Información general sobre exclusiones
Microsoft Defender para punto de conexión y Defender para Empresas incluye una amplia gama de funcionalidades para prevenir, detectar, investigar y responder a ciberamenazas avanzadas. Microsoft preconfigura el producto para que funcione bien en el sistema operativo que está instalado. No se deben necesitar otros cambios. A pesar de la configuración preconfigurada, a veces se producen comportamientos inesperados. Estos son algunos ejemplos:
- Falsos positivos: Defender para punto de conexión o Microsoft Defender Antivirus pueden detectar archivos, carpetas o procesos que no son realmente una amenaza como malintencionados. Estas entidades se pueden bloquear o enviar a cuarentena, aunque no sean una amenaza.
- Problemas de rendimiento: los sistemas experimentan un impacto inesperado en el rendimiento al ejecutarse con Defender para punto de conexión
- Problemas de compatibilidad de aplicaciones: las aplicaciones experimentan un comportamiento inesperado al ejecutarse con Defender para punto de conexión
La creación de una exclusión es un enfoque posible para solucionar estos tipos de problemas. Pero a menudo hay otros pasos que puede seguir. Además de proporcionar una visión general de los indicadores y exclsuions, este artículo incluye Alternativas a la creación de exclusiones y permitir indicadores.
Nota:
La creación de un indicador o una exclusión solo debe tenerse en cuenta después de comprender exhaustivamente la causa principal del comportamiento inesperado.
Ejemplos de problemas y pasos a tener en cuenta
| Escenario de ejemplo | Pasos a tener en cuenta |
|---|---|
| Falso positivo: se detectó una entidad, como un archivo o un proceso, y se identificó como malintencionada, aunque la entidad no sea una amenaza. | 1. Revise y clasifique las alertas generadas como resultado de la entidad detectada. 2. Suprima una alerta para una entidad conocida. 3. Revise las acciones de corrección que se realizaron para la entidad detectada. 4. Envíe el falso positivo a Microsoft para su análisis. 5. Defina un indicador o una exclusión para la entidad (solo si es necesario). |
|
Problemas de rendimiento , como uno de los siguientes problemas: - Un sistema tiene un uso elevado de la CPU u otros problemas de rendimiento. - Un sistema tiene problemas de pérdida de memoria. - Una aplicación es lenta de cargar en los dispositivos. - Una aplicación es lenta para abrir un archivo en los dispositivos. |
1. Recopilar datos de diagnóstico para Microsoft Defender Antivirus. 2. Si usa una solución antivirus que no es de Microsoft, compruebe con el proveedor si hay algún problema conocido con los productos antivirus. 3. Analice el registro de protección de Microsoft para ver el impacto estimado en el rendimiento. Para problemas específicos del rendimiento relacionados con Microsoft Defender Antivirus, use el Analizador de rendimiento para Microsoft Defender Antivirus. 4. Definir una exclusión para Microsoft Defender Antivirus (si es necesario). 5. Cree un indicador para Defender para punto de conexión (solo si es necesario). |
|
Problemas de compatibilidad con productos antivirus que no son de Microsoft. Ejemplo: Defender para punto de conexión se basa en actualizaciones de inteligencia de seguridad para dispositivos, tanto si se ejecutan Microsoft Defender Antivirus como si se trata de una solución antivirus que no es de Microsoft. |
1. Si usa un producto antivirus que no es de Microsoft como solución antivirus o antimalware principal, establezca Microsoft Defender Antivirus en modo pasivo. 2. Si va a cambiar de una solución antivirus o antimalware que no es de Microsoft a Defender para punto de conexión, consulte Cambio a Defender para punto de conexión. Esta guía incluye: - Es posible que tenga que definir exclusiones para la solución antivirus o antimalware que no sea de Microsoft; - Exclusiones que es posible que deba definir para Microsoft Defender Antivirus; y - Información de solución de problemas (por si algo sale mal al migrar). |
| Compatibilidad con aplicaciones. Ejemplo: las aplicaciones se bloquean o experimentan comportamientos inesperados después de incorporar un dispositivo a Microsoft Defender para punto de conexión. |
Consulte Abordar comportamientos no deseados en Microsoft Defender para punto de conexión con exclusiones, indicadores y otras técnicas. |
Alternativas a la creación de exclusiones y permitir indicadores
La creación de una exclusión o un indicador de permiso crea una brecha de protección. Estas técnicas solo se deben usar después de determinar la causa principal del problema. Hasta que se tome esa determinación, tenga en cuenta estas alternativas:
- Envío de un archivo a Microsoft para su análisis
- Suprimir una alerta
Envío de archivos para su análisis
Si tiene un archivo que cree que se ha detectado erróneamente como malware (un falso positivo) o un archivo que sospecha que podría ser malware aunque no se detectó (un falso negativo), puede enviar el archivo a Microsoft para su análisis. El envío se examina inmediatamente y, a continuación, los analistas de seguridad de Microsoft lo revisarán. Puede comprobar el estado de su envío en la página del historial de envíos.
El envío de archivos para su análisis ayuda a reducir los falsos positivos y los falsos negativos para todos los clientes. Para obtener más información, consulte los artículos siguientes:
- Enviar archivos para su análisis (disponible para todos los clientes)
- Enviar archivos mediante el nuevo portal de envíos unificados en Defender para punto de conexión (disponible para los clientes que tienen el plan 2 o Microsoft Defender XDR de Defender para punto de conexión).
Supresión de alertas
Si recibe alertas en el portal de Microsoft Defender para las herramientas o procesos que sabe que no son realmente una amenaza, puede suprimir esas alertas. Para suprimir una alerta, cree una regla de supresión y especifique qué acciones realizar para ello en otras alertas idénticas. Puede crear reglas de supresión para una alerta específica en un solo dispositivo o para todas las alertas que tengan el mismo título en toda la organización.
Para obtener más información, consulte los artículos siguientes:
- Suprimir alertas
- Blog de tech community: Introducción a la nueva experiencia de supresión de alertas (para Defender para punto de conexión)
Tipos de exclusiones
Hay varios tipos diferentes de exclusiones que se deben tener en cuenta. Algunos tipos de exclusiones afectan a varias funcionalidades de Defender para punto de conexión, mientras que otros tipos son específicos de Microsoft Defender Antivirus.
- Exclusiones personalizadas: son exclusiones que se definen para escenarios o casos de uso específicos y para determinados sistemas operativos, como Mac, Linux y Windows.
- Exclusiones de antivirus preconfiguradas: son exclusiones que no tiene que definir, como exclusiones automáticas de roles de servidor y exclusiones de antivirus integradas. Aunque no tengas que definirlos, resulta útil saber qué son y cómo funcionan.
- Exclusiones de reducción de superficie expuesta a ataques: estas son exclusiones para evitar que las funcionalidades de reducción de superficie expuesta a ataques bloqueen las aplicaciones legítimas que su organización podría usar.
- Exclusiones de carpetas de Automation: son exclusiones que se definen para evitar que las funcionalidades de investigación y corrección automatizadas se apliquen a archivos o carpetas específicos.
- Exclusiones de acceso a carpetas controladas: se trata de exclusiones para permitir que determinadas aplicaciones o ejecutables accedan a carpetas protegidas.
- Acciones de corrección personalizadas: se trata de acciones que se especifican para Microsoft Defender Antivirus cuando se producen determinados tipos de detecciones.
Para obtener información sobre los indicadores, consulte Introducción a los indicadores en Microsoft Defender para punto de conexión.
Exclusiones personalizadas
Microsoft Defender para punto de conexión permite configurar exclusiones personalizadas para optimizar el rendimiento y evitar falsos positivos. Los tipos de exclusiones que puede establecer varían según las funcionalidades de Defender para punto de conexión y los sistemas operativos.
En la tabla siguiente se resumen los tipos de exclusiones personalizadas que puede definir. Tenga en cuenta el ámbito de cada tipo de exclusión.
