Realizar acciones de respuesta en un dispositivo

Se aplica a:

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Responda rápidamente a los ataques detectados mediante el aislamiento de dispositivos o la recopilación de un paquete de investigación. Después de realizar acciones en los dispositivos, puede comprobar los detalles de la actividad en el Centro de acciones.

Las acciones de respuesta se ejecutan en la parte superior de una página de dispositivo específica e incluyen:

  • Administrar etiquetas
  • Iniciar investigación automatizada
  • Iniciar sesión de respuesta dinámica
  • Recopilar el paquete de investigación
  • Ejecutar examen de antivirus
  • Restringir ejecución de aplicación
  • Aislar el dispositivo
  • Contener dispositivo
  • Consultar a un experto en amenazas
  • Centro de actividades

Imagen de las acciones de respuesta.

Importante

El plan 1 de Defender para punto de conexión solo incluye las siguientes acciones de respuesta manual:

  • Ejecutar examen de antivirus
  • Aislar el dispositivo
  • Detener y poner en cuarentena un archivo
  • Agregar un indicador para bloquear o permitir un archivo.

Microsoft Defender para Empresas no incluye la acción "Detener y poner en cuarentena un archivo" en este momento. La suscripción debe incluir el plan 2 de Defender para punto de conexión para tener todas las acciones de respuesta descritas en este artículo.

Puede encontrar páginas de dispositivo desde cualquiera de las vistas siguientes:

  • Cola de alertas: seleccione el nombre del dispositivo junto al icono de dispositivo en la cola de alertas.
  • Lista de dispositivos : seleccione el encabezado del nombre del dispositivo en la lista de dispositivos.
  • Cuadro de búsqueda: seleccione Dispositivo en el menú desplegable y escriba el nombre del dispositivo.

Importante

  • Estas acciones de respuesta solo están disponibles para dispositivos en Windows 10, versión 1703 o posterior, Windows 11, Windows Server 2019 y Windows Server 2022.
  • En el caso de las plataformas que no son de Windows, las funcionalidades de respuesta (como aislar el dispositivo) dependen de las funcionalidades de terceros.
  • Para los agentes de primera entidad de Microsoft, consulte el vínculo "más información" de cada característica para conocer los requisitos mínimos del sistema operativo.

Administrar etiquetas

Agregue o administre etiquetas para crear una afiliación de grupo lógico. Las etiquetas de dispositivo son compatibles con la asignación adecuada de la red, lo que permite adjuntar diferentes etiquetas para capturar contexto y habilitar la creación de listas dinámicas como parte de un incidente.

Para obtener más información sobre el etiquetado de dispositivos, consulte Creación y administración de etiquetas de dispositivo.

Iniciar investigación automatizada

Puede iniciar una nueva investigación automatizada de uso general en el dispositivo si es necesario. Mientras se ejecuta una investigación, cualquier otra alerta generada desde el dispositivo se agregará a una investigación automatizada en curso hasta que se complete esa investigación. Además, si se ve la misma amenaza en otros dispositivos, esos dispositivos se agregan a la investigación.

Para obtener más información sobre las investigaciones automatizadas, consulte Introducción a las investigaciones automatizadas.

Iniciar sesión de respuesta en directo

La respuesta en vivo es una funcionalidad que proporciona acceso instantáneo a un dispositivo mediante una conexión de shell remoto. Esto le ofrece la capacidad de realizar un trabajo de investigación en profundidad y tomar medidas de respuesta inmediatas para contener rápidamente amenazas identificadas en tiempo real.

La respuesta en directo está diseñada para mejorar las investigaciones, ya que le permite recopilar datos forenses, ejecutar scripts, enviar entidades sospechosas para su análisis, corregir amenazas y buscar amenazas emergentes de forma proactiva.

Para obtener más información sobre la respuesta en vivo, consulte Investigación de entidades en dispositivos que usan la respuesta en vivo.

Recopilación de paquetes de investigación de dispositivos

Como parte del proceso de investigación o respuesta, puede recopilar un paquete de investigación de un dispositivo. Al recopilar el paquete de investigación, puede identificar el estado actual del dispositivo y comprender aún más las herramientas y técnicas usadas por el atacante.

Importante

Estas acciones no se admiten actualmente para dispositivos que ejecutan macOS o Linux. Use la respuesta activa para ejecutar la acción. Para obtener más información sobre la respuesta en vivo, consulte Investigación de entidades en dispositivos con respuesta dinámica.

Para descargar el paquete (archivo Zip) e investigar los eventos que se produjeron en un dispositivo

  1. Seleccione Recopilar paquete de investigación en la fila de acciones de respuesta en la parte superior de la página del dispositivo.

