Compartir a través de

Configurar la interrupción automática de ataques en Microsoft Defender XDR

Microsoft Defender XDR incluye eficaces funcionalidades automatizadas de interrupción de ataques que protegerán su entorno de ataques sofisticados de gran impacto.

Este artículo explica cómo configurar las funcionalidades de interrupción automática de ataques en Microsoft Defender XDR. Una vez configurado, es posible ver y gestionar las acciones de contención en Incidentes y en el Centro de acciones. Y, si fuera necesario, realice cambios en la configuración.

Requisitos previos

A continuación, se indican los requisitos previos para configurar la interrupción automática de ataques en Microsoft Defender XDR:

Requisito Detalles
Requisitos de suscripción Una de estas suscripciones:
  • Microsoft 365 E5 o A5
  • Microsoft 365 E3 con el complemento Conjunto de aplicaciones de Microsoft Defender
  • Microsoft 365 E3 con el complemento Enterprise Mobility + Security E5
  • Microsoft 365 A3 con el complemento Seguridad de Microsoft 365 A5
  • Windows 10 Enterprise E5 o A5
  • Windows 11 Empresas E5 o A5
  • Enterprise Mobility + Seguridad (EMS) E5 o A5
  • Office 365 E5 o A5
  • Microsoft Defender para punto de conexión (Plan 2)
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Defender para Office 365 (Plan 2)
  • Microsoft Defender para Empresas

Consulte los requisitos de concesión de licencias de Microsoft Defender XDR.
Requisitos de implementación
  • Implementación en productos de Defender (por ejemplo: Defender para punto de conexión, Defender para Office 365, Defender for Identity y Defender for Cloud Apps)
    • Cuanto mayor sea la implementación, mayor será la cobertura de protección. Por ejemplo, si se usa una señal de Microsoft Defender for Cloud Apps en una detección concreta, este producto será necesario para detectar el escenario de ataque específico correspondiente.
    • Del mismo modo, el producto pertinente debe estar implementado para ejecutar una acción de respuesta automatizada. Por ejemplo, Microsoft Defender para punto de conexión es necesario para contener automáticamente un dispositivo.
  • La detección de dispositivos de Microsoft Defender para punto de conexión está configurada en "detección estándar" (requisito previo para el inicio automático de la acción "Contener dispositivo")
Permissions Para configurar las capacidades de interrupción automática de ataques, es necesario tener asignado uno de los siguientes roles en Microsoft Entra ID (https://portal.azure.com) o en el Centro de administración de Microsoft 365 (https://admin.microsoft.com):
  • Administrador global
  • Administrador de seguridad
Para trabajar con funcionalidades de investigación y respuesta automatizadas, como revisar, aprobar o rechazar acciones pendientes, consulte Permisos necesarios para las tareas del centro de acciones.

Requisitos previos de Microsoft Defender para punto de conexión

Versión mínima del cliente de Sense (cliente MDE)

La versión mínima del agente de Sense necesaria para que funcione la acción Contener usuario es la v10.8470. Identifique la versión del agente de Sense en un dispositivo ejecutando el siguiente comando de PowerShell:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation" or Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status' -Name "MsSenseDllVersion"

Configuración de automatización para los dispositivos de la organización

Revise el nivel de automatización configurado para las directivas de grupo de dispositivos. Que se ejecuten investigaciones automatizadas y que las acciones de corrección se realicen automáticamente o solo tras aprobación depende de ciertas configuraciones. Debe ser administrador global o administrador de seguridad para realizar el siguiente procedimiento:

  1. Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.

  2. Vaya a Sistema>Configuración>Puntos de conexión>Grupos de dispositivos en Permisos.

  3. Revise las directivas de grupo de dispositivos y observe la columna Nivel de corrección. Se recomienda usar Completo: corregir las amenazas automáticamente.

También puede crear o editar grupos de dispositivos para establecer el nivel de corrección adecuado para cada grupo. Seleccionar el nivel de automatización parcial permite activar la interrupción automática de ataques sin necesidad de aprobación manual. Para excluir un grupo de dispositivos de la independencia automatizada, establezca el nivel de automatización en Sin respuesta automatizada. Ten en cuenta que esta configuración no es muy recomendable y solo debe aplicarse a un número limitado de dispositivos.

Nota:

La interrupción de ataques puede actuar en dispositivos independientemente del estado operativo del Antivirus de Microsoft Defender en el dispositivo. El estado operativo puede estar en modo activo, pasivo o en modo de bloqueo EDR.

Requisitos previos de Microsoft Defender for Identity

Configurar la auditoría en controladores de dominio

Aprenda a configurar la auditoría en controladores de dominio en Configurar directivas de auditoría para registros de eventos de Windows para asegurarse de que los eventos de auditoría necesarios estén configurados en los controladores de dominio donde se implemente el sensor de Defender for Identity.

Validar cuentas de acción

Defender for Identity permite realizar acciones de corrección dirigidas a cuentas de Active Directory local en caso de que una identidad esté comprometida. Para realizar estas acciones, Defender for Identity debe tener los permisos necesarios para hacerlo. De manera predeterminada, el sensor de Defender for Identity suplanta la cuenta LocalSystem del controlador de dominio y realiza las acciones. Dado que se puede cambiar el valor predeterminado, compruebe que Defender for Identity tiene los permisos necesarios o usa la cuenta LocalSystem predeterminada.

Puede encontrar más información sobre las cuentas de acción en Configurar cuentas de acción de Microsoft Defender for Identity

El sensor de Defender for Identity debe implementarse en el controlador de dominio donde se desactivará la cuenta de Active Directory.

Nota:

Si dispone de automatización para activar o bloquear a un usuario, compruebe si esta puede interferir con la interrupción. Por ejemplo, si existe una automatización que verifica y asegura periódicamente que todos los empleados activos tengan cuentas habilitadas, esta podría activar involuntariamente cuentas desactivadas por la interrupción de ataques mientras se detecta un ataque.

Requisitos previos de Microsoft Defender for Cloud Apps

Conector de Microsoft Office 365

Microsoft Defender for Cloud Apps debe estar conectado a Microsoft Office 365 mediante el conector. Para conectar Defender for Cloud Apps, consulte Conexión de Microsoft 365 a Microsoft Defender for Cloud Apps.

Gobernanza de aplicaciones

La gobernanza de aplicaciones debe estar activada. Consulte la documentación sobre la gobernanza de aplicaciones para activarla.

Requisitos previos de Microsoft Defender para Office 365

Ubicación de los buzones

Los buzones deben hospedarse en Exchange Online.

Registro de auditoría de buzones de correo

Los siguientes eventos de buzones deben auditarse como mínimo:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

Consulte Administrar la auditoría de buzones para aprender a administrar la auditoría de buzones.

Pasos siguientes

Contenido relacionado

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

  • Last updated on