Compartir a través de

Administración de las alertas de seguridad y respuesta a ellas

Defender for Cloud recopila, analiza e integra datos de registro de los recursos de Azure, híbridos y multinube, la red y las soluciones de asociados conectados, como firewalls y agentes de punto de conexión. Defender for Cloud usa los datos de registro para detectar amenazas reales y reducir los falsos positivos. En Defender for Cloud se muestra una lista de alertas de seguridad prioritarias junto con la información que necesita para investigar rápidamente el problema y los pasos que se deben seguir para corregir un ataque.

En este artículo se muestra cómo ver y procesar las alertas de Defender for Cloud y cómo proteger los recursos.

Al evaluar las alertas de seguridad, debe priorizar las alertas en función de su gravedad de alerta, abordando primero las alertas de gravedad superior. Obtenga más información sobre cómo se clasifican las alertas.

Sugerencia

Puede conectar Microsoft Defender for Cloud a soluciones SIEM, incluido Microsoft Sentinel, y consumir las alertas de la herramienta que prefiera. Obtenga más información sobre cómo transmitir alertas a una solución siEM, SOAR o administración de servicios de TI.

Prerrequisitos

Para conocer los requisitos previos y los requisitos, consulte Matrices de soporte técnico para Defender for Cloud.

Administración de las alertas de seguridad

Siga estos pasos:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>alertas de seguridad.

    Captura de pantalla que muestra la página de alertas de seguridad de la página de información general de Microsoft Defender for Cloud.

  3. (Opcional) Filtre la lista de alertas con cualquiera de los filtros pertinentes. Puede agregar filtros adicionales con la opción Agregar filtro .

    Captura de pantalla que muestra cómo agregar filtros a la vista de alertas.

    La lista se actualiza según los filtros seleccionados. Por ejemplo, puede que quiera abordar las alertas de seguridad que se produjeron en las últimas 24 horas porque está investigando una posible infracción en el sistema.

Investigación de una alerta de seguridad

Cada alerta contiene información relacionada con la alerta que le ayuda en la investigación.

Para investigar una alerta de seguridad:

  1. Seleccione una alerta. Se abre un panel lateral y se muestra una descripción de la alerta y todos los recursos afectados.

    Captura de pantalla de la vista de detalles de alto nivel de una alerta de seguridad.

  2. Revise la información de alto nivel sobre la alerta de seguridad.

    • Gravedad de la alerta, estado y tiempo de actividad
    • Descripción que explica la actividad precisa que se detectó
    • Recursos afectados
    • Intención de la cadena de eliminación de la actividad en la matriz de MITRE ATT&CK (de ser aplicable)

  3. Seleccione View full details (Ver detalles completos).

    El panel derecho incluye la pestaña Detalles de alerta que contiene más detalles de la alerta para ayudarle a investigar el problema: direcciones IP, archivos, procesos, etc.

    Captura de pantalla que muestra la página de detalles completa de una alerta.

    También en el panel derecho se encuentra la pestaña Realizar acción . Use esta pestaña para realizar más acciones relacionadas con la alerta de seguridad. Acciones como:

    • Inspección del contexto de recursos : le envía a los registros de actividad del recurso que admiten la alerta de seguridad.
    • Mitigación de la amenaza : proporciona pasos de corrección manuales para esta alerta de seguridad.
    • Prevención de ataques futuros : proporciona recomendaciones de seguridad para ayudar a reducir la superficie expuesta a ataques, aumentar la posición de seguridad y, por tanto, evitar ataques futuros.
    • Desencadenar respuesta automatizada : proporciona la opción de desencadenar una aplicación lógica como respuesta a esta alerta de seguridad.
    • Suprimir alertas similares : proporciona la opción de suprimir alertas futuras con características similares si la alerta no es relevante para su organización.

    Captura de pantalla que muestra las opciones disponibles en la pestaña Realizar acción.

    Para obtener más información, póngase en contacto con el propietario del recurso para comprobar si la actividad detectada es un falso positivo. También puede investigar los registros sin procesar generados por el recurso atacado.

Cambiar el estado de varias alertas de seguridad a la vez

La lista de alertas incluye casillas para que pueda controlar varias alertas a la vez. Por ejemplo, con fines de evaluación de prioridades, puede decidir descartar todas las alertas informativas de un recurso específico.

  1. Filtre según las alertas que quiera controlar de forma masiva.

    En este ejemplo, se seleccionan las alertas con gravedad de Informational para el recurso ASC-AKS-CLOUD-TALK.

    Captura de pantalla que muestra cómo filtrar las alertas para mostrar alertas relacionadas.

  2. Use las casillas para seleccionar las alertas que se van a procesar.

    En este ejemplo, se seleccionan todas las alertas. El botón Cambiar estado ya está disponible.

    Captura de pantalla de la selección de todas las alertas para controlar de forma masiva.

  3. Use las opciones Cambiar estado para establecer el estado deseado.

    Captura de pantalla de la pestaña Estado de las alertas de seguridad.

    Las alertas que se muestran en la página actual tienen su estado cambiado al valor seleccionado.

Respuesta a una alerta de seguridad

Después de investigar una alerta de seguridad, puede responder a la alerta desde Microsoft Defender for Cloud.

Para responder a una alerta de seguridad:

  1. Abra la pestaña Realizar acción para ver las respuestas recomendadas.

    Captura de pantalla de la pestaña

  2. Revise la sección Mitigación de la amenaza de los pasos de investigación manuales necesarios para mitigar el problema.

  3. Para proteger los recursos y evitar ataques futuros de este tipo, corrija las recomendaciones de seguridad en la sección Prevención de futuros ataques .

  4. Para desencadenar una aplicación lógica con pasos de respuesta automatizados, use la sección Desencadenar respuesta automatizada y seleccione Desencadenar aplicación lógica.

  5. Si la actividad detectada no es malintencionada, puede suprimir alertas futuras de este tipo mediante la sección Suprimir alertas similares y seleccionar Crear regla de supresión.

  6. Seleccione Configurar las opciones de notificación por correo electrónico para ver quién recibe correos electrónicos relacionados con las alertas de seguridad en esta suscripción. Póngase en contacto con el propietario de la suscripción para configurar las opciones de correo electrónico.

  7. Cuando complete la investigación en la alerta y responda de la manera adecuada, cambie el estado a Descartado.

    Captura de pantalla del menú desplegable del estado de alerta.

    La alerta se quita de la lista de alertas principales. Puede usar el filtro de la página de lista de alertas para ver todas las alertas con el estado Descartado .

  8. Le recomendamos que proporcione comentarios sobre la alerta a Microsoft:

    1. Marcar la alerta como Útil o No útil.
    2. Seleccione un motivo y agregue un comentario.

    Captura de pantalla de la ventana proporcionar comentarios a Microsoft que le permite seleccionar la utilidad de una alerta.

Sugerencia

Revisamos sus comentarios para mejorar nuestros algoritmos y proporcionar mejores alertas de seguridad.

Para obtener información sobre los distintos tipos de alertas, consulte Alertas de seguridad: una guía de referencia.

Para obtener información general sobre cómo Defender for Cloud genera alertas, consulte Cómo Microsoft Defender for Cloud detecta y responde a amenazas.

Revisión de los resultados del examen sin agente

Los resultados del analizador basado en agente y sin agente aparecen en la página Alertas de seguridad.

Captura de pantalla de la página de alertas de seguridad que muestra los resultados de los análisis basados en agente y sin agente.

Nota:

La corrección de una de estas alertas no corregirá la otra alerta hasta que se complete el siguiente examen.

Contenido relacionado

  • Last updated on