Administración de exclusiones para antivirus de Microsoft Defender para punto de conexión y Microsoft Defender

  • Artículo

Se aplica a:

Plataformas

  • Windows

Nota:

Como MVP de Microsoft, Fabian Bader ha aportado y proporcionado comentarios materiales para este artículo.

Microsoft Defender para punto de conexión incluye una amplia gama de funcionalidades para prevenir, detectar, investigar y responder a ciberamenazas avanzadas. Estas funcionalidades incluyen la protección de próxima generación (que incluye Microsoft Defender Antivirus). Al igual que con cualquier solución antivirus o de protección de puntos de conexión, a veces los archivos, carpetas o procesos que no son realmente una amenaza se pueden detectar como malintencionados mediante Defender para punto de conexión o Microsoft Defender Antivirus. Estas entidades se pueden bloquear o enviar a cuarentena, aunque no sean realmente una amenaza.

Puede realizar ciertas acciones para evitar que se produzcan falsos positivos y problemas similares. Entre estas acciones se incluyen:

En este artículo se explica cómo funcionan estas acciones y se describen los distintos tipos de exclusiones que se pueden definir para Defender para punto de conexión y Microsoft Defender Antivirus.

Precaución

La definición de exclusiones reduce el nivel de protección que ofrece Defender para punto de conexión y Microsoft Defender Antivirus. Use exclusiones como último recurso y asegúrese de definir solo las exclusiones necesarias. Asegúrese de revisar periódicamente las exclusiones y quite las que ya no necesite. Consulte Puntos importantes sobre exclusiones y errores comunes que se deben evitar.

Envíos, supresiones y exclusiones

Cuando se trata de falsos positivos o entidades conocidas que generan alertas, no es necesario agregar necesariamente una exclusión. A veces, clasificar y suprimir una alerta es suficiente. Se recomienda enviar falsos positivos (y falsos negativos) a Microsoft también para su análisis. En la tabla siguiente se describen algunos escenarios y qué pasos seguir con respecto a los envíos de archivos, las supresiones de alertas y las exclusiones.

Escenario Pasos a tener en cuenta
Falso positivo: se detectó una entidad, como un archivo o un proceso, y se identificó como malintencionada, aunque la entidad no sea una amenaza. 1. Revise y clasifique las alertas generadas como resultado de la entidad detectada.
2. Suprima una alerta para una entidad conocida.
3. Revise las acciones de corrección que se realizaron para la entidad detectada.
4. Envíe el falso positivo a Microsoft para su análisis.
5. Defina una exclusión para la entidad (solo si es necesario).
Problemas de rendimiento , como uno de los siguientes problemas:
- Un sistema tiene un uso elevado de la CPU u otros problemas de rendimiento.
- Un sistema tiene problemas de pérdida de memoria.
- Una aplicación es lenta de cargar en los dispositivos.
- Una aplicación es lenta para abrir un archivo en los dispositivos.		 1. Recopilar datos de diagnóstico para Microsoft Defender Antivirus.
2. Si usa una solución antivirus que no es de Microsoft, compruebe con el proveedor las exclusiones necesarias.
3. Analice el registro de protección de Microsoft para ver el impacto estimado en el rendimiento.
4. Definir una exclusión para Microsoft Defender Antivirus (si es necesario).
5. Create un indicador de Defender para punto de conexión (solo si es necesario).
Problemas de compatibilidad con productos antivirus que no son de Microsoft.
Ejemplo: Defender para punto de conexión se basa en actualizaciones de inteligencia de seguridad para dispositivos, tanto si se ejecutan Microsoft Defender Antivirus como si se trata de una solución antivirus que no es de Microsoft.		 1. Si usa un producto antivirus que no es de Microsoft como solución antivirus o antimalware principal, establezca Microsoft Defender Antivirus en modo pasivo.
2. Si va a cambiar de una solución antivirus o antimalware que no es de Microsoft a Defender para punto de conexión, consulte Cambio a Defender para punto de conexión. Esta guía incluye:
- Es posible que tenga que definir exclusiones para la solución antivirus o antimalware que no sea de Microsoft;
- Exclusiones que es posible que deba definir para Microsoft Defender Antivirus; y
- Información de solución de problemas (por si algo sale mal al migrar).