  2. Especifique en el cuadro de texto por qué desea realizar esta acción. Seleccione Confirmar.

  3. El archivo zip se descargará

Forma alternativa:

  1. Seleccione Centro de acciones en la sección acciones de respuesta de la página del dispositivo.

    La opción Centro de acciones

  2. En el control flotante del Centro de acciones, seleccione Paquete de colección de paquetes disponible para descargar el archivo ZIP.

    Opción del paquete de descarga

El paquete contiene las siguientes carpetas:

Folder Descripción
Autoruns Contiene un conjunto de archivos que representan el contenido del registro de un punto de entrada de inicio automático (ASEP) conocido para ayudar a identificar la persistencia del atacante en el dispositivo.

NOTA: Si no se encuentra la clave del Registro, el archivo contendrá el siguiente mensaje: "ERROR: El sistema no pudo encontrar la clave o el valor del Registro especificados".
Programas instalados Este archivo .CSV contiene la lista de programas instalados que pueden ayudar a identificar lo que está instalado actualmente en el dispositivo. Para obtener más información, vea Win32_Product clase.
Conexiones de red Esta carpeta contiene un conjunto de puntos de datos relacionados con la información de conectividad que puede ayudar a identificar la conectividad con direcciones URL sospechosas, la infraestructura de comandos y controles del atacante (C&C), cualquier movimiento lateral o conexiones remotas.
  • ActiveNetConnections.txt: muestra las estadísticas de protocolo y las conexiones de red TCP/IP actuales. Proporciona la capacidad de buscar conectividad sospechosa realizada por un proceso.
  • Arp.txt: muestra las tablas de caché del protocolo de resolución de direcciones (ARP) actuales para todas las interfaces. La caché arp puede revelar otros hosts en una red que se han visto comprometidos o sistemas sospechosos en la red que podrían haberse usado para ejecutar un ataque interno.
  • DnsCache.txt: muestra el contenido de la caché del solucionador de cliente DNS, que incluye ambas entradas precargadas desde el archivo hosts local y los registros de recursos obtenidos recientemente para las consultas de nombres resueltas por el equipo. Esto puede ayudar a identificar conexiones sospechosas.
  • IpConfig.txt: muestra la configuración completa de TCP/IP para todos los adaptadores. Los adaptadores pueden representar interfaces físicas, como adaptadores de red instalados o interfaces lógicas, como conexiones de acceso telefónico local.
  • FirewallExecutionLog.txt y pfirewall.log

NOTA: El archivo pfirewall.log debe existir en %windir%\system32\logfiles\firewall\pfirewall.log, por lo que se incluirá en el paquete de investigación. Para obtener más información sobre cómo crear el archivo de registro de firewall, consulte Configuración del firewall de Windows Defender con el registro de seguridad avanzada.
Archivos de captura previa Los archivos de captura previa de Windows están diseñados para acelerar el proceso de inicio de la aplicación. Se puede usar para realizar un seguimiento de todos los archivos usados recientemente en el sistema y buscar seguimientos de aplicaciones que podrían haberse eliminado, pero que todavía se pueden encontrar en la lista de archivos de captura previa.
  • Carpeta de captura previa: contiene una copia de los archivos de captura previa de %SystemRoot%\Prefetch. NOTA: Se recomienda descargar un visor de archivos de captura previa para ver los archivos de captura previa.
  • PrefetchFilesList.txt: contiene la lista de todos los archivos copiados que se pueden usar para realizar un seguimiento de si se produjo algún error de copia en la carpeta de captura previa.
Procesos Contiene un archivo .CSV que enumera los procesos en ejecución y proporciona la capacidad de identificar los procesos actuales que se ejecutan en el dispositivo. Esto puede ser útil al identificar un proceso sospechoso y su estado.
Tareas programadas Contiene un archivo .CSV que enumera las tareas programadas, que se pueden usar para identificar las rutinas realizadas automáticamente en un dispositivo elegido para buscar código sospechoso que se estableció para ejecutarse automáticamente.
Registro de eventos de seguridad Contiene el registro de eventos de seguridad, que contiene registros de actividad de inicio de sesión o cierre de sesión, u otros eventos relacionados con la seguridad especificados por la directiva de auditoría del sistema.

NOTA: Abra el archivo de registro de eventos mediante el Visor de eventos.
Servicios Contiene un archivo .CSV que enumera los servicios y sus estados.
Sesiones de bloque de mensajes de Windows Server (SMB) Enumera el acceso compartido a archivos, impresoras y puertos serie y las comunicaciones varias entre nodos de una red. Esto puede ayudar a identificar la filtración de datos o el movimiento lateral.

