Niveles de automatización en las funcionalidades automatizadas de investigación y corrección

Se aplica a:

Las funcionalidades de investigación y corrección automatizadas (AIR) en Microsoft Defender para Empresas están preconfiguradas y no son configurables. En Microsoft Defender para punto de conexión, puede configurar AIR en uno de varios niveles de automatización. El nivel de automatización afecta a si las acciones de corrección después de las investigaciones de AIR se realizan automáticamente o solo tras la aprobación.

  • Automatización completa (recomendada) significa que las acciones de corrección se realizan automáticamente en artefactos que se determina que son malintencionados. (La automatización completa se establece de forma predeterminada en Defender para empresas).
  • La automatización parcial significa que algunas acciones de corrección se realizan automáticamente, pero otras acciones de corrección esperan la aprobación antes de realizarse. (Vea la tabla en Niveles de automatización).
  • Todas las acciones de corrección, ya sean pendientes o completadas, se realizan en el Centro de acciones (https://security.microsoft.com).

Sugerencia

Para obtener los mejores resultados, se recomienda usar la automatización completa al configurar AIR. Los datos recopilados y analizados durante el último año muestran que los clientes que usan la automatización completa han quitado un 40 % más muestras de malware de alta confianza que los clientes que usan niveles inferiores de automatización. La automatización completa puede ayudar a liberar los recursos de operaciones de seguridad para centrarse más en sus iniciativas estratégicas.

Nota:

La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Niveles de automatización

Nivel de automatización Descripción
Completo: corrección automática de amenazas
(también conocido como automatización completa)
Con la automatización completa, las acciones de corrección se realizan automáticamente en entidades que se consideran malintencionadas. Todas las acciones de corrección que se realizan se pueden ver en el Centro de acciones de la pestaña Historial . Si es necesario, se puede deshacer una acción de corrección.

Se recomienda la automatización completa y se selecciona de forma predeterminada para los inquilinos con Defender para punto de conexión que se crearon el 16 de agosto de 2020 o después, sin ningún grupo de dispositivos definido todavía.

La automatización completa se establece de forma predeterminada en Defender para empresas.

Semi: requiere aprobación para todas las carpetas
(también conocido como semiautomatización)
Con este nivel de automatización parcial, se requiere aprobación para las acciones de corrección en todos los archivos. Estas acciones pendientes se pueden ver y aprobar en el Centro de acciones, en la pestaña Pendiente . Las acciones pendientes agotan el tiempo de espera después de 7 días. Si se agota el tiempo de espera de una acción, el comportamiento es el mismo que si se rechaza la acción.

Este nivel de automatización se selecciona de forma predeterminada para los inquilinos creados antes del 16 de agosto de 2020 con Microsoft Defender para punto de conexión, sin grupos de dispositivos definidos.

Semi: se requiere aprobación para la corrección de carpetas principales
(también un tipo de semiautomatización)
Con este nivel de automatización parcial, se requiere aprobación para las acciones de corrección necesarias en archivos o ejecutables que se encuentran en carpetas principales. Las carpetas principales incluyen directorios del sistema operativo, como Windows (\windows\*).

Las acciones de corrección se pueden realizar automáticamente en archivos o ejecutables que se encuentran en otras carpetas (no principales).

Las acciones pendientes para archivos o ejecutables en carpetas principales se pueden ver y aprobar en el Centro de acciones, en la pestaña Pendiente .

Las acciones que se realizaron en archivos o ejecutables de otras carpetas se pueden ver en el Centro de acciones, en la pestaña Historial .

Semi: se requiere aprobación para la corrección de carpetas no temporales
(también un tipo de semiautomatización)
Con este nivel de automatización parcial, se requiere aprobación para las acciones de corrección necesarias en archivos o ejecutables que no están* en carpetas temporales.

Las carpetas temporales pueden incluir los ejemplos siguientes:

  • \users\*\appdata\local\temp\*
  • \documents and settings\*\local settings\temp\*
  • \documents and settings\*\local settings\temporary\*
  • \windows\temp\*
  • \users\*\downloads\*
  • \program files\
  • \program files (x86)\*
  • \documents and settings\*\users\*

Las acciones de corrección se pueden realizar automáticamente en archivos o ejecutables que se encuentran en carpetas temporales.

Las acciones pendientes para archivos o ejecutables que no están en carpetas temporales se pueden ver y aprobar en el Centro de acciones, en la pestaña Pendiente .

Las acciones que se realizaron en archivos o ejecutables en carpetas temporales se pueden ver y aprobar en el Centro de acciones, en la pestaña Historial .

Sin respuesta automatizada
(también conocido como sin automatización)
Sin automatización, la investigación automatizada no se ejecuta en los dispositivos de la organización. Como resultado, no se realizan acciones de corrección ni están pendientes como resultado de una investigación automatizada. Sin embargo, otras características de protección contra amenazas, como la protección contra aplicaciones potencialmente no deseadas, pueden estar en vigor, en función de cómo se configuren el antivirus y las características de protección de próxima generación.

*No se recomienda usar la opción sin automatización, ya que reduce la posición de seguridad de los dispositivos de la organización. Considere la posibilidad de configurar el nivel de automatización en automatización completa (o al menos semiautomatización).

Puntos importantes sobre los niveles de automatización

  • La automatización completa ha demostrado ser confiable, eficiente y segura, y se recomienda para todos los clientes. La automatización completa libera los recursos de seguridad críticos para que puedan centrarse más en sus iniciativas estratégicas.

  • Los nuevos inquilinos (que incluyen los inquilinos creados el 16 de agosto de 2020 o después de él) con Defender para punto de conexión se establecen en automatización completa de forma predeterminada.

  • Defender for Business usa la automatización completa de forma predeterminada. Defender for Business no usa grupos de dispositivos de la misma manera que Defender para punto de conexión. Por lo tanto, la automatización completa se activa y se aplica a todos los dispositivos de Defender para empresas.

  • Si el equipo de seguridad ha definido grupos de dispositivos con un nivel de automatización, la nueva configuración predeterminada que se va a implementar no cambiará esa configuración.

  • Puede mantener la configuración de automatización predeterminada o cambiarla según sus necesidades organizativas. Para cambiar la configuración, establezca el nivel de automatización.

Nota:

Defender for Business depende de la protección en tiempo real para la investigación automática. La protección en tiempo real debe estar habilitada y en modo activo para habilitar la investigación automática.

Pasos siguientes

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.