Importante

Un indicador "allow" es el tipo de exclusión más fuerte que puede definir en Defender para punto de conexión. Asegúrese de usar los indicadores con moderación (solo cuando sea necesario) y revise periódicamente todas las exclusiones.

Envío de archivos para su análisis

Si tiene un archivo que cree que se ha detectado erróneamente como malware (un falso positivo) o un archivo que sospecha que podría ser malware aunque no se detectó (un falso negativo), puede enviar el archivo a Microsoft para su análisis. El envío se examina inmediatamente y, a continuación, los analistas de seguridad de Microsoft lo revisarán. Puede comprobar el estado de su envío en la página del historial de envíos.

El envío de archivos para su análisis ayuda a reducir los falsos positivos y los falsos negativos para todos los clientes. Para obtener más información, consulte los artículos siguientes:

Supresión de alertas

Si recibe alertas en el portal de Microsoft Defender para las herramientas o procesos que sabe que no son realmente una amenaza, puede suprimir esas alertas. Para suprimir una alerta, cree una regla de supresión y especifique qué acciones realizar para ello en otras alertas idénticas. Puede crear reglas de supresión para una alerta específica en un solo dispositivo o para todas las alertas que tengan el mismo título en toda la organización.

Para obtener más información, consulte los artículos siguientes:

Exclusiones e indicadores

A veces, el término exclusiones se usa para hacer referencia a las excepciones que se aplican en Defender para punto de conexión y Microsoft Defender Antivirus. Una manera más precisa de describir estas excepciones es la siguiente:

En la tabla siguiente se resumen los tipos de exclusión que se pueden definir para Defender para punto de conexión y Microsoft Defender Antivirus.

Sugerencia

Producto o servicio Tipos de exclusión
Antivirus de Microsoft Defender
Plan 1 o plan 2 de Defender para punto de conexión		 - Exclusiones automáticas (para roles activos en Windows Server 2016 y versiones posteriores)
- Exclusiones integradas (para archivos de sistema operativo en Windows)
- Exclusiones personalizadas, como exclusiones basadas en procesos, exclusiones basadas en la ubicación de carpetas, exclusiones de extensiones de archivo o exclusiones contextuales de archivos y carpetas
- Acciones de corrección personalizadas basadas en la gravedad de la amenaza o para amenazas específicas

Las versiones independientes de Defender para el plan 1 y el plan 2 no incluyen licencias de servidor. Para incorporar servidores, necesita otra licencia, como Microsoft Defender para punto de conexión para servidores o Microsoft Defender para el plan 1 o 2 de servidores. Para obtener más información, consulta Incorporación de Windows Server en Defender para punto de conexión.

Si es una empresa pequeña o mediana que usa Microsoft Defender para Empresas, puede obtener Microsoft Defender para Servidores Empresariales.
Plan 1 o plan 2 de Defender para punto de conexión - Indicadores de archivos, certificados o direcciones IP, direcciones URL o dominios
- Exclusiones de reducción de superficie expuesta a ataques
- Exclusiones de acceso a carpetas controladas
Plan 2 de Defender para punto de conexión Exclusiones de carpetas de Automation (para investigación y corrección automatizadas)

En las secciones siguientes se describen estas exclusiones con más detalle:

Exclusiones del Antivirus de Microsoft Defender

Microsoft Defender las exclusiones del antivirus se pueden aplicar a los exámenes antivirus o a la protección en tiempo real. Estas exclusiones incluyen:

Exclusiones automáticas

Las exclusiones automáticas (también conocidas como exclusiones automáticas de roles de servidor) incluyen exclusiones para roles de servidor y características en Windows Server. Estas exclusiones no se examinan mediante protección en tiempo real , pero siguen estando sujetas a exámenes antivirus rápidos, completos o a petición.

Algunos ejemplos son:

  • Servicio de replicación de archivos (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • Servidor DNS
  • Servidor de impresión
  • Servidor web
  • Windows Server Update Services
  • ... y mucho más.

