Compartir vía


Descripción de la respuesta administrada

Se aplica a:

En la sección siguiente se enumeran las preguntas que usted o el equipo de SOC podrían tener sobre la respuesta administrada.

Preguntas Respuestas
¿Qué es la respuesta administrada? Expertos de Microsoft Defender para XDR ofrece una respuesta administrada donde nuestros expertos administran todo el proceso de corrección de los incidentes que los requieran. Este proceso incluye investigar el incidente para identificar la causa principal, determinar las acciones de respuesta necesarias y realizar esas acciones en su nombre.
¿Qué acciones están en el ámbito de la respuesta administrada? Todas las acciones que se encuentran a continuación están en el ámbito de la respuesta administrada para cualquier dispositivo y usuario que no se excluya.

Para dispositivos(disponible ahora)
  • Aislar máquina
  • Liberar máquina del aislamiento
  • Detener y poner en cuarentena un archivo
  • Restringir ejecución de aplicación
  • Quitar restricción de aplicación
  • Deshabilitar usuario
  • Habilitación del usuario

Para los usuarios (próximamente)
  • Revocación del token de actualización
  • Eliminación temporal de correos electrónicos
¿Puedo personalizar la extensión de la respuesta administrada? Puede configurar hasta qué punto nuestros expertos realizan acciones de respuesta administradas en su nombre excluyendo determinados dispositivos y usuarios (individualmente o por grupos) durante la incorporación o posterior modificando la configuración del servicio. Obtenga más información sobre cómo excluir grupos de dispositivos.
¿Qué soporte técnico ofrecen los expertos de Defender para los recursos excluidos? Si nuestros expertos determinan que necesita realizar acciones de respuesta en dispositivos o usuarios excluidos, le notificaremos a través de varios métodos personalizables y le dirigiremos al portal de XDR de Microsoft Defender. Desde el portal, puede ver un resumen detallado de nuestro proceso de investigación y las acciones de respuesta necesarias en el portal y realizar estas acciones necesarias directamente. También hay funcionalidades similares disponibles a través de las API de Defender, en caso de que prefiera usar una información de seguridad y administración de eventos (SIEM), administración de servicios de TI (ITSM) o cualquier otra herramienta de terceros.
¿Cómo me van a informar sobre las acciones de respuesta? Las acciones de respuesta que nuestros expertos han completado en su nombre y las pendientes que necesite realizar en los recursos excluidos se muestran en el panel Respuesta administrada de la página Incidentes del portal de Defender.

Además, también recibirá un correo electrónico que contiene un vínculo al incidente e instrucciones para ver la respuesta administrada en el portal. Además, si tiene integración con Microsoft Sentinel o LAS API, también se le notificará dentro de esas herramientas mediante la búsqueda de estados de expertos de Defender. Para obtener más información, consulte Preguntas más frecuentes relacionadas con las notificaciones de incidentes de Expertos de Microsoft Defender para XDR.
¿Puedo personalizar la respuesta administrada en función de las acciones? No. Si tiene dispositivos o usuarios que se consideran de alto valor o confidenciales, puede agregarlos a la lista de exclusión. Nuestros expertos NO tomarán ninguna medida sobre ellos y solo proporcionarán orientación si se ven afectados por un incidente.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.