El Centro de actividades
Se aplica a:
- Microsoft Defender XDR
El Centro de acciones proporciona una experiencia de "un solo panel de cristal" para las tareas de incidentes y alertas, como:
- Aprobación de acciones de corrección pendientes.
- Visualización de un registro de auditoría de acciones de corrección ya aprobadas.
- Revisión de las acciones de corrección completadas.
Dado que el Centro de acciones proporciona una visión completa de Microsoft Defender XDR en el trabajo, el equipo de operaciones de seguridad puede funcionar de forma más eficaz y eficaz.
Centro de acciones unificado
El Centro de acciones unificado (https://security.microsoft.com/action-center) muestra las acciones de corrección pendientes y completadas para los dispositivos, el correo electrónico & el contenido de colaboración y las identidades en una sola ubicación.
Por ejemplo:
- Si usaba el Centro de acciones en el Centro de seguridad de Microsoft Defender (https://securitycenter.windows.com/action-center), pruebe el Centro de acciones unificado en el portal de Microsoft Defender.
- Si ya usaba el portal de Microsoft Defender, verá varias mejoras en el Centro de acciones (https://security.microsoft.com/action-center).
El Centro de acciones unificado reúne acciones de corrección en Defender para punto de conexión y Defender para Office 365. Define un lenguaje común para todas las acciones de corrección y proporciona una experiencia de investigación unificada. El equipo de operaciones de seguridad tiene una experiencia de "un solo panel de cristal" para ver y administrar las acciones de corrección.
Puede usar el Centro de acciones unificado si tiene los permisos adecuados y una o varias de las siguientes suscripciones:
Sugerencia
Para obtener más información, consulte Requisitos.
Puede navegar a la lista de acciones pendientes de aprobación de dos maneras diferentes:
- Vaya a https://security.microsoft.com/action-center; o
- En el portal de Microsoft Defender (https://security.microsoft.com), en la tarjeta de respuesta Investigación automatizada &, seleccione Aprobar en el Centro de acciones.
Uso del Centro de acciones
Vaya a Microsoft Defender portal e inicie sesión.
En el panel de navegación de Acciones y envíos, elija Centro de acciones. O bien, en la tarjeta Investigación automatizada & respuesta, seleccione Aprobar en el Centro de acciones.
Use las pestañas Acciones pendientes e Historial . En la tabla siguiente se resume lo que verá en cada pestaña:
Pestaña Descripción Pending Muestra una lista de acciones que requieren atención. Puede aprobar o rechazar acciones de una en una, o seleccionar varias acciones si tienen el mismo tipo de acción (como el archivo de cuarentena).
Asegúrese de revisar y aprobar (o rechazar) las acciones pendientes lo antes posible para que las investigaciones automatizadas puedan completarse de forma oportuna.Historial Actúa como registro de auditoría para las acciones que se realizaron, como:
- Acciones de corrección que se realizaron como resultado de investigaciones automatizadas
- Acciones de corrección que se realizaron en mensajes de correo electrónico sospechosos o malintencionados, archivos o direcciones URL
- Acciones de corrección aprobadas por el equipo de operaciones de seguridad
- Comandos que se ejecutaron y acciones de corrección que se aplicaron durante las sesiones de live response
- Acciones de corrección realizadas por la protección antivirus
Proporciona una manera de deshacer determinadas acciones (consulte Deshacer acciones completadas).Puede personalizar, ordenar, filtrar y exportar datos en el Centro de acciones.
- Seleccione un encabezado de columna para ordenar los elementos en orden ascendente o descendente.
- Use el filtro de período de tiempo para ver los datos del último día, semana, 30 días o 6 meses.
- Elija las columnas que desea ver.
- Especifique cuántos elementos se van a incluir en cada página de datos.
- Use filtros para ver solo los elementos que desea ver.
- Seleccione Exportar para exportar los resultados a un archivo .csv.
Acciones de las que se realiza un seguimiento en el Centro de acciones
Todas las acciones de corrección, tanto si están pendientes de aprobación como si ya se han aprobado, se consolidan en el Centro de actividades. Entre las acciones disponibles se incluyen las siguientes:
- Recopilar el paquete de investigación
- Aislar el dispositivo (esta acción se puede deshacer)
- Retirar la máquina
- Ejecutar el código de versión
- Liberar de cuarentena
- Solicitar ejemplo
- Restringir la ejecución de código (esta acción se puede deshacer)
- Ejecutar examen de antivirus
- Detener y poner en cuarentena un archivo
- Contener dispositivos de la red
Además de las acciones de corrección que se realizan automáticamente como resultado de investigaciones automatizadas, el Centro de acciones también realiza un seguimiento de las acciones que el equipo de seguridad ha llevado a cabo para abordar las amenazas detectadas y las acciones que se realizaron como resultado de las características de protección contra amenazas en Microsoft Defender XDR. Para obtener más información sobre las acciones de corrección automáticas y manuales, consulte Acciones de corrección.
