Investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365Automated investigation and response (AIR) in Microsoft Defender for Office 365

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica aApplies to

Microsoft Defender para Office 365 incluye potentes capacidades de investigación y respuesta automatizadas (AIR) que pueden ahorrar tiempo y esfuerzo al equipo de operaciones de seguridad.Microsoft Defender for Office 365 includes powerful automated investigation and response (AIR) capabilities that can save your security operations team time and effort. A medida que se desencadenan las alertas, el equipo de operaciones de seguridad debe revisar, priorizar y responder a dichas alertas.As alerts are triggered, it's up to your security operations team to review, prioritize, and respond to those alerts. Mantenerse al día con el volumen de alertas entrantes puede ser abrumador.Keeping up with the volume of incoming alerts can be overwhelming. Automatizar algunas de estas tareas puede ser de ayuda.Automating some of those tasks can help.

AIR permite que el equipo de operaciones de seguridad funcione de forma más eficaz y eficaz.AIR enables your security operations team to operate more efficiently and effectively. Las capacidades de AIR incluyen procesos de investigación automatizados en respuesta a amenazas conocidas que existen actualmente.AIR capabilities include automated investigation processes in response to well-known threats that exist today. Las acciones de corrección apropiadas esperan su aprobación, lo que permite al equipo de operaciones de seguridad responder eficazmente a las amenazas detectadas.Appropriate remediation actions await approval, enabling your security operations team to respond effectively to detected threats. Con AIR, el equipo de operaciones de seguridad puede centrarse en tareas de mayor prioridad sin perder de vista las alertas importantes que se desencadenan.With AIR, your security operations team can focus on higher-priority tasks without losing sight of important alerts that are triggered.

Este artículo describe:This article describes:

En este artículo también se incluyen los pasos siguientesy los recursos para obtener más información.This article also includes next steps, and resources to learn more.

El flujo general de AIRThe overall flow of AIR

Se desencadena una alerta y un libro de juegos de seguridad inicia una investigación automatizada, lo que da como resultado resultados y acciones recomendadas.An alert is triggered, and a security playbook starts an automated investigation, which results in findings and recommended actions. Este es el flujo general de AIR, paso a paso:Here's the overall flow of AIR, step by step:

  1. Una investigación automatizada se inicia de una de las siguientes maneras:An automated investigation is initiated in one of the following ways:
  2. Mientras se ejecuta una investigación automatizada, recopila datos sobre el correo electrónico en cuestión y las entidades relacionadas con ese correo electrónico.While an automated investigation runs, it gathers data about the email in question and entities related to that email. Estas entidades pueden incluir archivos, direcciones URL y destinatarios.Such entities can include files, URLs, and recipients. El ámbito de la investigación puede aumentar a medida que se desencadenan alertas nuevas y relacionadas.The investigation's scope can increase as new and related alerts are triggered.
  3. Durante y después de una investigación automatizada, los detalles y los resultados están disponibles para ver.During and after an automated investigation, details and results are available to view. Los resultados incluyen acciones recomendadas que se pueden realizar para responder y corregir las amenazas encontradas.Results include recommended actions that can be taken to respond to and remediate any threats that were found.
  4. El equipo de operaciones de seguridad revisa los resultados y recomendaciones dela investigación y aprueba o rechaza las acciones de corrección.Your security operations team reviews the investigation results and recommendations, and approves or rejects remediation actions.
  5. A medida que se aprueban (o rechazan) las acciones de corrección pendientes, se completa la investigación automatizada.As pending remediation actions are approved (or rejected), the automated investigation completes.

En Microsoft Defender para Office 365, no se realiza ninguna acción de corrección automáticamente.In Microsoft Defender for Office 365, no remediation actions are taken automatically. Solo se realizan acciones de corrección tras obtener la aprobación del equipo de seguridad de su organización.Remediation actions are taken only upon approval by your organization's security team. Las capacidades de AIR ahorran tiempo al equipo de operaciones de seguridad identificando acciones de corrección y proporcionando los detalles necesarios para tomar una decisión fundamentada.AIR capabilities save your security operations team time by identifying remediation actions and providing the details needed to make an informed decision.

Durante y después de cada investigación automatizada, el equipo de operaciones de seguridad puede:During and after each automated investigation, your security operations team can:

Sugerencia

Para obtener una introducción más detallada, vea How AIR works.For a more detailed overview, see How AIR works.

