Acciones de corrección en XDR de Microsoft Defender
Se aplica a:
- Microsoft Defender XDR
Durante y después de una investigación automatizada en XDR de Microsoft Defender, se identifican acciones de corrección para elementos malintencionados o sospechosos. Algunos tipos de acciones de corrección se realizan en los dispositivos, también conocidos como puntos de conexión. Otras acciones de corrección se realizan en identidades, cuentas y contenido de correo electrónico. Además, algunos tipos de acciones de corrección pueden producirse automáticamente, mientras que el equipo de seguridad de la organización realiza manualmente otros tipos de acciones de corrección. Cuando una investigación automatizada da como resultado una o varias acciones de corrección, la investigación se completa solo cuando se realizan, aprueban o rechazan las acciones de corrección.
Importante
El hecho de que las acciones de corrección se realicen automáticamente o solo tras la aprobación depende de ciertas configuraciones, como los niveles de automatización. Para obtener más información, consulte los artículos siguientes:
- Configuración de las funcionalidades automatizadas de investigación y respuesta en XDR de Microsoft Defender
- Configuración de cuentas de acción en Microsoft Defender for Identity
- Cómo se corrigen las amenazas en los dispositivos
- Amenazas y acciones de corrección en el correo electrónico & contenido de colaboración
En la tabla siguiente se resumen las acciones de corrección que se admiten actualmente en XDR de Microsoft Defender.
| Acciones de corrección del dispositivo (punto de conexión) | Acciones de corrección de correo electrónico | Usuarios (cuentas) |
|---|---|---|
| - Recopilación del paquete de investigación - Aislar el dispositivo (esta acción se puede deshacer) - Offboard machine - Ejecución de código de versión - Liberación de la cuarentena - Ejemplo de solicitud - Restringir la ejecución de código (esta acción se puede deshacer) - Ejecutar examen de antivirus - Detener y poner en cuarentena - Contener dispositivos de la red |
- Dirección URL de bloqueo (tiempo de clic) - Eliminación temporal de mensajes de correo electrónico o clústeres - Poner en cuarentena el correo electrónico - Poner en cuarentena los datos adjuntos de un correo electrónico - Desactivar el reenvío de correo externo |
- Deshabilitar usuario - Restablecer contraseña de usuario - Confirmación del usuario como en peligro |
Las acciones de corrección, ya sean pendientes de aprobación o ya completadas, se pueden ver en el Centro de acciones.
Acciones de corrección que siguen investigaciones automatizadas
Cuando se completa una investigación automatizada, se llega a un veredicto por cada pieza de evidencia implicada. En función del veredicto, se identifican las acciones de corrección. En algunos casos, las acciones correctivas se toman automáticamente, en otros casos, las acciones correctivas esperan aprobación. Todo depende de cómo se configure la investigación y la respuesta automatizadas.
En la tabla siguiente se muestran los posibles resultados:
| Veredicto | Entidades afectadas | Resultados |
|---|---|---|
| Malintencionado | Dispositivos (puntos de conexión) | Las acciones de corrección se realizan automáticamente (suponiendo que los grupos de dispositivos de la organización estén establecidos en Completo: corrija las amenazas automáticamente). |
| Comprometido | Usuarios | Las acciones de corrección se toman automáticamente |
| Malintencionado | Contenido de correo electrónico (URL y datos adjuntos) | Acciones de corrección recomendadas pendientes de aprobación |
| Sospechoso | Dispositivos o contenido de correo electrónico | Acciones de corrección recomendadas pendientes de aprobación |
| No se encontraron amenazas | Dispositivos o contenido de correo electrónico | No es necesario realizar ninguna acción correctiva |
Acciones de corrección que se realizan manualmente
Además de las acciones de corrección que siguen las investigaciones automatizadas, el equipo de operaciones de seguridad puede realizar determinadas acciones de corrección manualmente. Entre estas acciones se incluyen:
- Acción manual del dispositivo, como aislamiento de dispositivos o cuarentena de archivos
- Acción de correo electrónico manual, como la eliminación temporal de mensajes de correo electrónico
- Acción manual del usuario, como deshabilitar el usuario o restablecer la contraseña de usuario
- Acción de búsqueda avanzada en dispositivos, usuarios o correo electrónico
- Acción del Explorador en el contenido del correo electrónico, como mover correo electrónico a correo no deseado, eliminar correo electrónico temporalmente o eliminar correo electrónico de forma rígida
- Acción de respuesta dinámica manual, como eliminar un archivo, detener un proceso y quitar una tarea programada
- Acción de respuesta en vivo con las API de Microsoft Defender para punto de conexión, como aislar un dispositivo, ejecutar un examen antivirus y obtener información sobre un archivo
Siguientes pasos
- Visite el Centro de actividades
- Ver y aprobar acciones de corrección
- Dirección de falsos positivos o falsos negativos
- Contener dispositivos de la red
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.