Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede ver la lista de reglas de detección personalizadas existentes, comprobar sus ejecuciones anteriores y revisar las alertas que se desencadenaron. También puede ejecutar una regla a petición y modificarla.
Sugerencia
Las alertas que generan las detecciones personalizadas están disponibles a través de alertas y API de incidentes. Para obtener más información, consulte API de Microsoft Defender XDR compatibles.
Para los usuarios que han incorporado un área de trabajo de Microsoft Sentinel al portal de Microsoft Defender unificado, la lista de reglas de detección personalizadas incluye reglas de análisis. Las secciones siguientes también se aplican a las reglas de análisis, a menos que se indique lo contrario.
Ver reglas existentes
Para ver las reglas de detección y las reglas de análisis personalizadas existentes, vaya a Búsqueda>de reglas de detección personalizadas.
Para filtrar por cualquier columna, vaya a Agregar filtro, seleccione las columnas para las que desea filtrar y seleccione Agregar. Para cada una de las columnas elegidas, seleccione la píldora correspondiente junto a Filtros:, seleccione las columnas y, a continuación, Aplicar.
Para buscar reglas específicas, vaya al cuadro de búsqueda de la esquina superior derecha de la página y escriba el nombre o el identificador de regla de la regla que está buscando.
En el caso de las organizaciones multitrabajo que incorporaron varias áreas de trabajo para Microsoft Defender, puede filtrar por áreas de trabajo mediante las columnas Id. de área de trabajo o Nombre del área de trabajo.
La página enumera todas las reglas con la siguiente información de la ejecución:
- Última ejecución : la última vez que se ejecutó una regla para comprobar si hay coincidencias de consulta y generar alertas
- Estado de la última ejecución : si una regla se ejecutó correctamente (solo para reglas de detección personalizadas)
- Siguiente ejecución : la siguiente ejecución programada
- Estado : si se ha activado o desactivado una regla
Ver detalles, modificar y ejecutar la regla
Para ver información completa sobre una regla de detección personalizada o una regla de análisis, vaya a Búsqueda> dereglas de detección personalizadas y, a continuación, seleccione el nombre de la regla. A continuación, puede ver información general sobre la regla, incluida la información, su estado de ejecución y su ámbito. La página también proporciona la lista de alertas y acciones desencadenadas.
También puede realizar las siguientes acciones en la regla desde esta página:
- Página Abrir regla de detección : abre la página de regla de detección para ver las alertas desencadenadas y las acciones de revisión (solo para reglas de detección personalizadas)
- Ejecutar : ejecuta la regla inmediatamente; esto también restablece el intervalo para la siguiente ejecución (solo para reglas de detección personalizadas)
- Editar : permite modificar la regla sin cambiar la consulta
- Modificar consulta : permite editar la consulta en la búsqueda avanzada
- Prender / Desactivar : permite habilitar la regla o impedir que se ejecute
- Eliminar : permite desactivar la regla y quitarla
- Excluir de la correlación : permite excluir una regla de análisis de la correlación. Esta acción está en versión preliminar y es solo para reglas de análisis. Consulte Excluir reglas de análisis de la correlación en Microsoft Defender XDR (versión preliminar) para obtener más información.
Ver y administrar alertas desencadenadas
En la pantalla de detalles de la regla (Búsqueda>de detecciones> personalizadas[Nombre de regla]), vaya a Alertas desencadenadas, que enumera las alertas generadas por coincidencias con la regla. Seleccione una alerta para ver la información detallada al respecto y realizar las siguientes acciones:
- Administrar la alerta estableciendo su estado y clasificación (alerta verdadera o falsa).
- Vincular la alerta a un incidente.
- Ejecutar la consulta que desencadenó la alerta en la búsqueda avanzada.
Revisar acciones
En la pantalla de detalles de la regla (Búsqueda>de detecciones> personalizadas[Nombre de regla]), vaya a Acciones desencadenadas, que enumera las acciones realizadas en función de las coincidencias con la regla.
Sugerencia
Para ver rápidamente la información y realizar acciones en un elemento de una tabla, use la columna de selección [✓] a la izquierda de la tabla.
Vea también
- Introducción a las detecciones personalizadas
- Información general sobre la búsqueda avanzada de amenazas
- Conozca el lenguaje de consulta de búsqueda avanzada
- Migración de consultas de búsqueda avanzadas desde Microsoft Defender para punto de conexión
- API de seguridad de Microsoft Graph para detecciones personalizadas
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.