Investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365

• Se aplica a:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Microsoft Defender para Office 365 incluye eficaces funcionalidades de investigación y respuesta automatizadas (AIR) que pueden ahorrar tiempo y esfuerzo al equipo de operaciones de seguridad. A medida que se desencadenan alertas, depende del equipo de operaciones de seguridad revisar, priorizar y responder a esas alertas. Mantenerse al día con el volumen de alertas entrantes puede ser abrumador. Automatizar algunas de esas tareas puede ayudar.

AIR permite al equipo de operaciones de seguridad operar de forma más eficaz y eficaz. Las funcionalidades de AIR incluyen procesos de investigación automatizados en respuesta a amenazas conocidas que existen actualmente. Las acciones de corrección adecuadas esperan la aprobación, lo que permite al equipo de operaciones de seguridad responder eficazmente a las amenazas detectadas. Con AIR, el equipo de operaciones de seguridad puede centrarse en tareas de mayor prioridad sin perder de vista las alertas importantes que se desencadenan.

Este artículo describe:

• El flujo general de AIR;
• Cómo obtener AIR; Y
• Permisos necesarios para configurar o usar funcionalidades de AIR.

En este artículo también se incluyen los pasos siguientes y los recursos para obtener más información.

El flujo general de AIR

Se desencadena una alerta y un cuaderno de estrategias de seguridad inicia una investigación automatizada, lo que da como resultado resultados y acciones recomendadas. Este es el flujo general de AIR, paso a paso:

1. Una investigación automatizada se inicia de una de las siguientes maneras:

   • Una alerta se desencadena por algo sospechoso en el correo electrónico (como un mensaje, datos adjuntos, dirección URL o cuenta de usuario en peligro). Se crea un incidente y comienza una investigación automatizada; O
   • Un analista de seguridad inicia una investigación automatizada mientras usa el Explorador.

2. Mientras se ejecuta una investigación automatizada, recopila datos sobre el correo electrónico en cuestión y las entidades relacionadas con ese correo electrónico (por ejemplo, archivos, direcciones URL y destinatarios). El ámbito de la investigación puede aumentar a medida que se desencadenan alertas nuevas y relacionadas.

3. Durante y después de una investigación automatizada, los detalles y los resultados están disponibles para su visualización. Los resultados pueden incluir acciones recomendadas que se pueden realizar para responder a las amenazas existentes que se encontraron y corregirlas.

4. El equipo de operaciones de seguridad revisa los resultados y las recomendaciones de la investigación, y aprueba o rechaza las acciones de corrección.

5. A medida que se aprueban (o rechazan) las acciones de corrección pendientes, se completa la investigación automatizada.

Nota:

Si la investigación no da lugar a acciones recomendadas, la investigación automatizada se cerrará y los detalles de lo que se ha revisado como parte de la investigación automatizada seguirán estando disponibles en la página de investigación.

En Microsoft Defender para Office 365, no se realizan acciones de corrección automáticamente. Solo se realizan acciones de corrección tras obtener la aprobación del equipo de seguridad de su organización. Las funcionalidades de AIR ahorran tiempo al equipo de operaciones de seguridad mediante la identificación de acciones de corrección y la entrega de los detalles necesarios para tomar una decisión informada.

Durante y después de cada investigación automatizada, el equipo de operaciones de seguridad puede:

• Ver detalles sobre una alerta relacionada con una investigación
• Ver los detalles de los resultados de una investigación
• Revisar y aprobar acciones como resultado de una investigación

Sugerencia

Para obtener información general más detallada, consulte Funcionamiento de AIR.

Cómo obtener AIR

Las funcionalidades de AIR se incluyen en Microsoft Defender para Office 365 plan 2, siempre y cuando el registro de auditoría esté activado (está activado de forma predeterminada).

Además, asegúrese de revisar las directivas de alerta de su organización, especialmente las directivas predeterminadas de la categoría Administración de amenazas.

¿Qué directivas de alerta desencadenan investigaciones automatizadas?

Microsoft 365 proporciona muchas directivas de alertas integradas que ayudan a identificar el abuso de permisos de administrador de Exchange, la actividad de malware, las posibles amenazas externas e internas y los riesgos de gobernanza de la información. Varias de las directivas de alerta predeterminadas pueden desencadenar investigaciones automatizadas. En la tabla siguiente se describen las alertas que desencadenan investigaciones automatizadas, su gravedad en el portal de Microsoft Defender y cómo se generan:

