Investigar incidentes en Microsoft Defender para punto de conexión

  • Artículo

Se aplica a:

Investigue los incidentes que afectan a la red, comprenda lo que significan y cotee las pruebas para resolverlos.

Cuando investigue un incidente, verá lo siguiente:

  • Detalles del incidente
  • Comentarios y acciones de incidentes
  • Pestañas (alertas, dispositivos, investigaciones, pruebas, gráficos)

Análisis de los detalles del incidente

Sugerencia

Durante un tiempo limitado durante enero de 2024, cuando visita la página Incidentes , aparece Defender Boxed. Defender Boxed resalta los éxitos de seguridad, las mejoras y las acciones de respuesta de su organización durante 2023. Para volver a abrir Defender Boxed, en el portal de Microsoft Defender, vaya a Incidentes y, a continuación, seleccione Su defender boxed.

Haga clic en un incidente para ver el panel Incidente. Seleccione Abrir página de incidentes para ver los detalles del incidente y la información relacionada (alertas, dispositivos, investigaciones, pruebas, gráficos).

Detalles de un incidente

Alertas

Puede investigar las alertas y ver cómo se vincularon en un incidente. Las alertas se agrupan en incidentes por los siguientes motivos:

  • Investigación automatizada: la investigación automatizada desencadenó la alerta vinculada mientras investigaba la alerta original.
  • Características de archivo: los archivos asociados a la alerta tienen características similares
  • Asociación manual: un usuario vinculó manualmente las alertas
  • Hora próxima: las alertas se desencadenaron en el mismo dispositivo dentro de un período de tiempo determinado.
  • Mismo archivo: los archivos asociados a la alerta son exactamente los mismos
  • Misma dirección URL: la dirección URL que desencadenó la alerta es exactamente la misma.

La pestaña Alertas con la página de detalles del incidente muestra los motivos por los que las alertas se vincularon en ese incidente.

También puede administrar una alerta y ver los metadatos de la alerta junto con otra información. Para obtener más información, vea Investigar alertas.

Dispositivos

También puede investigar los dispositivos que forman parte o están relacionados con un incidente determinado. Para obtener más información, consulte Investigación de dispositivos.

Pestaña Dispositivos en la página de detalles del incidente

Investigaciones

Seleccione Investigaciones para ver todas las investigaciones automáticas iniciadas por el sistema en respuesta a las alertas de incidentes.

Pestaña Investigaciones de la página de detalles del incidente

Pasar por las pruebas

Microsoft Defender para punto de conexión investiga automáticamente todos los eventos admitidos por los incidentes y las entidades sospechosas de las alertas, lo que le proporciona autorespuesta e información sobre los archivos, procesos, servicios, etc. importantes.

Cada una de las entidades analizadas se marcará como infectada, corregida o sospechosa.

Pestaña Evidencia en la página de detalles del incidente

Visualización de las amenazas de ciberseguridad asociadas

Microsoft Defender para punto de conexión agrega la información de amenazas a un incidente para que pueda ver los patrones y las correlaciones procedentes de varios puntos de datos. Puede ver dicha correlación a través del gráfico de incidentes.

Gráfico de incidentes

Graph cuenta la historia del ataque de ciberseguridad. Por ejemplo, muestra cuál era el punto de entrada, qué indicador de riesgo o actividad se observó en qué dispositivo. Etc.

Gráfico de incidentes

Puede hacer clic en los círculos del gráfico de incidentes para ver los detalles de los archivos malintencionados, las detecciones de archivos asociadas, cuántas instancias se han producido en todo el mundo, si se han observado en su organización, si es así, cuántas instancias.

Página de detalles del incidente

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.