Cómo obtener AIRHow to get AIR

Las funcionalidades de AIR se incluyen en Microsoft Defender para Office 365, siempre que se configuren las directivas y las alertas.AIR capabilities are included in Microsoft Defender for Office 365, provided your policies and alerts are configured. ¿Necesita ayuda?Need some help? Siga las instrucciones de Protección contra amenazas para configurar o configurar las siguientes opciones de protección:Follow the guidance in Protect against threats to set up or configure the following protection settings:

Además, asegúrese de revisar lasdirectivas de alerta de su organización, especialmente las directivas predeterminadas en la categoría Administración de amenazas.In addition, make sure to review your organization's alert policies, especially the default policies in the Threat management category.

¿Qué directivas de alerta desencadenan investigaciones automatizadas?Which alert policies trigger automated investigations?

Microsoft 365 proporciona muchas directivas de alerta integradas que ayudan Exchange identificar el uso indebido de permisos de administrador, la actividad de malware, las posibles amenazas externas e internas y los riesgos de gobierno de la información.Microsoft 365 provides many built-in alert policies that help identify Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. Varias de las directivas de alerta predeterminadas pueden desencadenar investigaciones automatizadas.Several of the default alert policies can trigger automated investigations. En la tabla siguiente se describen las alertas que desencadenan investigaciones automatizadas, su gravedad en el portal de Microsoft 365 Defender y cómo se generan:The following table describes the alerts that trigger automated investigations, their severity in the Microsoft 365 Defender portal, and how they're generated:



AlertaAlert GravedadSeverity Cómo se genera la alertaHow the alert is generated
Se detectó un clic de dirección URL potencialmente malintencionadoA potentially malicious URL click was detected AltoHigh Esta alerta se genera cuando se produce cualquiera de las siguientes situaciones:This alert is generated when any of the following occurs:
  • Un usuario protegido por Caja fuerte vínculos de la organización hace clic en un vínculo malintencionadoA user protected by Safe Links in your organization clicks a malicious link
  • Microsoft Defender identifica los cambios de veredicto para las direcciones URL Office 365Verdict changes for URLs are identified by Microsoft Defender for Office 365
  • Los usuarios invalidan Caja fuerte de advertencia vínculos (según la directiva de vínculos de Caja fuerte de la organización).Users override Safe Links warning pages (based on your organization's Safe Links policy).

Para obtener más información sobre los eventos que desencadenan esta alerta, vea Configurar Caja fuerte de vínculos.For more information on events that trigger this alert, see Set up Safe Links policies.

Un usuario notifica un mensaje de correo electrónico como malware o phishAn email message is reported by a user as malware or phish InformativoInformational Esta alerta se genera cuando los usuarios de la organización informan de mensajes como correo electrónico de suplantación de identidad mediante el complemento Report Message o el complemento Report Phishing.This alert is generated when users in your organization report messages as phishing email using the Report Message add-in or the Report Phishing add-in.
Los mensajes de correo electrónico que contienen malware se quitan después de la entregaEmail messages containing malware are removed after delivery InformativoInformational Esta alerta se genera cuando los mensajes de correo electrónico que contienen malware se entregan a los buzones de la organización.This alert is generated when any email messages containing malware are delivered to mailboxes in your organization. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de correo Exchange Online mediante la purga automática de hora cero.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge.
Los mensajes de correo electrónico que contienen direcciones URL de suplantación de identidad se quitan después de la entregaEmail messages containing phish URLs are removed after delivery InformativoInformational Esta alerta se genera cuando los mensajes que contienen phish se entregan a los buzones de la organización.This alert is generated when any messages containing phish are delivered to mailboxes in your organization. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de correo Exchange Online mediante la purga automática de hora cero.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge.
Se detectan patrones de envío de correo electrónico sospechososSuspicious email sending patterns are detected MedioMedium Esta alerta se genera cuando alguien de la organización ha enviado correo electrónico sospechoso y corre el riesgo de que se le restringa el envío de correo electrónico.This alert is generated when someone in your organization has sent suspicious email and is at risk of being restricted from sending email. La alerta es una advertencia anticipada para el comportamiento que puede indicar que la cuenta está en peligro, pero no lo suficientemente grave como para restringir al usuario.The alert is an early warning for behavior that might indicate that the account is compromised, but not severe enough to restrict the user.

