Introducción a las investigaciones automatizadas

Se aplica a:

Plataformas

  • Windows

¿Quiere ver cómo funciona? Vea el siguiente vídeo:

La tecnología de la investigación automatizada usa varios algoritmos de inspección y se basa en los procesos que usan los analistas de seguridad. Las funcionalidades de AIR están diseñadas para examinar alertas y tomar medidas inmediatas para resolver las infracciones. Las funcionalidades de AIR reducen significativamente el volumen de alertas, lo que permite que las operaciones de seguridad se centren en amenazas más sofisticadas y otras iniciativas de alto valor. Se realiza un seguimiento de todas las acciones de corrección, ya sean pendientes o completadas, en el centro de actividades. En el centro de actividades, las acciones pendientes se aprueban (o rechazan) y las acciones completadas se pueden deshacer si es necesario.

En este artículo se proporciona información general sobre AIR e incluye vínculos a los pasos siguientes y recursos adicionales.

Sugerencia

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Cómo se inicia la investigación automatizada

Una investigación automatizada puede iniciarse cuando se desencadena una alerta o cuando un operador de seguridad inicia la investigación.

Situación Qué ocurre
Se desencadena una alerta En general, se inicia una investigación automatizada cuando se desencadena una alerta y se crea un incidente . Por ejemplo, supongamos que un archivo malintencionado reside en un dispositivo. Cuando se detecta ese archivo, se desencadena una alerta y se crea un incidente. Se inicia un proceso de investigación automatizado en el dispositivo. A medida que se generan otras alertas debido al mismo archivo en otros dispositivos, se agregan al incidente asociado y a la investigación automatizada.
Una investigación se inicia manualmente El equipo de operaciones de seguridad puede iniciar manualmente una investigación automatizada. Por ejemplo, supongamos que un operador de seguridad está revisando una lista de dispositivos y observa que un dispositivo tiene un alto nivel de riesgo. El operador de seguridad puede seleccionar el dispositivo de la lista para abrir su control flotante y, a continuación, seleccionar Iniciar investigación automatizada.

Cómo expande su ámbito una investigación automatizada

Mientras se ejecuta una investigación, cualquier otra alerta generada desde el dispositivo se agrega a una investigación automatizada en curso hasta que se completa esa investigación. Además, si se ve la misma amenaza en otros dispositivos, esos dispositivos se agregan a la investigación.

Si se ve una entidad incriminada en otro dispositivo, el proceso de investigación automatizada amplía su ámbito para incluir ese dispositivo y se inicia un cuaderno de estrategias de seguridad general en ese dispositivo. Si se encuentran 10 o más dispositivos durante este proceso de expansión desde la misma entidad, esa acción de expansión requiere una aprobación y está visible en la pestaña Acciones pendientes .

Cómo se corrigen las amenazas

A medida que se desencadenan alertas y se ejecuta una investigación automatizada, se genera un veredicto para cada parte de la evidencia investigada. Los veredictos pueden ser:

  • Malintencionada;
  • Sospechoso; O
  • No se encontraron amenazas.

A medida que se alcanzan los veredictos, las investigaciones automatizadas pueden dar lugar a una o varias acciones de corrección. Entre los ejemplos de acciones de corrección se incluyen el envío de un archivo a la cuarentena, la detención de un servicio, la eliminación de una tarea programada, etc. Para obtener más información, consulte Acciones de corrección.

En función del nivel de automatización establecido para su organización, así como de otras configuraciones de seguridad, las acciones de corrección pueden producirse automáticamente o solo tras la aprobación del equipo de operaciones de seguridad. La configuración de seguridad adicional que puede afectar a la corrección automática incluye la protección contra aplicaciones potencialmente no deseadas (PUA).

Se realiza un seguimiento de todas las acciones de corrección, ya sean pendientes o completadas, en el centro de actividades. Si es necesario, el equipo de operaciones de seguridad puede deshacer una acción de corrección. Para más información, consulte Revisar y aprobar acciones de corrección después de una investigación automatizada.

Sugerencia

Consulte la nueva página de investigación unificada en el portal de Microsoft Defender. Para obtener más información, consulte la página De investigación unificada.

Requisitos de AIR

La suscripción debe incluir Defender para punto de conexión o Defender para empresas.

Nota

La investigación y la respuesta automatizadas requieren Microsoft Defender Antivirus para ejecutarse en modo pasivo o en modo activo. Si Microsoft Defender Antivirus está deshabilitado o desinstalado, la investigación y la respuesta automatizadas no funcionarán correctamente.

Actualmente, AIR solo admite las siguientes versiones del sistema operativo:

  • Windows Server 2012 R2 (versión preliminar)
  • Windows Server 2016 (versión preliminar)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, versión 1709 (compilación del sistema operativo 16299.1085 con KB4493441) o posterior
  • Windows 10, versión 1803 (compilación del sistema operativo 17134.704 con KB4493464) o posterior
  • Windows 10, versión 1803 o posterior
  • Windows 11

Nota

La investigación y respuesta automatizadas en Windows Server 2012 R2 y Windows Server 2016 requiere que se instale el Agente unificado.

Pasos siguientes

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.