas. Proporciona un mapa gráfico desde la máquina original y las pruebas se expanden para mostrar otras máquinas de la organización donde también se observaron las pruebas de desencadenamiento.

Imagen del gráfico de incidentes

El gráfico de incidentes admite la expansión por archivo, proceso, línea de comandos o dirección IP de destino, según corresponda.

La expansión de Incident Graph por dirección IP de destino muestra la superficie organizativa de comunicaciones con esta dirección IP sin tener que cambiar de contexto al navegar a la página de direcciones IP.

Puedes hacer clic en los círculos completos en el gráfico de incidentes para expandir los nodos y ver la expansión a otras máquinas donde se han observado criterios coincidentes.

Línea de tiempo de artefacto

La característica Alert timeline proporciona una vista adicional de las pruebas que desencadenaron la alerta en la máquina, y muestra la fecha y la hora en que se observaron las pruebas que desencadenaron la alerta, así como la primera vez que se observó en la máquina. Esto puede ayudar a comprender si las pruebas se vieron por primera vez en el momento de la alerta, o si se han observado en la máquina anteriormente, sin desencadenar una alerta.

Imagen de la línea de tiempo de artefactos

Si se selecciona un detalle de alerta, aparecerá el panel Detalles, donde podrás ver más información sobre la alerta, como los detalles del archivo, las detecciones, las instancias de esta que se han observado en todo el mundo y en la organización.

Temas relacionados