Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
- Expertos de Microsoft Defender para XDR
- expertos en Microsoft Defender para servidores
Para obtener Expertos de Defender para XDR instrucciones de informes, consulte este breve vídeo.
Expertos de Microsoft Defender para XDR incluye un informe interactivo a petición que proporciona un resumen claro del trabajo que realizan nuestros analistas expertos en su nombre, información agregada sobre el panorama de incidentes y detalles pormenorizadas sobre incidentes específicos. El administrador de entrega de servicios (SDM) también usa el informe para proporcionarle más contexto con respecto al servicio durante una revisión empresarial mensual.
El informe está diseñado para proporcionar más información sobre los incidentes que nuestros expertos investigaron y resolvieron en su entorno en tiempo real o durante un período específico. Para ver el informe en el portal de Microsoft Defender, vaya a Informes y seleccione InformeXDRde expertos de> Defender. Se divide en dos secciones:
Información general del informe: Descripción rápida de los incidentes investigados
La pestaña Información general del informe le proporciona una vista de los tipos de incidentes que hemos resuelto en su entorno en los últimos 30 días, lo que le proporciona transparencia en nuestras operaciones. También puede seleccionar un intervalo de fechas personalizado en Mostrar resultados para para obtener información detallada sobre incidentes durante un período específico.
Incidentes resueltos
En la sección superior de información general del informe se muestra el porcentaje de incidentes resueltos. El informe también muestra las siguientes cifras:
- Incidentes investigados : el número de amenazas activas y otros incidentes de la cola de incidentes que hemos evaluado, investigado o que estamos investigando actualmente dentro de nuestro ámbito.
- Incidentes resueltos : el número total de incidentes investigados que se cerraron.
- Resuelto directamente : el número de incidentes investigados que hemos cerrado directamente en su nombre.
- Resuelto con la ayuda : el número de incidentes investigados que se resolvieron debido a la acción en una o varias tareas de respuesta administradas.
- Enriquecido por terceros : el número de incidentes enriquecidos con señales de red de terceros. Estos datos están disponibles cuando está inscrito en el enriquecimiento de red de terceros.
Promedio de tiempo para resolver incidentes
En la sección Promedio de tiempo para resolver incidentes se muestra un gráfico de barras del tiempo medio, en minutos, que nuestros expertos dedicaron a investigar y cerrar incidentes en su entorno y el tiempo medio que ha dedicado a realizar las acciones de respuesta administrada necesarias.
Incidentes por gravedad, categoría y origen de servicio
Las secciones Incidentes por gravedad, Incidentes por categoría e Incidentes por origen de servicio desglosan los incidentes resueltos por gravedad, técnica de ataque y origen del servicio de seguridad de Microsoft, respectivamente. Estas secciones le permiten identificar posibles puntos de entrada de ataques y tipos de amenazas detectadas en su entorno, evaluar su impacto y desarrollar estrategias para mitigarlas y evitarlas. Seleccione Ver incidentes seleccionados para obtener una vista filtrada de la cola de incidentes en función de las selecciones realizadas en cada una de las secciones.
Recursos más afectados
En la sección Recursos más afectados se muestran los usuarios y dispositivos del entorno que participaron en el mayor número de incidentes durante el intervalo de fechas seleccionado. Puede ver el número de incidentes en los que participó cada recurso. Seleccione un recurso para obtener una vista filtrada de la cola de incidentes en función de los incidentes que incluyeron dicho recurso.
Incidentes resueltos por tácticas de MITRE
La sección Incidentes resueltos por tácticas de MITRE muestra el número total de incidentes investigados y resueltos verdaderos incidentes positivos, clasificados por sus tácticas de amenazas asociadas. Estas tácticas de amenazas se basan en el marco de ataques de MITRE ATT&CK y pueden ayudarle a visualizar lo que los incidentes intentaban lograr en cada fase de ataque para que pueda planear las acciones de mitigación correspondientes.
De forma predeterminada, esta sección muestra todas las categorías tácticas, independientemente de si hay incidentes asociados a ellas. Para mostrar solo las tácticas con incidentes relacionados, desactive el botón Mostrar todas las tácticas .
Incidentes resueltos por gravedad y categoría
La sección Incidentes resueltos por gravedad y categoría muestra un gráfico de barras que muestra el total de incidentes resueltos, desglosado por sus categorías de gravedad y amenaza correspondientes.
De forma predeterminada, en esta sección se muestran datos de todos los tipos de incidentes resueltos (verdadero positivo, falso positivo e informativo). Puede filtrar los resultados por estos tipos de incidentes diferentes seleccionando sus opciones correspondientes en el cuadro desplegable Seleccionar tipo de incidente .
Incidentes que requerían la acción
En la sección Incidentes que requirió su acción se muestra el número de incidentes que nuestros expertos investigaron, pero que necesitaron más acciones de su equipo a través de una o varias tareas de respuesta administradas. Resume el número de acciones que ha completado, marcadas como pendientes, omitidas o realizadas, pero con errores. También muestra un gráfico de barras de estos incidentes en función de su gravedad.
En esta sección también se muestra una tabla con una lista de títulos de incidentes y su gravedad correspondiente, el número de acciones necesarias y el estado de estas acciones. Puede ordenar y filtrar incidentes según la gravedad y el estado de la acción para administrarlos mejor. Al seleccionar un título de incidente, se abre su página de incidentes correspondiente, donde puede realizar las acciones de respuesta administrada necesarias.
Tendencias: Vea los patrones de incidentes y la eficacia de la respuesta para tomar decisiones informadas
La pestaña Tendencias del informe proporciona el volumen mensual de incidentes investigados y resueltos de los últimos seis meses, visualizados según la gravedad de los incidentes, la táctica MITRE y el tipo de amenaza. En la sección de tendencias se proporciona información sobre cómo los expertos de Defender mejoran de forma uniforme las operaciones de seguridad al mostrar métricas operativas importantes mes a mes.
Las visualizaciones se muestran respectivamente en las secciones Incidentes por gravedad, Incidentes por táctica de MITRE e Incidentes por clasificación . Para cada sección, puede filtrar los datos según los distintos tipos de incidentes (verdadero positivo, falso positivo e informativo) seleccionando sus opciones correspondientes en el cuadro desplegable Seleccionar tipo de incidente . Las secciones Incidentes por gravedad e Incidentes por táctica de MITRE también tienen el botón Ver incidentes seleccionados , que puede seleccionar para obtener una vista filtrada de la cola de incidentes en función de las selecciones realizadas en cada una de estas secciones.
La pestaña Tendencias también tiene el widget De eficacia y finalización de tareas de respuesta administrada , que muestra el volumen mensual de tareas de respuesta administrada que el equipo ha completado cada mes, junto con el tiempo medio que tardó el equipo en completar esas tareas. Este widget ayuda a identificar los picos en la eficacia y eficacia de la respuesta del equipo, lo que es cada vez más importante a medida que los atacantes siguen reduciendo el tiempo entre el acceso inicial y el movimiento lateral.
Vea también
- Introducción a Expertos de Microsoft Defender para XDR
- Detección y respuesta administradas
- Comunicación con expertos en el servicio Expertos de Microsoft Defender para XDR
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.