Configuración de funcionalidades automatizadas de investigación y respuesta en XDR de Microsoft Defender

XDR de Microsoft Defender incluye eficaces funcionalidades automatizadas de investigación y respuesta que pueden ahorrar mucho tiempo y esfuerzo al equipo de operaciones de seguridad. Con la recuperación automática, estas funcionalidades imitan los pasos que un analista de seguridad tomaría para investigar y responder a las amenazas, solo más rápido y con más capacidad de escala.

En este artículo se describe cómo configurar la investigación y la respuesta automatizadas en XDR de Microsoft Defender con estos pasos:

  1. Revise los requisitos previos.
  2. Revise o cambie el nivel de automatización de los grupos de dispositivos.
  3. Revise las directivas de seguridad y alertas en Office 365.

Después, una vez configurado, puede ver y administrar las acciones de corrección en el Centro de acciones. Y, si es necesario, puede realizar cambios en la configuración de investigación automatizada.

Requisitos previos para la investigación y respuesta automatizadas en XDR de Microsoft Defender

Requisito Detalles
Requisitos de suscripción Una de estas suscripciones:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 con el complemento seguridad de Microsoft 365 E5
  • Microsoft 365 A3 con el complemento seguridad de Microsoft 365 A5
  • Office 365 E5 más Enterprise Mobility + Security E5 más Windows E5

Consulte Requisitos de licencias XDR de Microsoft Defender.
Requisitos de red
Requisitos del dispositivo Windows
Protección de contenido de correo electrónico y archivos de Office
Permissions Para configurar funcionalidades automatizadas de investigación y respuesta, debe tener uno de los siguientes roles asignados en microsoft entra ID (https://portal.azure.com) o en el Centro de administración de Microsoft 365 (https://admin.microsoft.com):
  • Administrador global
  • Administrador de seguridad
Para trabajar con funcionalidades automatizadas de investigación y respuesta, como revisar, aprobar o rechazar acciones pendientes, consulte Permisos necesarios para las tareas del Centro de acciones.

Nota:

Microsoft recomienda usar roles con menos permisos para mejorar la seguridad. El rol De administrador global, que tiene muchos permisos, solo se debe usar en situaciones de emergencia cuando no cabe ningún otro rol.

Revisión o cambio del nivel de automatización de los grupos de dispositivos

Si se ejecutan investigaciones automatizadas y si las acciones de corrección se realizan automáticamente o solo tras la aprobación de los dispositivos dependen de ciertas configuraciones, como las directivas de grupo de dispositivos de la organización. Revise el nivel de automatización configurado para las directivas de grupo de dispositivos. Debe ser administrador global o administrador de seguridad para realizar el procedimiento siguiente:

  1. Vaya al portal de Microsoft Defender en https://security.microsoft.com e inicie sesión.

  2. Vaya a Configuración>Puntos de conexión>Grupos de dispositivos en Permisos.

  3. Revise las directivas de grupo de dispositivos. En concreto, examine la columna Nivel de corrección . Se recomienda usar Full: corregir las amenazas automáticamente. Es posible que tenga que crear o editar los grupos de dispositivos para obtener el nivel de automatización que desee. Para obtener ayuda con esta tarea, consulte los artículos siguientes:

Revisión de las directivas de seguridad y alertas en Office 365

Microsoft proporciona directivas de alertas integradas que ayudan a identificar ciertos riesgos. Estos riesgos incluyen abuso de permisos de administrador de Exchange, actividad de malware, posibles amenazas externas e internas, y riesgos de administración del ciclo de vida de los datos. Algunas alertas pueden desencadenar una investigación y una respuesta automatizadas en Office 365. Asegúrese de que las características de Defender para Office 365 están configuradas correctamente.

Aunque ciertas alertas y directivas de seguridad pueden desencadenar investigaciones automatizadas, no se realizan acciones de corrección automáticamente para el correo electrónico y el contenido. En su lugar, todas las acciones de corrección del contenido de correo electrónico y correo electrónico esperan la aprobación del equipo de operaciones de seguridad en el Centro de acciones.

La configuración de seguridad de Exchange Online Protection (EOP) y Defender para Office 365 ayudan a proteger el correo electrónico y el contenido. Se recomienda usar las directivas de seguridad preestablecidas Estándar y Estricta para asignar protección a los usuarios.

Si usa directivas personalizadas, use el Analizador de configuración para comparar la configuración de directiva con la configuración de directiva de seguridad predeterminada Estándar y Estricta. Para obtener una lista detallada de todas las configuraciones de directiva, vea las tablas de Configuración recomendada para la seguridad de EOP y Microsoft Defender para Office 365.

Puede revisar las directivas de alerta en el portal de Defender en https://security.microsoft.com>Directivas & reglas>Directiva de alerta o directamente en .https://security.microsoft.com/alertpoliciesv2 Hay varias directivas de alerta predeterminadas en la categoría Administración de amenazas . Algunas de las directivas de alerta de la categoría Administración de amenazas pueden desencadenar una investigación y una respuesta automatizadas. Para más información, consulte Directivas de alertas de administración de amenazas.

¿Necesita realizar cambios en la configuración de investigación automatizada?

Puede elegir entre varias opciones para cambiar la configuración de las funcionalidades automatizadas de investigación y respuesta. En la tabla siguiente se muestran algunas opciones:

Para Siga estos pasos.
Especificación de niveles de automatización para grupos de dispositivos
  1. Configure uno o varios grupos de dispositivos. Consulte Creación y administración de grupos de dispositivos.
  2. En el portal de Microsoft Defender, vaya aRoles de puntos de conexiónde permisos> & grupos >Grupos de dispositivos.
  3. Seleccione un grupo de dispositivos y revise su configuración de nivel de automatización . (Se recomienda usar Full: corregir las amenazas automáticamente). Consulte Niveles de automatización en funcionalidades automatizadas de investigación y corrección.
  4. Repita los pasos 2 y 3 según corresponda para todos los grupos de dispositivos.

Siguientes pasos

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.