Aunque es poco común, una alerta generada por esta directiva puede ser una anomalía.Although it's rare, an alert generated by this policy may be an anomaly. Sin embargo, es una buena idea comprobar si la cuenta de usuario está en peligro.However, it's a good idea to check whether the user account is compromised.

A un usuario se le restringe el envío de correo electrónicoA user is restricted from sending email AltoHigh Esta alerta se genera cuando alguien de la organización tiene restringido el envío de correo saliente.This alert is generated when someone in your organization is restricted from sending outbound mail. Normalmente, esta alerta se produce cuando una cuenta de correo electrónico está en peligro.This alert typically results when an email account is compromised.

Para obtener más información acerca de los usuarios restringidos, vea Remove blocked users from the Restricted Users portal in Microsoft 365.For more information about restricted users, see Remove blocked users from the Restricted Users portal in Microsoft 365.

Sugerencia

Para obtener más información acerca de las directivas de alerta o editar la configuración predeterminada, vea Directivas de alerta en el centro de Microsoft 365 cumplimiento.To learn more about alert policies or edit the default settings, see Alert policies in the Microsoft 365 compliance center.

Permisos necesarios para usar funcionalidades de AIRRequired permissions to use AIR capabilities

Los permisos se conceden a través de determinados roles, como los que se describen en la tabla siguiente:Permissions are granted through certain roles, such as those that are described in the following table:



TareaTask Rol(s) obligatorio(s)Role(s) required
Configurar características de AIRSet up AIR features Uno de los siguientes roles:One of the following roles:
  • Administrador globalGlobal Administrator
  • Administrador de seguridadSecurity Administrator

Estos roles se pueden asignar en Azure Active Directory o en el Centro de seguridad & cumplimiento.These roles can be assigned in Azure Active Directory or in the Security & Compliance Center.

Iniciar una investigación automatizadaStart an automated investigation

--- o ------ or ---

Aprobar o rechazar acciones recomendadasApprove or reject recommended actions

Uno de los siguientes roles, asignados en Azure Active Directory o en el Centro de seguridad & cumplimiento:One of the following roles, assigned in Azure Active Directory or in the Security & Compliance Center:
  • Administrador globalGlobal Administrator
  • Administrador de seguridadSecurity Administrator
  • Operador de seguridadSecurity Operator
  • Lector de seguridadSecurity Reader
    --- y ------ and ---
  • Buscar y purgar (este rol solo se asigna en el Centro de seguridad & cumplimiento.Search and Purge (this role is assigned only in the Security & Compliance Center. Es posible que tenga que crear un nuevo grupo de roles allí y agregar el rol Buscar y purgar a ese nuevo grupo de roles.You might have to create a new role group there and add the Search and Purge role to that new role group.

Licencias necesariasRequired licenses

Las licencias Office 365 plan 2 de Microsoft Defender deben asignarse a:Microsoft Defender for Office 365 Plan 2 licenses should be assigned to:

  • Administradores de seguridad (incluidos los administradores globales)Security administrators (including global administrators)
  • El equipo de operaciones de seguridad de la organización (incluidos los lectores de seguridad y los que tienen el rol Buscar y purgar)Your organization's security operations team (including security readers and those with the Search and Purge role)
  • Usuarios finalesEnd users

Los cambios se realizarán próximamente en el portal de Microsoft 365 DefenderChanges are coming soon in your Microsoft 365 Defender portal

Si ya estás usando las funcionalidades de AIR en Microsoft Defender para Office 365, estás a punto de ver algunos cambios en el portal mejorado de Microsoft 365 Defender.If you're already using AIR capabilities in Microsoft Defender for Office 365, you're about to see some changes in the improved Microsoft 365 Defender portal.

Centro de acciones unificadas

El nuevo y mejorado portal de Microsoft 365 Defender reúne las capacidades de AIR en Microsoft Defender para Office 365 y en Microsoft Defender para endpoint.The new and improved Microsoft 365 Defender portal brings together AIR capabilities in Microsoft Defender for Office 365 and in Microsoft Defender for Endpoint. Con estas actualizaciones y mejoras, su equipo de operaciones de seguridad podrá ver detalles sobre investigaciones automatizadas y acciones de corrección en todos sus correos electrónicos, contenido de colaboración, cuentas de usuario y dispositivos, todo en un mismo sitio.With these updates and improvements, your security operations team will be able to view details about automated investigations and remediation actions across your email, collaboration content, user accounts, and devices, all in one place.

