Compartir a través de


Interrupción automática de ataques en Microsoft Defender para Empresas

Un ataque operado por humanos es un ataque activo por parte de cibercriminales que se infiltran en una organización, elevan sus privilegios, navegan por la red e implementan ransomware o roban información. Estos tipos de ataques pueden ser catastróficos para las operaciones empresariales, tienden a ser difíciles de abordar y, a veces, siguen amenazando las operaciones empresariales después del encuentro inicial. Para obtener más información, vea Ataques de ransomware operados por humanos.

Para ayudar a protegerse frente a ataques avanzados u operados por personas, Microsoft Defender XDR agregó interrupción automática de ataques en noviembre de 2022 para los clientes empresariales. Ahora, estas funcionalidades están llegando a Defender para Empresas! En este artículo se describe cómo funciona la interrupción automática de ataques, cómo ver detalles sobre un ataque y cómo obtener estas funcionalidades.

Funcionamiento de la interrupción automática de ataques

La interrupción automática de ataques está diseñada para:

  • Contener ataques avanzados que están en curso;
  • Limitar el impacto y la progresión de los ataques en los recursos empresariales (como los dispositivos); y
  • Proporcione más tiempo para que el equipo de TI y seguridad corrija completamente un ataque.

La interrupción automática de ataques usa información de investigadores de seguridad de Microsoft y modelos avanzados de inteligencia artificial para contrarrestar las complejidades de los ataques avanzados. Limita el progreso de un actor de amenazas al principio y reduce drásticamente el impacto general de un ataque, desde los costos asociados hasta la pérdida de productividad. Consulte algunos ejemplos en el blog de seguridad de Microsoft.

Con la interrupción automática de ataques, en cuanto se detecta un ataque operado por el usuario en un dispositivo, se realizan pasos inmediatamente para contener el dispositivo afectado y las cuentas de usuario en el dispositivo. Se crea un incidente en el portal de Microsoft Defender (https://security.microsoft.com). Allí, el equipo de TI/seguridad puede ver detalles sobre el riesgo y el estado de contención de los recursos en peligro durante y después del proceso. Una página Incidente proporciona detalles sobre el ataque y el estado actualizado de los recursos afectados.

Las acciones de respuesta automatizadas incluyen:

  • Contener un dispositivo bloqueando la comunicación entrante/saliente
  • Contener una cuenta de usuario desconectando las conexiones de usuario actuales en el nivel de dispositivo

Importante

  • Para ver información sobre un ataque avanzado detectado, debe tener asignado un rol adecuado, como Lector de seguridad o Administrador de seguridad.
  • Para realizar acciones de corrección, liberar un dispositivo o usuario independiente o volver a habilitar una cuenta de usuario, debe tener asignado el rol Administrador de seguridad.
  • Consulte Roles y permisos de seguridad en Defender para Empresas.

Ver detalles sobre un ataque en el portal de Microsoft Defender

  1. En el portal de Microsoft Defender, vaya a Incidentes.

  2. Seleccione un incidente etiquetado con Interrupción de ataque.

  3. Revise el gráfico de incidentes, que le permite obtener todo el historial de ataques y evaluar el impacto y el estado de la interrupción del ataque.

  4. Cuando esté listo para liberar un dispositivo o una cuenta de usuario independiente, o para volver a habilitar una cuenta de usuario, realice uno de los pasos siguientes:

    • Para liberar un dispositivo independiente, seleccione el dispositivo y, a continuación, elija Liberar de la contención.
    • Para liberar un usuario independiente, seleccione la cuenta de usuario y, a continuación, en el panel lateral, seleccione Deshacer.

Los incidentes interrumpidos incluyen una etiqueta para Attack Disruption y el tipo de amenaza específico identificado (como ransomware). Si el equipo de TI/seguridad recibe notificaciones por correo electrónico de incidentes, estas etiquetas también aparecen en los correos electrónicos.

Cuando se interrumpe un incidente, el texto resaltado aparece debajo del título del incidente. Los dispositivos contenidos o las cuentas de usuario aparecen con una etiqueta que indica su estado.

Seguimiento de las acciones de interrupción de ataques en el Centro de acciones

El Centro de acciones reúne todas las acciones de corrección y respuesta, independientemente de si esas acciones se realizaron de forma automática o manual. Puede ver todas las acciones de interrupción automática de ataques en el Centro de acciones. Además, una vez que el equipo de TI/seguridad ha mitigado el riesgo y completado la investigación de un incidente, puede liberar recursos contenidos.

  1. En el portal de Microsoft Defender, vaya alCentro de acciones & envíos>.

  2. Seleccione la pestaña Historial .

  3. Seleccione una acción, como Contener usuario o Contener dispositivo, y, a continuación, elija Deshacer.

Para obtener más información, vea Revisar las acciones de corrección en el Centro de acciones.

Cómo obtener la interrupción automática de ataques

La interrupción automática de ataques está integrada en Defender para Empresas; no es necesario activar explícitamente estas funcionalidades. Es importante incorporar todos los dispositivos de la organización (equipos, teléfonos y tabletas) para Defender para Empresas para que estén protegidos lo antes posible.

Además, regístrese para recibir características en versión preliminar para obtener las funcionalidades más recientes y más grandes tan pronto como estén disponibles.