Explorar el análisis de amenazas en Microsoft 365 Defender

  • 9 minutos

El análisis de amenazas es la solución de inteligencia sobre amenazas en el producto de Microsoft. El equipo experto de investigadores de seguridad de Microsoft lo diseñó para ayudar a los equipos de seguridad a ser lo más eficientes posible frente a amenazas emergentes, como:

  • Actores de amenazas activos y sus campañas
  • Técnicas de ataque populares y nuevas
  • Vulnerabilidades críticas
  • Superficies de ataque comunes
  • Malware frecuentes

Las amenazas de alto impacto tienen el mayor potencial para causar daños. Las amenazas de alta exposición son aquellas a las que los recursos son más vulnerables. Obtener visibilidad sobre campañas activas o en curso y saber qué hacer a través del análisis de amenazas podría ayudar a que su equipo de operaciones de seguridad tome decisiones informadas.

Con adversarios cada vez más sofisticados y nuevas amenazas que aparecen con frecuencia y prevalentemente, es fundamental poder:

  • Identificar amenazas emergentes y reaccionar ante ellas.
  • Obtener información sobre si se está siendo atacado actualmente.
  • Evaluar el efecto de las amenazas en sus activos.
  • Revisar la resistencia frente a las amenazas o su exposición a ellas.
  • Identificar las acciones de mitigación, recuperación o prevención que se pueden realizar para detener o contener las amenazas.

Los informes de análisis de amenazas proporcionan análisis de amenazas con seguimiento. También proporcionan instrucciones sobre cómo defenderse contra esas amenazas. Cada informe incorpora datos de la red que indican si la amenaza está activa y si tuviera protecciones aplicables.

Visualización adicional. Seleccione el vínculo siguiente para watch un breve vídeo sobre cómo el análisis de amenazas puede ayudarle a realizar un seguimiento de las amenazas más recientes y detenerlas: Microsoft Defender XDR Threat Analytics.

Visualización del panel de análisis de amenazas

Puede acceder al panel análisis de amenazas desde el panel de navegación del portal de Microsoft Defender.

Captura de pantalla del portal de Microsoft 365 Defender con las opciones de acceso de análisis de amenazas resaltadas.

El panel de análisis de amenazas resaltará los informes que sean más relevantes para la organización. Resume las amenazas en las secciones siguientes:

  • Amenazas más recientes. Enumera los informes de amenazas publicados o actualizados más recientemente, junto con el número de alertas activas y resueltas.
  • Amenazas de gran impacto. Enumera las amenazas con mayor efecto en la organización. En esta sección se enumeran primero las amenazas con el mayor número de alertas activas y resueltas.
  • Amenazas de exposición más altas. Enumera primero las amenazas con los niveles de exposición más altos. El sistema calcula el nivel de exposición de una amenaza utilizando dos fragmentos de información:
    • Gravedad de las vulnerabilidades asociadas a la amenaza.
    • El número de dispositivos de la organización que un atacante puede aprovechar mediante esas vulnerabilidades.

Seleccione una amenaza en el panel para ver el informe de esa amenaza. También puede seleccionar el campo Buscar para escribir una palabra clave relacionada con el informe de análisis de amenazas que desea ver.

Visualización de un informe de análisis de amenazas

Cada informe de análisis de amenazas proporciona información en varias pestañas:

  • Información general
  • Informe de analistas
  • Incidentes relacionados
  • Activos afectados
  • Intentos de correo electrónico evitados
  • Mitigaciones & exposición

En las secciones siguientes se examina cada una de estas pestañas con mayor detalle.

Pestaña Información general: comprender rápidamente las amenazas, evaluar su impacto y revisar las defensas

La pestaña Información general proporciona una vista previa del informe del analista detallado. También proporciona gráficos que resaltan:

  • El impacto de la amenaza en la organización.
  • La exposición a través de dispositivos mal configurados y sin revisiones.

Captura de pantalla de la sección de información general del informe de análisis de amenazas.

Cada informe incluye gráficos diseñados para proporcionar información sobre el impacto en la organización de una amenaza:

  • Incidentes relacionados. Proporciona información general sobre el impacto de amenazas a las que se realiza un seguimiento en la organización con los siguientes datos:
    • Número de alertas activas y número de incidentes activos a los que se asocian.
    • Gravedad de los incidentes activos.
  • Alertas a lo largo del tiempo. Muestra el número de alertas activas y resueltas relacionadas a lo largo del tiempo. El número de alertas resueltas indica la rapidez con la que la organización responde a las alertas asociadas a una amenaza. Lo ideal es que el gráfico muestre alertas resueltas en unos días.
  • Activos afectados. Muestra el número de dispositivos distintos y cuentas de correo electrónico (buzones) con al menos una alerta activa asociada a la amenaza de seguimiento. El sistema desencadena alertas para los buzones de correo que recibieron correos electrónicos de amenazas. Las organizaciones deberían revisar las directivas de nivel de organización y de usuario en busca de invalidaciones que provoquen la entrega de correos electrónicos de amenazas.
  • Intentos de correo electrónico evitados. Muestra el número de correos electrónicos de los últimos siete días que el sistema bloqueó antes de la entrega o se entregó en la carpeta de correo no deseado.