Contiene archivos para SMBInboundSessions y SMBOutboundSession.

NOTA: Si no hay sesiones (entrantes o salientes), obtendrá un archivo de texto que le indicará que no se han encontrado sesiones SMB.
Información del sistema Contiene un archivo SystemInformation.txt que muestra información del sistema, como la versión del sistema operativo y las tarjetas de red.
Directorios temporales Contiene un conjunto de archivos de texto que enumera los archivos ubicados en %Temp% para cada usuario del sistema.

Esto puede ayudar a realizar un seguimiento de los archivos sospechosos que un atacante puede haber eliminado en el sistema.

NOTA: Si el archivo contiene el siguiente mensaje: "El sistema no encuentra la ruta de acceso especificada", significa que no hay ningún directorio temporal para este usuario y podría deberse a que el usuario no ha iniciar sesión en el sistema.
Usuarios y grupos Proporciona una lista de archivos que representan cada uno de ellos un grupo y sus miembros.
WdSupportLogs Proporciona los MpCmdRunLog.txt y MPSupportFiles.cab

NOTA: Esta carpeta solo se creará en Windows 10, versión 1709 o posterior con paquete acumulativo de actualizaciones de febrero de 2020 o instalado más reciente:
  • Win10 1709 (RS3) Compilación 16299.1717: KB4537816
  • Win10 1803 (RS4) Compilación 17134.1345: KB4537795
  • Win10 1809 (RS5) Compilación 17763.1075: KB4537818
  • Win10 1903/1909 (19h1/19h2) Compilaciones 18362.693 y 18363.693: KB4535996
CollectionSummaryReport.xls Este archivo es un resumen de la colección de paquetes de investigación, contiene la lista de puntos de datos, el comando usado para extraer los datos, el estado de ejecución y el código de error si se produce un error. Puede usar este informe para realizar un seguimiento de si el paquete incluye todos los datos esperados e identificar si se han producido errores.

Ejecución Microsoft Defender examen del Antivirus en dispositivos

Como parte del proceso de investigación o respuesta, puede iniciar de forma remota un examen antivirus para ayudar a identificar y corregir el malware que podría estar presente en un dispositivo en peligro.

Importante

  • Esta acción no se admite actualmente para macOS y Linux. Use la respuesta activa para ejecutar la acción. Para obtener más información sobre la respuesta en vivo, consulte Investigación de entidades en dispositivos con respuesta dinámica.
  • Un examen Microsoft Defender Antivirus puede ejecutarse junto con otras soluciones antivirus, tanto si Microsoft Defender Antivirus es la solución antivirus activa como si no. Microsoft Defender Antivirus puede estar en modo pasivo. Para obtener más información, consulte compatibilidad con Microsoft Defender Antivirus.

Una vez que haya seleccionado Ejecutar examen antivirus, seleccione el tipo de examen que desea ejecutar (rápido o completo) y agregue un comentario antes de confirmar el examen.

Notificación para seleccionar examen rápido o examen completo y agregar comentario

El Centro de acciones mostrará la información de examen y la escala de tiempo del dispositivo incluirá un nuevo evento, lo que refleja que se envió una acción de examen en el dispositivo. Microsoft Defender alertas antivirus reflejarán las detecciones que aparecen durante el examen.

Nota:

Al desencadenar un examen mediante la acción de respuesta de Defender para punto de conexión, Microsoft Defender valor del antivirus "ScanAvgCPULoadFactor" sigue aplicando y limita el impacto de la CPU del examen. Si ScanAvgCPULoadFactor no está configurado, el valor predeterminado es un límite del 50 % de carga máxima de CPU durante un examen. Para obtener más información, consulte configure-advanced-scan-types-microsoft-defender-antivirus.

Restringir ejecución de aplicación

Además de contener un ataque mediante la detención de procesos malintencionados, también puede bloquear un dispositivo e impedir que se ejecuten intentos posteriores de programas potencialmente malintencionados.

Importante

  • Esta acción está disponible para dispositivos en Windows 10, versión 1709 o posterior, Windows 11 y Windows Server 2019 o posterior.
  • Esta característica está disponible si su organización usa Microsoft Defender Antivirus.
  • Esta acción debe cumplir los requisitos de firma y formatos de directiva de integridad de código Windows Defender Control de aplicaciones. Para obtener más información, vea Formatos de directivas de integridad de código y firma).

