Solucionar problemas de respuesta en directo de Microsoft Defender para puntos de conexiónTroubleshoot Microsoft Defender for Endpoint live response issues

Se aplica a:Applies to:

¿Desea experimentar Defender for Endpoint?Want to experience Defender for Endpoint? Regístrate para obtener una versión de prueba gratuita.Sign up for a free trial.

En esta página se proporcionan pasos detallados para solucionar problemas de respuesta en directo.This page provides detailed steps to troubleshoot live response issues.

No se puede tener acceso al archivo durante las sesiones de respuesta en directoFile cannot be accessed during live response sessions

Si al intentar realizar una acción durante una sesión de respuesta en directo, se produce un mensaje de error que indica que no se puede tener acceso al archivo, deberá seguir los pasos siguientes para solucionar el problema.If while trying to take an action during a live response session, you encounter an error message stating that the file can't be accessed, you'll need to use the steps below to address the issue.

  1. Copie el siguiente fragmento de código de script y guárdelo como un archivo PS1:Copy the following script code snippet and save it as a PS1 file:

    $copied_file_path=$args[0] 
    $action=Copy-Item $copied_file_path -Destination $env:TEMP -PassThru -ErrorAction silentlyContinue
    
    if ($action){
         Write-Host "You copied the file specified in $copied_file_path to $env:TEMP Succesfully"
    }
    
    else{
        Write-Output "Error occoured while trying to copy a file, details:"
        Write-Output  $error[0].exception.message
    
    }
    
  2. Agregue el script a la biblioteca de respuestas en directo.Add the script to the live response library.

  3. Ejecute el script con un parámetro: la ruta de acceso del archivo que se va a copiar.Run the script with one parameter: the file path of the file to be copied.

  4. Vaya a la carpeta TEMP.Navigate to your TEMP folder.

  5. Ejecute la acción que desea realizar en el archivo copiado.Run the action you wanted to take on the copied file.

Retrasos o sesiones de respuesta en directo lentas durante las conexiones inicialesSlow live response sessions or delays during initial connections

La respuesta en directo aprovecha el registro del sensor defender para puntos de conexión con el servicio WNS en Windows.Live response leverages Defender for Endpoint sensor registration with WNS service in Windows. Si tiene problemas de conectividad con la respuesta en directo, confirme los siguientes detalles:If you are having connectivity issues with live response, confirm the following details:

  1. notify.windows.com no está bloqueado en el entorno.notify.windows.com is not blocked in your environment. Para obtener más información, vea Configure device proxy and Internet connectivity settings.For more information, see, Configure device proxy and Internet connectivity settings.
  2. WpnService (Windows Push Notifications System Service) no está deshabilitado.WpnService (Windows Push Notifications System Service) is not disabled.

Consulte los artículos siguientes para comprender completamente el comportamiento y los requisitos del servicio WpnService:Refer to the articles below to fully understand the WpnService service behavior and requirements: