En marzo 2025, la gestión de casos pasó a tener el estado GA dentro del portal unificado para clientes.
Esto introdujo nuevas funcionalidades y experiencias, tales como:
- Una nueva cola de casos
- Estados personalizados
- Nueva experiencia de tareas de casos
- Vinculación de incidentes a casos
Esto puede ser un poco confuso para los usuarios existentes que están familiarizados con los incidentes y la experiencia de incidentes para Microsoft Defender o Sentinel.
¿Qué son los incidentes?
Los incidentes son artefactos que actúan como contenedores de alertas para señalar que se produce un evento significativo que implica una o varias actividades maliciosas. Sirven como página de destino única para alertas, actividades, entidades y mucho más.
¿Cuándo utilizar incidentes?
Los incidentes son la experiencia predeterminada para los analistas cuando realizan investigaciones y respuestas a incidentes. Los incidentes son donde encontrarán todos los detalles disponibles sobre alertas y entidades mientras realizan las tareas básicas de un analista de SOC. Los incidentes deben utilizarse cuando se investigan y responden actividades maliciosas dentro del entorno. La experiencia actual con incidentes ofrece características como:
- Cronología de alertas.
- Mapeo y seguimiento de entidades.
- Gráfico de investigación de entidades.
- Copiloto para la seguridad.
- Investigaciones y respuestas previas.
¿Qué son los casos?
Los casos son artefactos que representan un elemento procesable o rastreable, como la investigación de incidentes, la validación de una hipótesis de búsqueda de amenazas, la revisión de la inteligencia sobre amenazas, la gestión de vulnerabilidades de los puntos finales y mucho más. Pueden existir sin alertas ni incidentes.
¿Cuándo utilizar casos frente a incidentes?
Los casos sirven como elementos que se pueden crear para realizar un seguimiento de actividades importantes dentro del SOC, no tienen por qué ser solo para la respuesta a incidentes. Se puede crear un caso para cualquier actividad destacada que realice el SOC, como se ha mencionado anteriormente. Los casos se pueden utilizar como herramienta de colaboración dentro de su equipo SOC. Aunque los casos puedan parecer redundantes con respecto a los incidentes, no es así en absoluto. A continuación se indican algunos puntos distintivos:
- Dado que los incidentes son un contenedor de alertas, los casos pueden ser un contenedor de incidentes, lo que permite trabajar en varios incidentes a la vez si están relacionados por el autor de la amenaza, las entidades afectadas y otros factores.
- Los casos ofrecen una experiencia de tareas nativa, similar a la experiencia dentro de Microsoft Sentinel en Azure.
- Los casos ofrecen compatibilidad con archivos adjuntos, lo que permite a los analistas una experiencia de gestión de casos más tradicional que no tienen los incidentes.
- Los casos ofrecen una experiencia colaborativa más sólida, con comentarios y comunicaciones en formato de texto enriquecido dentro de cada caso.
- Los casos permiten una mayor personalización, como estados personalizados. Los incidentes no ofrecen estados personalizados.
Aquí dos ejemplos:
Casos con incidentes
Soy un analista del SOC que está revisando la cola de incidentes. Encuentro un incidente que involucra múltiples tipos de amenazas y scripts. Me gustaría trabajar en este incidente con mis colegas mientras realizamos un seguimiento de los artefactos notables que encontramos en nuestra investigación. Por ejemplo:
Visito la cola de incidentes unificada y veo que tengo un incidente de varias etapas, que implica múltiples alertas para múltiples activos. Realizo mi clasificación inicial y confirmo que se trata de un verdadero positivo que debe abordarse. A continuación, crearé un caso y adjuntaré este incidente para colaborar.
Dentro del caso, puedo añadir un bloque de código para enumerar cualquier consulta que haya realizado en Advanced Hunting, así como pegar los resultados de mis consultas directamente en el caso para su seguimiento. Si utilizo Copilot for Security, puedo copiar y pegar el resumen del incidente de Copilot en el caso para que mis compañeros puedan obtener un resumen del incidente sin tener que salir del caso.
Casos sin incidentes
Soy analista del SOC y me encargo de corregir las vulnerabilidades de los dispositivos. Compruebo nuestros CVE actuales en Exposure Management y veo que tengo varios dispositivos que actualmente son vulnerables al CVE-2025-5419, una vulnerabilidad de Microsoft Edge Chromium. Guardo mi lista de dispositivos en un archivo CSV para poder adjuntarla a mi caso. También copio la descripción del CVE para añadir las notas del caso y que a mis compañeros les resulte más cómodo unirse al caso sin tener que abandonarlo.
A continuación, paso a Advanced Hunting para revisar las actividades de cualquiera de estos dispositivos vulnerables. Tengo una coincidencia y me gustaría conectar ese resultado a mi caso, así que utilizo Exportar > Copiar al portapapeles para poder pegarlo en el caso.
De vuelta en el caso, empiezo a subir el CSV de los dispositivos expuestos como prueba, dejo un mensaje con un formato que llama la atención sobre los hallazgos y pego mis hallazgos basados en mi consulta. Basándome en mis hallazgos, empiezo a generar nuevas tareas para cada propietario de dispositivo y a pegar las instrucciones para la corrección del CVE.
Estos son solo algunos ejemplos de los muchos usos que se le pueden dar a los casos dentro del Portal Defender.
