Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use tareas en el portal de Microsoft Defender para investigar y resolver incidentes de forma colaborativa en los equipos de operaciones. La interrupción de incidentes en tareas accionables aumenta la eficacia operativa y refuerza la responsabilidad a lo largo del proceso.
En este artículo se explica cómo funcionan las tareas y cómo usar las tareas para administrar incidentes en el portal de Microsoft Defender.
Funcionamiento de las tareas
Divida las investigaciones en pasos claros y accionables y asígnelos en todo el equipo.
El uso de tareas es especialmente útil para:
- Incorporación de analistas junior
- Trabajar con proveedores de servicios de seguridad administrados (MSSP)
- Seguimiento del trabajo en organizaciones orientadas al cumplimiento
El panel de tareas presenta tareas junto con Security Copilot resúmenes, respuestas guiadas e informes para proporcionar una visión completa del progreso y las acciones restantes necesarias para cerrar el incidente.
Clasifique, priorice, asigne y realice un seguimiento de cada tarea para garantizar la coherencia, la colaboración y la responsabilidad. Al cerrar una tarea, agregue notas de cierre para documentar el resultado. Estas notas admiten postmortemas exhaustivos y ayudan a los equipos a aprender de cada investigación.
Permisos necesarios
| Acción | Permisos necesarios |
|---|---|
| Ver tareas | Permisos de solo lectura o Conceptos básicos de datos de seguridad (lectura) en el grupo Permisos de operaciones de seguridad en el portal de Defender. |
| Crear tareas | Todos los permisos de lectura y administración o respuesta (administrar) en el grupo Permisos de operaciones de seguridad en el portal de Defender. |
Para obtener más información sobre RBAC unificado en el portal de Defender, consulte Microsoft Defender XDR Control de acceso basado en rol unificado (RBAC).
Visualización y administración de tareas
Para ver y administrar tareas:
En el menú del portal de Defender, seleccione Incidentes & alertas>incidentes para abrir la cola de incidentes.
Seleccione un incidente de la cola.
Seleccione Tareas para abrir el panel lateral Tareas, que enumera todas las tareas y Security Copilot información asociada al incidente.
Para crear una nueva tarea, seleccione Agregar tarea.
Rellene los detalles de la tarea y seleccione Guardar.
Para actualizar el estado de una tarea, seleccione un estado en la lista desplegable Estado de la tarjeta de vista previa de la tarea.
Para editar o eliminar una tarea, seleccione los puntos suspensivos (...) >Editar o eliminar.
Automatice y sincronice las tareas creadas en Microsoft Sentinel mediante el Azure Portal
Al incorporar Microsoft Sentinel al portal de Defender, el portal de Defender sincroniza automáticamente las tareas que se crean en Sentinel mediante el Azure Portal.
Importante
La sincronización es unidireccional: las tareas que se crean en el portal de Defender no se sincronizan de nuevo con Microsoft Sentinel.
El portal de Defender aún no admite la creación automática de tareas, pero puede seguir usando reglas de automatización de tareas, cuadernos de estrategias de Logic App o la API REST de Tareas de incidentes en Azure para crear tareas, que se sincronizan con el portal de Defender.