Cada informe incluye gráficos que proporcionan información general sobre la resistencia de la organización frente a amenazas determinadas:

  • Estado de configuración segura. Muestra el número de dispositivos con valores de seguridad mal configurados. Las organizaciones deberían aplicar la configuración de seguridad recomendada para ayudar a mitigar las amenazas. El sistema considera los dispositivos seguros si la organización aplicó toda la configuración de seguimiento.
  • Estado de aplicación de revisiones de vulnerabilidades. Muestra el número de dispositivos vulnerables. Las organizaciones deberían aplicar revisiones o actualizaciones de seguridad para abordar las vulnerabilidades que explotan las amenazas.

Es posible filtrar la lista de informes de amenazas y ver los informes más relevantes según una etiqueta de amenaza específica (categoría) o un tipo de informe.

  • Etiquetas de amenazas. Le ayudarán a ver los informes más relevantes según una categoría de amenazas específica. Por ejemplo, todos los informes relacionados con ransomware.
  • Tipos de informes. Le ayudarán a ver los informes más relevantes según un tipo de informe específico. Por ejemplo, todos los informes que abarquen herramientas y técnicas.
  • Filtros. Le ayudará a revisar de forma eficaz la lista de informes de amenazas y a filtrar la vista en función de etiquetas de amenaza específicas o un tipo de informe. Por ejemplo, revise todos los informes de amenazas relacionados con la categoría de ransomware o los informes de amenazas que cubran vulnerabilidades.

El equipo de Microsoft Threat Intelligence agregó etiquetas de amenazas y otra información clave a cada informe de amenazas:

  • Ahora hay cuatro etiquetas de amenaza disponibles:
    • Ransomware
    • Suplantación de identidad (phishing)
    • Vulnerabilidad
    • Grupo de actividades
  • En la parte superior de la página Análisis de amenazas se muestran etiquetas de amenazas.
  • Hay contadores para el número de informes disponibles bajo cada etiqueta.
  • Puede ordenar la lista por etiquetas de amenaza.
  • Los filtros están disponibles por etiqueta de amenaza y tipo de informe.

Pestaña de informe de analistas: obtenga información de expertos de los investigadores de seguridad de Microsoft

La pestaña Informe de analistas incluye análisis detallados de expertos sobre amenazas. La mayoría de los informes proporcionan descripciones detalladas de las cadenas de ataques. Estas descripciones incluyen:

  • Tácticas y técnicas asignadas al marco MITRE ATT&CK.
  • Listas exhaustivas de recomendaciones.
  • Guía de búsqueda de amenazas eficaz.

Lectura adicional. Para obtener más información, consulte Obtener más información sobre el informe de analistas.

La pestaña Incidentes relacionados proporcionará la lista de todos los incidentes relacionados con las amenazas de las que se realice el seguimiento. Es posible asignar incidentes o administrar alertas vinculadas a cada incidente.

Captura de pantalla de la sección de incidentes relacionados de un informe de análisis de amenazas.

Pestaña Recursos afectados: obtenga una lista de los dispositivos y buzones afectados

Cuando una alerta activa y sin resolver afecta a un recurso, el sistema considera que el recurso "se ha visto afectado". En la pestaña Activos afectados se enumeran los siguientes tipos de recursos afectados:

  • Dispositivos. Puntos de conexión que tengan alertas de Microsoft Defender para punto de conexión sin resolver. Estas alertas suelen activarse en los avistamientos de actividades e indicadores de amenazas conocidos.
  • Buzones. Buzones de correo que recibieron mensajes de correo electrónico que desencadenaron alertas de Microsoft Defender para Office 365. Aunque el sistema normalmente bloquea la mayoría de los mensajes que desencadenan alertas, las directivas de nivel de usuario u organización pueden invalidar los filtros.

Captura de pantalla de la sección de recursos afectados de un informe de análisis de amenazas.

Pestaña Intentos de correo electrónico impedidos: ver correos electrónicos de amenazas bloqueadas o no deseadas

Microsoft Defender para Office 365 normalmente bloqueará los correos electrónicos con indicadores de amenazas conocidos, incluyendo vínculos malintencionados o datos adjuntos. En algunos casos, los mecanismos de filtrado proactivo que comprueban el contenido sospechoso en su lugar envían correos electrónicos de amenazas a la carpeta de correo no deseado. Cada caso reduce la posibilidad de que la amenaza inicie código de malware en el dispositivo.

La pestaña Intentos de correo electrónico impedidos muestra todos los correos electrónicos Microsoft Defender para Office 365 bloqueados antes de la entrega o enviados a la carpeta de correo no deseado.

Captura de pantalla de la sección de intentos de correo electrónico impedidos de un informe de análisis de amenazas.

Pestaña Exposición y mitigaciones: revisión de la lista de mitigaciones y del estado de los dispositivos

En la sección Exposición y mitigaciones, las organizaciones deberían revisar la lista de recomendaciones accionables específicas que podrían ayudar a aumentar su resistencia frente a amenazas. La lista de mitigaciones con seguimiento incluye:

  • Actualizaciones de seguridad. Implementación de actualizaciones de seguridad de software admitidas para vulnerabilidades detectadas en dispositivos incorporados
  • Cnfiguraciones de seguridad admitidas. Las mitigaciones incluyen:
    • Protección entregada en la nube
    • Protección contra aplicaciones potencialmente no deseadas (PUA)
    • Protección en tiempo real

La información de mitigación de esta pestaña incorpora datos de administración de amenazas y vulnerabilidades. Esta característica también proporciona información detallada de los distintos vínculos del informe.

Captura de pantalla de la sección de mitigación que muestra los detalles de configuración segura.

Captura de pantalla de la sección de mitigación que muestra los detalles de vulnerabilidad.