Investigar equipos en la lista de equipos ATP de Microsoft defender

Se aplica a:

¿Quiere experimentar ATP de Microsoft defender? Regístrate para obtener una prueba gratuita.

Investiga los detalles de una alerta que se genera en una máquina en concreto para identificar otros comportamientos o eventos que puedan deberse a la alerta o al alcance potencial de la infracción.

Cada vez que ves máquinas afectadas en el portal, puedes hacer clic en ellas para abrir un informe detallado sobre esa máquina. Las máquinas afectadas se identifican en las siguientes áreas:

Al investigar una máquina específica verás:

  • Detalles de la máquina
  • Acciones de respuesta
  • Tarjetas (alertas activas, usuarios con sesión iniciada, evaluación de seguridad)
  • Pestañas (alertas, escala de tiempo, recomendaciones de seguridad, inventario de software, vulnerabilidades detectadas)

Imagen de vista de la máquina

Detalles de la máquina

La sección detalles de la máquina proporciona información como el dominio, el sistema operativo y el estado de mantenimiento de la máquina. Si hay un paquete de investigación disponible en la máquina, verás un vínculo que te permite descargar el paquete.

Acciones de respuesta

Las acciones de respuesta se ejecutan en la parte superior de una página del equipo específica e incluyen:

  • Administrar etiquetas
  • Iniciar investigación automatizada
  • Iniciar sesión de respuesta en directo
  • Recopilar paquete de investigación
  • Ejecutar análisis antivirus
  • Restringir ejecución de aplicación
  • Aislar máquina
  • Centro de actividades

Puede tomar medidas de respuesta en el centro de actividades, en una página de un equipo específico o en una página de un archivo específico.

Para obtener más información sobre cómo realizar una acción en una máquina, consulta Realizar acciones de respuesta en una máquina.

Para obtener más información, consulta Investigar entidades de usuario.

Tarjetas

Alertas activas

Si ha habilitado la característica ATP de Azure y hay alertas relacionadas con el equipo, puede ver una descripción general de alto nivel de las alertas y el nivel de riesgo. Encontrará más información en las "alertas" en detalle.

Imagen del mosaico alertas activas

Nota

Para usar esta característica, tendrá que habilitar la integración en Azure ATP y en Microsoft defender ATP. En Microsoft defender ATP, puede habilitar esta característica en las características avanzadas. Para obtener más información sobre cómo habilitar las características avanzadas, consulte activar las características avanzadas.

Usuarios con sesión iniciada

El icono "usuarios conectados" muestra la cantidad de usuarios que han iniciado sesión en los últimos 30 días, junto con los usuarios más y menos frecuentes. Al seleccionar el vínculo "Ver todos los usuarios", se abre el panel de detalles que muestra información como el tipo de usuario, el tipo de inicio de sesión y el primer/último visto. Para obtener más información, consulta Investigar entidades de usuario.

Imagen del panel de detalles del usuario

Evaluaciones de seguridad

El mosaico evaluaciones de seguridad muestra el nivel general de exposición, las recomendaciones de seguridad, el software instalado y las vulnerabilidades detectadas. El nivel de exposición de una máquina está determinado por el impacto acumulado de las recomendaciones de seguridad pendientes.

Imagen del mosaico de evaluaciones de seguridad

Pestañas

Las cinco pestañas de la sección tarjetas muestran información de seguridad y de prevención de amenazas relevante relacionada con el equipo. En cada pestaña puede personalizar las columnas que se muestran.

Alertas

La sección alertas proporciona una lista de alertas asociadas al equipo. Esta lista es una versión filtrada de la cola de alertasy muestra una breve descripción de la alerta, gravedad (alta, media, baja, información), estado en la cola (nuevo, en curso, resuelto), clasificación (no establecido, alerta falsa, alerta verdadero), Estado de investigación, categoría de alerta, quién está tratando la alerta y última actividad. También puede filtrar las alertas y personalizar las columnas.

Imagen de alertas relacionadas con el equipo

Cuando se selecciona el icono de círculo a la izquierda de una alerta, aparece un mensaje emergente. Desde este panel, puede administrar la alerta y ver más detalles, como el número de incidente y los equipos relacionados. Se pueden seleccionar varias alertas a la vez.

Para ver una vista de página completa de una alerta incluyendo el gráfico de incidentes y el árbol de procesos, seleccione el título de la alerta.

Línea de tiempo

La sección de escala de tiempo proporciona una vista cronológica de los eventos y alertas asociadas que se han observado en el equipo. Esto puede ayudarle a correlacionar los eventos, archivos y direcciones IP en relación con el equipo.

La escala de tiempo también le permite desglosar de forma selectiva los eventos que se produjeron en un período de tiempo determinado. Puedes ver la secuencia temporal de eventos que se produjeron en una máquina durante un período especificado. Para tener más control sobre la vista, puede filtrar por grupos de eventos o personalizar las columnas.

Nota

Para que se muestren los eventos del firewall, tendrá que habilitar la Directiva de auditoría, consulte conexión de la plataforma de filtrado de auditoría. Firewall cubre los siguientes eventos

  • 5025 : servicio de Firewall detenido
  • 5031 : la aplicación bloqueó la aceptación de conexiones entrantes en la red
  • 5157 : conexión bloqueada

Imagen de línea de tiempo de la máquina con eventos

Algunas de las funciones incluyen:

  • Búsqueda de eventos específicos
    • Usa la barra de búsqueda para buscar eventos específicos de la línea de tiempo.
  • Filtrar eventos desde una fecha específica
    • Seleccione el icono de calendario en la esquina superior izquierda de la tabla para mostrar los eventos en el último día, semana, 30 días o intervalo personalizado. De forma predeterminada, la escala de tiempo del equipo está configurada para mostrar los eventos de los últimos 30 días.
    • Use la escala de tiempo para ir a un momento específico en el tiempo resaltando la sección. Las flechas de la escala de tiempo indican las investigaciones automatizadas
  • Exportar eventos de escala de tiempo detallados de máquina
    • Exporte la escala de tiempo de la máquina de la fecha actual o de un intervalo de fechas determinado hasta siete días.

Junto con los usuarios y el tiempo de eventos, una de las principales categorías en la escala de tiempo es "detalles". Describen lo que sucedió en los eventos. La lista de posibles detalles es la siguiente:

  • Contenido por protección de aplicaciones
  • Detectada amenaza activa: cuando se produjo la detección, se estaba ejecutando la amenaza (es decir, se estaba ejecutando)
  • Corrección incorrecta: se invocó la corrección, pero se produjo un error
  • Corrección correcta: la amenaza se ha detenido y limpiado
  • ADVERTENCIA omitida por el usuario: aparece una advertencia de SmartScreen pero el usuario la ha deshabilitado
  • Se detectó un script sospechoso
  • Categoría de alerta (por ejemplo, movimiento lateral): Si el evento está correlacionado con una alerta, la etiqueta mostrará la categoría de alerta

También puede usar la característica de escala de tiempo de artefacto para ver la correlación entre las alertas y los eventos en un equipo específico.

Recomendaciones de seguridad

Las recomendaciones de seguridad se generan a partir de la amenaza de ATP de Microsoft defender & la capacidad de administración de vulnerabilidades . Si selecciona una recomendación, se mostrará un panel en el que podrá ver los detalles relevantes, como la descripción de la recomendación y los posibles riesgos relacionados con la no encontrarla.

Imagen de la ficha recomendaciones de seguridad

Inventario de software

La sección de inventario de software le permite ver software en el dispositivo, junto con cualquier debilidad o amenaza. Si selecciona el nombre del software, le llevará a la página Detalles del software, donde puede ver las recomendaciones de seguridad, las vulnerabilidades detectadas, las máquinas instaladas y la distribución de versiones.

Imagen de la ficha inventario de software

Vulnerabilidades detectadas

En **** la sección vulnerabilidades detectadas se muestra el nombre, la gravedad y las perspectivas de amenazas de las vulnerabilidades detectadas en el dispositivo. Al seleccionar vulnerabilidades específicas, se mostrará una descripción y detalles.

Imagen de la pestaña vulnerabilidades detectadas

Temas relacionados