| Tipos de exclusión | Ámbito | Casos de uso |
|---|---|---|
| Exclusiones de Custom Defender para punto de conexión | Antivirus Reglas de reducción de la superficie expuesta a ataques Defender para punto de conexión Protección de red |
Un archivo, carpeta o proceso se identifica como malintencionado, aunque no sea una amenaza. Una aplicación detecta un problema inesperado de compatibilidad de aplicaciones o rendimiento al ejecutarse con Defender para punto de conexión |
| Exclusiones de reducción de superficie expuesta a ataques de Defender for Endpoint | Reglas de reducción de la superficie expuesta a ataques | Una regla de reducción de superficie expuesta a ataques provoca un comportamiento inesperado. |
| Exclusiones de carpetas de automatización de Defender para punto de conexión | Investigación y respuesta de amenazas | La investigación y corrección automatizadas toman medidas en un archivo, extensión o directorio que se debe realizar manualmente. |
| Exclusiones de acceso a carpetas controladas por Defender para punto de conexión | Acceso controlado a carpetas | El acceso controlado a carpetas impide que una aplicación acceda a una carpeta protegida. |
| Indicadores de permitir archivos y certificados de Defender para punto de conexión | Antivirus Reglas de reducción de la superficie expuesta a ataques Acceso controlado a carpetas |
Un archivo o proceso firmado por un certificado se identifica como malintencionado aunque no lo sea. |
| Indicadores de dirección IP y dominio/dirección IP de Defender para punto de conexión | Protección de red SmartScreen Filtrado de contenido web |
SmartScreen notifica un falso positivo. Quiere invalidar un bloque de filtrado de contenido web en un sitio específico. |
Nota:
La protección de red se ve afectada directamente por las exclusiones de procesos en todas las plataformas. Una exclusión de proceso en cualquier sistema operativo (Windows, MacOS, Linux) impide que Network Protection inspeccione el tráfico o aplique reglas para ese proceso específico.
Exclusiones en Mac
Para macOS, puede definir exclusiones que se aplican a los exámenes a petición, la protección en tiempo real y la supervisión. Los tipos de exclusión admitidos incluyen:
- Extensión de archivo: excluya todos los archivos con una extensión específica.
- Archivo: excluya un archivo específico identificado por su ruta de acceso completa.
- Carpeta: excluya todos los archivos de una carpeta especificada de forma recursiva.
- Proceso: excluya un proceso específico y todos los archivos abiertos por él.
Para obtener más información, vea Configurar y validar exclusiones para Microsoft Defender para punto de conexión en macOS.
Exclusiones en Linux
En Linux, puede configurar exclusiones antivirus y globales.
- Exclusiones antivirus: se aplican a los exámenes a petición, la protección en tiempo real (RTP) y la supervisión del comportamiento (BM).
- Exclusiones globales: se aplican a la protección en tiempo real (RTP), la supervisión del comportamiento (BM) y la detección y respuesta de puntos de conexión (EDR), deteniendo todas las detecciones antivirus asociadas y alertas de EDR.
Para más información, consulte Configurar y validar exclusiones de Microsoft Defender para punto de conexión en Linux.
Exclusiones en Windows
Microsoft Defender Antivirus se puede configurar para excluir combinaciones de procesos, archivos y extensiones de exámenes programados, exámenes a petición y protección en tiempo real. Consulte Configuración de exclusiones personalizadas para Microsoft Defender Antivirus.
Para obtener un control más pormenorizado que ayude a minimizar las brechas de protección, considere la posibilidad de usar exclusiones de archivos contextuales y procesos.
Exclusiones preconfiguradas del antivirus
Estos tipos de exclusión están preconfigurados en Microsoft Defender para punto de conexión para Microsoft Defender Antivirus.
| Tipos de exclusión | Configuración | Descripción |
|---|---|---|
| Exclusiones automáticas de antivirus de Microsoft Defender | Automático | Exclusiones automáticas para roles de servidor y características en Windows Server. Al instalar un rol en Windows Server 2016 o versiones posteriores, Microsoft Defender Antivirus incluye exclusiones automáticas para el rol de servidor y los archivos que se agregan al instalar el rol. Estas exclusiones son solo para roles activos en Windows Server 2016 y versiones posteriores. |
| Exclusiones integradas Microsoft Defender Antivirus | Automático | Microsoft Defender Antivirus incluye exclusiones integradas para archivos de sistema operativo en todas las versiones de Windows. |
Exclusiones automáticas de roles de servidor
Las exclusiones automáticas de roles de servidor incluyen exclusiones para roles de servidor y características en Windows Server 2016 y versiones posteriores. Estas exclusiones no se examinan mediante protección en tiempo real , pero siguen estando sujetas a exámenes antivirus rápidos, completos o a petición.
Algunos ejemplos son:
- Servicio de replicación de archivos (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- Servidor DNS
- Servidor de impresión
- Servidor web
- Windows Server Update Services
- ... y mucho más.
