Administrar alertas de protección contra amenazas avanzada de Microsoft defender

Se aplica a:

¿Quiere experimentar ATP de Microsoft defender? Regístrate para obtener una prueba gratuita.

ATP de Microsoft defender le notifica de posibles eventos maliciosos, atributos e información contextual por medio de alertas. Se muestra un resumen de las alertas nuevas en el Panel de operaciones de seguridady puede obtener acceso a todas las alertas de la cola de alertas.

Puedes administrar las alertas al seleccionar una alerta la sección Alerts queue o Alerts related to this machine de la vista de detalles del equipo.

Al seleccionar una alerta en cualquiera de estas secciones, se mostrará el panel Administración de alertas.

Imagen del estado de alerta

Vincular a otro incidente

Puede crear un nuevo incidente desde la alerta o un vínculo a un incidente existente.

Asignar alertas

Si una alerta todavía no está asignada, puedes seleccionar Assign to me para asignarte la alerta a ti mismo.

Suprimir alertas

Es posible que haya escenarios en los que necesite suprimir alertas de las que aparecen en el centro de seguridad de Microsoft defender. ATP de Microsoft le permite crear reglas de supresión para alertas específicas que se sabe que son inocuas, como los procesos o las herramientas conocidas de su organización.

Las reglas de supresión se pueden crear a partir de una alerta existente. Se pueden deshabilitar y rehabilitar si es necesario.

Cuando se crea una regla de supresión, surtirá efecto a partir del momento en que se cree dicha regla. La regla no afectará a las alertas que ya estaban en la cola antes de que se creara la regla. Solo se aplicará la regla en las alertas que cumplan las condiciones establecidas después de crear la regla.

Puedes seleccionar entre dos contextos de la regla de supresión:

  • Suprimir alerta en este equipo
  • Suprimir alerta en mi organización

El contexto de la regla te permite personalizar lo que se expone en el portal y asegurarte de que solo se expongan en el portal las alertas de seguridad reales.

Los ejemplos de la siguiente tabla te pueden ayudar a seleccionar el contexto de una regla de supresión:

Contexto Definición Situaciones que sirven de ejemplo
Suprimir alerta en este equipo Solo se suprimirán las alertas con el mismo título y en el equipo específico.

El resto de alertas en esa máquina no se suprimirán.
  • Un investigador de seguridad está investigando un script malintencionado que se ha utilizado para atacar a otras máquinas de su organización.
  • Un desarrollador crea scripts de PowerShell para su equipo regularmente.
Suprimir alerta en mi organización Se suprimirán las alertas con el mismo título en cualquier equipo.
  • Todos los empleados de tu organización usan una herramienta administrativa benigna.

Suprimir una alerta y crear una nueva regla de supresión:

Crea reglas personalizadas para controlar cuándo se suprimen o resuelven las alertas. Puedes controlar el contexto de cuándo se suprime una alerta especificando el título de la alerta, el indicador de peligro y las condiciones. Tras especificar el contexto, podrás configurar la acción y el ámbito en la alerta.

  1. Selecciona la alerta que quieras suprimir. Se muestra el panel Administración de alertas.

  2. Seleccione crear una regla de supresión.

    Puede crear una regla de supresión en función de los siguientes atributos:

    • Hash de archivo
    • Nombre de archivo: compatible con caracteres comodín
    • Ruta de archivo: compatible con caracteres comodín
    • IP
    • URL: compatible con caracteres comodín
  3. Seleccione la TRIGERRING IOC.

  4. Especifica la acción y el ámbito de la alerta.
    Puedes resolver automáticamente una alerta u ocultarla en el portal. Las alertas que se resuelven automáticamente aparecerán en la sección de alertas resueltas de la cola de alertas. Las alertas que están marcadas como ocultas se suprimirán en todo el sistema, tanto en las alertas asociadas a la máquina como en el panel. También puede especificar que se suprima la alerta en un grupo de equipos específico.

  5. Escriba un nombre de regla y un comentario.

  6. Haz clic en Guardar.

Ver la lista de las reglas de supresión

  1. En el panel de navegación, seleccionesupresión de alertasde configuración > .

  2. En la lista de reglas de supresión, se muestran todas las reglas creadas por los usuarios de tu organización.

Para obtener más información sobre la administración de reglas de supresión, consulte Manage extinción rules .

Cambiar el estado de una alerta

Puedes clasificar las alertas (como Nueva, En curso o Resuelta) cambiando su estado a medida que avanza el proceso de investigación. Esto te ayudará a organizar y administrar el modo en el que tu equipo responde a las alertas.

Por ejemplo, un jefe de equipo puede revisar todas las alertas Nuevas y, a continuación, decidir asignarlas a la cola En curso para realizar análisis adicionales.

De forma alternativa, el jefe de equipo puede asignar la alarma a la cola Resuelta si sabe que la alerta es benigna, que procede de un equipo que no es relevante (como, por ejemplo, la que pertenece a un administrador de seguridad) o que se está procesando mediante una alerta anterior.

Clasificación de alertas

Puede elegir no definir una clasificación o especificar si una alerta es una alerta verdadera o falsa. Es importante proporcionar la clasificación de verdadero positivo/falso positivo. Esta clasificación se usa para supervisar la calidad de las alertas y hacer que las alertas sean más precisas. El campo "determinación" define una fidelidad adicional para una clasificación "verdadero positivo".

Agregar comentarios y ver el historial de una alerta

Puedes agregar comentarios y ver los eventos de historial sobre una alerta para ver los cambios anteriores realizados en la alerta.

Cuando se realiza un cambio o un comentario en una alerta, queda registrado en la sección Comments and history.

Los comentarios agregados aparecen al instante en el panel.

Temas relacionados