Introducción a la EDR

Se aplica a:

• Microsoft Defender para punto de conexión, planes 1 y 2
• Microsoft Defender XDR

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Las funcionalidades de detección y respuesta de puntos de conexión de Defender para punto de conexión proporcionan detecciones avanzadas de ataques casi en tiempo real y accionables. Los analistas de seguridad pueden asignar prioridades a las alertas de forma eficaz, obtener visibilidad para todo el ámbito de la vulneración y llevar a cabo acciones de respuesta para corregir las amenazas.

Cuando se detecta una amenaza, se crean alertas en el sistema para que un analista la investigue. Las alertas con las mismas técnicas de ataque o atribuidas al mismo atacante se agregan a una entidad denominada incidente. Agregar alertas de esta manera permite a los analistas investigar y responder de forma colectiva a las amenazas con facilidad.

Nota:

La detección de Defender para punto de conexión no está pensada para ser una solución de auditoría o registro que registre todas las operaciones o actividades que se producen en un punto de conexión determinado. Nuestro sensor tiene un mecanismo de limitación interna, por lo que la alta tasa de eventos idénticos repetidos no inunda los registros.

Importante

El plan 1 y Microsoft Defender para Empresas de Defender para punto de conexión incluyen solo las siguientes acciones de respuesta manual:

• Ejecutar examen de antivirus
• Aislar el dispositivo
• Detener y poner en cuarentena un archivo
• Adición de un indicador para bloquear o permitir un archivo

Inspirado en la mentalidad de "suponer vulneración", Defender para punto de conexión recopila continuamente la telemetría cibernética del comportamiento. Esto incluye la información de procesos, las actividades de red, ópticas profundas en el kernel y el administrador de memoria, las actividades de inicio de sesión de usuario, los cambios en el registro y el sistema de archivos, entre otros. La información se almacena durante seis meses, lo que permite que un analista se desplace hacia el tiempo de inicio de un ataque. El analista puede dinamizar varias vistas y enfocar una investigación a través de varios vectores.

Las capacidades de respuesta le ofrecen la posibilidad de solucionar rápidamente las amenazas al actuar en las entidades afectadas.

Consulte también

• Cola de incidentes
• Cola de alertas
• Lista de dispositivos

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.