Investigar dispositivos en la lista Microsoft Defender para dispositivos de punto de conexiónInvestigate devices in the Microsoft Defender for Endpoint Devices list

Se aplica a:Applies to:

¿Desea experimentar Defender for Endpoint?Want to experience Defender for Endpoint? Regístrate para obtener una versión de prueba gratuita.Sign up for a free trial.

Investigue los detalles de una alerta que se genera en un dispositivo específico para identificar otros comportamientos o eventos que puedan estar relacionados con la alerta o el ámbito potencial de la infracción.Investigate the details of an alert raised on a specific device to identify other behaviors or events that might be related to the alert or the potential scope of the breach.

Nota

Como parte del proceso de investigación o respuesta, puedes recopilar un paquete de investigación desde un dispositivo.As part of the investigation or response process, you can collect an investigation package from a device. Este es el modo: Recopilar paquete de investigación de dispositivos.Here's how: Collect investigation package from devices.

Puedes hacer clic en los dispositivos afectados siempre que los veas en el portal para abrir un informe detallado sobre ese dispositivo.You can click on affected devices whenever you see them in the portal to open a detailed report about that device. Los dispositivos afectados se identifican en las siguientes áreas:Affected devices are identified in the following areas:

Cuando investigues un dispositivo específico, verás lo siguiente:When you investigate a specific device, you'll see:

  • Detalles del dispositivoDevice details
  • Acciones de respuestaResponse actions
  • Pestañas (información general, alertas, escala de tiempo, recomendaciones de seguridad, inventario de software, vulnerabilidades detectadas, KB ausentes)Tabs (overview, alerts, timeline, security recommendations, software inventory, discovered vulnerabilities, missing KBs)
  • Tarjetas (alertas activas, usuarios que han iniciado sesión, evaluación de seguridad)Cards (active alerts, logged on users, security assessment)

Imagen de la vista de dispositivo

Detalles del dispositivoDevice details

La sección detalles del dispositivo proporciona información como el dominio, el sistema operativo y el estado de mantenimiento del dispositivo.The device details section provides information such as the domain, OS, and health state of the device. Si hay un paquete de investigación disponible en el dispositivo, verás un vínculo que te permite descargar el paquete.If there's an investigation package available on the device, you'll see a link that allows you to download the package.

Acciones de respuestaResponse actions

Las acciones de respuesta se ejecutan en la parte superior de una página de dispositivo específica e incluyen:Response actions run along the top of a specific device page and include:

  • Administrar etiquetasManage tags
  • Aislar dispositivoIsolate device
  • Restringir ejecución de aplicaciónRestrict app execution
  • Ejecutar examen antivirusRun antivirus scan
  • Recopilar paquete de investigaciónCollect investigation package
  • Iniciar sesión de respuesta activaInitiate Live Response Session
  • Iniciar investigación automatizadaInitiate automated investigation
  • Consultar a un experto en amenazasConsult a threat expert
  • Centro de actividadesAction center

Puedes realizar acciones de respuesta en el Centro de acciones, en una página de dispositivo específica o en una página de archivo específica.You can take response actions in the Action center, in a specific device page, or in a specific file page.

Para obtener más información sobre cómo realizar acciones en un dispositivo, consulta Realizar acción de respuesta en un dispositivo.For more information on how to take action on a device, see Take response action on a device.

Para obtener más información, vea Investigar entidades de usuario.For more information, see Investigate user entities.

PestañasTabs

Las pestañas proporcionan información de seguridad y prevención de amenazas relevante relacionada con el dispositivo.The tabs provide relevant security and threat prevention information related to the device. En cada pestaña, puede personalizar las columnas que se muestran seleccionando Personalizar columnas de la barra encima de los encabezados de columna.In each tab, you can customize the columns that are shown by selecting Customize columns from the bar above the column headers.

Información generalOverview

La pestaña Información general muestra las tarjetas para las alertas activas, los usuarios que han iniciado sesión y la evaluación de seguridad.The Overview tab displays the cards for active alerts, logged on users, and security assessment.

Imagen de la pestaña información general en la página del dispositivo

AlertasAlerts

La pestaña Alertas proporciona una lista de alertas asociadas con el dispositivo.The Alerts tab provides a list of alerts that are associated with the device. Esta lista es una versión filtrada de la cola de alertas y muestra una breve descripción de la alerta, gravedad (alta, media, baja, informativo), estado de la cola (nuevo, en curso, resuelto), clasificación (no establecida, alerta falsa, alerta verdadera), estado de investigación, categoría de alerta, quién está abordando la alerta y última actividad.This list is a filtered version of the Alerts queue, and shows a short description of the alert, severity (high, medium, low, informational), status in the queue (new, in progress, resolved), classification (not set, false alert, true alert), investigation state, category of alert, who is addressing the alert, and last activity. También puede filtrar las alertas.You can also filter the alerts.

