Exclusión de recursos de respuestas automatizadas en la interrupción automática de ataques

• Se aplica a:

  Microsoft Defender XDR

En este artículo se proporciona información sobre cómo excluir los recursos de que se contengan automáticamente mediante la interrupción automática de ataques en Microsoft Defender XDR.

La interrupción automática de ataques permite excluir cuentas de usuario, dispositivos y direcciones IP específicas de las acciones de contención automatizadas. Una vez excluidos, estos recursos no se verán afectados por acciones automatizadas desencadenadas por la interrupción de ataques.

Precaución

No se recomienda excluir recursos de respuestas automatizadas. La exclusión de recursos de respuestas automatizadas puede reducir la eficacia de la interrupción automática de ataques en la protección de su entorno frente a ataques sofisticados de alto impacto.

Requisitos previos

Para excluir recursos de respuestas automatizadas en la interrupción automática de ataques, debe tener uno de los siguientes roles asignados en Microsoft Entra ID (https://portal.azure.com) o en el Centro de administración de Microsoft 365 (https://admin.microsoft.com):

• Administrador global
• Administrador de seguridad

Revisión o cambio de exclusiones de respuestas automatizadas para recursos

Para excluir recursos de respuestas automatizadas en la interrupción automática de ataques, siga estos pasos:

1. Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.

2. Vaya a Configuración>Microsoft Defender XDR.

Excluir cuentas de usuario

1. En Respuesta automatizada, seleccione Identidades.

2. Para excluir una cuenta de usuario, seleccione Agregar exclusión de usuario. Aparece un panel flotante.

   

3. En el panel flotante, escriba los nombres de cuenta de usuario en el cuadro Seleccionar usuarios y seleccione las cuentas de usuario que desea excluir.

   

4. Seleccione Excluir usuarios para guardar la exclusión.

Excluir grupos de dispositivos

Precaución

La exclusión de grupos de dispositivos de respuestas automatizadas también afecta a las acciones automatizadas de investigación y respuesta .

1. En Respuestas automatizadas, seleccione Dispositivos.

2. En la pestaña Grupos de dispositivos , elija un grupo de dispositivos seleccionando la casilla situada junto al nombre del grupo en la lista para configurar las opciones de automatización de interrupciones de ataques.

   

3. En el panel flotante, seleccione el nivel de automatización adecuado para el grupo de dispositivos. Puede elegir entre cualquiera de los siguientes niveles de automatización adecuados para el grupo de dispositivos:

   • Completo: corrija las amenazas automáticamente: contiene automáticamente dispositivos cuando se detecta una amenaza.
   • Semi: requiere aprobación para las carpetas principales: investigue automáticamente los dispositivos cuando se reciba una alerta y aplique acciones de corrección excepto a los elementos dentro de las carpetas principales del sistema. Las acciones de corrección de las carpetas principales requieren aprobación.
   • Semi: requiere aprobación para carpetas no temporales: investigue y aplique automáticamente la corrección a las acciones dentro de las carpetas temporales y de descarga cuando se reciba una alerta. Todas las demás acciones de corrección requieren aprobación.
   • Semi: requiere aprobación para todas las carpetas: investigue automáticamente los dispositivos cuando se reciba una alerta. Todas las acciones de corrección requieren aprobación.
   • Sin respuesta automatizada: no se realiza ninguna investigación o respuesta automatizada para los dispositivos de este grupo.

   

4. Seleccione Guardar para guardar el nivel de automatización del grupo de dispositivos.

Importante

Parte de la información de este artículo se refiere a un producto preliminar, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no ofrece ninguna garantía expresa o implícita con respecto a la información proporcionada aquí.

Excluir direcciones IP

1. En Respuestas automatizadas, seleccione Dispositivos.

2. En la pestaña Direcciones IP , seleccione Excluir IP para excluir una dirección IP.

   

3. En el panel flotante, escriba la dirección IP, el intervalo IP o la subred IP que desea excluir. Puede agregar varias direcciones IP y subredes IP si las separa con una coma.

   

4. Agregue un nombre y una nota para la exclusión. Seleccione Crear para guardar la exclusión.

Eliminación de exclusiones

Para quitar una exclusión:

• Vaya a la página Identidades . Seleccione la cuenta de usuario que desea quitar de la lista y, a continuación, seleccione Quitar.

• Vaya a la página Dispositivos y vaya a la pestaña Direcciones IP . Seleccione la dirección IP que desea quitar de la lista y, a continuación, seleccione Quitar exclusión.

• Las exclusiones de grupos de dispositivos se pueden configurar en la pestaña Grupos de dispositivos . Seleccione el grupo de dispositivos que desea configurar en la lista y elija la exclusión adecuada en el panel flotante. Seleccione Guardar para guardar la exclusión.

Vea también

• Visualización de detalles y resultados de acciones automatizadas de interrupción de ataques

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.