Compartir a través de

Microsoft Defender XDR en el portal de Microsoft Defender

  • Artículo

El portal https://security.microsoft.com de Microsoft Defender combina protección, detección, investigación y respuesta a amenazas en toda la organización y todos sus componentes, en un lugar central. El portal de Defender hace hincapié en el acceso rápido a la información, diseños más sencillos y reunir información relacionada para facilitar su uso. Incluye Microsoft Defender XDR y características y funcionalidades de otras soluciones de seguridad de Microsoft a las que ha aprovisionado acceso.

Para más información sobre los servicios que forman parte del portal de Microsoft Defender, consulte los siguientes recursos:

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. En versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Vea este breve vídeo para obtener información sobre el portal de Defender.

Qué esperar

Microsoft Defender XDR correlaciona las señales de varias soluciones de seguridad de Microsoft en el portal de Microsoft Defender para ayudar a los equipos de seguridad a investigar y responder a los ataques en un conjunto de experiencias unificadas para:

  • Incidentes & alertas
  • Búsqueda
  • Acciones & envíos
  • Análisis de amenazas

El portal de Microsoft Defender hace hincapié en la unidad, la claridad y los objetivos comunes. La búsqueda de entidades y notificaciones también se unifica en el portal.

Nota:

En el portal de Microsoft Defender, los clientes solo ven las características de seguridad que incluye su suscripción. Por ejemplo, si tiene Defender para Office 365 pero no Defender para punto de conexión, verá características y funcionalidades para Defender para Office 365, pero no para la protección de dispositivos.

Investigaciones de incidentes y alertas

Microsoft Defender XDR correlaciona las alertas y eventos de todas las soluciones de seguridad de Microsoft en todos los recursos de toda la organización en incidentes. Los incidentes son una colección de alertas relacionadas con una sola amenaza o ataque. Los incidentes se priorizan en función de la gravedad de la amenaza y del posible impacto en la organización.

Página Incidentes del portal de Microsoft Defender.

Al seleccionar un nombre de incidente, se muestra una página que muestra el valor de centralizar la información de seguridad a medida que obtiene una mejor información sobre la extensión completa de una amenaza, desde el correo electrónico hasta la identidad, hasta los puntos de conexión.

Captura de pantalla que muestra la página del caso de ataque de un incidente en el portal de Microsoft Defender.

Tómese el tiempo necesario para revisar los incidentes en su entorno, explorar en profundidad cada alerta y practicar la creación de conocimientos sobre cómo acceder a la información y determinar los pasos siguientes en el análisis.

Para obtener más información, consulte Incidentes en el portal de Microsoft Defender.

Búsqueda

Puede crear reglas de detección personalizadas y buscar amenazas específicas en su entorno. La búsqueda usa una herramienta de búsqueda de amenazas basada en consultas que le permite inspeccionar eventos de forma proactiva en su organización para buscar indicadores de amenazas y entidades. Estas reglas se ejecutan automáticamente para buscar y, a continuación, responder a la sospecha de actividad de infracción, máquinas mal configuradas y otros hallazgos.

Para obtener más información, consulte Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender XDR.

Acciones y envíos

Las acciones son tareas realizadas en entidades del portal de Microsoft Defender. Las acciones se pueden realizar en un recurso como un dispositivo o usuario, se pueden realizar en una sola entidad o en varias entidades a la vez y realizarse manualmente o automáticamente.

Las acciones automatizadas son funcionalidades dentro de Microsoft Defender XDR que le ayudan a abordar alertas e incidentes de forma automática y rápida para responder a los ataques. Las acciones automatizadas incluyen:

Estas acciones se pueden revisar y administrar en la página Centro de acciones del portal de Microsoft Defender.

Puede enviar archivos, datos adjuntos de correo electrónico y correo electrónico, direcciones URL o mensajes de Teams en la página Envíos a Microsoft para su análisis posterior. Para obtener más información, consulte la Guía de envío.

Análisis de amenazas

El análisis de amenazas es la solución de inteligencia sobre amenazas Microsoft Defender XDR de expertos investigadores de seguridad de Microsoft. Está diseñado para ayudar a los equipos de seguridad a ser lo más eficientes posible a la vez que se enfrentan a amenazas emergentes como:

  • Actores de amenazas activos y sus campañas
  • Técnicas de ataque populares y nuevas
  • Vulnerabilidades críticas
  • Superficies de ataque comunes
  • Malware frecuentes

configuración de Microsoft Defender XDR

Puede administrar la configuración de Microsoft Defender XDR en la página Configuración > Microsoft Defender XDR del portal de Microsoft Defender. La página de configuración es donde puede configurar lo siguiente:

Búsqueda y notificaciones unificadas

La función de búsqueda del portal de Microsoft Defender se encuentra en la parte superior de la página. A medida que escribe, se proporcionan sugerencias para que sea más fácil encontrar entidades. La página de resultados de búsqueda mejorada centraliza los resultados de todas las entidades.