Nota:
Las exclusiones automáticas de los roles de servidor no se admiten en Windows Server 2012 R2. Para los servidores que ejecutan Windows Server 2012 R2 con el rol de servidor Servicios de dominio de Active Directory (AD DS) instalado, las exclusiones de los controladores de dominio deben especificarse manualmente. Consulte Exclusiones de Active Directory.
Para obtener más información, consulte Exclusiones automáticas de roles de servidor.
Exclusiones de antivirus integradas
Las exclusiones de antivirus integradas incluyen determinados archivos de sistema operativo excluidos por Microsoft Defender Antivirus en todas las versiones de Windows (incluidos Windows 10, Windows 11 y Windows Server).
Algunos ejemplos son:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- archivos Windows Update
- archivos Seguridad de Windows
- ... ¡y mucho más!
La lista de exclusiones integradas en Windows se mantiene actualizada a medida que cambia el panorama de amenazas. Para obtener más información sobre estas exclusiones, consulta Microsoft Defender Exclusiones de Antivirus en Windows Server: Exclusiones integradas.
Exclusiones de reducción de superficie expuesta a ataques
Las reglas de reducción de superficie expuesta a ataques (también conocidas como reglas ASR) tienen como destino determinados comportamientos de software, como:
- Inicio de archivos ejecutables y scripts que intentan descargar o ejecutar archivos
- Ejecución de scripts que parecen ofuscados o sospechosos
- Realizar comportamientos que las aplicaciones no suelen iniciar durante el trabajo diario normal
A veces, las aplicaciones legítimas muestran comportamientos de software que podrían bloquearse mediante reglas de reducción de la superficie expuesta a ataques. Si esto ocurre en su organización, puede definir exclusiones para determinados archivos y carpetas. Estas exclusiones se aplican a todas las reglas de reducción de superficie expuesta a ataques. Consulte Habilitar reglas de reducción de superficie expuesta a ataques.
Nota:
Las reglas de reducción de superficie expuesta a ataques respetan las exclusiones del proceso, pero no todas las reglas de reducción de superficie expuesta a ataques respetan Microsoft Defender exclusiones del Antivirus. Consulte Referencia de reglas de reducción de superficie expuesta a ataques: exclusiones de antivirus Microsoft Defender y reglas de ASR.
Exclusiones de carpetas de Automation
Las exclusiones de carpetas de Automation se aplican a la investigación y corrección automatizadas en Defender for Endpoint, que está diseñada para examinar alertas y tomar medidas inmediatas para resolver las infracciones detectadas. A medida que se desencadenan alertas y se ejecuta una investigación automatizada, se alcanza un veredicto (malintencionado, sospechoso o no se han encontrado amenazas) para cada parte de la evidencia investigada. En función del nivel de automatización y de otras configuraciones de seguridad, las acciones de corrección pueden producirse automáticamente o solo tras la aprobación por parte del equipo de operaciones de seguridad.
Puede especificar carpetas, extensiones de archivo en un directorio específico y nombres de archivo que se excluirán de las funcionalidades automatizadas de investigación y corrección. Estas exclusiones de carpetas de automatización se aplican a todos los dispositivos incorporados a Defender para punto de conexión. Estas exclusiones siguen estando sujetas a exámenes antivirus.
Para obtener más información, vea Administrar exclusiones de carpetas de automatización.
Exclusiones de acceso a carpetas controladas
El acceso controlado a carpetas supervisa las aplicaciones para detectar actividades que se detectan como malintencionadas y protege el contenido de determinadas carpetas (protegidas) en dispositivos Windows. El acceso controlado a carpetas solo permite que las aplicaciones de confianza accedan a carpetas protegidas, como carpetas comunes del sistema (incluidos los sectores de arranque) y otras carpetas que especifique. Puede permitir que ciertas aplicaciones o ejecutables firmados accedan a carpetas protegidas mediante la definición de exclusiones.
Para obtener más información, consulte Personalización del acceso controlado a carpetas.
Acciones de corrección personalizadas
Cuando Microsoft Defender Antivirus detecta una posible amenaza durante la ejecución de un examen, intenta corregir o quitar la amenaza detectada. Puede definir acciones de corrección personalizadas para configurar cómo Microsoft Defender Antivirus debe abordar determinadas amenazas, si se debe crear un punto de restauración antes de la corrección y cuándo se deben quitar las amenazas.
