Descripción de las alertas de seguridad

Microsoft Defender for Identity alertas de seguridad explican en lenguaje claro y gráficos qué actividades sospechosas se identificaron en la red y los actores y equipos implicados en las amenazas. Las alertas se clasifican por gravedad, codificadas por colores para facilitar su filtrado visual y organizadas por fase de amenaza. Cada alerta está diseñada para ayudarle a comprender rápidamente exactamente lo que sucede en la red. Las listas de pruebas de alerta contienen enlaces directos a los usuarios y ordenadores involucrados, para ayudar a que sus investigaciones sean fáciles y directas.

En este artículo, aprenderá la estructura de las alertas de seguridad de Defender for Identity y cómo usarlas.

Estructura de alertas de seguridad

Cada alerta de seguridad de Defender for Identity incluye un artículo de alerta. Esta es la cadena de eventos relacionados con esta alerta en orden cronológico y otra información importante relacionada con la alerta.

En la página de alertas, puede hacer lo siguiente:

• Administrar alerta : cambie el estado, la asignación y la clasificación de la alerta. También puede agregar un comentario aquí.

• Exportación : descarga de un informe detallado de Excel para su análisis

• Vincular alerta a otro incidente : vincule una alerta a un nuevo incidente existente

  

Para obtener más información sobre las alertas, vea Investigar alertas en Microsoft Defender XDR.

Clasificación de las alertas de seguridad

Tras una investigación adecuada, todas las alertas de seguridad de Defender for Identity se pueden clasificar como uno de los siguientes tipos de actividad:

• Verdadero positivo (TP): una acción malintencionada detectada por Defender for Identity.

• Verdadero positivo benigno (B-TP): acción detectada por Defender for Identity que es real, pero no malintencionada, como una prueba de penetración o una actividad conocida generada por una aplicación aprobada.

• Falso positivo (FP): una falsa alarma, lo que significa que la actividad no ocurrió.

¿Es la alerta de seguridad un TP, B-TP o FP?

Para cada alerta, haga las siguientes preguntas para determinar la clasificación de alertas y ayudar a decidir qué hacer a continuación:

1. ¿Cuán común es esta alerta de seguridad específica en su entorno?
2. ¿Se desencadenó la alerta por los mismos tipos de equipos o usuarios? Por ejemplo, ¿servidores con el mismo rol o usuarios del mismo grupo o departamento? Si los equipos o los usuarios eran similares, puede decidir excluirlo para evitar alertas de FP futuras adicionales.

Categorías de alertas de seguridad

Las alertas de seguridad de Defender for Identity se dividen en las siguientes categorías o fases, como las fases que se ven en una típica cadena de eliminación de ciberataques. Obtenga más información sobre cada fase y las alertas diseñadas para detectar cada ataque mediante los vínculos siguientes:

• Alertas de reconocimiento
• Alertas de credenciales en peligro
• Alertas de movimiento lateral
• Alertas de dominación de dominio
• Alertas de filtración

Investigación avanzada de alertas de seguridad

Para obtener más detalles sobre una alerta de seguridad, seleccione Exportar en una página de detalles de alerta para descargar el informe detallado de alertas de Excel.

El archivo descargado incluye detalles de resumen sobre la alerta en la primera pestaña, entre los que se incluyen:

• Título
• Descripción
• Hora de inicio (UTC)
• Hora de finalización (UTC)
• Gravedad: baja/media/alta
• Estado: abierto o cerrado
• Hora de actualización de estado (UTC)
• Visualización en el explorador

Se enumeran todas las entidades implicadas, incluidas las cuentas, los equipos y los recursos, separadas por su rol. Se proporcionan detalles para la entidad de origen, destino o ataque, en función de la alerta.

La mayoría de las pestañas incluyen los siguientes datos por entidad:

• Nombre

• Detalles

• Tipo

• SamName

• Equipo de origen

• Usuario de origen (si está disponible)

• Controladores de dominio

• Recurso al que se accede: Hora, Equipo, Nombre, Detalles, Tipo, Servicio.

