Seguimiento de eventos de seguridad en Defender para empresas

Imagen de dos cámaras de seguridad en un muro de hormigón.La seguridad es importante y siempre debemos estar atentos a cualquier cosa que suceda en nuestra red.
Fuente: Pixabay

Microsoft Defender for Business es conocido por su capacidad para identificar vulnerabilidades. Sin embargo, Defender va mucho más allá de enumerar vulnerabilidades y proporcionar avisos de seguridad. También realiza un seguimiento de los eventos que suceden en su empresa.

Pero cuando se trata de la gestión de incidentes, Defender for Business ofrece información que debe conocer para mejorar su seguridad. En este artículo, explicaré cómo acceder y priorizar estos eventos en 3 pasos.

1. Recuperar la lista de eventos

Para acceder a una lista de eventos que suceden en su empresa, siga estos pasos:

  1. Iniciar sesión en Microsoft 365
  2. Abra el Portal de Microsoft 365 Defender
  3. Expanda el contenedor Eventos y alertas
  4. Haga clic en la pestaña Eventos

A veces, su lista de eventos aparece en blanco, como se muestra a continuación. Esto podría deberse a que no se produjeron eventos o a que actualmente se aplica un filtro.

Captura de pantalla de una página de evento en blancoCuando mis dos filtros están habilitados, Defender for Business no mostrará ningún incidente que no pertenezca a ambos filtros.

Si observa la imagen de arriba, notará que la lista de filtros incluye el estado y la gravedad. Haga clic en el icono X de cada filtro para eliminarlo. También tiene un filtro de fecha en el extremo derecho de la pantalla. Es posible que también deba ajustar este filtro de fecha para eventos más antiguos.

Captura de pantalla de la misma página del evento, pero sin el filtro.Ahora que eliminé el filtro, los eventos comienzan a aparecer.

2. Consultar eventos

La información que se muestra en la pantalla de eventos sirve como resumen. Lo más importante a tener en cuenta en la pantalla de resumen es el nivel de gravedad. La gravedad es una evaluación de la gravedad del malware y el riesgo potencial que plantea. Cuando ocurren muchos incidentes, es importante centrarse en los más graves.

Al hacer clic en un evento, el portal muestra un resumen más detallado, como se muestra a continuación. En la parte inferior de la pantalla, una leyenda muestra cuántas alertas se incluyen en el evento. Esto también muestra su seriedad. Esta información también puede ayudarlo a comprender qué eventos priorizar.

Captura de pantalla del ejemplo de resumen de eventoAl hacer clic en un evento, Defender muestra un resumen más detallado del evento.

Como puede ver arriba, el resumen del evento incluye información sobre qué usuarios y dispositivos estuvieron involucrados. También puede ver cuándo ocurrió el evento y cómo se categorizó. Si observa la sección “Detalles del evento”, notará que es específica del usuario. Microsoft le permite referir incidentes a usuarios específicos para su investigación.

Además, vemos un enlace con la etiqueta “Abrir página de eventos”. Cualquier persona asignada para investigar puede hacer clic en este enlace para acceder a todos los detalles. Microsoft Defender proporciona una “Historia de ataque” que describe los usuarios, dispositivos y procesos involucrados en el incidente. Puede cambiar el diseño del diagrama para adaptarlo a sus necesidades y hacer clic en elementos individuales para obtener más detalles. Por ejemplo, puede hacer clic en Procesos para obtener una lista de los procesos involucrados.

Captura de pantalla de la vista de detalles del incidente en Defender for BusinessLa historia del ataque detalla el incidente.

Esta página también incluye una serie de pestañas que puede usar para ver recursos adicionales relacionados con el evento. Estos recursos pueden ser alertas, buzones, aplicaciones, etc.

3. Manejo de eventos

Ahora que hemos analizado algunas de las herramientas que pueden ayudarlo a investigar incidentes, veamos cómo administrarlos y priorizarlos. Para administrar un incidente, haga clic en él y luego haga clic en el enlace Administrar incidentes. Defender for Business se abrirá en la pantalla que se muestra a continuación.

Captura de pantalla del formulario que muestra la interfaz de gestión de incidentes.Estos son los detalles de Defender para Business Incident Management.

