Corrección del primer incidente en Microsoft Defender XDR

  • Artículo

Se aplica a:

  • Microsoft Defender XDR

Microsoft Defender XDR proporciona capacidades de detección y análisis para garantizar la contención y erradicación de amenazas. La contención incluye pasos para reducir el impacto del ataque, mientras que la erradicación garantiza que todos los seguimientos de la actividad del atacante se quiten de la red.

La corrección en Microsoft Defender XDR se puede automatizar o mediante acciones manuales realizadas por los respondedores de incidentes. Las acciones de corrección se pueden realizar en dispositivos, archivos e identidades.

Corrección automática

Microsoft Defender XDR aprovecha su inteligencia sobre amenazas y las señales dentro de la red para combatir los ataques más perturbadores. El ransomware, el riesgo de correo electrónico empresarial (BEC) y la suplantación de identidad de adversario en el medio (AiTM) son algunos de los ataques más complejos que se pueden contener inmediatamente a través de la funcionalidad de interrupción automática de ataques . Una vez que se ha interrumpido un ataque, los respondedores de incidentes pueden asumir e investigar completamente un ataque y aplicar la corrección necesaria.

Obtenga información sobre cómo ayuda la interrupción automática de ataques en la respuesta a incidentes:

Mientras tanto, las funcionalidades automatizadas de investigación y respuesta de Microsoft Defender XDR pueden investigar y aplicar automáticamente acciones de corrección a elementos malintencionados y sospechosos. Estas funcionalidades escalan la investigación y la resolución de amenazas, liberando a los respondedores de incidentes para centrar sus esfuerzos en ataques de alto impacto.

Puede configurar y administrar funcionalidades automatizadas de investigación y respuesta. También puede ver todas las acciones pasadas y pendientes a través del Centro de acciones.

Nota:

Puede deshacer acciones automáticas después de la revisión.

Para acelerar algunas de las tareas de investigación, puede evaluar las alertas con Power Automate. Además, la corrección automatizada se puede crear mediante automatización y cuadernos de estrategias. Microsoft tiene plantillas de cuaderno de estrategias en GitHub para los siguientes escenarios:

  • Quitar el uso compartido de archivos confidenciales después de solicitar la validación del usuario
  • Evaluación automática de alertas de país poco frecuentes
  • Solicitud de acción del administrador antes de deshabilitar una cuenta
  • Deshabilitar reglas de bandeja de entrada malintencionadas

Los cuadernos de estrategias usan Power Automate para crear flujos de automatización de procesos robóticos personalizados para automatizar ciertas actividades una vez que se han desencadenado criterios específicos. Las organizaciones pueden crear cuadernos de estrategias a partir de plantillas existentes o desde cero. Los cuadernos de estrategias también se pueden crear durante la revisión posterior a los incidentes para crear acciones de corrección a partir de incidentes resueltos.

Obtenga información sobre cómo Power Automate puede ayudarle a automatizar la respuesta a incidentes a través de este vídeo:

Corrección manual

Al responder a un ataque, los equipos de seguridad pueden aprovechar las acciones de corrección manual del portal para evitar que los ataques incurran en más daños. Algunas acciones pueden detener inmediatamente una amenaza, mientras que otras ayudan en un análisis forense adicional. Puede aplicar estas acciones a cualquier entidad en función de las cargas de trabajo de Defender implementadas en su organización.

Acciones en dispositivos

  • Aislar el dispositivo : aísla un dispositivo afectado desconectando el dispositivo de la red. El dispositivo permanece conectado al servicio Defender para punto de conexión para la supervisión continua.

  • Restringir la ejecución de aplicaciones: restringe una aplicación aplicando una directiva de integridad de código que solo permite ejecutar archivos si están firmados por un certificado emitido por Microsoft.

  • Ejecutar examen antivirus : inicia un examen del Antivirus de Defender de forma remota para un dispositivo. El examen se puede ejecutar junto con otras soluciones antivirus, independientemente de si Antivirus de Defender es la solución antivirus activa o no.

  • Recopilar paquete de investigación : puede recopilar un paquete de investigación de un dispositivo como parte del proceso de investigación o respuesta. Al recopilar el paquete de investigación, puede identificar el estado actual del dispositivo y comprender aún más las herramientas y técnicas usadas por el atacante.

  • Iniciar una investigación automatizada : inicia una nueva investigación automatizada de uso general en el dispositivo. Mientras se ejecuta una investigación, cualquier otra alerta generada desde el dispositivo se agregará a una investigación automatizada en curso hasta que se complete esa investigación. Además, si se ve la misma amenaza en otros dispositivos, esos dispositivos se agregan a la investigación.

  • Iniciar respuesta en directo : proporciona acceso instantáneo a un dispositivo mediante una conexión de shell remoto para que pueda realizar un trabajo de investigación en profundidad y realizar acciones de respuesta inmediatas para contener rápidamente amenazas identificadas en tiempo real. La respuesta en directo está diseñada para mejorar las investigaciones, ya que le permite recopilar datos forenses, ejecutar scripts, enviar entidades sospechosas para su análisis, corregir amenazas y buscar amenazas emergentes de forma proactiva.

  • Pregunte a los expertos de Defender: puede consultar a un experto de Microsoft Defender para obtener más información sobre dispositivos potencialmente comprometidos o ya en peligro. Microsoft Defender expertos pueden participar directamente desde el portal para obtener una respuesta oportuna y precisa. Esta acción está disponible para dispositivos y archivos.

Otras acciones en los dispositivos están disponibles en el siguiente tutorial:

Nota:

Puede realizar acciones en los dispositivos directamente desde el gráfico dentro de la historia de ataque.

Acciones en archivos

  • Archivo de detención y cuarentena : incluye la detención de procesos en ejecución, la cuarentena de archivos y la eliminación de datos persistentes, como claves del Registro.
  • Agregar indicadores para bloquear o permitir archivos : evita que un ataque se propague más mediante la prohibición de archivos potencialmente malintencionados o sospechas de malware. Esta operación impide que el archivo se lea, escriba o ejecute en dispositivos de su organización.
  • Descargar o recopilar archivos : permite a los analistas descargar un archivo en un archivo protegido con contraseña .zip archivo para su posterior análisis por parte de la organización.
  • Análisis profundo : ejecuta un archivo en un entorno de nube seguro y totalmente instrumentado. Los resultados de análisis profundos muestran las actividades del archivo, los comportamientos observados y los artefactos asociados, como archivos eliminados, modificaciones del Registro y comunicación con direcciones IP.

Corrección de otros ataques

Nota:

Estos tutoriales se aplican cuando otras cargas de trabajo de Defender están habilitadas en su entorno.

En los tutoriales siguientes se enumeran los pasos y las acciones que puede aplicar al investigar entidades o responder a amenazas específicas:

Pasos siguientes

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.