Información general sobre las investigaciones automatizadasOverview of automated investigations

Se aplica a:Applies to:

¿Quiere ver cómo funciona?Want to see how it works? Vea el siguiente vídeo:Watch the following video:

La tecnología de la investigación automatizada usa varios algoritmos de inspección y se basa en procesos que usan los analistas de seguridad.The technology in automated investigation uses various inspection algorithms and is based on processes that are used by security analysts. Las capacidades de AIR están diseñadas para examinar alertas y tomar medidas inmediatas para resolver infracciones.AIR capabilities are designed to examine alerts and take immediate action to resolve breaches. Las capacidades de AIR reducen significativamente el volumen de alertas, lo que permite que las operaciones de seguridad se centren en amenazas más sofisticadas y otras iniciativas de alto valor.AIR capabilities significantly reduce alert volume, allowing security operations to focus on more sophisticated threats and other high-value initiatives. Todas las acciones de corrección, ya sean pendientes o completadas, se realiza un seguimiento en el Centro de acciones.All remediation actions, whether pending or completed, are tracked in the Action center. En el Centro de acciones, las acciones pendientes se aprueban (o rechazan) y las acciones completadas se pueden deshacer si es necesario.In the Action center, pending actions are approved (or rejected), and completed actions can be undone if needed.

En este artículo se proporciona información general sobre AIR e incluye vínculos a los siguientes pasos y recursos adicionales.This article provides an overview of AIR and includes links to next steps and additional resources.

Sugerencia

¿Desea experimentar Microsoft Defender para endpoint?Want to experience Microsoft Defender for Endpoint? Registrarse para obtener una versión de prueba gratuita.Sign up for a free trial.

Cómo se inicia la investigación automatizadaHow the automated investigation starts

Una investigación automatizada puede iniciarse cuando se desencadena una alerta o cuando un operador de seguridad inicia la investigación.An automated investigation can start when an alert is triggered or when a security operator initiates the investigation.

SituaciónSituation Qué ocurreWhat happens
Se desencadena una alertaAn alert is triggered En general, una investigación automatizada se inicia cuando se desencadena una alerta y se crea un incidente.In general, an automated investigation starts when an alert is triggered, and an incident is created. Por ejemplo, supongamos que un archivo malintencionado reside en un dispositivo.For example, suppose a malicious file resides on a device. Cuando se detecta ese archivo, se desencadena una alerta y se crea un incidente.When that file is detected, an alert is triggered, and incident is created. Comienza un proceso de investigación automatizado en el dispositivo.An automated investigation process begins on the device. Como otras alertas se generan debido al mismo archivo en otros dispositivos, se agregan al incidente asociado y a la investigación automatizada.As other alerts are generated because of the same file on other devices, they are added to the associated incident and to the automated investigation.
Una investigación se inicia manualmenteAn investigation is started manually El equipo de operaciones de seguridad puede iniciar manualmente una investigación automatizada.An automated investigation can be started manually by your security operations team. Por ejemplo, supongamos que un operador de seguridad está revisando una lista de dispositivos y observa que un dispositivo tiene un nivel de riesgo alto.For example, suppose a security operator is reviewing a list of devices and notices that a device has a high risk level. El operador de seguridad puede seleccionar el dispositivo en la lista para abrir su control remoto y, a continuación, seleccionar Iniciar investigación automatizada.The security operator can select the device in the list to open its flyout, and then select Initiate Automated Investigation.

Cómo una investigación automatizada expande su ámbitoHow an automated investigation expands its scope

Mientras se ejecuta una investigación, cualquier otra alerta generada desde el dispositivo se agrega a una investigación automatizada en curso hasta que se complete esa investigación.While an investigation is running, any other alerts generated from the device are added to an ongoing automated investigation until that investigation is completed. Además, si se ve la misma amenaza en otros dispositivos, estos dispositivos se agregan a la investigación.In addition, if the same threat is seen on other devices, those devices are added to the investigation.

Si se ve una entidad incriminada en otro dispositivo, el proceso de investigación automatizado amplía su ámbito para incluir ese dispositivo y se inicia un libro de juegos de seguridad general en ese dispositivo.If an incriminated entity is seen in another device, the automated investigation process expands its scope to include that device, and a general security playbook starts on that device. Si se encuentran 10 o más dispositivos durante este proceso de expansión desde la misma entidad, esa acción de expansión requiere una aprobación y está visible en la pestaña Acciones pendientes.If 10 or more devices are found during this expansion process from the same entity, then that expansion action requires an approval, and is visible on the Pending actions tab.

Cómo se corrigen las amenazasHow threats are remediated

A medida que se desencadenan las alertas y se ejecuta una investigación automatizada, se genera un veredicto para cada parte de prueba investigada.As alerts are triggered, and an automated investigation runs, a verdict is generated for each piece of evidence investigated. Verdicts can beVerdicts can be

  • Malintencionada;Malicious;
  • Sospechoso; oSuspicious; or
  • No se han encontrado amenazas.No threats found.

A medida que se alcanzan los veredictos, las investigaciones automatizadas pueden dar lugar a una o más acciones de corrección.As verdicts are reached, automated investigations can result in one or more remediation actions. Entre los ejemplos de acciones de corrección se incluyen el envío de un archivo a la cuarentena, la detención de un servicio, la eliminación de una tarea programada y mucho más.Examples of remediation actions include sending a file to quarantine, stopping a service, removing a scheduled task, and more. Para obtener más información, vea Acciones de corrección.To learn more, see Remediation actions.

Según el nivel de automatización establecido para su organización, así como otras opciones de configuración de seguridad, las acciones de corrección pueden producirse automáticamente o solo tras la aprobación del equipo de operaciones de seguridad.Depending on the level of automation set for your organization, as well as other security settings, remediation actions can occur automatically or only upon approval by your security operations team. La configuración de seguridad adicional que puede afectar a la corrección automática incluye la protección de aplicaciones potencialmente no deseadas (PUA).Additional security settings that can affect automatic remediation include protection from potentially unwanted applications (PUA).

Todas las acciones de corrección, ya sean pendientes o completadas, se realiza un seguimiento en el Centro de acciones.All remediation actions, whether pending or completed, are tracked in the Action center. Si es necesario, el equipo de operaciones de seguridad puede deshacer una acción de corrección.If necessary, your security operations team can undo a remediation action. Para obtener más información, vea Review and approve remediation actions following an automated investigation.To learn more, see Review and approve remediation actions following an automated investigation.

Sugerencia

Consulte la nueva página de investigación unificada en el Centro de seguridad de Microsoft 365.Check out the new, unified investigation page in the Microsoft 365 security center. Para obtener más información, vea (¡NUEVO!) Página de investigación unificada.To learn more, see (NEW!) Unified investigation page.

Requisitos para AIRRequirements for AIR

Su organización debe tener Defender para endpoint (consulte Requisitos mínimos de Microsoft Defender para endpoint).Your organization must have Defender for Endpoint (see Minimum requirements for Microsoft Defender for Endpoint).

Actualmente, AIR solo admite las siguientes versiones del sistema operativo:Currently, AIR only supports the following OS versions:

  • Windows Server 2019Windows Server 2019
  • Windows 10, versión 1709 (compilación del sistema operativo 16299.1085 con KB4493441)o posteriorWindows 10, version 1709 (OS Build 16299.1085 with KB4493441) or later
  • Windows 10, versión 1803 (compilación del sistema operativo 17134.704 con KB4493464)o posteriorWindows 10, version 1803 (OS Build 17134.704 with KB4493464) or later
  • Windows 10, versión 1803 o posteriorWindows 10, version 1803 or later

Pasos siguientesNext steps

Vea tambiénSee also