Para impedir que una aplicación se ejecute, se aplica una directiva de integridad de código que solo permite que los archivos se ejecuten si están firmados por un certificado emitido por Microsoft. Este método de restricción puede ayudar a evitar que un atacante controle dispositivos en peligro y realice otras actividades malintencionadas.

Nota:

Podrá revertir la restricción de que las aplicaciones se ejecuten en cualquier momento. El botón de la página del dispositivo cambiará para decir Quitar restricciones de aplicación y, a continuación, realizará los mismos pasos que restringir la ejecución de la aplicación.

Una vez que haya seleccionado Restringir la ejecución de la aplicación en la página del dispositivo, escriba un comentario y seleccione Confirmar. El Centro de acciones mostrará la información del examen y la escala de tiempo del dispositivo incluirá un nuevo evento.

Notificación de restricción de la aplicación

Notificación al usuario del dispositivo

Cuando una aplicación está restringida, se muestra la siguiente notificación para informar al usuario de que se está limitando la ejecución de una aplicación:

Mensaje de restricción de la aplicación

Nota:

La notificación no está disponible en Windows Server 2016 y Windows Server 2012 R2.

Aislar dispositivos de la red

En función de la gravedad del ataque y de la confidencialidad del dispositivo, es posible que desee aislar el dispositivo de la red. Esta acción puede ayudar a evitar que el atacante controle el dispositivo en peligro y realice otras actividades, como la filtración de datos y el movimiento lateral.

Importante

  • Actualmente no se admite el aislamiento de dispositivos de la red para dispositivos que ejecutan macOS. Para macOS, use la respuesta en directo para ejecutar la acción. Para obtener más información sobre la respuesta en vivo, consulte Investigación de entidades en dispositivos que usan la respuesta en vivo.
  • El aislamiento completo está disponible para los dispositivos que ejecutan Windows 11, Windows 10, versión 1703 o posterior, Windows Server 2022, Windows Server 2019 y Windows Server 2016.
  • Puede usar la funcionalidad de aislamiento de dispositivos en versión preliminar pública en todos los Microsoft Defender para punto de conexión admitidos en Linux enumerados en Requisitos del sistema.
  • El aislamiento selectivo está disponible para los dispositivos que ejecutan Windows 10, versión 1709 o posterior y Windows 11.
  • Al aislar un dispositivo, solo se permiten determinados procesos y destinos. Por lo tanto, los dispositivos que están detrás de un túnel VPN completo no podrán acceder al servicio en la nube Microsoft Defender para punto de conexión después de que el dispositivo esté aislado. Se recomienda usar una VPN de túnel dividido para Microsoft Defender para punto de conexión y Microsoft Defender tráfico relacionado con la protección basada en la nube de Antivirus.
  • La característica admite la conexión VPN.
  • Debe tener al menos uno de los siguientes permisos de rol: "Acciones de corrección activas". Para obtener más información, consulte Creación y administración de roles.
  • Debe tener acceso al dispositivo en función de la configuración del grupo de dispositivos. Para obtener más información, consulte Creación y administración de grupos de dispositivos.
  • No se admite la exclusión del aislamiento de Linux.

Esta característica de aislamiento de dispositivo desconecta el dispositivo en peligro de la red mientras conserva la conectividad con el servicio Defender para punto de conexión, que sigue supervisando el dispositivo.

En Windows 10, versión 1709 o posterior, tendrá más control sobre el nivel de aislamiento de red. También puede optar por habilitar Outlook, Microsoft Teams y Skype Empresarial conectividad (por ejemplo, "Aislamiento selectivo").

Nota:

Podrá volver a conectar el dispositivo a la red en cualquier momento. El botón de la página del dispositivo cambiará para decir Liberar del aislamiento y, a continuación, realizará los mismos pasos que el aislamiento del dispositivo.

Una vez que haya seleccionado Aislar dispositivo en la página del dispositivo, escriba un comentario y seleccione Confirmar. El Centro de acciones mostrará la información del examen y la escala de tiempo del dispositivo incluirá un nuevo evento.

Página de detalles de un dispositivo aislado

Nota:

El dispositivo permanecerá conectado al servicio Defender para punto de conexión incluso si está aislado de la red. Si ha elegido habilitar Outlook y Skype Empresarial comunicación, podrá comunicarse con el usuario mientras el dispositivo está aislado.

Notificación al usuario del dispositivo

Cuando se aísla un dispositivo, se muestra la siguiente notificación para informar al usuario de que el dispositivo se está aislando de la red:

Un mensaje sin conexión de red

Nota:

La notificación no está disponible en plataformas que no son de Windows.

