Configurar capacidades automatizadas de investigación y respuesta en Microsoft 365 DefenderConfigure automated investigation and response capabilities in Microsoft 365 Defender

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Microsoft 365 Defender incluye potentes capacidades automatizadas de investigación y respuesta que pueden ahorrar mucho tiempo y esfuerzo al equipo de operaciones de seguridad.Microsoft 365 Defender includes powerful automated investigation and response capabilities that can save your security operations team much time and effort. Con la recuperación automática,estas capacidades imitan los pasos que un analista de seguridad tomaría para investigar y responder a las amenazas, solo más rápido y con más capacidad para escalar.With self-healing, these capabilities mimic the steps a security analyst would take to investigate and respond to threats, only faster, and with more ability to scale. En este artículo se describe cómo configurar la investigación y respuesta automatizadas en Microsoft 365 Defender.This article describes how to configure automated investigation and response in Microsoft 365 Defender.

Para configurar las capacidades automatizadas de investigación y respuesta, siga estos pasos:To configure automated investigation and response capabilities, follow these steps:

  1. Revise los requisitos previos.Review the prerequisites.
  2. Revisar o cambiar el nivel de automatización de los grupos de dispositivos.Review or change the automation level for device groups.
  3. Revise las directivas de seguridad y alertas en Office 365.Review your security and alert policies in Office 365.
  4. Asegúrese de que Microsoft 365 Defender está activado.Make sure Microsoft 365 Defender is turned on.

A continuación, una vez configurado todo, vea y administre las acciones en el Centro de acciones.Then, after you're all set up, View and manage actions in the Action center.

Requisitos previos para la investigación automatizada y la respuesta en Microsoft 365 DefenderPrerequisites for automated investigation and response in Microsoft 365 Defender

RequisitoRequirement DetallesDetails
Requisitos de suscripciónSubscription requirements Una de estas suscripciones:One of these subscriptions:
- Microsoft 365 E5- Microsoft 365 E5
- Microsoft 365 A5- Microsoft 365 A5
- Seguridad de Microsoft 365 E5- Microsoft 365 E5 Security
- Seguridad de Microsoft 365 A5- Microsoft 365 A5 Security
- Office 365 E5 más Enterprise Mobility + Security E5 más Windows E5- Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Consulte Requisitos de licencias de Microsoft 365 Defender.See Microsoft 365 Defender licensing requirements.

Requisitos de redNetwork requirements - Microsoft Defender para identidad habilitado- Microsoft Defender for Identity enabled
- Microsoft Cloud App Security configurado- Microsoft Cloud App Security configured
- Integración de Microsoft Defender para identidades- Microsoft Defender for Identity integration
Requisitos de Windows del equipoWindows machine requirements - Windows 10, versión 1709 o posterior instalado (consulte Información sobre la versión de Windows 10)- Windows 10, version 1709 or later installed (See Windows 10 release information)
- Los siguientes servicios de protección contra amenazas configurados:- The following threat protection services configured:
- Microsoft Defender para endpoint- Microsoft Defender for Endpoint
- Microsoft Defender Antivirus- Microsoft Defender Antivirus
Protección para contenido de correo electrónico y archivos de OfficeProtection for email content and Office files Microsoft Defender para Office 365 configuradoMicrosoft Defender for Office 365 configured
PermisosPermissions Para configurar las capacidades automatizadas de investigación y respuesta, debe tener asignado el rol Administrador global o Administrador de seguridad en Azure Active Directory ( ) o en el Centro de administración de https://portal.azure.com Microsoft 365 ( https://admin.microsoft.com ).To configure automated investigation and response capabilities, you must have the Global Administrator or Security Administrator role assigned in either Azure Active Directory (https://portal.azure.com) or in the Microsoft 365 admin center (https://admin.microsoft.com).

Para obtener los permisos necesarios para trabajar con capacidades automatizadas de investigación y respuesta, como revisar, aprobar o rechazar acciones pendientes,vea Permisos necesarios para las tareas del Centro de acciones .To get the permissions needed to work with automated investigation and response capabilities, such as reviewing, approving, or rejecting pending actions, see Required permissions for Action center tasks.

Revisar o cambiar el nivel de automatización de los grupos de dispositivosReview or change the automation level for device groups

Si las investigaciones automatizadas se ejecutan y si las acciones de corrección se toman automáticamente o solo tras la aprobación de los dispositivos dependen de determinadas configuraciones, como las directivas de grupo de dispositivos de la organización.Whether automated investigations run, and whether remediation actions are taken automatically or only upon approval for your devices depend on certain settings, such as your organization's device group policies. Revisa el conjunto de niveles de automatización de las directivas de grupo de dispositivos.Review the automation level set for your device group policies.

