Abordar comportamientos no deseados en Microsoft Defender para punto de conexión con exclusiones, indicadores y otras técnicas

La función principal de Defender para punto de conexión es impedir y detectar el acceso a procesos y archivos malintencionados. Defender para punto de conexión está diseñado para permitir que los usuarios de su organización estén protegidos frente a amenazas, a la vez que permanecen productivos mediante directivas y configuraciones de seguridad predeterminadas. En ocasiones, pueden producirse comportamientos no deseados, como:

• Falsos positivos: un falso positivo es cuando una entidad, como un archivo o un proceso, se detectó e identificó como malintencionada, aunque la entidad no sea una amenaza.
• Rendimiento deficiente: las aplicaciones experimentan problemas de rendimiento cuando se habilitan determinadas características de Defender para punto de conexión
• Incompatibilidad de aplicaciones: las aplicaciones no funcionan correctamente cuando se habilitan determinadas características de Defender para punto de conexión

En este artículo se describe cómo abordar estos tipos de comportamientos no deseados e incluye algunos escenarios de ejemplo.

Nota:

La creación de un indicador o una exclusión solo debe tenerse en cuenta después de comprender exhaustivamente la causa principal del comportamiento inesperado.

Cómo abordar comportamientos no deseados con Defender para punto de conexión

En un nivel alto, el proceso general para abordar un comportamiento no deseado en Defender para punto de conexión es el siguiente:

1. Identifique qué funcionalidad está causando el comportamiento no deseado. Debe saber si hay una configuración incorrecta con Microsoft Defender Antivirus, detección y respuesta de puntos de conexión, reducción de la superficie expuesta a ataques, acceso controlado a carpetas, etc., en Defender para punto de conexión. Puede usar la información en el portal de Microsoft Defender o en el dispositivo para tomar la determinación.

   Ubicación	Qué hacer
   El portal de Microsoft Defender	Realice una o varias de las siguientes acciones para ayudar a identificar lo que sucede: - Investigar alertas - Uso de la búsqueda avanzada - Ver informes
   En el dispositivo	Realice uno o varios de los pasos siguientes para identificar el problema: - Uso de herramientas del analizador de rendimiento - Revisión de registros de eventos y códigos de error - Comprobación del historial de protección

2. En función de los resultados del paso anterior, puede realizar una o varias de las siguientes acciones:

   • Suprimir alertas en el portal de Microsoft Defender
   • Definición de acciones de corrección personalizadas
   • Envío de un archivo a Microsoft para su análisis
   • Definición de exclusiones para Microsoft Defender Antivirus
   • Creación de indicadores para Defender para punto de conexión

   Tenga en cuenta que la protección contra alteraciones afecta a si se pueden modificar o agregar exclusiones. Consulte Qué ocurre cuando la protección contra alteraciones está activada.

3. Compruebe que los cambios han solucionado el problema.

Ejemplos de comportamientos no deseados

Esta sección incluye varios escenarios de ejemplo que se pueden abordar mediante exclusiones e indicadores. Para obtener más información sobre las exclusiones, vea Información general sobre exclusiones.

Microsoft Defender Antivirus detecta una aplicación cuando se ejecuta la aplicación.

En este escenario, cada vez que un usuario ejecuta una aplicación determinada, Microsoft Defender Antivirus detecta la aplicación como una amenaza potencial.

Cómo solucionarlo: Cree un indicador "allow" para Microsoft Defender para punto de conexión. Por ejemplo, puede crear un indicador "allow" para un archivo, como un ejecutable. Consulte Creación de indicadores para archivos.

Microsoft Defender Antivirus detecta una aplicación personalizada autofirmada cuando se ejecuta la aplicación.

En este escenario, Microsoft Defender Antivirus detecta una aplicación personalizada como una amenaza potencial. La aplicación se actualiza periódicamente y está autofirmado.

Cómo abordar: Cree indicadores de "permitir" para certificados o archivos. Consulte los siguientes artículos:

• Creación de indicadores basados en certificados
• Crear indicadores para los archivos

Una aplicación personalizada tiene acceso a un conjunto de tipos de archivo que se detecta como malintencionados cuando se ejecuta la aplicación.