Alerta	Severity	Cómo se genera la alerta
Se detectó un clic de dirección URL potencialmente malintencionado	Alto	Esta alerta se genera cuando se produce cualquiera de las siguientes acciones: Un usuario protegido por vínculos seguros de su organización hace clic en un vínculo malintencionado Los cambios de veredicto de las direcciones URL se identifican mediante Microsoft Defender para Office 365 Los usuarios invalidan las páginas de advertencia de Vínculos seguros (en función de la directiva de vínculos seguros de su organización. Para obtener más información sobre los eventos que desencadenan esta alerta, consulte Configuración de directivas de vínculos seguros.
Un usuario notifica un mensaje de correo electrónico como malware o phish	Baja	Esta alerta se genera cuando los usuarios de su organización notifican mensajes como correo electrónico de suplantación de identidad mediante los complementos Mensaje de informe de Microsoft o Suplantación de identidad de informe.
Mensajes de correo electrónico que contienen archivos malintencionados quitados después de la entrega	Informativo	Esta alerta se genera cuando los mensajes que contienen un archivo malintencionado se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante la purga automática de cero horas (ZAP).
Email mensajes que contienen malware se quitan después de la entrega	Informativo	Esta alerta se genera cuando los mensajes de correo electrónico que contienen malware se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante la purga automática de cero horas (ZAP).
Mensajes de correo electrónico que contienen direcciones URL malintencionadas quitados después de la entrega	Informativo	Esta alerta se genera cuando los mensajes que contienen una dirección URL malintencionada se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante la purga automática de cero horas (ZAP).
Email mensajes que contienen direcciones URL de phish se quitan después de la entrega	Informativo	Esta alerta se genera cuando los mensajes que contienen phish se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante ZAP.
Se detectan patrones de envío de correo electrónico sospechosos	Medio	Esta alerta se genera cuando alguien de su organización ha enviado un correo electrónico sospechoso y corre el riesgo de que se le restrinja el envío de correo electrónico. La alerta es una advertencia temprana para el comportamiento que podría indicar que la cuenta está en peligro, pero no lo suficientemente grave como para restringir al usuario. Aunque es poco frecuente, una alerta generada por esta directiva puede ser una anomalía. Sin embargo, es una buena idea comprobar si la cuenta de usuario está en peligro.
Un usuario tiene restringido el envío de correo electrónico.	Alto	Esta alerta se genera cuando a alguien de su organización se le restringe el envío de correo saliente. Esta alerta suele producirse cuando una cuenta de correo electrónico está en peligro. Para obtener más información sobre los usuarios restringidos, vea Quitar usuarios bloqueados de la página Entidades restringidas.
Administración investigación manual desencadenada del correo electrónico	Informativo	Esta alerta se genera cuando un administrador desencadena la investigación manual de un correo electrónico desde el Explorador de amenazas. Esta alerta notifica a la organización que se inició la investigación.
Administración investigación de riesgo de usuario desencadenada	Medio	Esta alerta se genera cuando un administrador desencadena la investigación de riesgo manual del usuario de un remitente o destinatario de correo electrónico desde el Explorador de amenazas. Esta alerta notifica a su organización que se inició la investigación de riesgo del usuario.

Sugerencia

Para obtener más información sobre las directivas de alerta o editar la configuración predeterminada, consulte Directivas de alerta en el portal de Microsoft Defender.

Permisos necesarios para usar las funcionalidades de AIR

Debe tener asignados permisos para usar AIR. Tiene las siguientes opciones:

• Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (solo afecta al portal de Defender, no a PowerShell):

  • Inicie una investigación automatizada o apruebe o rechace las acciones recomendadas: Operador de seguridad o Email acciones de corrección avanzadas (administrar).

• Email & permisos de colaboración en el portal de Microsoft Defender:

  • Configuración de características de AIR: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad .
  • Inicie una investigación automatizada o apruebe o rechace las acciones recomendadas:
    • Pertenencia a los grupos de roles Administración de la organización, Administrador de seguridad, Operador de seguridad, Lector de seguridad o Lector global . y
    • Pertenencia a un grupo de roles con el rol Búsqueda y Purga asignado. De forma predeterminada, este rol se asigna a los grupos de roles Investigador de datos y Administración de la organización . O bien, puede crear un grupo de roles personalizado para asignar el rol Búsqueda y Purgar.

• Microsoft Entra permisos:

  • Configuración de las características de AIR Pertenencia a los roles Administrador global o Administrador de seguridad .
  • Inicie una investigación automatizada o apruebe o rechace las acciones recomendadas:
    • Pertenencia a los roles Administrador global, Administrador de seguridad, Operador de seguridad, Lector de seguridad o Lector global . y
    • Pertenencia a un grupo de roles de colaboración Email & con el rol Búsqueda y Purga asignado. De forma predeterminada, este rol se asigna a los grupos de roles Investigador de datos y Administración de la organización . O bien, puede crear un grupo de roles de colaboración Email & personalizado para asignar el rol Búsqueda y Purgar.

  Microsoft Entra permisos proporcionan a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.

Licencias necesarias

Microsoft Defender para Office 365 licencias del plan 2 deben asignarse a:

• Administradores de seguridad (incluidos los administradores globales)
• El equipo de operaciones de seguridad de su organización (incluidos los lectores de seguridad y los que tienen el rol Búsqueda y Purga)
• Usuarios finales

Pasos siguientes

• Introducción al uso de AIR
• Ver detalles y resultados de una investigación automatizada
• Revisión y aprobación de acciones pendientes
• Ver acciones de corrección pendientes o completadas