Compartir a través de


Acciones de corrección en XDR de Microsoft Defender

Se aplica a:

  • Microsoft Defender XDR

Durante y después de una investigación automatizada en XDR de Microsoft Defender, se identifican acciones de corrección para elementos malintencionados o sospechosos. Algunos tipos de acciones de corrección se realizan en los dispositivos, también conocidos como puntos de conexión. Otras acciones de corrección se realizan en identidades, cuentas y contenido de correo electrónico. Además, algunos tipos de acciones de corrección pueden producirse automáticamente, mientras que el equipo de seguridad de la organización realiza manualmente otros tipos de acciones de corrección. Cuando una investigación automatizada da como resultado una o varias acciones de corrección, la investigación se completa solo cuando se realizan, aprueban o rechazan las acciones de corrección.

Importante

El hecho de que las acciones de corrección se realicen automáticamente o solo tras la aprobación depende de ciertas configuraciones, como los niveles de automatización. Para obtener más información, consulte los artículos siguientes:

En la tabla siguiente se resumen las acciones de corrección que se admiten actualmente en XDR de Microsoft Defender.

Acciones de corrección del dispositivo (punto de conexión) Acciones de corrección de correo electrónico Usuarios (cuentas)
- Recopilación del paquete de investigación
- Aislar el dispositivo (esta acción se puede deshacer)
- Offboard machine
- Ejecución de código de versión
- Liberación de la cuarentena
- Ejemplo de solicitud
- Restringir la ejecución de código (esta acción se puede deshacer)
- Ejecutar examen de antivirus
- Detener y poner en cuarentena
- Contener dispositivos de la red
- Dirección URL de bloqueo (tiempo de clic)
- Eliminación temporal de mensajes de correo electrónico o clústeres
- Poner en cuarentena el correo electrónico
- Poner en cuarentena los datos adjuntos de un correo electrónico
- Desactivar el reenvío de correo externo
- Deshabilitar usuario
- Restablecer contraseña de usuario
- Confirmación del usuario como en peligro

Las acciones de corrección, ya sean pendientes de aprobación o ya completadas, se pueden ver en el Centro de acciones.

Acciones de corrección que siguen investigaciones automatizadas

Cuando se completa una investigación automatizada, se llega a un veredicto por cada pieza de evidencia implicada. En función del veredicto, se identifican las acciones de corrección. En algunos casos, las acciones correctivas se toman automáticamente, en otros casos, las acciones correctivas esperan aprobación. Todo depende de cómo se configure la investigación y la respuesta automatizadas.

En la tabla siguiente se muestran los posibles resultados:

Veredicto Entidades afectadas Resultados
Malintencionado Dispositivos (puntos de conexión) Las acciones de corrección se realizan automáticamente (suponiendo que los grupos de dispositivos de la organización estén establecidos en Completo: corrija las amenazas automáticamente).
Comprometido Usuarios Las acciones de corrección se toman automáticamente
Malintencionado Contenido de correo electrónico (URL y datos adjuntos) Acciones de corrección recomendadas pendientes de aprobación
Sospechoso Dispositivos o contenido de correo electrónico Acciones de corrección recomendadas pendientes de aprobación
No se encontraron amenazas Dispositivos o contenido de correo electrónico No es necesario realizar ninguna acción correctiva

Acciones de corrección que se realizan manualmente

Además de las acciones de corrección que siguen las investigaciones automatizadas, el equipo de operaciones de seguridad puede realizar determinadas acciones de corrección manualmente. Entre estas acciones se incluyen:

  • Acción manual del dispositivo, como aislamiento de dispositivos o cuarentena de archivos
  • Acción de correo electrónico manual, como la eliminación temporal de mensajes de correo electrónico
  • Acción manual del usuario, como deshabilitar el usuario o restablecer la contraseña de usuario
  • Acción de búsqueda avanzada en dispositivos, usuarios o correo electrónico
  • Acción del Explorador en el contenido del correo electrónico, como mover correo electrónico a correo no deseado, eliminar correo electrónico temporalmente o eliminar correo electrónico de forma rígida
  • Acción de respuesta dinámica manual, como eliminar un archivo, detener un proceso y quitar una tarea programada
  • Acción de respuesta en vivo con las API de Microsoft Defender para punto de conexión, como aislar un dispositivo, ejecutar un examen antivirus y obtener información sobre un archivo

Siguientes pasos

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.