Nota:

Las exclusiones automáticas de los roles de servidor no se admiten en Windows Server 2012 R2. Para los servidores que ejecutan Windows Server 2012 R2 con el rol de servidor Servicios de dominio de Active Directory (AD DS) instalado, las exclusiones de los controladores de dominio deben especificarse manualmente. Consulte Exclusiones de Active Directory.

Para obtener más información, consulte Exclusiones automáticas de roles de servidor.

Exclusiones integradas

Las exclusiones integradas incluyen determinados archivos de sistema operativo excluidos por Microsoft Defender Antivirus en todas las versiones de Windows (incluidos Windows 10, Windows 11 y Windows Server).

Algunos ejemplos son:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • archivos Windows Update
  • archivos Seguridad de Windows
  • ... ¡y mucho más!

La lista de exclusiones integradas en Windows se mantiene actualizada a medida que cambia el panorama de amenazas. Para obtener más información sobre estas exclusiones, consulta Microsoft Defender Exclusiones de Antivirus en Windows Server: Exclusiones integradas.

Exclusiones personalizadas

Las exclusiones personalizadas incluyen archivos y carpetas que especifique. Los exámenes programados, los exámenes a petición y la protección en tiempo real omitirán las exclusiones de archivos, carpetas y procesos. Las exclusiones de los archivos abiertos por proceso no se examinarán mediante la protección en tiempo real , pero siguen estando sujetas a exámenes antivirus rápidos, completos o a petición.

Acciones de corrección personalizadas

Cuando Microsoft Defender Antivirus detecta una posible amenaza durante la ejecución de un examen, intenta corregir o quitar la amenaza detectada. Puede definir acciones de corrección personalizadas para configurar cómo Microsoft Defender Antivirus debe abordar determinadas amenazas, si se debe crear un punto de restauración antes de la corrección y cuándo se deben quitar las amenazas. Configure las acciones de corrección para las detecciones de antivirus de Microsoft Defender.

Indicadores de Defender para punto de conexión

Puede definir indicadores con acciones específicas para entidades, como archivos, direcciones IP, direcciones URL/dominios y certificados. En Defender para punto de conexión, los indicadores se conocen como Indicadores de compromiso (IO) y, con menos frecuencia, como indicadores personalizados. Al definir los indicadores, puede especificar una de las siguientes acciones:

  • Permitir : Defender para punto de conexión no bloqueará archivos, direcciones IP, direcciones URL o dominios, ni certificados que tengan indicadores Allow. (Use esta acción con precaución).

  • Auditoría: se supervisan los archivos, las direcciones IP y las direcciones URL/dominios con indicadores de auditoría y, cuando los usuarios acceden a ellos, se generan alertas informativas en el portal de Microsoft Defender.

  • Bloquear y corregir : los archivos o certificados con indicadores de bloqueo y corrección se bloquean y ponen en cuarentena cuando se detectan.

  • Ejecución de bloques : se bloquean las direcciones IP y las direcciones URL/dominios con indicadores de ejecución de bloques. Los usuarios no pueden acceder a esas ubicaciones.

  • Advertir : las direcciones IP y las direcciones URL/dominios con indicadores de advertencia hacen que se muestre un mensaje de advertencia cuando un usuario intenta acceder a esas ubicaciones. Los usuarios pueden optar por omitir la advertencia y continuar con la dirección IP o la dirección URL/dominio.

Importante

Puede tener hasta 15 000 indicadores en el inquilino.

En la tabla siguiente se resumen los tipos de IoC y las acciones disponibles:

Tipo de indicador Acciones disponibles
Files -Conceder
-Auditoría
-Advertir
- Bloquear ejecución
- Bloquear y corregir
Direcciones IP y direcciones URL/dominios -Conceder
-Auditoría
-Advertir
- Bloquear ejecución
Certificados -Conceder
- Bloquear y corregir

Sugerencia

Consulte los siguientes recursos para obtener más información sobre los indicadores:

Exclusiones de reducción de superficie expuesta a ataques

Las reglas de reducción de superficie expuesta a ataques (también conocidas como reglas ASR) tienen como destino determinados comportamientos de software, como:

