Usar el modo auditoría

Se aplica a:

Puede habilitar las reglas de reducción de la superficie de ataques, la protección de vulnerabilidad, la protección de red y el acceso controlado a la carpeta en modo auditoría. Esto te permite ver un registro de lo que habría sucedido si hubieras tenido activada la función.

Es posible que desee realizar esta acción cuando pruebe cómo funcionarán las características de su organización, para asegurarse de que no afecte a las aplicaciones de línea de negocio y para hacerse una idea de cuántos intentos de modificación de archivos sospechosos suelen producirse durante un período determinado.

Mientras que las funciones no bloquearán las aplicaciones, scripts o archivos, ni evitarán que se modifiquen, el registro de eventos de Windows registrará los eventos como si las funciones hubieran estado completamente habilitadas. Esto significa que se puede habilitar el modo auditoría y luego revisar el registro de eventos para ver qué impacto tendría la función si hubiera estado habilitada.

Para encontrar las entradas auditadas, vaya a aplicaciones y servicios > Microsoft > Windows > Windows Defender > Operational.

Puede usar la protección contra amenazas avanzada de Windows Defender para obtener más detalles para cada evento, especialmente para investigar las reglas de reducción de superficie de ataque. El uso de la consola de ATP de Microsoft defender le permite investigar problemas como parte de los escenarios de escala de tiempo y de investigación.

Este tema proporciona vínculos que describen cómo habilitar la funcionalidad de auditoría para cada función y cómo ver eventos en el Visor de eventos de Windows.

Puede usar la Directiva de grupo, PowerShell y proveedores de servicios de configuración (CSP) para habilitar el modo de auditoría.

Sugerencia

También puedes visitar el sitio web de base de pruebas de Windows Defender en demo.wd.microsoft.com para confirmar que las funciones estén actuando y ver cómo funcionan.

Opciones de auditoría Cómo habilitar el modo auditoría Cómo ver eventos
La auditoría se aplica a todos los eventos Habilitar el acceso controlado a carpetas Eventos de Acceso controlado a carpetas
La auditoría se aplica a reglas individuales Habilitar las reglas de reducción de superficie de ataque Eventos de la regla de reducción de superficie de ataques
La auditoría se aplica a todos los eventos Habilitar protección de red Eventos de Protección de red
La auditoría se aplica a mitigaciones individuales Habilitar la protección contra vulnerabilidades Eventos de Protección contra vulnerabilidades

Temas relacionados