Análisis de amenazas en Microsoft Defender

Se aplica a:

• Microsoft Defender XDR

El análisis de amenazas es una solución de inteligencia sobre amenazas en el producto de expertos investigadores de seguridad de Microsoft. Ayuda a los equipos de seguridad a mantenerse eficientes a la vez que se enfrentan a amenazas emergentes, como:

• Actores de amenazas activos y sus campañas
• Técnicas de ataque populares y nuevas
• Vulnerabilidades críticas
• Superficies de ataque comunes
• Malware frecuentes

Puede acceder al análisis de amenazas desde la parte superior izquierda de la barra de navegación de Microsoft Defender portal o desde una tarjeta de panel dedicada que muestra las principales amenazas para su organización, tanto en términos de impacto conocido como de exposición.

Obtener visibilidad sobre campañas activas o en curso y saber qué hacer a través del análisis de amenazas podría ayudar a que su equipo de operaciones de seguridad tome decisiones informadas.

Con adversarios cada vez más sofisticados y nuevas amenazas que aparecen con frecuencia y prevalentemente, es fundamental poder:

• Identificar y reaccionar ante amenazas emergentes
• Obtenga información sobre si está actualmente bajo ataque.
• Evaluación del impacto de la amenaza en los recursos
• Revise la resistencia frente a las amenazas o su exposición a las amenazas.
• Identificar las acciones de mitigación, recuperación o prevención que puede realizar para detener o contener las amenazas.

Cada informe proporciona un análisis de una amenaza rastreada y una amplia guía sobre cómo defenderse contra esa amenaza. También incorpora datos de la red, lo que indica si la amenaza está activa y si tiene protecciones aplicables.

Permisos y roles necesarios

Para acceder a Análisis de amenazas en el portal de Defender, necesita una licencia para al menos un producto Microsoft Defender XDR. Para obtener más información, consulte Microsoft Defender XDR requisitos previos.

También se requieren los siguientes roles y permisos para acceder a Análisis de amenazas:

• Conceptos básicos de datos de seguridad (lectura): para ver el informe de análisis de amenazas, los incidentes y alertas relacionados y los recursos afectados
• Administración de vulnerabilidades (lectura) y Administración de exposición (lectura): para ver los datos de exposición relacionados y las acciones recomendadas

De forma predeterminada, el acceso a los servicios disponibles en el portal de Defender se administra colectivamente mediante Microsoft Entra roles globales. Si necesita mayor flexibilidad y control sobre el acceso a datos de productos específicos y aún no usa el Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) para la administración centralizada de permisos, se recomienda crear roles personalizados para cada servicio. Más información sobre la creación de roles personalizados

Visualización del panel de análisis de amenazas

El panel de análisis de amenazas (security.microsoft.com/threatanalytics3) resalta los informes más relevantes para su organización. Resume las amenazas en las secciones siguientes:

• Amenazas más recientes: enumera los informes de amenazas publicados o actualizados más recientemente, junto con el número de alertas activas y resueltas.
• Amenazas de alto impacto: enumera las amenazas que tienen el mayor impacto en su organización. En esta sección se enumeran primero las amenazas con el mayor número de alertas activas y resueltas.
• Amenazas de exposición más altas: enumera las amenazas a las que su organización tiene la mayor exposición. El nivel de exposición a una amenaza se calcula mediante dos fragmentos de información: la gravedad de las vulnerabilidades asociadas a la amenaza y cuántos dispositivos de su organización podrían ser explotados por esas vulnerabilidades.

Seleccione una amenaza en el panel para ver el informe de esa amenaza. También puede seleccionar el campo Buscar en clave en una palabra clave relacionada con el informe de análisis de amenazas que le gustaría leer.

Visualización de informes por categoría

Puede filtrar la lista de informes de amenazas y ver los informes más relevantes según las siguientes opciones:

• Etiquetas de amenazas: le ayudarán a ver los informes más relevantes según una categoría de amenazas específica. Por ejemplo, la etiqueta Ransomware incluye todos los informes relacionados con ransomware.

  El equipo de Inteligencia sobre amenazas de Microsoft agrega etiquetas de amenazas a cada informe de amenazas. Las siguientes etiquetas de amenaza están disponibles actualmente:

  • Ransomware
  • Suplantación de identidad (phishing)
  • Grupo de actividades
  • Vulnerabilidad

• Categoría: le ayuda a ver los informes más relevantes según un tipo de informe específico. Por ejemplo, la categoría Actor incluye todos los perfiles de actor de amenazas. Más información sobre los distintos tipos de informes de analistas

Estos filtros le ayudan a revisar de forma eficaz la lista de informes de amenazas. Por ejemplo, puede ver todos los informes de amenazas relacionados con la categoría ransomware o los informes de amenazas que implican vulnerabilidades.

Las categorías se presentan en la parte superior de la página de análisis de amenazas. Los contadores muestran el número de informes disponibles en cada categoría.