Visualización de los detalles del origen de la acción
(¡NUEVO!) El Centro de acciones mejorado ahora incluye una columna De origen de acción que le indica de dónde procede cada acción. En la tabla siguiente se describen los posibles valores de origen de acción :
| Valor de origen de acción | Description |
|---|---|
| Acción manual del dispositivo | Una acción manual realizada en un dispositivo. Algunos ejemplos son el aislamiento del dispositivo o la cuarentena de archivos. |
| Acción de correo electrónico manual | Una acción manual realizada en el correo electrónico. Un ejemplo incluye la eliminación temporal de mensajes de correo electrónico o la corrección de un mensaje de correo electrónico. |
| Acción de dispositivo automatizada | Una acción automatizada realizada en una entidad, como un archivo o un proceso. Entre los ejemplos de acciones automatizadas se incluyen el envío de un archivo a la cuarentena, la detención de un proceso y la eliminación de una clave del Registro. (Consulte Acciones de corrección en Microsoft Defender para punto de conexión). |
| Acción de correo electrónico automatizada | Una acción automatizada realizada en el contenido del correo electrónico, como un mensaje de correo electrónico, datos adjuntos o dirección URL. Entre los ejemplos de acciones automatizadas se incluyen la eliminación temporal de mensajes de correo electrónico, el bloqueo de direcciones URL y la desactivación del reenvío de correo externo. (Consulte Acciones de corrección en Microsoft Defender para Office 365). |
| Acción de búsqueda avanzada | Acciones realizadas en dispositivos o correo electrónico con búsqueda avanzada. |
| Acción del Explorador | Acciones realizadas en el contenido del correo electrónico con el Explorador. |
| Acción de respuesta dinámica manual | Acciones realizadas en un dispositivo con respuesta dinámica. Algunos ejemplos son la eliminación de un archivo, la detención de un proceso y la eliminación de una tarea programada. |
| Acción de respuesta dinámica | Acciones realizadas en un dispositivo con api de Microsoft Defender para punto de conexión. Algunos ejemplos de acciones son aislar un dispositivo, ejecutar un examen antivirus y obtener información sobre un archivo. |
Permisos necesarios para las tareas del Centro de actividades
Para realizar tareas, como aprobar o rechazar acciones pendientes en el Centro de acciones, debe tener permisos asignados como se muestra en la tabla siguiente:
| Acción de corrección | Permisos y roles necesarios |
|---|---|
| Microsoft Defender para punto de conexión corrección (dispositivos) | Rol administrador de seguridad asignado en Microsoft Entra ID (https://portal.azure.com) o en el Centro de administración de Microsoft 365 (https://admin.microsoft.com) --- o --- Rol de acciones de corrección activo asignado en Microsoft Defender para punto de conexión Para obtener más información, consulte los siguientes recursos: - Microsoft Entra roles integrados - Create y administrar roles para el control de acceso basado en rol (Microsoft Defender para punto de conexión) |
| Microsoft Defender para Office 365 corrección (contenido y correo electrónico de Office) | Rol administrador de seguridad asignado en Microsoft Entra ID (https://portal.azure.com) o en el Centro de administración de Microsoft 365 (https://admin.microsoft.com) --- y --- rol de Búsqueda y purga asignado en los roles de colaboración Email & Microsoft Defender XDR> IMPORTANTE: Si tiene asignado el rol Administrador de seguridad solo en el Microsoft Defender XDR >Email & roles de colaboración, no podrá acceder al Centro de acciones ni a las funcionalidades de Microsoft Defender XDR. Debe tener asignado el rol Administrador de seguridad en Microsoft Entra ID o el Centro de administración de Microsoft 365. Para obtener más información, consulte los siguientes recursos: - Microsoft Entra roles integrados - Permisos en el Centro de cumplimiento de & de seguridad |
Sugerencia
Los usuarios que tengan asignado el rol de administrador global en Microsoft Entra ID pueden aprobar o rechazar cualquier acción pendiente en el Centro de acciones. Sin embargo, como procedimiento recomendado, la organización debe limitar el número de personas que tienen asignado el rol de administrador global . Se recomienda usar el administrador de seguridad, las acciones de corrección activas y los roles de Búsqueda y purga enumerados en la tabla anterior para los permisos del Centro de acciones.
Paso siguiente
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de