Investigación y respuesta automatizadas en Microsoft 365 Defender
Importante
El Portal de Microsoft 365 Defender mejorado ya está disponible. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el portal de Microsoft 365 Defender. Ver las novedades.
Se aplica a:
- Microsoft 365 Defender
Si su organización usa Microsoft 365 Defender,el equipo de operaciones de seguridad recibe una alerta en el portal de Microsoft 365 Defender siempre que se detecte una actividad o artefacto malintencionado o sospechoso. Dado el flujo aparentemente interminable de amenazas que pueden llegar, los equipos de seguridad a menudo se enfrentan al desafío de abordar el alto volumen de alertas. Afortunadamente, Microsoft 365 Defender capacidades de investigación y respuesta automatizadas (AIR) que pueden ayudar a su equipo de operaciones de seguridad a abordar las amenazas de forma más eficaz y eficaz.
En este artículo se proporciona información general sobre AIR e incluye vínculos a los siguientes pasos y recursos adicionales.
Sugerencia
¿Quiere experimentar Microsoft 365 Defender? Puede evaluarlo en un entorno de laboratorio o ejecutar el proyecto piloto en producción.
Cómo funciona la investigación automatizada y la recuperación automática
A medida que se desencadenan las alertas de seguridad, el equipo de operaciones de seguridad debe buscar esas alertas y tomar medidas para proteger su organización. El establecimiento de prioridades y la investigación de las alertas pueden llevar mucho tiempo, sobre todo cuando siguen apareciendo nuevas alertas mientras se está realizando una investigación. Los equipos de operaciones de seguridad pueden sentirse abrumados por el gran volumen de amenazas que deben supervisar y ante las que deben protegerse. Las capacidades automatizadas de investigación y respuesta, con recuperación automática, Microsoft 365 Defender pueden ayudar.
Vea el siguiente vídeo para ver cómo funciona la recuperación automática:
En Microsoft 365 Defender, la investigación automatizada y la respuesta con capacidades de recuperación automática funcionan en todos los dispositivos, el correo & contenido y las identidades.
Sugerencia
En este artículo se describe cómo funciona la investigación automatizada y la respuesta. Para configurar estas funcionalidades, vea Configure automated investigation and response capabilities in Microsoft 365 Defender.
Su propio analista virtual
Imagine un analista virtual en su equipo de operaciones de seguridad de nivel 1 o nivel 2. El analista virtual imita los pasos más idóneos que llevarían a cabo las operaciones de seguridad para investigar y solucionar las amenazas. El analista virtual podría trabajar 24 x 7, con capacidad ilimitada, y asumir una carga significativa de investigaciones y corrección de amenazas. Este tipo de analista virtual podría reducir significativamente el tiempo de respuesta, liberando al equipo de operaciones de seguridad para otras amenazas importantes o proyectos estratégicos. Si este escenario suena a ciencia ficción, no lo es. Dicho analista virtual forma parte de su conjunto de Microsoft 365 Defender y su nombre es investigación y respuesta automatizadas.
Las capacidades automatizadas de investigación y respuesta permiten al equipo de operaciones de seguridad aumentar considerablemente la capacidad de su organización para hacer frente a las alertas e incidentes de seguridad. Con la investigación y la respuesta automatizadas, puedes reducir el costo de las actividades de investigación y respuesta y sacar el máximo partido a tu conjunto de protección contra amenazas. Las capacidades automatizadas de investigación y respuesta ayudan al equipo de operaciones de seguridad:
- Determinar si una amenaza requiere una acción.
- Realizar (o recomendar) todas las acciones de corrección necesarias.
- Determinar si deben hacerse otras investigaciones y cuáles.
- Repetir el proceso según sea necesario para otras alertas.
El proceso de investigación automatizada
Una alerta crea un incidente, que puede iniciar una investigación automatizada. La investigación automatizada da como resultado un veredicto para cada elemento de evidencia. Los veredictos pueden ser:
- Malintencionada
- Sospechoso
- No se encontraron amenazas
Se identifican acciones de corrección para entidades malintencionadas o sospechosas. Algunos ejemplos de acciones de corrección son:
- Enviar un archivo a la cuarentena
- Detención de un proceso
- Aislar un dispositivo
- Bloquear una dirección URL
- Otras acciones
Para obtener más información, vea Acciones de corrección en Microsoft 365 Defender.
En función de cómo se configuren las capacidades automatizadas de investigación y respuesta para su organización, las acciones de corrección se toman automáticamente o solo tras la aprobación del equipo de operaciones de seguridad. Todas las acciones, ya sean pendientes o completadas, se enumeran en el Centro de acciones.
Durante la ejecución de una investigación, todas las demás alertas relacionadas que puedan surgir se agregarán a la investigación hasta que se finalice. Si ve una entidad afectada en otro lugar, la investigación automatizada expande su ámbito para incluir esa entidad, y el proceso de investigación se repite.
En Microsoft 365 Defender, cada investigación automatizada correlaciona las señales entre Microsoft Defender para identity, Microsoft Defender para endpoint y Microsoft Defender para Office 365, como se resume en la tabla siguiente:
| Entidades | Servicios de protección contra amenazas |
|---|---|
| Dispositivos (también denominados extremos o máquinas) | Defender para punto de conexión |
| Usuarios locales de Active Directory, comportamiento de entidad y actividades | Defender for Identity |
| Contenido de correo electrónico (mensajes de correo electrónico que pueden contener archivos y direcciones URL) | Defender para Office 365 |
Nota
No todas las alertas desencadenan una investigación automatizada y no todas las investigaciones tienen como resultado acciones de corrección automatizadas. Depende de cómo se configure la investigación y la respuesta automatizadas para su organización. Vea Configure automated investigation and response capabilities.
Visualización de una lista de investigaciones
Para ver las investigaciones, vaya a la página Incidentes. Seleccione un incidente y, a continuación, seleccione la pestaña Investigaciones. Para obtener más información, vea Detalles y resultados de una investigación automatizada.
Aprendizaje para analistas de seguridad
Use este módulo de aprendizaje de Microsoft Learn para comprender cómo Microsoft 365 Defender autoatensado automatizado para la investigación y respuesta a incidentes.
| Aprendizaje: | Recuperación automática automatizada con Microsoft 365 Defender |
|---|---|
 |
Microsoft 365 Defender AI para automatizar la corrección de incidentes, lo que ayuda al equipo de operaciones de seguridad a abordar las amenazas de forma más eficaz y eficaz. 11 min - 5 unidades |