Microsoft Defender

Priorización automática de alertas con Queue Assistant en Defender

Publicado elAutorAlex Millà

Microsoft acaba de lanzar en el portal de Defender una actualización muy relevante para equipos de operaciones de ciberseguridad: el nuevo Queue Assistant, impulsado por algoritmos de Machine Learning (ML) y enfocado en mejorar la gestión de incidentes de seguridad.

¿Qué es Queue Assistant y su importancia?

Queue Assistant es una funcionalidad que utiliza inteligencia artificial para identificar y priorizar los incidentes más críticos, mostrando en primer plano las amenazas que requieren atención inmediata. Ofrece, además, una explicación clara del razonamiento detrás de la priorización y herramientas avanzadas para filtrar, ordenar y gestionar la cola de incidentes.

¿Cómo funciona el algoritmo de priorización?

El sistema evalúa todas las alertas de Microsoft Defender, detecciones personalizadas y señales de terceros, utilizando un modelo entrenado en datos reales y anonimizados. Considera múltiples factores para calcular el priority score o nivel de prioridad:

  • Señales de interrupción de ataques
  • Análisis de amenazas avanzadas
  • Severidad
  • SnR (signal-to-noise ratio)
  • Técnicas MITRE ATT&CK
  • Criticidad de los activos afectados
  • Tipos y frecuencia de alertas
  • Amenazas de alto perfil como ransomware y ataques de estados-nación

Visualización y clasificación de incidentes

Cada incidente es automáticamente asignado un priority score que va de 0 a 100, donde 100 indica el mayor nivel de prioridad. La codificación por colores es la siguiente:

  • Rojo: Prioridad alta (score >85)
  • Naranja: Prioridad media (score de 15-85)
  • Gris: Prioridad baja (score <15)

Esto permite al SOC filtrar y focalizar recursos en las amenazas realmente críticas de forma directa y visual.

Beneficios para los equipos SOC y analistas

  • Reducción drástica del tiempo para identificar los incidentes más peligrosos.
  • Mayor criterio y transparencia gracias a la explicación del algoritmo.
  • Integración total con todos los tipos de alertas, incluidas fuentes externas.
  • Filtrado personalizado mediante etiquetas, criticidad, técnicas MITRE y otros parámetros clave.
  • Exportación de la cola de incidentes a CSV para análisis y automatización adicional.

Documentacion oficial de Microsoft