Para agregar tipos de filtro de informe en el panel, seleccione Filtros, elija en la lista y seleccione Agregar.

Para establecer los tipos de informes que desee en la lista en función de los filtros disponibles, seleccione un tipo de filtro (por ejemplo, Etiquetas de amenazas), elija en la lista y seleccione Aplicar.

Visualización de un informe de análisis de amenazas

Cada informe de análisis de amenazas proporciona información en varias secciones:

• Información general
• Informe de analistas
• Incidentes relacionados
• Activos afectados
• Exposición de puntos de conexión
• Acciones recomendadas
• Indicadores (versión preliminar)

Información general: Comprender rápidamente la amenaza, evaluar su impacto y revisar las defensas

En la sección Información general se proporciona una vista previa del informe detallado del analista. También proporciona gráficos que resaltan el impacto de la amenaza para su organización y su exposición a través de dispositivos mal configurados y no revisados.

Comprender la amenaza y sus tácticas, técnicas y procedimientos

Cada informe incluye los siguientes detalles sobre una amenaza, siempre que sea aplicable o disponible, lo que le proporciona un vistazo rápido de cuál es la amenaza y cómo podría afectar a su organización:

• Alias: enumera los nombres divulgados públicamente por otros proveedores de seguridad a la amenaza.
• Origen: muestra el país o región desde el que se originó la amenaza
• Inteligencia relacionada: enumera otros informes de análisis de amenazas que son pertinentes o están relacionados con la amenaza.
• Objetivos: enumera los países o regiones e industrias a los que se dirige la amenaza.
• Técnicas de ataque de MITRE: enumera las tácticas, técnicas y procedimientos observados de la amenaza (TTP) según el marco de MITRE ATT&CK

Evaluación del impacto en la organización

Cada informe incluye gráficos diseñados para proporcionar información sobre el impacto en la organización de una amenaza:

• Incidentes relacionados: proporciona información general sobre el impacto de la amenaza de seguimiento en su organización con los siguientes datos:
  • Número de alertas activas y el número de incidentes activos a los que están asociados
  • Gravedad de los incidentes activos
• Alertas a lo largo del tiempo: muestra el número de alertas activas y resueltas relacionadas a lo largo del tiempo. El número de alertas resueltas indica la rapidez con la que la organización responde a las alertas asociadas a una amenaza. Lo ideal es que el gráfico muestre las alertas resueltas en unos días.
• Activos afectados: muestra el número de recursos distintos que actualmente tienen al menos una alerta activa asociada a la amenaza de seguimiento. Las alertas se desencadenan para los buzones que reciben correos electrónicos de amenazas. Revise las directivas de nivel de organización y usuario para ver si hay invalidaciones que provocan la entrega de correos electrónicos de amenazas.

Revisión de la resistencia y la posición de la seguridad

Cada informe incluye gráficos que proporcionan información general sobre la resistencia de su organización frente a una amenaza determinada:

• Acciones recomendadas: muestra el porcentaje de estado de la acción o el número de puntos que ha logrado para mejorar la posición de seguridad. Realice las acciones recomendadas para ayudar a solucionar la amenaza. Puede ver el desglose de puntos por categoría o estado.
• Exposición de puntos de conexión: muestra el número de dispositivos vulnerables. Aplique actualizaciones o revisiones de seguridad para abordar las vulnerabilidades que aprovecha la amenaza.

Informe de analistas: Obtener información de expertos de investigadores de seguridad de Microsoft

En la sección Informe de analistas , puede leer la escritura detallada de expertos. La mayoría de los informes proporcionan descripciones detalladas de las cadenas de ataques, incluidas las tácticas y técnicas asignadas al marco de MITRE ATT&CK, listas exhaustivas de recomendaciones y potentes instrucciones para la búsqueda de amenazas .

Más información sobre el informe de analistas

Incidentes relacionados: Ver y administrar incidentes relacionados

La pestaña Incidentes relacionados proporcionará la lista de todos los incidentes relacionados con las amenazas de las que se realice el seguimiento. Es posible asignar incidentes o administrar alertas vinculadas a cada incidente.

Recursos afectados: obtener una lista de dispositivos, usuarios, buzones de correo, aplicaciones y recursos en la nube afectados

La pestaña Activos afectados muestra los recursos afectados por la amenaza a lo largo del tiempo. Muestra lo siguiente:

• Activos afectados por alertas activas
• Activos afectados por alertas resueltas
• Todos los recursos, o el número total de activos afectados por alertas activas y resueltas

Los recursos se dividen en las siguientes categorías:

• Dispositivos
• Usuarios
• Buzones
• Aplicaciones
• Recursos en la nube

Exposición de puntos de conexión: conocer el estado de implementación de las actualizaciones de seguridad

La sección Exposición de puntos de conexión proporciona el nivel de exposición de la organización a la amenaza. El nivel de exposición se calcula en función de la gravedad de las vulnerabilidades y configuraciones incorrectas que la amenaza aprovecha y del número de dispositivos con estas debilidades.

