Administración de investigaciones automatizadas
Administración de investigaciones automatizadas
El equipo de operaciones de seguridad recibe una alerta cada vez que Microsoft Defender detecta un artefacto malintencionado o sospechoso desde un punto de conexión. Los equipos de operaciones de seguridad se enfrentan a los retos de hacer frente a la multitud de alertas que surgen del flujo aparentemente interminable de amenazas. Microsoft Defender para punto de conexión incluye capacidades de investigación y corrección automatizadas que pueden ayudar al equipo de operaciones de seguridad a abordar las amenazas de forma más eficiente y eficaz.
La tecnología de la investigación automatizada usa varios algoritmos de inspección y se basa en los procesos que emplean los analistas de seguridad. Las funcionalidades de AIR están diseñadas para examinar alertas y tomar medidas inmediatas para resolver las infracciones. Las capacidades de investigación y corrección automatizada reducen significativamente el volumen de alertas, lo que permite que las operaciones de seguridad se centren en amenazas más sofisticadas y en otras iniciativas de alto valor. El centro de actividades realiza un seguimiento de todas las investigaciones que se iniciaron automáticamente, junto con los detalles, como el estado de la investigación, el origen de la detección y cualquier acción pendiente o completada.
Inicio de la investigación automatizada
Cuando se activa una alerta, se pone en marcha un cuaderno de estrategias de seguridad. En función de este cuaderno de estrategias de seguridad, se puede iniciar una investigación automatizada. Por ejemplo, supongamos que un archivo malintencionado reside en un dispositivo. Cuando se detecta ese archivo, se desencadena una alerta y comienza el proceso de investigación automatizada. Microsoft Defender para punto de conexión comprueba si el archivo malintencionado está presente en otros dispositivos de la organización. Los detalles de la investigación, incluidos los veredictos (Malintencionado, Sospechoso y No se encontraron amenazas) están disponibles durante la investigación automatizada y después de esta. Para saber más sobre lo que ocurre después de un veredicto, consulte Resultados de la investigación automatizada y acciones de corrección.
Detalles de una investigación automatizada
Durante una investigación automatizada y después de esta, puede ver los detalles de la investigación. Seleccione una alerta de desencadenamiento para ver los detalles de la investigación. Desde allí, puede ir a las pestañas Grafo de investigación, Alertas, Dispositivos, Evidencia, Entidades y Registro.
Alertas: las alertas que iniciaron la investigación.
Dispositivos: los dispositivos donde se ha detectado la amenaza.
Evidencia: las entidades que resultaron ser malintencionadas durante una investigación.
Entidades: detalles sobre cada entidad analizada, incluida una determinación para cada tipo de entidad (malintencionada, sospechosa o sin amenazas).
Registro: la vista cronológica y detallada de todas las acciones de investigación realizadas en la alerta.
Acciones pendientes: si hay acciones pendientes de aprobación como resultado de la investigación, se muestra la pestaña Acciones pendientes. En la pestaña Acciones pendientes, puede aprobar o rechazar cada acción.
Ampliación del alcance de una investigación automatizada
Mientras se ejecuta una investigación, cualquier otra alerta generada desde el dispositivo se agrega a una investigación automatizada en curso hasta que dicha investigación finalice. Además, si se detecta la misma amenaza en otros dispositivos, dichos dispositivos se agregan a la investigación.
Si se ve una entidad incriminada en otro dispositivo, el proceso de investigación automatizado amplía su ámbito para incluir ese dispositivo, y se inicia un cuaderno de estrategias de seguridad general en ese dispositivo. Si durante este proceso de ampliación se encuentran diez o más dispositivos de la misma entidad, esa acción de ampliación requiere aprobación y es visible en la pestaña Acciones pendientes.
Corrección de las amenazas
A medida que se activan las alertas y se ejecuta una investigación automatizada, se genera un veredicto para cada evidencia investigada. Los veredictos pueden ser Malintencionado, Sospechoso o No se encontraron amenazas.
Según se alcanzan veredictos, las investigaciones automatizadas pueden dar lugar a una o varias acciones de corrección. Entre los ejemplos de acciones de corrección se incluyen el envío de un archivo a la cuarentena, la detención de un servicio, la eliminación de una tarea programada, etc. (Consulte Acciones de corrección).
Dependiendo del nivel de automatización establecido para su organización, así como de otros ajustes de seguridad, las acciones de corrección pueden producirse automáticamente o solo tras la aprobación de su equipo de operaciones de seguridad. Otras configuraciones de seguridad que pueden afectar a la corrección automática incluyen la protección contra aplicaciones potencialmente no deseadas (PUA).
