Acciones de corrección en Microsoft Defender XDR
Se aplica a:
- Microsoft Defender XDR
Durante y después de una investigación automatizada en Microsoft Defender XDR, se identifican acciones de corrección para elementos malintencionados o sospechosos. Algunos tipos de acciones de corrección se realizan en los dispositivos, también conocidos como puntos de conexión. Otras acciones de corrección se realizan en identidades, cuentas y contenido de correo electrónico. Las investigaciones automatizadas se completan después de que se realicen, aprueben o rechacen las acciones de corrección.
Importante
El hecho de que las acciones de corrección se realicen automáticamente o solo tras la aprobación depende de ciertas configuraciones, como los niveles de automatización. Para obtener más información, consulte los artículos siguientes:
- Configuración de las funcionalidades automatizadas de investigación y respuesta en Microsoft Defender XDR
- Configuración de cuentas de acción en Microsoft Defender for Identity
- Cómo se corrigen las amenazas en los dispositivos
- Amenazas y acciones de corrección en el correo electrónico & contenido de colaboración
En la tabla siguiente se resumen las acciones de corrección que se admiten actualmente en Microsoft Defender XDR.
| Acciones de corrección del dispositivo (punto de conexión) | Acciones de corrección de correo electrónico | Usuarios (cuentas) |
|---|---|---|
| - Recopilación del paquete de investigación - Aislar el dispositivo (esta acción se puede deshacer) - Offboard machine - Ejecución de código de versión - Liberación de la cuarentena - Ejemplo de solicitud - Restringir la ejecución de código (esta acción se puede deshacer) - Ejecutar examen de antivirus - Detener y poner en cuarentena - Contener dispositivos de la red |
- Dirección URL de bloqueo (tiempo de clic) - Eliminación temporal de mensajes de correo electrónico o clústeres - Poner en cuarentena el correo electrónico - Poner en cuarentena los datos adjuntos de un correo electrónico - Desactivar el reenvío de correo externo |
- Deshabilitar usuario - Restablecer contraseña de usuario - Confirmación del usuario como en peligro |
Las acciones de corrección, ya sean pendientes de aprobación o ya completadas, se pueden ver en el Centro de acciones.
Acciones de corrección que siguen investigaciones automatizadas
Cuando se completa una investigación automatizada, se llega a un veredicto por cada pieza de evidencia implicada. En función del veredicto, se identifican las acciones de corrección. En algunos casos, las acciones correctivas se toman automáticamente, en otros casos, las acciones correctivas esperan aprobación. Todo depende de cómo se configure la investigación y la respuesta automatizadas.
En la tabla siguiente se muestran los posibles resultados:
| Veredicto | Entidades afectadas | Resultados |
|---|---|---|
| Malintencionado | Dispositivos (puntos de conexión) | Las acciones de corrección se realizan automáticamente (suponiendo que los grupos de dispositivos de la organización estén establecidos en Completo: corrija las amenazas automáticamente). |
| Comprometido | Usuarios | Las acciones de corrección se toman automáticamente |
| Malintencionado | Contenido de correo electrónico (URL y datos adjuntos) | Acciones de corrección recomendadas pendientes de aprobación |
| Sospechoso | Dispositivos o contenido de correo electrónico | Acciones de corrección recomendadas pendientes de aprobación |
| No se encontraron amenazas | Dispositivos o contenido de correo electrónico | No es necesario realizar ninguna acción correctiva |
Acciones de corrección que se realizan manualmente
Además de las acciones de corrección que siguen las investigaciones automatizadas, el equipo de operaciones de seguridad puede realizar determinadas acciones de corrección manualmente. Entre ellas se incluyen las siguientes:
- Acción manual del dispositivo, como aislamiento de dispositivos o cuarentena de archivos
- Acción de correo electrónico manual, como la eliminación temporal de mensajes de correo electrónico
- Acción manual del usuario, como deshabilitar el usuario o restablecer la contraseña de usuario
- Acción de búsqueda avanzada en dispositivos, usuarios o correo electrónico
- Acción del Explorador en el contenido del correo electrónico, como mover correo electrónico a correo no deseado, eliminar correo electrónico temporalmente o eliminar correo electrónico de forma rígida
- Acción de respuesta dinámica manual, como eliminar un archivo, detener un proceso y quitar una tarea programada
- Acción de respuesta en vivo con Microsoft Defender para punto de conexión API, como aislar un dispositivo, ejecutar un examen antivirus y obtener información sobre un archivo
Pasos siguientes
- Visite el Centro de actividades
- Ver y aprobar acciones de corrección
- Dirección de falsos positivos o falsos negativos
- Contener dispositivos de la red
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de