Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
Para empezar a trabajar con el servicio expertos en búsqueda de Microsoft Defender, incorpore al servicio, configure contactos de notificación y configure notificaciones de expertos de Defender.
Incorporación a expertos de Defender para la búsqueda
Si no está familiarizado con los expertos de Microsoft Defender XDR y Defender para la búsqueda:
Cuando reciba el correo electrónico de bienvenida, seleccione Iniciar sesión en Microsoft Defender XDR.
Inicie sesión si ya tiene una cuenta microsoft. Si no tiene una cuenta microsoft, cree una.
El Microsoft Defender XDR paseo rápido le presenta el conjunto de seguridad, dónde están las funcionalidades y lo importantes que son. Seleccione Realizar un recorrido rápido.
Lea las breves descripciones sobre cuál es el servicio de expertos de Microsoft Defender y las funcionalidades que proporciona. Seleccione Siguiente. Verá la página de bienvenida:
Díganos con quién ponerse en contacto para asuntos importantes
Expertos de Defender para la búsqueda le permite configurar contactos de notificación. Estos contactos son los individuos o grupos de su organización a los que Microsoft debe notificar si hay incidentes críticos o actualizaciones del servicio:
Contactos de notificación de incidentes : estos contactos son personas o equipos a los que Microsoft puede notificar cualquier incidente crítico o aclaraciones de búsqueda que requieran una respuesta inmediata.
Puede designar la prioridad de llamada de los contactos de notificación de incidentes. En caso de un incidente crítico, Microsoft se pone en contacto con el contacto principal primero mediante el número de teléfono que proporcionó y, a continuación, el contacto de copia de seguridad si es necesario.
Contactos de notificación de revisión de servicio: estos contactos son personas o equipos con los que Microsoft puede interactuar para obtener actualizaciones del servicio, informes y oportunidades de comentarios.
Configure los contactos de notificación en el asistente para la configuración cuando se incorpore por primera vez al servicio, o desde el menú de navegación del portal de Microsoft Defender, vaya aConfiguración>del sistema>Contactos de notificaciónde expertos de> Defender.
Recibir notificaciones de expertos de Defender
El servicio de notificaciones de expertos de Defender incluye:
- Supervisión y análisis de amenazas, lo que reduce el tiempo de permanencia y el riesgo para su empresa
- Inteligencia artificial entrenada por cazadores para detectar y atacar tanto ataques conocidos como amenazas emergentes
- Identificación de los riesgos más pertinentes, lo que ayuda a los SOC a maximizar su eficacia
- Ayuda para determinar el ámbito de los compromisos y tanto contexto como se pueda entregar rápidamente para habilitar una respuesta rápida de SOC
En la captura de pantalla siguiente se muestra una notificación de expertos de Defender de ejemplo:
Dónde encontrar notificaciones de expertos de Defender
Puede recibir notificaciones de expertos de Defender de expertos de Defender a través de los siguientes canales:
- Página Incidentes del portal de Defender
- Página Alertas del portal de Defender
- API de alertas de OData y API REST
- Tabla DeviceAlertEvents en búsqueda avanzada
- El correo electrónico si configura una regla de notificaciones por correo electrónico
- Microsoft Teams si configura notificaciones de Teams de expertos de Defender
Filtrar para ver solo las notificaciones de expertos de Defender
Puede filtrar los incidentes y las alertas si solo quiere ver las notificaciones de expertos de Defender entre las muchas alertas. Para hacer este filtro:
- En el menú de navegación, vaya a Incidentes & alertas>>Incidentes seleccione el
. - Desplácese hacia abajo hasta Orígenes de servicio o detección y seleccione las casillas expertos de Microsoft Defender en Microsoft Defender para punto de conexión y Microsoft Defender XDR.
- Seleccione Aplicar.
Configuración de notificaciones por correo electrónico de expertos de Defender
Puede configurar Microsoft Defender XDR para notificarle a usted o a su personal mediante un correo electrónico sobre nuevos incidentes o actualizaciones de incidentes existentes, incluidos los observados por Microsoft Defender Expertos. Obtenga más información sobre cómo recibir notificaciones de incidentes por correo electrónico.