  • Inicio de archivos ejecutables y scripts que intentan descargar o ejecutar archivos
  • Ejecución de scripts que parecen ofuscados o sospechosos
  • Realizar comportamientos que las aplicaciones no suelen iniciar durante el trabajo diario normal

A veces, las aplicaciones legítimas muestran comportamientos de software que podrían bloquearse mediante reglas de reducción de la superficie expuesta a ataques. Si esto ocurre en su organización, puede definir exclusiones para determinados archivos y carpetas. Estas exclusiones se aplican a todas las reglas de reducción de superficie expuesta a ataques. Consulte Habilitar reglas de reducción de superficie expuesta a ataques.

Tenga en cuenta también que, aunque la mayoría de las exclusiones de reglas de ASR son independientes de Microsoft Defender exclusiones de Antivirus, algunas reglas de ASR respetan algunas exclusiones Microsoft Defender Antivirus. Consulte Referencia de reglas de reducción de superficie expuesta a ataques: exclusiones de antivirus Microsoft Defender y reglas de ASR.

Exclusiones de acceso a carpetas controladas

El acceso controlado a carpetas supervisa las aplicaciones para detectar actividades que se detectan como malintencionadas y protege el contenido de determinadas carpetas (protegidas) en dispositivos Windows. El acceso controlado a carpetas solo permite que las aplicaciones de confianza accedan a carpetas protegidas, como carpetas comunes del sistema (incluidos los sectores de arranque) y otras carpetas que especifique. Puede permitir que ciertas aplicaciones o ejecutables firmados accedan a carpetas protegidas mediante la definición de exclusiones. Consulte Personalización del acceso controlado a carpetas.

Exclusiones de carpetas de Automation

Las exclusiones de carpetas de Automation se aplican a la investigación y corrección automatizadas en Defender for Endpoint, que está diseñada para examinar alertas y tomar medidas inmediatas para resolver las infracciones detectadas. A medida que se desencadenan alertas y se ejecuta una investigación automatizada, se alcanza un veredicto (malintencionado, sospechoso o no se han encontrado amenazas) para cada parte de la evidencia investigada. En función del nivel de automatización y de otras configuraciones de seguridad, las acciones de corrección pueden producirse automáticamente o solo tras la aprobación por parte del equipo de operaciones de seguridad.

Puede especificar carpetas, extensiones de archivo en un directorio específico y nombres de archivo que se excluirán de las funcionalidades automatizadas de investigación y corrección. Estas exclusiones de carpetas de automatización se aplican a todos los dispositivos incorporados a Defender para punto de conexión. Estas exclusiones siguen estando sujetas a exámenes antivirus. Consulte Administración de exclusiones de carpetas de automatización.

Cómo se evalúan las exclusiones y los indicadores

La mayoría de las organizaciones tienen varios tipos diferentes de exclusiones e indicadores para determinar si los usuarios deben poder acceder y usar un archivo o proceso. Las exclusiones e indicadores se procesan en un orden determinado para que los conflictos de directivas se controlen sistemáticamente.

En la imagen siguiente se resume cómo se controlan las exclusiones e indicadores en Defender para punto de conexión y Microsoft Defender Antivirus:

Captura de pantalla que muestra el orden en que se evalúan las exclusiones y los indicadores.

Aquí se muestra cómo funciona:

  1. Si Windows Defender Control de aplicaciones y AppLocker no permiten un archivo o proceso detectado, se bloquea. De lo contrario, procede a Microsoft Defender Antivirus.

  2. Si el archivo o proceso detectado no forma parte de una exclusión de Microsoft Defender Antivirus, se bloquea. De lo contrario, Defender para punto de conexión comprueba si hay un indicador personalizado para el archivo o proceso.

  3. Si el archivo o proceso detectado tiene un indicador Bloquear o Advertir, se realiza esa acción. De lo contrario, se permite el archivo o proceso y continúa con la evaluación mediante reglas de reducción de superficie expuesta a ataques, acceso controlado a carpetas y protección SmartScreen.