Primero, notará que la pantalla Administrar eventos le solicita un nombre y una etiqueta para el evento. El uso de etiquetas y nombres es opcional, pero puede ser útil si administra una gran cantidad de eventos.

A continuación, verá el campo Asignar a. Este campo asigna el incidente al personal para una mayor investigación.

Los siguientes tres campos son para aquellos que están investigando el incidente. El primero de estos campos es el campo de estado. Aquí tenemos tres opciones: Activo, En curso o Resuelto. Cada uno de estos se explica por sí mismo, pero es posible que su empresa desee definir qué deben contener estos estados.

A continuación, encontrarás la sección “Categorías”. Los eventos se clasifican como verdaderos positivos, falsos positivos o eventos esperados informativos. Defender for Business proporciona varias clasificaciones más específicas dentro de cada categoría. Por ejemplo, las actividades de anticipación de la información pueden surgir de las pruebas de seguridad. O una aplicación con un comportamiento conocido que imita un incidente de seguridad.

Captura de pantalla que muestra una lista de varias categorías de blasfemias diferentes en Microsoft Defender.Puede elegir entre varias categorías, lo que le brinda más control sobre la información en Defender.

Finalmente, la pantalla Administrar incidentes incluye una sección de Comentarios que puede usar para tomar notas.

Resumir

Es normal que Microsoft 365 Defender informe incidentes. Algunos eventos son informativos o se relacionan con condiciones que no indican una amenaza de seguridad real.Sin embargo, como mínimo, todos los eventos no informativos deben revisarse, enfatizando los eventos elevados.

Con esto en mente, es de esperar que pueda aprender algunos consejos adicionales sobre cómo usar Defender for Business. Esta es una excelente manera para que las pequeñas empresas administren e investiguen todo un incidente de ciberseguridad.

Si tiene más preguntas, consulte nuestro Preguntas más frecuentes y recurso sección a continuación.

Preguntas más frecuentes

¿Puedo obtener Defender para empresas si no tengo una suscripción a Microsoft 365 Enterprise?

Sí, aunque Defender viene con algunas suscripciones de Microsoft 365 Enterprise, también está disponible como complemento de Microsoft 365 Business. Puede encontrar información sobre las suscripciones de Defender for Business disponibles en su sitio web.

Cuando asigno incidencias a los técnicos, ¿dónde van a ver las incidencias que se les han asignado?

Los técnicos que investigan los incidentes que se les han asignado serán dirigidos a la misma pantalla de incidentes. Luego pueden usar la opción de filtro para mostrar los eventos que se les han asignado.

¿Cómo evitar que los eventos de información se enumeren en los eventos?

Los filtros incorporados le permiten filtrar eventos por gravedad. Puede optar por mostrar todos los eventos, eventos informativos o eventos de gravedad alta, media o baja. Por supuesto, también puede mostrar eventos con cualquier combinación de estas gravedades.

¿Los incidentes son generados solo por Microsoft 365 Defender o por otra fuente?

Como mínimo, los incidentes son informados por Microsoft 365 Defender. Según los servicios incluidos en su suscripción, los eventos también pueden provenir de otras fuentes dentro del paquete de seguridad de Microsoft 365.

Solo depende del tipo de evento que se informa. Después de todo, algunos eventos son perfectamente benignos. Una cosa importante a considerar es si los eventos informados se ajustan a la actividad habitual del usuario. Los eventos incoherentes pueden indicar un usuario malicioso o una cuenta comprometida.

recurso

TechGenix: artículo sobre la integración de Microsoft Defender con la nube

Aprenda a integrar Microsoft Defender con otras soluciones de seguridad basadas en la nube.

TechGenix: Artículo sobre cómo evolucionó Windows Defender

Obtenga más información sobre cómo Microsoft Defender se está convirtiendo en una solución de seguridad multifacética.

Microsoft: documentación sobre Defender para empresas

No todos los problemas son fáciles de solucionar, así que consulte la documentación oficial de Defender.

Microsoft: artículo sobre cómo funciona Defender for Business para las pymes

Obtenga más información sobre los programas Defender para pequeñas y medianas empresas.

Microsoft: Guía de prueba gratuita de Defender para empresas

Vea lo que puede hacer con una prueba gratuita de Defender for Business y ponga en marcha su paquete de seguridad.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Deja un comentario