- En el panel de navegación Microsoft Defender XDR, seleccione Configuración>Microsoft Defender XDR>Email incidentes de notificaciones>.
- Actualice las reglas de notificación por correo electrónico existentes o cree una nueva. Para obtener más información, consulte Auditoría.
- En la página Configuración de notificación de la regla, asegúrese de configurar los siguientes valores:
- Origen: elija expertos Microsoft Defender en Microsoft Defender XDR y Microsoft Defender para punto de conexión.
- Gravedad de alerta: elija las gravedades de alerta que desencadenan una notificación de incidente. Por ejemplo, si solo quiere que se le informe sobre incidentes de gravedad alta, seleccione Alto.
Configuración de notificaciones de Teams de Expertos de Defender
Puede usar Microsoft Teams, además del correo electrónico, para recibir notificaciones de expertos de Defender.
Importante
Para configurar las notificaciones de Teams, debe tener un rol de administrador de seguridad o superior y una licencia de Microsoft Teams.
Cuando se habilitan las notificaciones de Teams:
- Se crea automáticamente un equipo de expertos de Defender dedicado y un canal de notificaciones de búsqueda .
- Las notificaciones se publican directamente en el canal.
- Las actualizaciones de incidentes aparecen como respuestas en el mismo subproceso.
- Cada notificación incluye el título del incidente, el identificador de incidente y un vínculo directo al portal de Defender.
Nota:
Las notificaciones de Teams son una experiencia de notificación unidireccional. Los expertos de Defender tienen acceso a los mensajes del canal, pero no supervisan ni responden a los mensajes publicados allí. Para comunicarse con expertos de Defender, use Ask Defender Experts en el portal de Defender.
Para configurar las notificaciones de Teams:
- En el portal de Microsoft Defender, vaya a Configuración>Expertos de Defender.
- Seleccione Teams.
- Active Notificarme en Teams.
- Haga clic en Guardar. Los contactos de notificación que agregó en el paso de incorporación anterior también se agregan automáticamente como miembros del canal de Teams.
- Para agregar miembros adicionales del equipo de SOC al canal creado, vaya al equipo >de expertosde Microsoft Teams> DefenderMás opciones (...)>Administrar equipo>Agregar miembro.
Después de la configuración, el sistema crea el equipo de expertos de Defender y el canal de notificaciones de búsqueda y proporciona un vínculo para abrir el canal de Teams. Aparece un mensaje de bienvenida en Teams que confirma que la instalación está completa.
Sugerencia
Si se produce un error en la instalación, consulte Configuración de la aplicación expertos de Microsoft Defender en Teams para obtener instrucciones para la solución de problemas.
Generación de notificaciones de expertos de Defender de ejemplo
Puede generar una notificación de expertos de Defender de ejemplo para empezar a experimentar el servicio Expertos de detección de Defender sin esperar a una actividad crítica real en su entorno. Al generar una notificación de ejemplo, también puede probar las notificaciones por correo electrónico que configuró anteriormente en el portal de Microsoft Defender para este servicio. También puede probar la configuración de cuadernos de estrategias (si está configurado para dichas notificaciones) y reglas en el entorno de Administración de eventos e información de seguridad (SIEM).
Una notificación de expertos de Defender de ejemplo aparece en la página Incidentes con el título Expertos de Defender: Notificación de prueba de expertos de Microsoft Defender. El contenido de la notificación es texto de marcador de posición, mientras que los demás elementos, como las alertas, se generan aleatoriamente a partir de eventos presentes en el inquilino y no se ven realmente afectados.
Para generar una notificación de ejemplo:
En el panel de navegación Microsoft Defender XDR, vaya a Configuración>Expertos de Defender y, a continuación, seleccione Notificaciones de ejemplo.
Seleccione Generar una notificación de ejemplo. Aparece un mensaje de estado verde que confirma que la notificación de ejemplo está lista para su revisión.
En Notificación de expertos de Defender generado recientemente, seleccione un vínculo de la lista para ver su notificación de ejemplo generada correspondiente. El ejemplo más reciente aparece en la parte superior de la lista. Al seleccionar un vínculo, se le redirigirá a la página Incidentes .
Paso siguiente
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.