Información general sobre las investigaciones automatizadasOverview of automated investigations

Importante

Bienvenido a Microsoft defender para el punto final, el nuevo nombre de protección contra amenazas avanzada de Microsoft defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Obtén más información sobre esta y otras actualizaciones aquí.Read more about this and other updates here. Actualizaremos los nombres de los productos y de los documentos en el futuro.We'll be updating names in products and in the docs in the near future.

Se aplica aApplies to

El equipo de operaciones de seguridad recibe una alerta cuando Microsoft defender detecta un artefacto malintencionado o sospechoso para el punto de conexión.Your security operations team receives an alert whenever a malicious or suspicious artifact is detected by Microsoft Defender for Endpoint. Los equipos de operaciones de seguridad se enfrentan a los desafíos de tratar las multitudes de alertas que surgen del flujo aparentemente interminable de amenazas.Security operations teams face challenges in addressing the multitude of alerts that arise from the seemingly never-ending flow of threats. Microsoft defender for Endpoint incluye capacidades de investigación y corrección automatizadas que pueden ayudar a que el equipo de operaciones de seguridad solucione amenazas de manera más eficaz y eficaz.Microsoft Defender for Endpoint includes automated investigation and remediation capabilities that can help your security operations team address threats more efficiently and effectively.

Vea el siguiente vídeo para ver cómo funciona la investigación y la corrección automatizadas:Watch the following video to see how automated investigation and remediation works:

La investigación automatizada usa diversos algoritmos de inspección y procesos usados por los analistas para examinar alertas y tomar medidas inmediatas para resolver las infracciones.Automated investigation uses various inspection algorithms and processes used by analysts to examine alerts and take immediate action to resolve breaches. Estas funcionalidades reducen significativamente el volumen de las alertas, lo que permite que las operaciones de seguridad se centren en amenazas más sofisticadas y otras iniciativas de alto valor.These capabilities significantly reduce alert volume, allowing security operations to focus on more sophisticated threats and other high-value initiatives. El centro de actividades realiza un seguimiento de todas las investigaciones que se iniciaron automáticamente, junto con detalles como, por ejemplo, el estado de la investigación, el origen de la detección y las acciones pendientes o completadas.The Action center keeps track of all the investigations that were initiated automatically, along with details, such as investigation status, detection source, and any pending or completed actions.

Sugerencia

¿Quiere experimentar Microsoft defender para el punto de conexión?Want to experience Microsoft Defender for Endpoint? Regístrate para obtener una prueba gratuita.Sign up for a free trial.

Cómo se inicia la investigación automáticaHow the automated investigation starts

Cuando se desencadena una alerta, entra en vigor una guía de seguridad.When an alert is triggered, a security playbook goes into effect. En función de la guía de seguridad, se puede iniciar una investigación automática.Depending on the security playbook, an automated investigation can start. Por ejemplo, supongamos que un archivo malintencionado reside en un dispositivo.For example, suppose a malicious file resides on a device. Cuando se detecta ese archivo, se desencadena una alerta y comienza el proceso de investigación automática.When that file is detected, an alert is triggered, and the automated investigation process begins. Microsoft defender for Endpoint comprueba si el archivo malintencionado está presente en cualquier otro dispositivo de la organización.Microsoft Defender for Endpoint checks to see if the malicious file is present on any other devices in the organization. Los detalles de la investigación, incluidos los veredictos (maliciosos, sospechososy ninguna amenazas) están disponibles durante y después de la investigación automática.Details from the investigation, including verdicts (Malicious, Suspicious, and No threats found) are available during and after the automated investigation.

Nota

Actualmente, la investigación automática solo admite las siguientes versiones del sistema operativo:Currently, automated investigation only supports the following OS versions:

  • Windows Server 2019Windows Server 2019
  • Windows 10, versión 1709 (sistema operativo compilación 16299,1085 con KB4493441) o posteriorWindows 10, version 1709 (OS Build 16299.1085 with KB4493441) or later
  • Windows 10, versión 1803 (sistema operativo compilación 17134,704 con KB4493464) o posteriorWindows 10, version 1803 (OS Build 17134.704 with KB4493464) or later
  • Versiones posteriores de Windows 10Later versions of Windows 10

Detalles de una investigación automáticaDetails of an automated investigation

Durante una investigación automatizada y después de ella, puede ver los detalles de la investigación.During and after an automated investigation, you can view details about the investigation. Seleccione una alerta de activación para ver los detalles de la investigación.Select a triggering alert to view the investigation details. Desde allí, puede ir a las pestañas gráfico de investigación, alertas, dispositivos, evidencia, entidadesy registro .From there, you can go to the Investigation graph, Alerts, Devices, Evidence, Entities, and Log tabs.