En esta sección también se proporciona el estado de implementación de las actualizaciones de seguridad de software admitidas para las vulnerabilidades que se encuentran en los dispositivos incorporados. Incorpora datos de Administración de vulnerabilidades de Microsoft Defender, que también proporciona información detallada de exploración en profundidad de varios vínculos del informe.

Acciones recomendadas: revise la lista de mitigaciones y el estado de los dispositivos.

En la pestaña Acciones recomendadas , revise la lista de recomendaciones que requieren acción específicas que pueden ayudarle a aumentar la resistencia de la organización frente a la amenaza. La lista de mitigaciones de seguimiento incluye configuraciones de seguridad admitidas, como:

• Protección entregada en la nube
• Protección contra aplicaciones potencialmente no deseadas (PUA)
• Protección en tiempo real

Indicadores: Visualización de la infraestructura y la evidencia específicas detrás de la amenaza (versión preliminar)

La pestaña Indicadores proporciona una lista de todos los indicadores de riesgo (IOC) asociados a la amenaza. Los investigadores de Microsoft actualizan estos IOC en tiempo real a medida que encuentran nuevas pruebas relacionadas con la amenaza. Esta información ayuda al centro de operaciones de seguridad (SOC) y a los analistas de inteligencia sobre amenazas a corregir y buscar de forma proactiva. La lista también conserva los IOC expirados, por lo que puede investigar amenazas pasadas y comprender su impacto en el entorno.

Manténgase actualizado con los informes más recientes y la inteligencia sobre amenazas

El análisis de amenazas aprovecha e integra varias características de Microsoft Defender y Microsoft Security Copilot para mantenerle a usted y a su equipo de SOC actualizados cada vez que esté disponible un nuevo informe o un nuevo elemento de inteligencia sobre amenazas relevante para su entorno.

Configuración del agente de información de inteligencia sobre amenazas

Configure threat Intelligence Briefing Agent para obtener informes de inteligencia de amenazas pertinentes y oportunos con un análisis técnico detallado basado en la actividad más reciente del actor de amenazas y en la exposición de vulnerabilidades internas y externas. El agente correlaciona los datos de amenazas de Microsoft y las señales de los clientes para agregar contexto crítico a la información de amenazas en cuestión de minutos, lo que ahorra a los equipos de analistas horas o incluso días dedicados a la recopilación y correlación de inteligencia.

Una vez implementado, threat Intelligence Briefing Agent aparece como un banner en la parte superior de la página Análisis de amenazas.

Más información sobre threat Intelligence Briefing Agent

Configurar detecciones personalizadas y vincularlas a informes de Análisis de amenazas

Configure reglas de detección personalizadas y vincúlelas a informes de Análisis de amenazas. Si estas reglas se desencadenan y una alerta genera un incidente, el informe se muestra en ese incidente y el incidente aparece en la pestaña Incidentes relacionados , al igual que cualquier otra detección definida por Microsoft.

Más información sobre cómo crear y administrar reglas de detecciones personalizadas

Configuración de notificaciones por correo electrónico para actualizaciones de informes

Configure notificaciones por correo electrónico que le envíen actualizaciones en informes de Análisis de amenazas. Para crear notificaciones por correo electrónico, siga los pasos descritos en Obtención de notificaciones por correo electrónico para las actualizaciones de Análisis de amenazas en Microsoft Defender XDR.

Otros detalles y limitaciones del informe

Al revisar los datos de análisis de amenazas, tenga en cuenta los siguientes factores:

• La lista de comprobación de la pestaña Acciones recomendadas solo muestra las recomendaciones de las que se realiza un seguimiento en Puntuación de seguridad de Microsoft. Compruebe la pestaña Informe de analistas para ver las acciones más recomendadas que no se realizan en Puntuación segura.
• Las acciones recomendadas no garantizan una resistencia completa y solo reflejan las mejores acciones posibles necesarias para mejorarla.
• Las estadísticas relacionadas con el antivirus se basan en Microsoft Defender configuración del antivirus.
• La columna Dispositivos mal configurados de la página principal análisis de amenazas muestra el número de dispositivos afectados por una amenaza cuando las acciones recomendadas relacionadas con la amenaza no están activadas. Sin embargo, si los investigadores de Microsoft no vinculan ninguna acción recomendada, la columna Dispositivos mal configurados muestra el estado No disponible.
• La columna Dispositivos vulnerables de la página análisis de amenazas principal muestra el número de dispositivos que ejecutan software que son vulnerables a cualquiera de las vulnerabilidades vinculadas a la amenaza. Sin embargo, si los investigadores de Microsoft no vinculan ninguna vulnerabilidad, la columna Dispositivos vulnerables muestra el estado No disponible.

Vea también

• Búsqueda proactiva de amenazas con la búsqueda avanzada
• Descripción de la sección del informe de analistas
• Evaluación y resolución de debilidades y exposiciones de seguridad