Sugerencia

El nuevo portal Microsoft 365 Microsoft 365 Defender ( https://security.microsoft.com ) reemplaza a los siguientes centros:The new Microsoft 365 Microsoft 365 Defender portal (https://security.microsoft.com) replaces the following centers:

Además de cambiar la dirección URL, hay un nuevo aspecto, diseñado para ofrecer a su equipo de seguridad una experiencia más optimizada, con visibilidad de más detecciones de amenazas en un solo lugar.In addition to the URL changing, there's a new look and feel, designed to give your security team a more streamlined experience, with visibility to more threat detections in one place.

Qué esperarWhat to expect

En la tabla siguiente se enumeran los cambios y mejoras que se han realizado en AIR en Microsoft Defender para Office 365.The following table lists changes and improvements coming to AIR in Microsoft Defender for Office 365.



ElementoItem ¿Qué está cambiando?What's changing?
Página InvestigacionesInvestigations page La página Investigaciones actualizada es más coherente con lo que se ve en Microsoft Defender para endpoint.The updated Investigations page is more consistent with what you see in Microsoft Defender for Endpoint. Verá algunos cambios generales de formato y estilo que se alinean con la nueva vista Investigaciones unificada.You'll see some general format and styling changes that align with the new, unified Investigations view. Por ejemplo, el gráfico de investigación tiene un formato más unificado.For example, the investigation graph has a more unified format.
Pestaña UsuariosUsers tab La pestaña Usuarios ahora es la pestaña Buzones. Los detalles sobre los usuarios se enumeran en la pestaña Buzón de correo.The Users tab is now the Mailboxes tab. Details about users are listed on the Mailbox tab.
Pestaña Correo electrónicoEmail tab Se ha quitado la pestaña Correo electrónico; visite la pestaña Entidades para ver una lista de elementos del clúster de correo electrónico y correo electrónico.The Email tab has been removed; visit the Entities tab to see a list of email and email cluster items.
Pestaña EntidadesEntities tab La pestaña Entidades tiene un estilo de pestaña en pestaña que incluye una vista de resumen total y la capacidad de filtrar por tipo de entidad.The Entities tab has a tab-in-tab style that includes an all-summary view, and the ability to filter by entity type. La pestaña Entidades ahora incluye una opción Ir a buscar, además de la opción Abrir en el Explorador.The Entities tab now includes a Go hunting option in addition to the Open in Explorer option. Ahora puedes usar el Explorador de amenazas o la búsqueda avanzada para buscar entidades y amenazas y filtrar los resultados.You can now use either Threat Explorer or advanced hunting to find entities and threats, and filter on results.
Pestaña AccionesActions tab La pestaña Acciones actualizada ahora incluye una pestaña Acciones pendientes y una pestaña Historial de acciones. Las acciones se pueden aprobar (o rechazar) en un panel lateral que se abre al seleccionar una acción pendiente.The updated Actions tab now includes a Pending actions tab and an Actions history tab. Actions can be approved (or rejected) in a side pane that opens when you select a pending action.
Ficha EvidenciaEvidence tab Una nueva pestaña Evidencia muestra los resultados clave de la entidad relacionados con las acciones.A new Evidence tab shows the key entity findings related to actions. Las acciones relacionadas con cada elemento de evidencia se pueden aprobar (o rechazar) en un panel lateral que se abre al seleccionar una acción pendiente.Actions related to each piece of evidence can be approved (or rejected) in a side pane that opens when you select a pending action.
Centro de actividadesAction center El Centro de acciones actualizado ( ) reúne acciones pendientes y completadas en https://security.microsoft.com/action-center correo electrónico, dispositivos e identidades.The updated Action center (https://security.microsoft.com/action-center) brings together pending and completed actions across email, devices, and identities. Para obtener más información, consulte Centro de acciones.To learn more, see Action center. (Para obtener más información, vea The Action center.)(To learn more, see The Action center.)
Página IncidentesIncidents page La página Incidentes ahora correlaciona varias investigaciones para proporcionar una mejor vista consolidada de las investigaciones.The Incidents page now correlates multiple investigations together to provide a better consolidated view of investigations. (Obtenga más información sobre incidentes.)(Learn more about Incidents.)

Pasos siguientesNext steps