Todas las acciones de corrección, ya estén pendientes o completadas, pueden verse en el centro de actividades https://security.microsoft.com. Si es necesario, el equipo de operaciones de seguridad puede deshacer una acción de corrección.
Niveles de automatización en las capacidades de investigación y corrección
Las capacidades de investigación y corrección automatizadas de Microsoft Defender para punto de conexión se pueden configurar en uno de los diferentes niveles de automatización. El nivel de automatización afecta a si las acciones de corrección posteriores a las tareas de investigación y corrección automatizadas se realizan automáticamente o solo tras su aprobación.
La automatización completa (nivel recomendado) implica que las acciones de corrección se realizan automáticamente en los artefactos determinados como malintencionados.
La semiautomatización significa que algunas acciones de corrección se realizan automáticamente, pero otras acciones de corrección esperan la aprobación antes de llevarse a cabo. (Vea la tabla en Niveles de automatización).
Se realiza un seguimiento de todas las acciones de corrección, ya estén pendientes o completadas, en el centro de actividades.
Niveles de automatización
Completo: corrige las amenazas automáticamente (se conoce también como automatización completa)
Con la automatización completa, las acciones de corrección se realizan automáticamente. Todas las acciones correctivas que se llevan a cabo se pueden ver en el centro de actividades de la pestaña Historial. Si es necesario, se puede deshacer una acción correctiva.
Semi: requiere la aprobación de cualquier corrección (se conoce también como semiautomatización)
Con este nivel de semiautomatización, se requiere aprobación para cualquier acción de corrección. Estas acciones pendientes pueden verse y aprobarse en el centro de actividades, en la pestaña Pendiente.
Semi: requiere aprobación para las correcciones de las carpetas principales (también un tipo de semiautomatización)
Con este nivel de semiautomatización, se requiere aprobación para cualquier acción de corrección necesaria en los archivos o ejecutables que se encuentran en las carpetas principales. Las carpetas principales incluyen los directorios del sistema operativo, como Windows (\windows*).
Las acciones de corrección se pueden realizar automáticamente en archivos o ejecutables que se encuentran en otras carpetas (no principales).
Las acciones pendientes para los archivos o ejecutables de las carpetas principales pueden verse y aprobarse en el centro de actividades, en la pestaña Pendiente.
Las acciones que se realizaron en archivos o ejecutables en otras carpetas se pueden ver en el centro de actividades, en la pestaña Historial.
Semi: requiere aprobación para las correcciones de las carpetas no temporales (también un tipo de semiautomatización)
Con este nivel de semiautomatización, se requiere aprobación para cualquier acción de corrección necesaria en los archivos o ejecutables que no están en las carpetas temporales.
Las carpetas temporales pueden incluir los ejemplos siguientes:
\users*\appdata\local\temp*
\documents and settings*\local settings\temp*
\documents and settings*\local settings\temporary*
\windows\temp*
\users*\downloads*
\program files\
\program files (x86)*
\documents and settings*\users*
Las acciones de corrección se pueden realizar automáticamente en archivos o ejecutables que se encuentran en carpetas temporales.
Las acciones pendientes para los archivos o ejecutables que no están en las carpetas temporales se pueden ver y aprobar en el centro de actividades, en la pestaña Pendiente.
Las acciones realizadas en los archivos o ejecutables de las carpetas temporales pueden verse y aprobarse en el centro de actividades, en la pestaña Historial.
Respuesta no automatizada (también conocido como no automatización)
Con la no automatización, la investigación automatizada no se ejecuta en los dispositivos de la organización. En consecuencia, no se han tomado ni están pendientes acciones de corrección como resultado de una investigación automatizada. Sin embargo, pueden estar en vigor otras características de protección contra amenazas, como la protección de aplicaciones potencialmente no deseadas, dependiendo de cómo estén configuradas sus características de antivirus y de protección de nueva generación.
No se recomienda usar la opción No automatización porque reduce la seguridad de los dispositivos de la organización. Considere la posibilidad de ajustar su nivel de automatización a la automatización completa (o al menos a la semiautomatización).
Puntos importantes sobre los niveles de automatización
La automatización completa ha demostrado ser confiable, eficaz y segura, y se recomienda para todos los clientes. La automatización completa libera los recursos de seguridad críticos para que puedan centrarse más en sus iniciativas estratégicas. Si el equipo de seguridad ha definido grupos de dispositivos con un nivel de automatización, los nuevos valores predeterminados que se están implementando no cambiarán esa configuración.