Usar el modo de auditoría

Se aplica a:

Puedes habilitar las reglas de reducción de superficie de ataque, acceso controlado a carpetas en modo auditoría, protección de red y protección contra vulnerabilidades de seguridad. Esto te permite ver un registro de lo que habría sucedido si hubieras tenido activada la función.

Es posible que quieras hacer esto al probar el funcionamiento de las características de la organización, para garantizar que no afecte a las aplicaciones de línea de negocio y para hacerte una idea de modificación de archivos sospechosos cuántos intentos se producen normalmente en un determinado periodo.

Mientras que las funciones no bloquearán las aplicaciones, scripts o archivos, ni evitarán que se modifiquen, el registro de eventos de Windows registrará los eventos como si las funciones hubieran estado completamente habilitadas. Esto significa que se puede habilitar el modo auditoría y luego revisar el registro de eventos para ver qué impacto tendría la función si hubiera estado habilitada.

Para buscar las entradas auditadas, ve a aplicaciones y servicios > Microsoft > Windows > Windows Defender > Operational.

Puedes usar la protección de amenazas avanzada de Windows Defender para obtener más detalles para cada evento, especialmente para investigar las reglas de reducción de superficie de ataque. Uso de la consola de ATP de Defender de Microsoft te permite investigar problemas como parte de los escenarios de línea de tiempo e investigación de alertas.

Este tema proporciona vínculos que describen cómo habilitar la funcionalidad de auditoría para cada función y cómo ver eventos en el Visor de eventos de Windows.

Puedes usar la directiva de grupo, PowerShell y configuración de proveedores de servicios (CSP) para habilitar el modo auditoría.

Sugerencia

También puedes visitar el sitio web de base de pruebas de Windows Defender en demo.wd.microsoft.com para confirmar que las funciones estén actuando y ver cómo funcionan.

Opciones de auditoría Cómo habilitar el modo auditoría Cómo ver eventos
La auditoría se aplica a todos los eventos Habilitar acceso controlado a carpetas Eventos de Acceso controlado a carpetas
La auditoría se aplica a reglas individuales Habilitar las reglas de reducción de superficie de ataque Eventos de regla de superficie expuesta a ataques
La auditoría se aplica a todos los eventos Habilitar protección de red Eventos de Protección de red
La auditoría se aplica a mitigaciones individuales Habilitar la protección contra vulnerabilidades Eventos de Protección contra vulnerabilidades

Temas relacionados