• Entidades relacionadas: ID, Type, Name, Unique Entity Json, Unique Entity Profile Json

• Todas las actividades sin procesar capturadas por los sensores de Defender for Identity relacionadas con la alerta (actividades de red o eventos), incluidas las siguientes:

  • Actividades de red
  • Actividades de eventos

Algunas alertas tienen pestañas adicionales, como detalles sobre:

• Cuentas atacadas cuando el ataque sospechoso usa fuerza bruta.
• Servidores del Sistema de nombres de dominio (DNS) cuando el sospechoso atacó implicaba reconocimiento de asignación de red (DNS).

Por ejemplo:

Entidades relacionadas

En cada alerta, la última pestaña proporciona las entidades relacionadas. Las entidades relacionadas son todas las entidades implicadas en una actividad sospechosa, sin la separación del "rol" que desempeñaron en la alerta. Cada entidad tiene dos archivos Json, Unique Entity Json y Unique Entity Profile Json. Use estos dos archivos Json para obtener más información sobre la entidad y ayudarle a investigar la alerta.

Archivo Json de entidad única

Incluye los datos de Defender for Identity aprendidos de Active Directory sobre la cuenta. Esto incluye todos los atributos, como Distinguished Name, SID, LockoutTime y PasswordExpiryTime. Para las cuentas de usuario, incluye datos como Department, Mail y PhoneNumber. Para las cuentas de equipo, incluye datos como OperatingSystem, IsDomainController y DnsName.

Archivo JSON de perfil de entidad único

Incluye todos los datos de Defender for Identity perfilados en la entidad. Defender for Identity usa las actividades de red y eventos capturadas para obtener información sobre los usuarios y equipos del entorno. Defender for Identity genera perfiles de información relevante por entidad. Esta información contribuye a las funcionalidades de identificación de amenazas de Defender for Identity.

¿Cómo puedo usar la información de Defender for Identity en una investigación?

Las investigaciones pueden ser tan detalladas como sea necesario. Estas son algunas ideas de formas de investigar mediante los datos proporcionados por Defender for Identity.

• Compruebe si todos los usuarios relacionados pertenecen al mismo grupo o departamento.
• ¿Los usuarios relacionados comparten recursos, aplicaciones o equipos?
• ¿Está activa una cuenta aunque ya se haya pasado PasswordExpiryTime?

Defender for Identity y NNR (resolución de nombres de red)

Las funcionalidades de detección de Defender for Identity se basan en la resolución de nombres de red (NNR) activa para resolver las direcciones IP en los equipos de la organización. Con NNR, Defender for Identity puede correlacionarse entre las actividades sin procesar (que contienen direcciones IP) y los equipos pertinentes implicados en cada actividad. En función de las actividades sin procesar, Defender for Identity perfila entidades, incluidos los equipos, y genera alertas.

Los datos de NNR son fundamentales para detectar las siguientes alertas:

• Sospecha de robo de identidad (pass-the-ticket)
• Sospecha de ataque DCSync (replicación de servicios de directorio)
• Reconocimiento de asignación de red (DNS)

Use la información de NNR proporcionada en la pestaña Actividades de red del informe de descarga de alertas para determinar si una alerta es una FP. En los casos de una alerta FP , es habitual que el resultado de la seguridad de NNR se dé con baja confianza.

La descarga de datos del informe aparece en dos columnas:

• Equipo de origen o destino

  • Certeza : la certeza de baja resolución puede indicar una resolución de nombres incorrecta.

• Equipo de origen o destino

  • Método de resolución : proporciona los métodos NNR que se usan para resolver la dirección IP en el equipo de la organización.

Para obtener más información sobre cómo trabajar con alertas de seguridad de Defender for Identity, consulte Trabajar con alertas de seguridad.

Contenido relacionado

• Investigación de un usuario
• Investigación de un equipo
• Trabajar con rutas de desplazamiento lateral
• Consulte el foro de Defender for Identity.