Acciones de corrección en Microsoft 365 DefenderRemediation actions in Microsoft 365 Defender

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Durante y después de una investigación automatizada en Microsoft 365 Defender, las acciones de corrección se identifican para elementos malintencionados o sospechosos.During and after an automated investigation in Microsoft 365 Defender, remediation actions are identified for malicious or suspicious items. Algunos tipos de acciones de corrección se toman en dispositivos, también denominados puntos de conexión.Some kinds of remediation actions are taken on devices, also referred to as endpoints. Otras acciones de corrección se toman en el contenido del correo electrónico.Other remediation actions are taken on email content. Las investigaciones automatizadas se completan después de que se realicen, aprueben o rechacen las acciones de corrección.Automated investigations complete after remediation actions are taken, approved, or rejected.

Importante

Si las acciones de corrección se toman automáticamente o solo tras la aprobación depende de determinadas configuraciones, como el modo en que los niveles de automatización.Whether remediation actions are taken automatically or only upon approval depends on certain settings, such as how automation levels. Para obtener más información, consulte los artículos siguientes:To learn more, see the following articles:

En la tabla siguiente se resumen las acciones de corrección que se admiten actualmente en Microsoft 365 Defender.The following table summarizes remediation actions that are currently supported in Microsoft 365 Defender.

Acciones de corrección del dispositivo (punto de conexión)Device (endpoint) remediation actions Acciones de corrección de correo electrónicoEmail remediation actions
- Recopilar paquete de investigación- Collect investigation package
- Aislar dispositivo (esta acción se puede deshacer)- Isolate device (this action can be undone)
- Máquina offboard- Offboard machine
- Ejecución de código de lanzamiento- Release code execution
- Liberar de cuarentena- Release from quarantine
- Ejemplo de solicitud- Request sample
- Restringir la ejecución de código (esta acción se puede deshacer)- Restrict code execution (this action can be undone)
- Ejecutar examen antivirus- Run antivirus scan
- Detener y poner en cuarentena- Stop and quarantine
- Dirección URL de bloqueo (hora de hacer clic)- Block URL (time-of-click)
- Eliminar mensajes de correo electrónico o clústeres- Soft delete email messages or clusters
- Correo electrónico en cuarentena- Quarantine email
- Poner en cuarentena datos adjuntos de correo electrónico- Quarantine an email attachment
- Desactivar el reenvío de correo externo- Turn off external mail forwarding

Las acciones de corrección, ya sean pendientes de aprobación o ya completadas, se pueden ver en el Centro de acciones.Remediation actions, whether pending approval or already complete, can be viewed in the Action center.

Acciones de corrección que siguen investigaciones automatizadasRemediation actions that follow automated investigations

Cuando se completa una investigación automatizada, se llega a un veredicto para cada elemento de prueba implicado.When an automated investigation completes, a verdict is reached for every piece of evidence involved. Según el veredicto, se identifican las acciones de corrección.Depending on the verdict, remediation actions are identified. En algunos casos, las acciones correctivas se toman automáticamente, en otros casos, las acciones correctivas esperan aprobación.In some cases, remediation actions are taken automatically; in other cases, remediation actions await approval. Todo depende de cómo se configure la investigación automatizada y la respuesta.It all depends on how automated investigation and response is configured.

En la tabla siguiente se muestran los posibles resultados:The following table lists possible verdicts and outcomes:

VeredictoVerdict Entidades afectadasAffected entities ResultadosOutcomes
MalintencionadoMalicious Dispositivos (puntos de conexión)Devices (endpoints) Las acciones de corrección se toman automáticamente (suponiendo que los grupos de dispositivos de la organización estén establecidos en Full - remediar las amenazas automáticamente)Remediation actions are taken automatically (assuming your organization's device groups are set to Full - remediate threats automatically)
MalintencionadoMalicious Contenido de correo electrónico (URL y datos adjuntos)Email content (URLs or attachments) Acciones de corrección recomendadas pendientes de aprobaciónRecommended remediation actions are pending approval
SospechosoSuspicious Dispositivos o contenido de correo electrónicoDevices or email content Acciones de corrección recomendadas pendientes de aprobaciónRecommended remediation actions are pending approval
No se encontraron amenazasNo threats found Dispositivos o contenido de correo electrónicoDevices or email content No es necesario realizar ninguna acción correctivaNo remediation actions are needed

Acciones de corrección que se toman manualmenteRemediation actions that are taken manually

Además de las acciones de corrección que siguen investigaciones automatizadas, el equipo de operaciones de seguridad puede realizar determinadas acciones de corrección manualmente.In addition to remediation actions that follow automated investigations, your security operations team can take certain remediation actions manually. Entre ellas se incluyen las siguientes:These include the following:

  • Acción manual del dispositivo, como aislamiento del dispositivo o cuarentena de archivosManual device action, such as device isolation or file quarantine
  • Acción de correo electrónico manual, como la eliminación suave de mensajes de correo electrónicoManual email action, such as soft-deleting email messages
  • Acción de búsqueda avanzada en dispositivos o correo electrónicoAdvanced hunting action on devices or email
  • Acción del explorador en el contenido de correo electrónico, como mover correo electrónico a correo no deseado, eliminar correo electrónico de forma suave o eliminar correo electrónico de forma permanenteExplorer action on email content, such as moving email to junk, soft-deleting email, or hard-deleting email
  • Acción de respuesta en directo manual, como eliminar un archivo, detener un proceso y quitar una tarea programadaManual live response action, such as deleting a file, stopping a process, and removing a scheduled task
  • Acción de respuesta en directo con Microsoft Defender para APIde punto de conexión, como aislar un dispositivo, ejecutar un examen antivirus y obtener información sobre un archivoLive response action with Microsoft Defender for Endpoint APIs, such as isolating a device, running an antivirus scan, and getting information about a file

Pasos siguientesNext steps