Contener dispositivos de la red

Nota:

Las funcionalidades de contenido están actualmente en versión preliminar pública. Para obtener información sobre las nuevas características de la versión preliminar de Microsoft 365 Defender y estar entre las primeras en probar las próximas características activando la experiencia de vista previa, consulte Características de vista previa en Micrsoft 365 Defender.

Cuando haya identificado un dispositivo no administrado que está en peligro o potencialmente en peligro, es posible que desee contener ese dispositivo de la red. Cuando contenga un dispositivo, cualquier Microsoft Defender para punto de conexión dispositivo incorporado bloqueará la comunicación entrante y saliente con ese dispositivo. Esta acción puede ayudar a evitar que los dispositivos vecinos se pongan en peligro mientras el analista de operaciones de seguridad localiza, identifica y corrige la amenaza en el dispositivo en peligro.

Nota:

El bloqueo de la comunicación entrante y saliente con un dispositivo "contenido" es compatible con dispositivos incorporados Microsoft Defender para punto de conexión Windows 10 y Windows Server 2019+.

Cómo contener un dispositivo

  1. Vaya a la página Inventario de dispositivos y seleccione el dispositivo que va a contener.

  2. Seleccione Contener dispositivo en el menú acciones del control flotante del dispositivo.

Captura de pantalla del mensaje emergente de contenido del dispositivo.

  1. En el elemento emergente Contener dispositivo, escriba un comentario y seleccione Confirmar.

Captura de pantalla del elemento de menú Contener dispositivo.

Contener un dispositivo de la página del dispositivo

Un dispositivo también se puede incluir en la página del dispositivo seleccionando Contener dispositivo en la barra de acciones:

Captura de pantalla del elemento de menú Contener dispositivo en la página del dispositivo.

Nota:

Los detalles sobre un dispositivo recién contenido pueden tardar hasta 5 minutos en llegar a Microsoft Defender para punto de conexión dispositivos incorporados.

Importante

  • Si un dispositivo contenido cambia su dirección IP, todos los Microsoft Defender para punto de conexión dispositivos incorporados lo reconocerán y comenzarán a bloquear las comunicaciones con la nueva dirección IP. La dirección IP original ya no se bloqueará (puede tardar hasta 5 minutos en ver estos cambios).
  • En los casos en los que otro dispositivo de la red usa la dirección IP del dispositivo contenido, habrá una advertencia mientras contiene el dispositivo, con un vínculo a la búsqueda avanzada (con una consulta rellenada previamente). Esto proporcionará visibilidad a los demás dispositivos que usan la misma dirección IP para ayudarle a tomar una decisión consciente si desea continuar con la contención del dispositivo.
  • En los casos en los que el dispositivo contenido sea un dispositivo de red, aparecerá una advertencia con un mensaje que indica que esto puede provocar problemas de conectividad de red (por ejemplo, que contiene un enrutador que actúa como puerta de enlace predeterminada). En este momento, podrá elegir si desea contener el dispositivo o no.

Después de contener un dispositivo, si el comportamiento no es el esperado, compruebe que el servicio Motor de filtrado base (BFE) está habilitado en los dispositivos incorporados de Defender para punto de conexión.

Dejar de contener un dispositivo

Podrá dejar de contener un dispositivo en cualquier momento.

  1. Seleccione el dispositivo en inventario de dispositivos o abra la página del dispositivo.

  2. Seleccione Liberar desde la contención en el menú de acción. Esta acción restaurará la conexión de este dispositivo a la red.

Consultar a un experto en amenazas

Puede consultar a un experto en amenazas de Microsoft para obtener más información sobre un dispositivo potencialmente comprometido o ya comprometido. Expertos en amenazas de Microsoft se pueden contratar directamente desde el Microsoft 365 Defender para obtener una respuesta oportuna y precisa. Los expertos proporcionan información no solo sobre un dispositivo potencialmente comprometido, sino también para comprender mejor las amenazas complejas, las notificaciones de ataque dirigidas que recibe, o si necesita más información sobre las alertas o un contexto de inteligencia sobre amenazas que ve en el panel del portal.

Consulte Consulta con un experto en amenazas de Microsoft para obtener más información.

Comprobar los detalles de actividad en el Centro de actividades

El Centro de acciones proporciona información sobre las acciones que se realizaron en un dispositivo o archivo. Podrá ver los detalles siguientes:

  • Colección de paquetes de investigación
  • Examen antivirus
  • Restricción de la aplicación
  • Aislamiento del dispositivo

También se muestran todos los demás detalles relacionados, por ejemplo, la fecha y hora de envío, el usuario que envía y si la acción se realizó correctamente o no.

Centro de acciones con información

Consulte también