Investigar las alertas de seguridad de Defender for Identity en Microsoft Defender XDR

Nota:

Defender for Identity no está diseñado para servir como solución de auditoría o registro que capture todas las operaciones o actividades únicas en los servidores en los que está instalado el sensor. Solo captura los datos necesarios para sus mecanismos de detección y recomendación.

En este artículo se explican los conceptos básicos de cómo trabajar con las alertas de seguridad de Microsoft Defender for Identity en Microsoft Defender XDR.

Las alertas de Defender for Identity se integran de forma nativa en Microsoft Defender XDR de con un formato de página de alerta de identidad dedicado.

La página Alerta de identidad proporciona a los clientes de Microsoft Defender for Identity un mejor enriquecimiento de señales entre dominios y nuevas funcionalidades de respuesta de identidad automatizadas. Garantiza que se mantenga seguro y ayuda a mejorar la eficacia de las operaciones de seguridad.

Una de las ventajas de investigar alertas a través Microsoft Defender XDR es que las alertas de Microsoft Defender for Identity se correlacionan aún más con la información obtenida de cada uno de los otros productos del conjunto de aplicaciones. Estas alertas mejoradas son coherentes con los otros formatos de alerta de Microsoft Defender XDR que se originan en Microsoft Defender para Office 365 y Microsoft Defender para punto de conexión. La nueva página elimina eficazmente la necesidad de navegar a otro portal de productos para investigar las alertas asociadas a la identidad.

Las alertas que se originan en Defender for Identity ahora pueden desencadenar las funcionalidades automatizadas de investigación y respuesta (AIR) de Microsoft Defender XDR, incluida la corrección automática de alertas y la mitigación de herramientas y procesos que pueden contribuir a la actividad sospechosa.

Importante

Como parte de la convergencia con Microsoft Defender XDR, algunas opciones y detalles han cambiado de su ubicación en el portal de Defender for Identity. Lea los detalles siguientes para descubrir dónde encontrar las características conocidas y nuevas.

Revisión de alertas de seguridad

Se puede acceder a las alertas desde varias ubicaciones, incluida la página Alertas, la página Incidentes, las páginas de dispositivos individuales y la página Búsqueda avanzada. En este ejemplo, revisaremos la página Alertas.

En Microsoft Defender XDR, vaya a Alertas de incidentes & y, a continuación, a Alertas.

Opción de menú Alertas

Para ver las alertas de Defender for Identity, en la parte superior derecha, seleccione Filtrar y, en Orígenes de servicio, seleccione Microsoft Defender for Identity y luego Aplicar:

Filtro para los eventos de Defender for Identity

Las alertas se muestran con información en las columnas siguientes: Nombre de alerta, Etiquetas, Gravedad, Estado de investigación, Estado, Categoría, Origen de detección, Activos afectados, Primera actividad y Última actividad.

Eventos de Defender for Identity

Categorías de alertas de seguridad

Las alertas de seguridad de Defender for Identity se dividen en las siguientes categorías o fases, como las fases que se ven en una cadena típica de eliminación de ataques cibernéticos.

Administrar alertas

Si selecciona el nombre de alerta para una de las alertas, irá a la página con detalles sobre la alerta. En el panel izquierdo, verá un resumen de Lo que ha ocurrido:

El panel Qué ha ocurrido

Encima del cuadro Lo que ha ocurrido aparecen los botones Cuentas, Host de destino y Host de origen de la alerta. Para otras alertas, es posible que vea botones para obtener más información sobre hosts, cuentas, direcciones IP, dominios y grupos de seguridad adicionales. Seleccione cualquiera de ellos para obtener más detalles sobre las entidades implicadas.

En el panel derecho, verá los detalles de la alerta. Aquí puede ver más detalles y realizar varias tareas:

  • Clasificación de esta alerta : aquí puede designar esta alerta como una alerta verdadera o una alerta falsa.

    Página en la que puede clasificar una alerta

  • Estado de alerta: en Establecer clasificación, puede clasificar la alerta como Verdadera o Falsa. En Asignado a, puede asignar la alerta a usted mismo o anular su asignación.

    Panel Estado de alerta

  • Detalles de alerta: en Detalles de alerta, puede encontrar más información sobre la alerta específica, seguir un vínculo a la documentación sobre el tipo de alerta, ver qué incidente está asociado a la alerta, revisar las investigaciones automatizadas vinculadas a este tipo de alerta y ver los dispositivos y usuarios afectados.

    Página Detalles de alerta

  • Historial & de comentarios: aquí puede agregar los comentarios a la alerta y ver el historial de todas las acciones asociadas a la alerta.

    Página Comentarios e historial

  • Administrar alerta: si selecciona Administrar alerta, irá a un panel que le permitirá editar:

    • Estado: puede elegir Nuevo, Resuelto o En curso.

    • Clasificación: puede elegir Alerta verdadra o Alerta falsa.

    • Comentario: puede agregar un comentario sobre la alerta.

    • Si selecciona los tres puntos junto a Administrar alerta, puede Vincular alerta a otro incidente, Crear regla de supresión (disponible solo para clientes en versión preliminar) o Preguntar a expertos de Defender.

      Opción Administrar alerta

      También puede exportar la alerta a un archivo de Excel. Para hacerlo, seleccione Siguiente.

      Nota:

      En el archivo de Excel, ahora tiene dos vínculos disponibles: Ver en Microsoft Defender for Identity y Ver en Microsoft Defender XDR. Cada vínculo le llevará al portal correspondiente y proporcionará información sobre la alerta allí.

Optimización de alertas

Ajuste las alertas para configurarlas y optimizarlas, lo que reduce los falsos positivos. El ajuste de alertas permite a los equipos de SOC centrarse en alertas de alta prioridad y mejorar la cobertura de detección de amenazas en todo el sistema. En Microsoft Defender XDR, cree condiciones de regla basadas en tipos de evidencia y, a continuación, aplique la regla en cualquier tipo de regla que coincida con las condiciones.

Para más información, consulte Optimización de alertas.

Consulte también

Saber más