Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan vínculos a páginas que enumeran las alertas de seguridad que puede recibir de Microsoft Defender for Cloud y de los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que protege y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Esta página también incluye una tabla que describe la cadena de eliminación de Microsoft Defender for Cloud alineada con la versión 9 de la matriz MITRE ATT&CK.
Aprenda a responder a estas alertas.
Nota:
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Páginas de alertas de seguridad por categoría
- Alertas para máquinas Windows
- Alertas para máquinas Linux
- Alertas de DNS
- Alertas para extensiones de máquina virtual de Azure
- Alertas de Azure App Service
- Alertas para contenedores: clústeres de Kubernetes
- Alertas de SQL Database y Azure Synapse Analytics
- Alertas para bases de datos relacionales de código abierto
- Alertas de Resource Manager
- Alertas de Azure Storage
- Alertas para Azure Cosmos DB
- Alertas para la capa de red de Azure
- Alertas de Azure Key Vault
- Alertas de Azure DDoS Protection
- Alertas de Defender para LAS API
- Alertas para cargas de trabajo de IA
- Alertas de seguridad en desuso
Tácticas de MITRE ATT&CK
Comprender la intención de un ataque puede ayudarle a investigar e informar del evento más fácilmente. Para ayudar con estos esfuerzos, las alertas de Microsoft Defender for Cloud incluyen las tácticas de MITRE con muchas alertas.
La serie de pasos que describen la progresión de un ciberataque de reconocimiento a la filtración de datos se conoce a menudo como una "cadena de eliminación".
Las intenciones de cadena de eliminación admitidas de Defender for Cloud se basan en la versión 9 de la matriz DE MITRE ATT&CK y se describen en la tabla siguiente.
| Táctica | ATT&CK Versión | Description |
|---|---|---|
| PreAttack | PreAttack podría ser un intento de acceder a un determinado recurso independientemente de una intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación. Normalmente, este paso se detecta como un intento, que se origina desde fuera de la red, para examinar el sistema de destino e identificar un punto de entrada. | |
| Acceso inicial | V7, V9 | Acceso inicial es la fase en la que un atacante administra para obtener un punto de vista sobre el recurso atacado. Esta fase es relevante para hosts de proceso y recursos como cuentas de usuario, certificados, etc. Los actores de amenazas a menudo podrán controlar el recurso después de esta fase. |
| Persistencia | V7, V9 | La persistencia es cualquier cambio de acceso, acción o configuración a un sistema que proporciona a un actor de amenazas una presencia persistente en ese sistema. A menudo, los actores de amenazas necesitarán mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requerirían que una herramienta de acceso remoto se reinicie o proporcione una puerta trasera alternativa para que recuperen el acceso. |
| Elevación de privilegios | V7, V9 | La elevación de privilegios es el resultado de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Algunas herramientas o acciones requieren un mayor nivel de privilegio para trabajar y es probable que sean necesarias en muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios logren su objetivo también podrían considerarse una escalación de privilegios. |
| Evasión de defensa | V7, V9 | La evasión de defensa consiste en técnicas que un adversario podría usar para eludir la detección o evitar otras defensas. A veces, estas acciones son las mismas que las técnicas (o variaciones de) de otras categorías que tienen la ventaja adicional de subvertir una defensa o mitigación determinada. |
| Acceso a credenciales | V7, V9 | El acceso a credenciales representa técnicas que dan lugar a acceso o control sobre las credenciales de sistema, dominio o servicio que se usan en un entorno empresarial. Es probable que los adversarios intenten obtener credenciales legítimas de usuarios o cuentas de administrador (administradores del sistema local o usuarios de dominio con acceso de administrador) para usarlos en la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno. |
| Detección | V7, V9 | La detección consta de técnicas que permiten al adversario obtener conocimientos sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben orientarse a lo que ahora tienen control y qué beneficios que operar desde ese sistema brinda a su objetivo actual o metas generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase posterior a la recopilación de información. |
| LateralMovement | V7, V9 | El movimiento lateral consta de técnicas que permiten a un adversario acceder y controlar sistemas remotos en una red y podrían, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de más herramientas, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, incluida la ejecución remota de herramientas, la dinamización a más sistemas, el acceso a información o archivos específicos, el acceso a más credenciales o provocar un efecto. |
| Ejecución | V7, V9 | La táctica de ejecución representa técnicas que dan lugar a la ejecución de código controlado por adversarios en un sistema local o remoto. Esta táctica se usa a menudo junto con el movimiento lateral para expandir el acceso a sistemas remotos en una red. |
| Colección | V7, V9 | La colección consta de técnicas que se usan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la filtración. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario podría buscar información para filtrar. |
| Comando y control | V7, V9 | La táctica de comando y control representa cómo los adversarios se comunican con los sistemas bajo su control dentro de una red de destino. |
| Filtración | V7, V9 | La filtración hace referencia a técnicas y atributos que dan como resultado o ayudan al adversario a quitar archivos e información de una red de destino. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario podría buscar información para filtrar. |
| Impact | V7, V9 | Los eventos de impacto tratan principalmente de reducir directamente la disponibilidad o integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto a menudo se referiría a técnicas como ransomware, desfase, manipulación de datos y otros. |
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.