Captura de pantalla de la barra de búsqueda en el portal de Microsoft Defender.

Los resultados de la búsqueda se clasifican por secciones relacionadas con los términos de búsqueda. Puede buscar en las siguientes entidades en el portal de Microsoft Defender:

  • Dispositivos: compatible con Defender para punto de conexión, Defender for Identity, Defender for Cloud y Microsoft Sentinel.
  • Usuarios: compatible con Defender para punto de conexión, Defender for Identity, Defender for Cloud Apps y Microsoft Sentinel.
  • Archivos, direcciones IP y direcciones URL: las mismas funcionalidades que en Defender para punto de conexión.

    Nota:

    Las búsquedas de direcciones IP y URL se basan en coincidencias exactas y no aparecen en la página de resultados de búsqueda; conducen directamente a la página de entidad.

  • Administración de vulnerabilidades de Microsoft Defender: las mismas funcionalidades que en Defender para punto de conexión (vulnerabilidades, software y recomendaciones).

La búsqueda también proporciona resultados de vínculos pertinentes en el portal de Microsoft Tech Community, documentación pertinente en Microsoft Learn, elementos de navegación dentro del portal y un vínculo donde puede proporcionar comentarios. El historial de búsqueda se almacena en el explorador y es accesible durante los próximos 30 días.

Notificaciones

Las notificaciones son mensajes que le informan sobre eventos importantes o actualizaciones en el portal de Defender. Le ayudan a mantenerse al tanto de las tareas de seguridad y las alertas.

Captura de pantalla del icono de notificaciones en el portal de Microsoft Defender.

Las notificaciones se encuentran en la barra superior de la interfaz de usuario del portal. Para acceder a ellos, haga clic en el icono de notificación, que parece una campana. Un número en el icono indica que tiene ese número de notificaciones no leídas.

Las notificaciones pueden informar sobre varios tipos de eventos o actualizaciones:

  • Correcto: cuando una acción o tarea se ha completado correctamente, como examinar un dispositivo o aplicar una directiva.
  • En curso: cuando hay una acción en curso.
  • Información: cuando hay información que puede resultarle útil.
  • Advertencia: cuando hay un posible problema o riesgo que debe tener en cuenta, como un dispositivo que está fuera de cumplimiento o una directiva que debe actualizarse.
  • Error: cuando se produce un error o un error que requiere su atención, como si un incidente se elimina o se combinase, un examen que produjo un error o una directiva que no se pudo aplicar.

Cada notificación tiene un título y contenido que proporciona información relevante sobre el evento o la actualización. Cada notificación también tiene una marca de tiempo que muestra cuándo se generó la notificación.

Puede ocultar las notificaciones de la vista. Puede descartar una sola notificación haciendo clic en el icono x del lado derecho de la notificación. También puede descartar todas las notificaciones de la lista con un solo clic mediante descartar todas en la parte superior del panel de notificaciones.

Descartar una notificación no la elimina del portal. Siempre puede ver las notificaciones descartadas seleccionando Mostrar descartado en la parte inferior del panel de notificaciones.

Las notificaciones se ordenan por su tiempo generado en el panel de notificaciones, con las más recientes mostradas primero. Puede desplazarse por la lista de notificaciones para ver las anteriores.

Aprendizaje para analistas de seguridad

Con esta ruta de aprendizaje de Microsoft Learn, puede comprender Microsoft Defender XDR y cómo puede ayudar a identificar, controlar y corregir amenazas de seguridad.

Aprendizaje: Mitigación de amenazas mediante Microsoft Defender XDR
Microsoft Defender XDR icono de entrenamiento. Analice los datos de amenazas entre dominios y corrija rápidamente las amenazas con la orquestación y automatización integradas en Microsoft Defender XDR. Esta ruta de aprendizaje se alinea con el examen SC-200: Analista de operaciones de seguridad de Microsoft.

9 h 31 min - Ruta de aprendizaje - 11 módulos

Empezar >

Recursos adicionales

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.