Configuración de funcionalidades automatizadas de investigación y respuesta en Microsoft Defender XDR
Microsoft Defender XDR incluye eficaces funcionalidades automatizadas de investigación y respuesta que pueden ahorrar mucho tiempo y esfuerzo al equipo de operaciones de seguridad. Con la recuperación automática, estas funcionalidades imitan los pasos que un analista de seguridad tomaría para investigar y responder a las amenazas, solo más rápido y con más capacidad de escala.
En este artículo se describe cómo configurar la investigación y la respuesta automatizadas en Microsoft Defender XDR con estos pasos:
- Revise los requisitos previos.
- Revise o cambie el nivel de automatización de los grupos de dispositivos.
- Revise las directivas de seguridad y alertas en Office 365.
Después, una vez configurado, puede ver y administrar las acciones de corrección en el Centro de acciones. Y, si es necesario, puede realizar cambios en la configuración de investigación automatizada.
Requisitos previos para la investigación y respuesta automatizadas en Microsoft Defender XDR
| Requisito | Detalles |
|---|---|
| Requisitos de suscripción | Una de estas suscripciones:
Consulte Microsoft Defender XDR requisitos de licencia. |
| Requisitos de red | |
| Requisitos del dispositivo Windows |
|
| Protección de contenido de correo electrónico y archivos de Office |
|
| Permissions | Para configurar las funcionalidades automatizadas de investigación y respuesta, debe tener uno de los siguientes roles asignados en Microsoft Entra ID (https://portal.azure.com) o en el Centro de administración de Microsoft 365 (https://admin.microsoft.com):
|
Revisión o cambio del nivel de automatización de los grupos de dispositivos
Si se ejecutan investigaciones automatizadas y si las acciones de corrección se realizan automáticamente o solo tras la aprobación de los dispositivos dependen de ciertas configuraciones, como las directivas de grupo de dispositivos de la organización. Revise el nivel de automatización configurado para las directivas de grupo de dispositivos. Debe ser administrador global o administrador de seguridad para realizar el procedimiento siguiente:
Vaya al portal de Microsoft Defender en https://security.microsoft.com e inicie sesión.
Vaya a Configuración>Puntos de conexión>Grupos de dispositivos en Permisos.
Revise las directivas de grupo de dispositivos. En concreto, examine la columna Nivel de automatización . Se recomienda usar Full: corregir las amenazas automáticamente. Es posible que tenga que crear o editar los grupos de dispositivos para obtener el nivel de automatización que desee. Para obtener ayuda con esta tarea, consulte los artículos siguientes:
Revise las directivas de seguridad y alertas en Office 365
Microsoft proporciona directivas de alertas integradas que ayudan a identificar ciertos riesgos. Estos riesgos incluyen abuso de permisos de administrador de Exchange, actividad de malware, posibles amenazas externas e internas, y riesgos de administración del ciclo de vida de los datos. Algunas alertas pueden desencadenar una investigación y una respuesta automatizadas en Office 365. Asegúrese de que las características de [Defender para Office 365]/defender-office-365/mdo-about están configuradas correctamente.
Aunque ciertas alertas y directivas de seguridad pueden desencadenar investigaciones automatizadas, no se realizan acciones de corrección automáticamente para el correo electrónico y el contenido. En su lugar, todas las acciones de corrección del contenido de correo electrónico y correo electrónico esperan la aprobación del equipo de operaciones de seguridad en el Centro de acciones.
La configuración de seguridad en Exchange Online Protection (EOP) y Defender para Office 365 ayudan a proteger el correo electrónico y el contenido. Se recomienda usar las directivas de seguridad preestablecidas Estándar y Estricta para asignar protección a los usuarios.
Si usa directivas personalizadas, use el Analizador de configuración para comparar la configuración de directiva con la configuración de directiva de seguridad predeterminada Estándar y Estricta. Para obtener una lista detallada de todas las configuraciones de directiva, consulte las tablas de Configuración recomendada para EOP y Microsoft Defender para Office 365 seguridad.
Puede revisar las directivas de alerta en el portal de Defender en https://security.microsoft.com>Directivas & reglas>Directiva de alerta o directamente en .https://security.microsoft.com/alertpoliciesv2 Hay varias directivas de alerta predeterminadas en la categoría Administración de amenazas . Algunas de las directivas de alerta de la categoría Administración de amenazas pueden desencadenar una investigación y una respuesta automatizadas. Para más información, consulte Directivas de alertas de administración de amenazas.
¿Necesita realizar cambios en la configuración de investigación automatizada?
Puede elegir entre varias opciones para cambiar la configuración de las funcionalidades automatizadas de investigación y respuesta. En la tabla siguiente se muestran algunas opciones:
| Para | Siga estos pasos. |
|---|---|
| Especificación de niveles de automatización para grupos de dispositivos |
|
Pasos siguientes
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de