En este escenario, una aplicación personalizada accede a un conjunto de tipos de archivo y el conjunto se detecta como malintencionado por Microsoft Defender Antivirus cada vez que se ejecuta la aplicación.

Cómo observar: Cuando se ejecuta la aplicación, Microsoft Defender Antivirus la detecta como detección de supervisión del comportamiento.

Cómo solucionarlo: defina exclusiones para Microsoft Defender Antivirus, como una exclusión de archivo o ruta de acceso que podría incluir caracteres comodín. O bien, defina una exclusión de ruta de acceso de archivo personalizada. Consulte los siguientes artículos:

• Abordar falsos positivos/negativos en Microsoft Defender para punto de conexión
• Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta

Microsoft Defender Antivirus detecta una aplicación como detección de "comportamiento"

En este escenario, Microsoft Defender Antivirus detecta una aplicación debido a cierto comportamiento, aunque la aplicación no sea una amenaza.

Cómo abordar: Definir una exclusión de proceso. Consulte los siguientes artículos:

• Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta
• Configuración de exclusiones para archivos abiertos por procesos

Una aplicación se considera una aplicación potencialmente no deseada (PUA)

En este escenario, se detecta una aplicación como PUA y quiere permitir que se ejecute.

Cómo solucionarlo: Defina una exclusión para la aplicación. Consulte los siguientes artículos:

• Excluir archivos de la protección contra PUA
• Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta

Se impide que una aplicación escriba en una carpeta protegida.

En este escenario, se impide que una aplicación legítima escriba en carpetas protegidas por el acceso controlado a carpetas.

Dirección: agregue la aplicación a la lista "permitido" para el acceso controlado a carpetas. Consulte Permitir que aplicaciones específicas realicen cambios en carpetas controladas.

Una aplicación de terceros se detecta como malintencionada por Microsoft Defender Antivirus

En este escenario, Microsoft Defender Antivirus detecta una aplicación de terceros que no es una amenaza y la identifica como malintencionada.

Cómo solucionarlo: envíe la aplicación a Microsoft para su análisis. Consulte Cómo enviar un archivo a Microsoft para su análisis.

Defender para punto de conexión detecta e identifica incorrectamente una aplicación como malintencionada

En este escenario, se detecta una aplicación legítima y se identifica como malintencionada por una regla de reducción de superficie expuesta a ataques en Defender para punto de conexión. Cada vez que un usuario usa la aplicación, la aplicación y cualquier contenido descargado están bloqueados por la regla de reducción de la superficie expuesta a ataques, impedir que JavaScript o VBScript inicien el contenido ejecutable descargado.

Cómo abordar:

1. En el portal de Microsoft Defender, vaya a Informes. En Informes, seleccione Informe de seguridad.

2. Desplácese hacia abajo hasta los dispositivos para encontrar las tarjetas de reducción de superficie expuesta a ataques. Para obtener más información, consulte informe de reglas de reducción de superficie expuesta a ataques.

3. Use la información para identificar los archivos y las ubicaciones de carpeta que se van a excluir.

4. Agregar exclusiones. Consulte Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta.

Word plantillas que contienen macros que inician otras aplicaciones están bloqueadas

En este escenario, cada vez que un usuario abre documentos creados mediante plantillas de Microsoft Word que contienen macros y esas macros inician otras aplicaciones, la regla de reducción de superficie expuesta a ataques Bloquear llamadas API Win32 desde macros de Office bloquea Microsoft Word.

Cómo abordar:

1. En el portal de Microsoft Defender, vaya a Informes. En Informes, seleccione Informe de seguridad.

2. Desplácese hacia abajo hasta los dispositivos para encontrar las tarjetas de reducción de superficie expuesta a ataques. Para obtener más información, consulte informe de reglas de reducción de superficie expuesta a ataques.

3. Use la información para identificar los archivos y las ubicaciones de carpeta que se van a excluir.

4. Agregar exclusiones. Consulte Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta.

Recursos adicionales

• Información general sobre exclusiones
• Referencia de administración de exclusiones