Imagen de alertas relacionadas con el dispositivo

Cuando se selecciona el icono de círculo situado a la izquierda de una alerta, aparece un desplegable.When the circle icon to the left of an alert is selected, a fly-out appears. Desde este panel puede administrar la alerta y ver más detalles, como el número de incidente y los dispositivos relacionados.From this panel you can manage the alert and view more details such as incident number and related devices. Se pueden seleccionar varias alertas a la vez.Multiple alerts can be selected at a time.

Para ver una vista de página completa de una alerta, incluido el gráfico de incidentes y el árbol de procesos, seleccione el título de la alerta.To see a full page view of an alert including incident graph and process tree, select the title of the alert.

Escala de tiempoTimeline

La pestaña Escala de tiempo proporciona una vista cronológica de los eventos y alertas asociadas que se han observado en el dispositivo.The Timeline tab provides a chronological view of the events and associated alerts that have been observed on the device. Esto puede ayudarte a correlacionar cualquier evento, archivo y direcciones IP en relación con el dispositivo.This can help you correlate any events, files, and IP addresses in relation to the device.

La escala de tiempo también permite profundizar selectivamente en los eventos que se produjeron en un período de tiempo determinado.The timeline also enables you to selectively drill down into events that occurred within a given time period. Puedes ver la secuencia temporal de eventos que se produjeron en un dispositivo durante un período de tiempo seleccionado.You can view the temporal sequence of events that occurred on a device over a selected time period. Para controlar aún más la vista, puede filtrar por grupos de eventos o personalizar las columnas.To further control your view, you can filter by event groups or customize the columns.

Nota

Para que se muestren eventos de firewall, deberá habilitar la directiva de auditoría, consulte Audit Filtering Platform connection.For firewall events to be displayed, you'll need to enable the audit policy, see Audit Filtering Platform connection. Firewall cubre los siguientes eventosFirewall covers the following events

  • 5025: servicio de firewall detenido5025 - firewall service stopped
  • 5031: aplicación bloqueada para no aceptar conexiones entrantes en la red5031 - application blocked from accepting incoming connections on the network
  • 5157: conexión bloqueada5157 - blocked connection

Imagen de la escala de tiempo del dispositivo con eventos

Algunas de las funciones incluyen:Some of the functionality includes:

  • Buscar eventos específicosSearch for specific events
    • Use la barra de búsqueda para buscar eventos de escala de tiempo específicos.Use the search bar to look for specific timeline events.
  • Filtrar eventos de una fecha específicaFilter events from a specific date
    • Seleccione el icono de calendario de la parte superior izquierda de la tabla para mostrar los eventos del último día, semana, 30 días o intervalo personalizado.Select the calendar icon in the upper left of the table to display events in the past day, week, 30 days, or custom range. De forma predeterminada, la escala de tiempo del dispositivo está configurada para mostrar los eventos de los últimos 30 días.By default, the device timeline is set to display the events from the past 30 days.
    • Use la escala de tiempo para saltar a un momento específico en el tiempo resaltando la sección.Use the timeline to jump to a specific moment in time by highlighting the section. Las flechas de la escala de tiempo localizan investigaciones automatizadasThe arrows on the timeline pinpoint automated investigations
  • Exportar eventos detallados de escala de tiempo del dispositivoExport detailed device timeline events
    • Exporte la escala de tiempo del dispositivo para la fecha actual o un intervalo de fechas especificado hasta siete días.Export the device timeline for the current date or a specified date range up to seven days.

En la sección Información adicional se proporcionan más detalles sobre determinados eventos.More details about certain events are provided in the Additional information section. Estos detalles varían según el tipo de evento, por ejemplo:These details vary depending on the type of event, for example:

  • Contenido por Application Guard: el evento del explorador web estaba restringido por un contenedor aisladoContained by Application Guard - the web browser event was restricted by an isolated container
  • Amenaza activa detectada: la detección de amenazas se produjo mientras se ejecutaba la amenazaActive threat detected - the threat detection occurred while the threat was running
  • Corrección sin éxito: se invocó un intento de corregir la amenaza detectada, pero se fallóRemediation unsuccessful - an attempt to remediate the detected threat was invoked but failed
  • Corrección correcta: la amenaza detectada se detuvo y se limpióRemediation successful - the detected threat was stopped and cleaned
  • Advertencia omitida por el usuario: la advertencia Windows Defender SmartScreen fue descartada e invalidada por un usuarioWarning bypassed by user - the Windows Defender SmartScreen warning was dismissed and overridden by a user
  • Script sospechoso detectado: se encontró un script potencialmente malintencionado en ejecuciónSuspicious script detected - a potentially malicious script was found running
  • La categoría de alerta: si el evento condujo a la generación de una alerta, se proporciona la categoría de alerta ("Movimiento lateral", por ejemplo)The alert category - if the event led to the generation of an alert, the alert category ("Lateral Movement", for example) is provided

Detalles del eventoEvent details

Seleccione un evento para ver los detalles relevantes sobre ese evento.Select an event to view relevant details about that event. Se muestra un panel para mostrar información general de eventos.A panel displays to show general event information. Cuando se aplica y los datos están disponibles, también se muestra un gráfico que muestra las entidades relacionadas y sus relaciones.When applicable and data is available, a graph showing related entities and their relationships are also shown.

