Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
¿Qué son las alertas de seguridad Microsoft Defender for Identity?
Microsoft Defender for Identity alertas de seguridad proporcionan información sobre las actividades sospechosas detectadas por Defender for Identity y los actores y equipos implicados en cada amenaza. Las listas de pruebas de alerta contienen enlaces directos a los usuarios y ordenadores involucrados, para ayudar a que sus investigaciones sean fáciles y directas.
Nota:
Defender for Identity no está diseñado para servir como una solución de auditoría o registro que captura cada operación o actividad única en los servidores donde está instalado el sensor. Solo captura los datos necesarios para sus mecanismos de detección y recomendación.
La página Alertas de identidad proporciona funcionalidades de enriquecimiento de señales entre dominios y respuesta de identidad automatizada. La ventaja de investigar alertas con Microsoft Defender XDR es que Microsoft Defender for Identity alertas se correlacionan con la información obtenida de cada uno de los demás productos del conjunto. Estas alertas mejoradas son coherentes con los demás formatos de alerta de Microsoft Defender XDR que se originaron en Microsoft Defender para Office 365 y Microsoft Defender para punto de conexión.
Las alertas que se originan en el desencadenador de Defender for Identity Microsoft Defender XDR funcionalidades automatizadas de investigación y respuesta (AIR), incluida la corrección automática de alertas y la mitigación de herramientas y procesos que pueden contribuir a la actividad sospechosa.
Microsoft Defender for Identity alertas aparecen actualmente en dos diseños diferentes en el portal de Microsoft Defender. Aunque las vistas de alerta pueden mostrar información diferente, todas las alertas se basan en detecciones de sensores de Defender for Identity. Las diferencias en el diseño y la información que se muestran forman parte de una transición continua a una experiencia unificada de alertas entre Microsoft Defender productos.
Para obtener más información sobre cómo comprender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Visualización y administración de alertas.
Para obtener información sobre True positive (TP), Benign true positive (B-TP) y False positive (FP), consulte clasificaciones de alertas de seguridad.
Categorías de alertas
Las alertas se dividen en categorías basadas en las fases que se ven en una típica cadena de eliminación de ciberataques. Las categorías difieren ligeramente en función de si la alerta se origina en el uso de las alertas de Microsoft Defender for Identity clásicas o de Microsoft Defender para XDR. Las diferencias forman parte de una transición continua a una experiencia unificada de alertas entre Microsoft Defender productos.
Por ejemplo, hay categorías para:
- Alertas de reconocimiento y detección
- Alertas de persistencia y escalado de privilegios
- Alertas de acceso a credenciales
- Alertas de movimiento lateral
Para obtener información detallada sobre cada alerta, consulte: