Compartir a través de


Interrupción automática de ataques en Microsoft Defender XDR

Se aplica a:

  • Microsoft Defender XDR

Microsoft Defender XDR correlaciona millones de señales individuales para identificar campañas de ransomware activas u otros ataques sofisticados en el entorno con alta confianza. Mientras un ataque está en curso, Defender XDR interrumpe el ataque al contener automáticamente recursos en peligro que el atacante está usando mediante la interrupción automática del ataque.

La interrupción automática del ataque limita el movimiento lateral al principio y reduce el impacto general de un ataque, desde los costos asociados hasta la pérdida de productividad. Al mismo tiempo, deja a los equipos de operaciones de seguridad en el control total de la investigación, corrección y puesta en línea de los recursos.

En este artículo se proporciona información general sobre la interrupción automatizada de ataques e incluye vínculos a los pasos siguientes y a otros recursos.

Funcionamiento de la interrupción automática de ataques

La interrupción automática de ataques está diseñada para contener ataques en curso, limitar el impacto en los recursos de una organización y proporcionar más tiempo para que los equipos de seguridad corrijan por completo el ataque. La interrupción de ataques usa toda la amplitud de nuestras señales de detección y respuesta extendidas (XDR), teniendo en cuenta todo el ataque para actuar en el nivel de incidente. Esta funcionalidad es diferente de los métodos de protección conocidos, como la prevención y el bloqueo, en función de un único indicador de riesgo.

Aunque muchas plataformas de orquestación, automatización y respuesta (SOAR) de XDR y seguridad le permiten crear acciones de respuesta automáticas, la interrupción automática de ataques se integra y usa información de investigadores de seguridad de Microsoft y modelos avanzados de inteligencia artificial para contrarrestar las complejidades de los ataques avanzados. La interrupción automática de ataques tiene en cuenta todo el contexto de las señales de diferentes orígenes para determinar los recursos en peligro.

La interrupción automática de ataques funciona en tres fases clave:

  • Usa la capacidad de Defender XDR de correlacionar las señales de muchos orígenes diferentes en un único incidente de alta confianza a través de información de puntos de conexión, identidades, herramientas de correo electrónico y colaboración y aplicaciones SaaS.
  • Identifica los recursos controlados por el atacante y se usan para propagar el ataque.
  • Realiza automáticamente acciones de respuesta en los productos de Microsoft Defender pertinentes para contener el ataque en tiempo real mediante el aislamiento de los recursos afectados.

Esta funcionalidad de cambio de juego limita el progreso de un actor de amenazas al principio y reduce drásticamente el impacto general de un ataque, desde los costos asociados hasta la pérdida de productividad.

Establecer una alta confianza al realizar acciones automáticas

Entendemos que tomar medidas automáticas a veces viene con dudas de los equipos de seguridad, dado el posible impacto que puede tener en una organización. Por lo tanto, las funcionalidades de interrupción automática de ataques en Defender XDR están diseñadas para basarse en señales de alta fidelidad. También usa la correlación de incidentes de Defender XDR con millones de señales de producto de Defender a través de correo electrónico, identidad, aplicaciones, documentos, dispositivos, redes y archivos. Las conclusiones de la investigación continua de miles de incidentes por parte del equipo de investigación de seguridad de Microsoft garantizan que la interrupción automática de ataques mantenga una elevada relación señal-ruido (SNR).

Las investigaciones son fundamentales para supervisar nuestras señales y el panorama de amenazas de ataque para garantizar una protección precisa y de alta calidad.

Sugerencia

En este artículo se describe cómo funciona la interrupción de ataques. Para configurar estas funcionalidades, consulte Configuración de las funcionalidades de interrupción de ataques en Microsoft Defender XDR.

Acciones de respuesta automatizadas

La interrupción automática de ataques usa acciones de respuesta XDR basadas en Microsoft. Algunos ejemplos de estas acciones son:

  • Contenido del dispositivo: en función de la funcionalidad de Microsoft Defender para punto de conexión, esta acción es una contención automática de un dispositivo sospechoso para bloquear cualquier comunicación entrante o saliente con dicho dispositivo.

  • Deshabilitar usuario: en función de la funcionalidad de Microsoft Defender for Identity, esta acción es una suspensión automática de una cuenta en peligro para evitar daños adicionales, como el movimiento lateral, el uso malintencionado del buzón o la ejecución de malware. La acción deshabilitar usuario se comporta de manera diferente en función de cómo se hospede el usuario en su entorno.

