Información general sobre las investigaciones automatizadas

¿Quiere experimentar ATP de Microsoft defender? Regístrate para obtener una prueba gratuita.

El servicio ATP de Microsoft defender tiene una amplia variedad de visibilidad en varios equipos. Con este tipo de medios ópticos, el servicio genera una gran variedad de alertas. El volumen de alertas generadas puede suponer un reto para que un equipo de operaciones de seguridad típico la solucione individualmente.

Para abordar este desafío, Microsoft defender ATP usa investigaciones automatizadas para reducir significativamente el volumen de alertas que deben investigarse individualmente. La característica de investigación automatizada aprovecha diversos algoritmos de inspección y los procesos que usan los analistas (como guías) para examinar alertas y tomar medidas de corrección inmediatas para resolver las infracciones. Esto reduce significativamente el volumen de las alertas, lo que permite que los expertos en operaciones de seguridad se centren en amenazas más sofisticadas y otras iniciativas de alto valor.

La lista de investigaciones automatizadas muestra todas las investigaciones que se han iniciado automáticamente y muestra otros detalles como su estado, origen de detección y la fecha en la que se inició la investigación.

Comprender el flujo de investigación automatizada

Cómo se inicia la investigación automática

Las entidades son el punto de partida de las investigaciones automatizadas. Cuando una alerta contiene una entidad admitida para la investigación automática (por ejemplo, un archivo) que reside en un equipo que tiene un sistema operativo admitido para investigación automática, se puede iniciar una investigación automática.

Nota

Actualmente, la investigación automática solo admite las siguientes versiones del sistema operativo:

  • Windows 10, versión 1709 (sistema operativo compilación 16299,1085 con KB4493441) o posterior
  • Windows 10, versión 1803 (sistema operativo compilación 17134,704 con KB4493464) o posterior
  • Versiones posteriores de Windows 10

Las alertas comienzan por analizar las entidades admitidas desde la alerta y también ejecuta una guía de máquina genérica para ver si hay algún otro elemento sospechoso en ese equipo. El resultado y los detalles de la investigación se muestran en la vista de investigación automática.

Detalles de una investigación automática

Mientras se lleva a cabo la investigación, podrá ver los detalles de la investigación. Al seleccionar una alerta de activación, se muestra la vista detalles de investigación donde puede dinamizar desde el gráfico de investigación, las alertas, las máquinas, las amenazas, las entidadesy las fichas de registro .

En la pestaña alertas , verá la alerta que inició la investigación.

La ficha máquinas muestra dónde se vio la alerta.

La **** ficha Threats muestra las entidades que se encontraron malintencionadas durante la investigación.

Durante una investigación automatizada, los detalles sobre cada entidad analizada se clasifican en la ficha entidades . Podrá ver la determinación de cada tipo de entidad, por ejemplo, si se determinó que es malintencionado, sospechoso o limpio.

La pestaña registro refleja la vista cronológicamente detallada de todas las acciones de investigación tomadas en la alerta.

Si hay acciones pendientes en la investigación, se mostrará la pestaña acciones pendientes donde puede aprobar o rechazar acciones.

Cómo una investigación automatizada amplía su ámbito

Mientras se ejecuta una investigación, cualquier otra alerta generada desde el equipo se agregará a una investigación automatizada en curso hasta que se complete la investigación. Además, si se ve la misma amenaza en otras máquinas, dichas máquinas se agregan a la investigación.

Si una entidad de incriminada se ve en otro equipo, la investigación automática expandirá la investigación para incluir ese equipo y se iniciará una guía de máquina genérica en ese equipo. Si durante este proceso de expansión se encuentran diez máquinas o más, esta acción de expansión requerirá aprobación y se verá en la vista acciones pendientes .

Cómo se corrigen las amenazas

En función de cómo configure los grupos de máquinas y su nivel de automatización, la investigación automática requerirá la aprobación de usuarios (predeterminado) o la corrección automática de las amenazas.

Puede configurar los siguientes niveles de automatización:

Nivel de automatización Descripción
No protegido Las máquinas no recibirán ninguna investigación automática.
Exigir la aprobación para cualquier corrección Este es el nivel de automatización predeterminado.

Es necesaria una aprobación para cualquier acción de corrección.
Se requiere una aprobación de las carpetas que no sean temporales Es necesaria una aprobación en los archivos o archivos ejecutables que no se encuentran en las carpetas temporales.

Los archivos o los ejecutables de carpetas temporales, como la carpeta de descarga del usuario o la carpeta Temp del usuario, se corregirán automáticamente si es necesario.
Requerir aprobación para la corrección de las carpetas principales Es necesaria una aprobación en los archivos o archivos ejecutables que se encuentran en los directorios del sistema operativo, como la carpeta de Windows y la carpeta archivos de programa.

Si es necesario, los archivos o los archivos ejecutables de todas las demás carpetas se corregirán automáticamente.
Amenazas completas de corrección automática Todas las acciones de corrección se realizarán automáticamente.

Para obtener más información sobre cómo configurar estos niveles de automatización, vea crear y administrar grupos de equipos.

El grupo de equipos predeterminado está configurado para la corrección semiautomática. Esto significa que cualquier entidad malintencionada que necesite ser corregida necesita una aprobación y la investigación se agrega a la sección acciones pendientes , esto se puede cambiar a totalmente automático para que no se necesite aprobación por parte de los usuarios.

Cuando se aprueba una acción pendiente, la entidad se corrige y este nuevo estado se refleja en la pestaña entidades de la investigación.

Tema relacionado