  1. Vaya al Centro de seguridad de Microsoft Defender ( https://securitycenter.windows.com ) e inicie sesión.Go to the Microsoft Defender Security Center (https://securitycenter.windows.com) and sign in.
  2. Ve a Configuración > Permisos Grupos de > dispositivos.Go to Settings > Permissions > Device groups.
  3. Revisa las directivas de grupo de dispositivos.Review your device group policies. En concreto, vea la columna Nivel de corrección.In particular, look at the Remediation level column. Se recomienda usar Full- remediar las amenazas automáticamente.We recommend using Full - remediate threats automatically. Es posible que deba crear o editar los grupos de dispositivos para obtener el nivel de automatización que desee.You might need to create or edit your device groups to get the level of automation you want. Para obtener ayuda con esta tarea, consulte los artículos siguientes:To get help with this task, see the following articles:

Revisar las directivas de seguridad y alertas en Office 365Review your security and alert policies in Office 365

Microsoft proporciona directivas de alerta integradas que ayudan a identificar ciertos riesgos.Microsoft provides built-in alert policies that help identify certain risks. Estos riesgos incluyen el uso indebido de permisos de administrador de Exchange, la actividad de malware, las posibles amenazas externas e internas y los riesgos de gobierno de la información.These risks include Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. Algunas alertas pueden desencadenar la investigación automatizada y la respuesta en Office 365.Some alerts can trigger automated investigation and response in Office 365. Asegúrese de que las características de Microsoft Defender para Office 365 estén configuradas correctamente.Make sure your Microsoft Defender for Office 365 features are configured correctly.

Aunque ciertas alertas y directivas de seguridad pueden desencadenar investigaciones automatizadas, no se realiza ninguna acción de corrección automáticamente para el correo electrónico y el contenido.Although certain alerts and security policies can trigger automated investigations, no remediation actions are taken automatically for email and content. En su lugar, todas las acciones de corrección del contenido de correo electrónico y correo electrónico esperan la aprobación del equipo de operaciones de seguridad en el Centro de acciones.Instead, all remediation actions for email and email content await approval by your security operations team in the Action center.

La configuración de seguridad en Office 365 ayuda a proteger el correo electrónico y el contenido.Security settings in Office 365 help protect email and content. Para ver o cambiar esta configuración, siga las instrucciones de Proteger contra amenazas.To view or change these settings, follow the guidance in Protect against threats.

  1. En el Centro de seguridad de Microsoft 365 ( https://security.microsoft.com ), vaya a Directivas Protección > contra amenazas.In the Microsoft 365 security center (https://security.microsoft.com), go to Policies > Threat protection.
  2. Asegúrese de que todas las directivas siguientes están configuradas.Make sure all of the following policies are configured. Para obtener ayuda y recomendaciones, vea Protect against threats.To get help and recommendations, see Protect against threats.
  3. Asegúrese de que Microsoft Defender para Office 365 para SharePoint, OneDrive y Microsoft Teams esté activado.Make sure Microsoft Defender for Office 365 for SharePoint, OneDrive, and Microsoft Teams is turned on.
  4. Asegúrese de que la purga automática de hora cero para la protección de correo electrónico esté en vigor.Make sure zero-hour auto purge for email protection is in effect.
  5. (Este paso es opcional). Revise las directivas de alerta de Office 365 en el Centro de cumplimiento de Microsoft 365 ( https://compliance.microsoft.com/compliancepolicies ).(This step is optional.) Review your Office 365 alert policies in the Microsoft 365 compliance center (https://compliance.microsoft.com/compliancepolicies). Varias directivas de alerta predeterminadas se encuentran en la categoría Administración de amenazas.Several default alert policies are in the Threat management category. Algunas de estas alertas pueden desencadenar una investigación y respuesta automatizadas.Some of these alerts can trigger automated investigation and response. Para obtener más información, vea Directivas de alerta predeterminadas.To learn more, see Default alert policies.

Asegúrese de que Microsoft 365 Defender está activadoMake sure Microsoft 365 Defender is turned on

MTP on

  1. Vaya al Centro de seguridad de Microsoft 365 ( https://security.microsoft.com ) e inicie sesión.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. En el panel de navegación, busque Incidents, Action center y Hunting, como se muestra en la imagen anterior.In the navigation pane, look for Incidents, Action center, and Hunting, as shown in the preceding image.
    • Si ve Incidentes, Centro de acciones y Búsqueda, Microsoft 365 Defender está activado.If you see Incidents, Action center, and Hunting, Microsoft 365 Defender is turned on. Consulta el procedimiento, Revisar o cambiar el nivel de automatización de los grupos de dispositivos (en este artículo).See the procedure, Review or change the automation level for device groups (in this article).
    • Si no ve Incidentes, Centro de acciones o Búsqueda, es posible que Microsoft 365 Defender no esté activado.If you do not see Incidents, Action center, or Hunting, then Microsoft 365 Defender might not be turned on. En este caso, vaya a Visitar el Centro de acciones).In this case, proceed to Visit the Action center).
  3. En el panel de navegación, elija Configuración > de Microsoft 365 Defender.In the navigation pane, choose Settings > Microsoft 365 Defender. Confirme que Microsoft 365 Defender está activado.Confirm that Microsoft 365 Defender is turned on.

Sugerencia

¿Necesita ayuda?Need help? Vea Activar Microsoft 365 Defender.See Turn on Microsoft 365 Defender.

Pasos siguientesNext steps