Para inspeccionar aún más el evento y los eventos relacionados, puede ejecutar rápidamente una consulta de búsqueda avanzada seleccionando Hunt para eventos relacionados.To further inspect the event and related events, you can quickly run an advanced hunting query by selecting Hunt for related events. La consulta devolverá el evento seleccionado y la lista de otros eventos que se produjeron aproximadamente al mismo tiempo en el mismo extremo.The query will return the selected event and the list of other events that occurred around the same time on the same endpoint.

Imagen del panel de detalles del evento

Recomendaciones de seguridadSecurity recommendations

Las recomendaciones de seguridad se generan desde Microsoft Defender para la funcionalidad de administración de & de vulnerabilidades de Endpoint.Security recommendations are generated from Microsoft Defender for Endpoint's Threat & Vulnerability Management capability. Si selecciona una recomendación, se mostrará un panel en el que podrá ver detalles relevantes, como la descripción de la recomendación y los posibles riesgos asociados a no aprobarla.Selecting a recommendation will show a panel where you can view relevant details such as description of the recommendation and the potential risks associated with not enacting it. Consulte Recomendación de seguridad para obtener más información.See Security recommendation for details.

Imagen de la pestaña recomendaciones de seguridad

Inventario de softwareSoftware inventory

La pestaña Inventario de software te permite ver software en el dispositivo, junto con cualquier debilidad o amenaza.The Software inventory tab lets you view software on the device, along with any weaknesses or threats. Seleccionar el nombre del software le llevará a la página de detalles del software donde puede ver recomendaciones de seguridad, vulnerabilidades detectadas, dispositivos instalados y distribución de versiones.Selecting the name of the software will take you to the software details page where you can view security recommendations, discovered vulnerabilities, installed devices, and version distribution. Consulta Inventario de software para obtener más informaciónSee Software inventory for details

Imagen de la pestaña inventario de software

Vulnerabilidades detectadasDiscovered vulnerabilities

La pestaña Vulnerabilidades detectadas muestra el nombre, la gravedad y las perspectivas de amenazas de las vulnerabilidades detectadas en el dispositivo.The Discovered vulnerabilities tab shows the name, severity, and threat insights of discovered vulnerabilities on the device. Al seleccionar vulnerabilidades específicas, se mostrará una descripción y detalles.Selecting specific vulnerabilities will show a description and details.

Imagen de la pestaña vulnerabilidades detectadas

Faltan KBsMissing KBs

En la pestaña KBs que faltan se enumeran las actualizaciones de seguridad que faltan para el dispositivo.The Missing KBs tab lists the missing security updates for the device.

Imagen de la pestaña kbs que falta

TarjetasCards

Alertas activasActive alerts

La tarjeta protección contra amenazas avanzada de Azure mostrará una descripción general de alto nivel de las alertas relacionadas con el dispositivo y su nivel de riesgo, si ha habilitado la característica Microsoft Defender para la identidad y hay alertas activas.The Azure Advanced Threat Protection card will display a high-level overview of alerts related to the device and their risk level, if you have enabled the Microsoft Defender for Identity feature, and there are any active alerts. Encontrará más información en el desglose de "Alertas".More information is available in the "Alerts" drill down.

Imagen de la tarjeta de alertas activas

Nota

Tendrás que habilitar la integración en Microsoft Defender para Identidad y Defender para endpoint para usar esta característica.You'll need to enable the integration on both Microsoft Defender for Identity and Defender for Endpoint to use this feature. En Defender para endpoint, puedes habilitar esta característica en características avanzadas.In Defender for Endpoint, you can enable this feature in advanced features. Para obtener más información sobre cómo habilitar características avanzadas, vea Activar características avanzadas.For more information on how to enable advanced features, see Turn on advanced features.

Usuarios que han iniciado sesiónLogged on users

La tarjeta Usuarios que han iniciado sesión muestra cuántos usuarios han iniciado sesión en los últimos 30 días, junto con los usuarios más y menos frecuentes.The Logged on users card shows how many users have logged on in the past 30 days, along with the most and least frequent users. Al seleccionar el vínculo "Ver todos los usuarios", se abre el panel de detalles, que muestra información como el tipo de usuario, el tipo de inicio de sesión y el momento en que el usuario se vio por primera y última vez.Selecting the "See all users" link opens the details pane, which displays information such as user type, log on type, and when the user was first and last seen. Para obtener más información, vea Investigar entidades de usuario.For more information, see Investigate user entities.

Imagen del panel de detalles del usuario

Evaluaciones de seguridadSecurity assessments

La tarjeta Evaluaciones de seguridad muestra el nivel de exposición general, las recomendaciones de seguridad, el software instalado y las vulnerabilidades detectadas.The Security assessments card shows the overall exposure level, security recommendations, installed software, and discovered vulnerabilities. El nivel de exposición de un dispositivo viene determinado por el impacto acumulado de sus recomendaciones de seguridad pendientes.A device's exposure level is determined by the cumulative impact of its pending security recommendations.

Imagen de la tarjeta de evaluaciones de seguridad