TabuladorTab DescripciónDescription
AlertasAlerts Las alertas que iniciaron la investigación.The alert(s) that started the investigation.
DispositivosDevices El/los dispositivo (s) donde se vio la amenaza.The device(s) where the threat was seen.
CorrespondientesEvidence Las entidades que se encontraron malintencionadas durante una investigación.The entities that were found to be malicious during an investigation.
EntidadEntities Detalles sobre cada entidad analizada, incluida una determinación para cada tipo de entidad (malintencionada, sospechosao no se encontraron amenazas).Details about each analyzed entity, including a determination for each entity type (Malicious, Suspicious, or No threats found).
LogLog La vista cronológica y detallada de todas las acciones de investigación tomadas en la alerta.The chronological, detailed view of all the investigation actions taken on the alert.
Acciones pendientesPending actions Si hay alguna acción esperando aprobación como resultado de la investigación, se muestra la pestaña acciones pendientes .If there are any actions awaiting approval as a result of the investigation, the Pending actions tab is displayed. En la pestaña acciones pendientes , puede aprobar o rechazar cada acción.On the Pending actions tab, you can approve or reject each action.

Importante

Vaya al centro de actividades para obtener una vista agregada de todas las acciones pendientes y administrar acciones de corrección.Go to the Action center to get an aggregated view all pending actions and manage remediation actions. El centro de actividades también actúa como pista de auditoría para todas las acciones de investigación automatizadas.The Action center also acts as an audit trail for all automated investigation actions.

Cómo una investigación automatizada amplía su ámbitoHow an automated investigation expands its scope

Mientras se ejecuta una investigación, cualquier otra alerta generada desde el dispositivo se agrega a una investigación automatizada continua hasta que se completa la investigación.While an investigation is running, any other alerts generated from the device are added to an ongoing automated investigation until that investigation is completed. Además, si la misma amenaza se ve en otros dispositivos, esos dispositivos se agregan a la investigación.In addition, if the same threat is seen on other devices, those devices are added to the investigation.

Si una entidad de incriminada se ve en otro dispositivo, el proceso de investigación automatizada amplía su ámbito para incluir ese dispositivo y se inicia una guía de seguridad general en ese dispositivo.If an incriminated entity is seen in another device, the automated investigation process expands its scope to include that device, and a general security playbook starts on that device. Si se encuentran 10 o más dispositivos durante este proceso de expansión desde la misma entidad, esa acción de expansión requiere una aprobación y está visible en la pestaña acciones pendientes .If 10 or more devices are found during this expansion process from the same entity, then that expansion action requires an approval, and is visible on the Pending actions tab.

Cómo se corrigen las amenazasHow threats are remediated

A medida que se activan las alertas y se ejecuta una investigación automatizada, se genera un veredicto por cada prueba investigada.As alerts are triggered, and an automated investigation runs, a verdict is generated for each piece of evidence investigated. Los veredictos pueden ser maliciosos, sospechososo no se encuentran amenazas.Verdicts can be Malicious, Suspicious, or No threats found.

A medida que se alcanzan veredictos, las investigaciones automatizadas pueden dar lugar a una o más acciones de corrección.As verdicts are reached, automated investigations can result in one or more remediation actions. Algunos ejemplos de acciones de corrección son el envío de un archivo a la cuarentena, la detención de un servicio, la eliminación de una tarea programada y mucho más.Examples of remediation actions include sending a file to quarantine, stopping a service, removing a scheduled task, and more. (Consulte acciones de corrección).(See Remediation actions.)

Según el nivel de automatización establecido para su organización, las acciones de corrección se pueden realizar automáticamente o solo después de la aprobación de su equipo de operaciones de seguridad.Depending on the level of automation set for your organization, remediation actions can occur automatically or only upon approval by your security operations team.

Todas las acciones de corrección, ya estén pendientes o completadas, se pueden ver en el centro de actividades.All remediation actions, whether pending or completed, can be viewed in Action Center. Si es necesario, el equipo de operaciones de seguridad puede deshacer una acción de corrección.If necessary, your security operations team can undo a remediation action. (Consulte revisar y aprobar acciones de corrección siguiendo una investigación automatizada).(See Review and approve remediation actions following an automated investigation.)

Pasos siguientesNext steps

Consulte tambiénSee also