Para obtener más información, vea Configurar acciones de corrección para las detecciones de antivirus de Microsoft Defender.
Cómo se evalúan las exclusiones y los indicadores
La mayoría de las organizaciones tienen varios tipos diferentes de exclusiones e indicadores para determinar si los usuarios deben poder acceder y usar un archivo o proceso. Las exclusiones e indicadores se procesan en un orden determinado para que los conflictos de directivas se controlen sistemáticamente.
Aquí se muestra cómo funciona:
Si el control de aplicaciones de Windows Defender y AppLocker no permiten un archivo o proceso detectado, se bloquea. De lo contrario, procede a Microsoft Defender Antivirus.
Si el archivo o proceso detectado no forma parte de una exclusión de Microsoft Defender Antivirus, se bloquea. De lo contrario, Defender para punto de conexión comprueba si hay un indicador personalizado para el archivo o proceso.
Si el archivo o proceso detectado tiene un indicador Bloquear o Advertir, se realiza esa acción. De lo contrario, se permite el archivo o proceso y continúa con la evaluación mediante reglas de reducción de superficie expuesta a ataques, acceso controlado a carpetas y protección SmartScreen.
Si el archivo o proceso detectado no está bloqueado por las reglas de reducción de superficie expuesta a ataques, el acceso controlado a carpetas o la protección SmartScreen, continúa con Microsoft Defender Antivirus.
Si Microsoft Defender Antivirus no permite el archivo o proceso detectado, se comprueba si hay una acción en función de su identificador de amenaza.
Cómo se controlan los conflictos de directivas
En los casos en los que los indicadores de Defender para punto de conexión entren en conflicto, esto es lo que se espera:
Si hay indicadores de archivos en conflicto, se aplica el indicador que usa el hash más seguro. Por ejemplo, SHA256 tiene prioridad sobre SHA-1, que tiene prioridad sobre MD5.
Si hay indicadores de dirección URL en conflicto, se usa el indicador más estricto. Para Microsoft Defender SmartScreen, se aplica un indicador que usa la ruta de dirección URL más larga. Por ejemplo,
www.dom.ain/admin/tiene prioridad sobrewww.dom.ain. (La protección de red se aplica a dominios, en lugar de subpáginas dentro de un dominio).Si hay indicadores similares para un archivo o proceso que tienen acciones diferentes, el indicador que se limita a un grupo de dispositivos específico tiene prioridad sobre un indicador que se dirige a todos los dispositivos.
Funcionamiento de la investigación y corrección automatizadas con indicadores
Las funcionalidades automatizadas de investigación y corrección en Defender para punto de conexión determinan primero un veredicto para cada prueba y, a continuación, realizan una acción en función de los indicadores de Defender para punto de conexión. Por lo tanto, un archivo o proceso podría obtener un veredicto de "bueno" (lo que significa que no se encontraron amenazas) y seguir bloqueado si hay un indicador con esa acción. De forma similar, una entidad podría obtener un veredicto de "malo" (lo que significa que se determina que es malintencionada) y seguir estando permitida si hay un indicador con esa acción.
Para obtener más información, consulte investigación y corrección automatizadas e indicadores.
Otras cargas de trabajo y exclusiones de servidor
Si su organización usa otras cargas de trabajo de servidor, como Exchange Server, SharePoint Server o SQL Server, tenga en cuenta que solo los roles de servidor integrados (que podrían ser requisitos previos para el software que instale más adelante) en Windows Server se excluyen por la característica de exclusiones automáticas de roles de servidor (y solo cuando se usa su ubicación de instalación predeterminada). Es probable que deba definir exclusiones antivirus para estas otras cargas de trabajo o para todas las cargas de trabajo si deshabilita las exclusiones automáticas.
Estos son algunos ejemplos de documentación técnica para identificar e implementar las exclusiones que necesita:
- Ejecución de software antivirus en Exchange Server
- Carpetas que se excluirán de los exámenes antivirus en SharePoint Server
- Elección del software antivirus para SQL Server
En función de lo que esté usando, es posible que tenga que consultar la documentación de esa carga de trabajo de servidor.
Recursos adicionales
- Abordar escenarios comunes de falsos positivos con exclusiones
- Configuración de exclusiones para Microsoft Defender Antivirus
- Errores comunes para evitarlos cuando se definen exclusiones
- Introducción a los indicadores en Microsoft Defender para punto de conexión
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.