Investigación y respuesta automatizadas en Microsoft Defender XDR
Se aplica a:
- Microsoft Defender XDR
Si su organización usa Microsoft Defender XDR, el equipo de operaciones de seguridad recibe una alerta en el portal de Microsoft Defender cada vez que se detecta una actividad o artefacto malintencionado o sospechoso. Dado el flujo aparentemente interminable de amenazas que pueden aparecer, los equipos de seguridad a menudo se enfrentan al desafío de abordar el alto volumen de alertas. Afortunadamente, Microsoft Defender XDR incluye funcionalidades de investigación y respuesta automatizadas (AIR) que pueden ayudar al equipo de operaciones de seguridad a abordar las amenazas de forma más eficaz y eficaz.
En este artículo se proporciona información general sobre AIR e incluye vínculos a los pasos siguientes y recursos adicionales.
Cómo funcionan la investigación y autorrecuperación automatizadas
Cuando se activan las alertas de seguridad, el equipo de operaciones de seguridad tiene la responsabilidad de consultar esas alertas y tomar medidas para proteger la organización. El establecimiento de prioridades y la investigación de las alertas pueden llevar mucho tiempo, sobre todo cuando siguen apareciendo nuevas alertas mientras se está realizando una investigación. Los equipos de operaciones de seguridad pueden sentirse abrumados por el gran volumen de amenazas que deben supervisar y ante las que deben protegerse. Las funcionalidades automatizadas de investigación y respuesta, con recuperación automática, en Microsoft Defender XDR pueden ayudar.
Vea el siguiente vídeo para ver cómo funciona la recuperación automática:
En Microsoft Defender XDR, la investigación y la respuesta automatizadas con funcionalidades de recuperación automática funcionan en todos los dispositivos, el correo electrónico & contenido y las identidades.
Sugerencia
En este artículo se describe cómo funciona la investigación y la respuesta automatizadas. Para configurar estas funcionalidades, consulte Configuración de funcionalidades automatizadas de investigación y respuesta en Microsoft Defender XDR.
Su propio analista virtual
Imagine tener un analista virtual en el equipo de operaciones de seguridad de nivel 1 o nivel 2. El analista virtual imita los pasos más idóneos que llevarían a cabo las operaciones de seguridad para investigar y solucionar las amenazas. El analista virtual podría trabajar 24x7, con capacidad ilimitada, y asumir una carga significativa de investigaciones y corrección de amenazas. Este tipo de analista virtual podría reducir significativamente el tiempo de respuesta, liberando al equipo de operaciones de seguridad para otras amenazas importantes o proyectos estratégicos. Si este escenario suena a ciencia ficción, no lo es. Este analista virtual forma parte del conjunto de Microsoft Defender XDR y su nombre es investigación y respuesta automatizadas.
Las funcionalidades automatizadas de investigación y respuesta permiten al equipo de operaciones de seguridad aumentar drásticamente la capacidad de su organización para hacer frente a alertas e incidentes de seguridad. Con la investigación y la respuesta automatizadas, puede reducir el costo de tratar las actividades de investigación y respuesta y sacar el máximo partido a su conjunto de protección contra amenazas. Las funcionalidades automatizadas de investigación y respuesta ayudan al equipo de operaciones de seguridad:
- Determinar si una amenaza requiere una acción.
- Realizar (o recomendar) todas las acciones de corrección necesarias.
- Determinar si deben hacerse otras investigaciones y cuáles.
- Repetir el proceso según sea necesario para otras alertas.
El proceso de investigación automatizada
Una alerta crea un incidente, que puede iniciar una investigación automatizada. La investigación automatizada da como resultado un veredicto para cada fragmento de evidencia. Los veredictos pueden ser:
- Malintencionada
- Sospechoso
- No se encontraron amenazas
Se identifican las acciones de corrección para entidades malintencionadas o sospechosas. Entre los ejemplos de acciones de corrección se incluyen:
- Enviar un archivo a cuarentena
- Detener un proceso
- Aislar un dispositivo
- Bloquear una dirección URL
- Otras acciones
Para obtener más información, vea Acciones de corrección en Microsoft Defender XDR.
En función de cómo se configuren las funcionalidades automatizadas de investigación y respuesta para su organización, las acciones de corrección se realizan automáticamente o solo tras la aprobación del equipo de operaciones de seguridad. Todas las acciones, ya sean pendientes o completadas, aparecen en el Centro de acciones.
Durante la ejecución de una investigación, todas las demás alertas relacionadas que puedan surgir se agregarán a la investigación hasta que se finalice. Si ve una entidad afectada en otro lugar, la investigación automatizada expande su ámbito para incluir esa entidad, y el proceso de investigación se repite.
En Microsoft Defender XDR, cada investigación automatizada correlaciona las señales entre Microsoft Defender for Identity, Microsoft Defender para punto de conexión y Microsoft Defender para Office 365, como se resume en la tabla siguiente:
Entidades | Servicios de protección contra amenazas |
---|---|
Dispositivos (también conocidos como puntos de conexión o máquinas) | Defender para punto de conexión |
Usuarios locales de Active Directory, comportamiento de entidad y actividades | Defender for Identity |
Email contenido (mensajes de correo electrónico que pueden contener archivos y direcciones URL) | Defender para Office 365 |
Nota:
No todas las alertas activan una investigación automatizada y no todas las investigaciones generan acciones de corrección automatizadas. Depende de cómo se configure la investigación y la respuesta automatizadas para su organización. Consulte Configurar las funcionalidades de investigación y respuesta automatizadas.
Visualización de una lista de investigaciones
Para ver las investigaciones, vaya a la página Incidentes . Seleccione un incidente y, a continuación, seleccione la pestaña Investigaciones . Para obtener más información, consulte Detalles y resultados de una investigación automatizada.
Tarjeta de respuesta & investigación automatizada
La nueva tarjeta de respuesta & investigación automatizada está disponible en el portal de Microsoft Defender (https://security.microsoft.com). Esta nueva tarjeta permite ver el número total de acciones de corrección disponibles. La tarjeta también proporciona información general sobre todas las alertas y el tiempo de aprobación necesario para cada alerta.
Con la tarjeta De investigación automatizada & respuesta, el equipo de operaciones de seguridad puede navegar rápidamente al Centro de acciones seleccionando el vínculo Aprobar en el Centro de acciones y, a continuación, realizando las acciones adecuadas. La tarjeta permite al equipo de operaciones de seguridad administrar de forma más eficaz las acciones que están pendientes de aprobación.
Pasos siguientes
- Consulte los requisitos previos para la investigación y la respuesta automatizadas.
- Configuración de la investigación y la respuesta automatizadas para su organización
- Más información sobre el Centro de actividades
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.