    • Cuando la cuenta de usuario se hospeda en Active Directory: Defender for Identity desencadena la acción deshabilitar el usuario en controladores de dominio que ejecutan el agente de Defender for Identity.
    • Cuando la cuenta de usuario se hospeda en Active Directory y se sincroniza en Microsoft Entra ID: Defender for Identity desencadena la acción deshabilitar al usuario a través de controladores de dominio incorporados. La interrupción de ataques también deshabilita la cuenta de usuario en la cuenta sincronizada de Id. de entra.
    • Cuando la cuenta de usuario se hospeda solo en Entra ID (cuenta nativa en la nube): la interrupción del ataque deshabilita la cuenta de usuario en la cuenta sincronizada de Id. de entra.

Nota:

Deshabilitar la cuenta de usuario en Microsoft Entra ID no depende de la implementación de Microsoft Defender for Identity.

  • Contener usuario: en función de la funcionalidad de Microsoft Defender para punto de conexión, esta acción de respuesta contiene automáticamente identidades sospechosas temporalmente para ayudar a bloquear cualquier movimiento lateral y cifrado remoto relacionado con la comunicación entrante con los dispositivos incorporados de Defender para punto de conexión.

Para obtener más información, consulte acciones de corrección en Microsoft Defender XDR.

Acciones de respuesta automatizadas para SAP con Microsoft Sentinel

Si usa la plataforma de operaciones de seguridad unificada e implementa la solución de Microsoft Sentinel para aplicaciones SAP, también puede implementar la interrupción automática de ataques para SAP.

Por ejemplo, implemente la interrupción de ataques para que SAP contenga activos en peligro mediante el bloqueo de usuarios de SAP sospechosos en caso de un ataque de manipulación de procesos financieros.

Una vez mitigado el riesgo, Microsoft Defender los administradores pueden desbloquear manualmente los usuarios bloqueados automáticamente por la respuesta de interrupción del ataque. La capacidad de desbloquear manualmente a los usuarios está disponible en el centro de acciones de Microsoft Defender y solo para los usuarios que se bloquearon por interrupción del ataque.

Para usar la interrupción de ataques para SAP, implemente un nuevo agente de conector de datos o asegúrese de que el agente usa la versión 90847355 o posterior y, a continuación, asigne y aplique los roles de Azure y SAP necesarios. Para más información, vea:

Mientras configura la interrupción de ataques en el Azure Portal y el sistema SAP, la interrupción automática de ataques solo aparece en la plataforma de operaciones de seguridad unificada en el portal de Microsoft Defender.

Identificar cuándo se produce una interrupción de ataque en el entorno

La página Defender XDR incidente reflejará las acciones de interrupción automática del ataque a través del artículo de ataque y el estado indicado por una barra amarilla (Figura 1). El incidente muestra una etiqueta de interrupción dedicada, resalta el estado de los recursos contenidos en el gráfico de incidentes y agrega una acción al Centro de acciones.

Selección de un incidente en la figura 1 del portal de Microsoft Defender . Vista de incidente que muestra la barra amarilla en la que se realizó la interrupción automática del ataque

La experiencia de usuario Defender XDR ahora incluye indicaciones visuales adicionales para garantizar la visibilidad de estas acciones automáticas. Puede encontrarlos en las siguientes experiencias:

  1. En la cola de incidentes:

    • Aparece una etiqueta titulada Interrupción de ataque junto a los incidentes afectados.
  2. En la página del incidente:

    • Etiqueta titulada Interrupción de ataque
    • Banner amarillo en la parte superior de la página que resalta la acción automática realizada
    • El estado actual del recurso se muestra en el gráfico de incidentes si se realiza una acción en un recurso, por ejemplo, la cuenta deshabilitada o el dispositivo contenido
  3. A través de la API:

    Se agrega una cadena (interrupción del ataque) al final de los títulos de incidentes con una alta confianza que probablemente se interrumpirá automáticamente. Por ejemplo:

    Ataque de fraude financiero de BEC lanzado desde una cuenta en peligro (interrupción del ataque)

Para obtener más información, consulte Ver los detalles y los resultados de la interrupción de ataques.

Pasos siguientes

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.