  4. Si el archivo o proceso detectado no está bloqueado por las reglas de reducción de superficie expuesta a ataques, el acceso controlado a carpetas o la protección SmartScreen, continúa con Microsoft Defender Antivirus.

  5. Si Microsoft Defender Antivirus no permite el archivo o proceso detectado, se comprueba si hay una acción en función de su identificador de amenaza.

Cómo se controlan los conflictos de directivas

En los casos en los que los indicadores de Defender para punto de conexión entren en conflicto, esto es lo que se espera:

  • Si hay indicadores de archivos en conflicto, se aplica el indicador que usa el hash más seguro. Por ejemplo, SHA256 tiene prioridad sobre SHA-1, que tiene prioridad sobre MD5.

  • Si hay indicadores de dirección URL en conflicto, se usa el indicador más estricto. Para Microsoft Defender SmartScreen, se aplica un indicador que usa la ruta de dirección URL más larga. Por ejemplo, www.dom.ain/admin/ tiene prioridad sobre www.dom.ain. (La protección de red se aplica a dominios, en lugar de subpáginas dentro de un dominio).

  • Si hay indicadores similares para un archivo o proceso que tienen acciones diferentes, el indicador que se limita a un grupo de dispositivos específico tiene prioridad sobre un indicador que se dirige a todos los dispositivos.

Funcionamiento de la investigación y corrección automatizadas con indicadores

Las funcionalidades automatizadas de investigación y corrección en Defender para punto de conexión determinan primero un veredicto para cada prueba y, a continuación, realizan una acción en función de los indicadores de Defender para punto de conexión. Por lo tanto, un archivo o proceso podría obtener un veredicto de "bueno" (lo que significa que no se encontraron amenazas) y seguir bloqueado si hay un indicador con esa acción. De forma similar, una entidad podría obtener un veredicto de "malo" (lo que significa que se determina que es malintencionada) y seguir estando permitida si hay un indicador con esa acción.

En el diagrama siguiente se muestra cómo funciona la investigación y corrección automatizadas con indicadores:

Captura de pantalla que muestra la investigación automatizada, la corrección y los indicadores.

Otras cargas de trabajo y exclusiones de servidor

Si su organización usa otras cargas de trabajo de servidor, como Exchange Server, SharePoint Server o SQL Server, tenga en cuenta que solo los roles de servidor integrados (que podrían ser requisitos previos para el software que instale más adelante) en Windows Server se excluyen por la característica de exclusiones automáticas (y solo cuando se usa su ubicación de instalación predeterminada). Es probable que deba definir exclusiones antivirus para estas otras cargas de trabajo o para todas las cargas de trabajo si deshabilita las exclusiones automáticas.

Estos son algunos ejemplos de documentación técnica para identificar e implementar las exclusiones que necesita:

En función de lo que esté usando, es posible que tenga que consultar la documentación de esa carga de trabajo de servidor.

Sugerencia

Sugerencia de rendimiento Debido a diversos factores, Microsoft Defender Antivirus, al igual que otros software antivirus, puede causar problemas de rendimiento en los dispositivos de punto de conexión. En algunos casos, es posible que tenga que ajustar el rendimiento de Microsoft Defender Antivirus para aliviar esos problemas de rendimiento. El analizador de rendimiento de Microsoft es una herramienta de línea de comandos de PowerShell que ayuda a determinar qué archivos, rutas de acceso de archivo, procesos y extensiones de archivo podrían estar causando problemas de rendimiento; Algunos ejemplos son:

  • Rutas de acceso principales que afectan al tiempo de examen
  • Archivos principales que afectan al tiempo de examen
  • Principales procesos que afectan al tiempo de examen
  • Extensiones de archivo principales que afectan al tiempo de examen
  • Combinaciones, como:
    • archivos principales por extensión
    • rutas de acceso superiores por extensión
    • procesos principales por ruta de acceso
    • exámenes superiores por archivo
    • exámenes superiores por archivo por proceso

Puede usar la información recopilada mediante el Analizador de rendimiento para evaluar mejor los problemas de rendimiento y aplicar acciones de corrección. Consulte: Analizador de rendimiento para Microsoft Defender Antivirus.

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.