Compartir a través de


Realizar acciones de respuesta en un dispositivo

Se aplica a:

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Responda rápidamente a los ataques detectados mediante el aislamiento de dispositivos o la recopilación de un paquete de investigación. Después de realizar acciones en los dispositivos, puede comprobar los detalles de la actividad en el Centro de acciones.

Las acciones de respuesta se ejecutan en la parte superior de una página de dispositivo específica e incluyen:

  • Administrar etiquetas
  • Inicio de una investigación automatizada
  • Iniciar sesión de respuesta en directo
  • Recopilar el paquete de investigación
  • Ejecutar examen de antivirus
  • Restringir ejecución de aplicación
  • Aislar el dispositivo
  • Contener dispositivo
  • Consultar a un experto en amenazas
  • Centro de actividades

Captura de pantalla que muestra las acciones de respuesta en la parte superior de una página de dispositivo en el portal de Microsoft Defender.

Nota:

El plan 1 de Defender para punto de conexión solo incluye las siguientes acciones de respuesta manual:

  • Ejecutar examen de antivirus
  • Aislar el dispositivo
  • Detener y poner en cuarentena un archivo
  • Agregar un indicador para bloquear o permitir un archivo.

Microsoft Defender para Empresas no incluye la acción "Detener y poner en cuarentena un archivo" en este momento.

La suscripción debe incluir el plan 2 de Defender para punto de conexión para tener todas las acciones de respuesta descritas en este artículo.

Puede encontrar páginas de dispositivo desde cualquiera de las vistas siguientes:

  • Cola de alertas: seleccione el nombre del dispositivo junto al icono de dispositivo de la cola de alertas.
  • Lista de dispositivos: seleccione el encabezado del nombre del dispositivo en la lista de dispositivos.
  • Cuadro de búsqueda: seleccione Dispositivo en el menú desplegable y escriba el nombre del dispositivo.

Importante

Para obtener información sobre la disponibilidad y compatibilidad con cada acción de respuesta, consulte los requisitos mínimos de sistema operativo admitidos para cada característica.

Administrar etiquetas

Agregue o administre etiquetas para crear una afiliación de grupo lógico. Las etiquetas de dispositivo son compatibles con la asignación adecuada de la red, lo que permite adjuntar diferentes etiquetas para capturar contexto y habilitar la creación de listas dinámicas como parte de un incidente.

Para obtener más información sobre el etiquetado de dispositivos, consulte Creación y administración de etiquetas de dispositivo.

Inicio de una investigación automatizada

Puede iniciar una nueva investigación automatizada de uso general en el dispositivo si es necesario. Mientras se ejecuta una investigación, cualquier otra alerta generada desde el dispositivo se agrega a una investigación automatizada en curso hasta que se complete esa investigación. Además, si se ve la misma amenaza en otros dispositivos, esos dispositivos se agregan a la investigación.

Para obtener más información sobre las investigaciones automatizadas, consulte Introducción a las investigaciones automatizadas.

Iniciar sesión de respuesta en directo

La respuesta en vivo es una funcionalidad que proporciona acceso instantáneo a un dispositivo mediante una conexión de shell remoto. Esto le ofrece la capacidad de realizar un trabajo de investigación en profundidad y tomar medidas de respuesta inmediatas para contener rápidamente amenazas identificadas en tiempo real.

La respuesta en directo está diseñada para mejorar las investigaciones, ya que le permite recopilar datos forenses, ejecutar scripts, enviar entidades sospechosas para su análisis, corregir amenazas y buscar amenazas emergentes de forma proactiva.

Para obtener más información sobre la respuesta en vivo, consulte Investigación de entidades en dispositivos que usan la respuesta en vivo.

Recopilación de paquetes de investigación de dispositivos

Como parte del proceso de investigación o respuesta, puede recopilar un paquete de investigación de un dispositivo. Al recopilar el paquete de investigación, puede identificar el estado actual del dispositivo y comprender aún más las herramientas y técnicas usadas por el atacante.

Para descargar el paquete (carpeta comprimida) e investigar los eventos que se produjeron en un dispositivo, siga estos pasos:

  1. Seleccione Recopilar paquete de investigación en la fila de acciones de respuesta en la parte superior de la página del dispositivo.

  2. Especifique en el cuadro de texto por qué desea realizar esta acción. Seleccione Confirmar.

  3. El archivo ZIP se descarga.

O bien, use este procedimiento alternativo:

  1. Seleccione Recopilar paquete de investigación en la sección acciones de respuesta de la página del dispositivo.

    Imagen del paquete de investigación de recopilación

  2. Agregue comentarios y, a continuación, seleccione Confirmar.

    Imagen del comentario de confirmación

  3. Seleccione Centro de acciones en la sección acciones de respuesta de la página del dispositivo.

    Imagen del centro de acciones

  4. Seleccione Paquete de colección de paquetes disponible para descargar el paquete de recopilación.

    Imagen del paquete de descarga

Contenido del paquete de investigación para dispositivos Windows

En el caso de los dispositivos Windows, el paquete contiene las carpetas descritas en la tabla siguiente:

Folder Descripción
Ejecuciones automáticas Contiene un conjunto de archivos que representan el contenido del registro de un punto de entrada de inicio automático (ASEP) conocido para ayudar a identificar la persistencia del atacante en el dispositivo.

Si no se encuentra la clave del Registro, el archivo contiene el siguiente mensaje: "ERROR: El sistema no pudo encontrar la clave o el valor del Registro especificados".
Programas instalados Este archivo .CSV contiene la lista de programas instalados que pueden ayudar a identificar lo que está instalado actualmente en el dispositivo. Para obtener más información, vea Win32_Product clase.
Conexiones de red Esta carpeta contiene un conjunto de puntos de datos relacionados con la información de conectividad que puede ayudar a identificar la conectividad con direcciones URL sospechosas, la infraestructura de comandos y control del atacante (C&C), cualquier movimiento lateral o conexiones remotas.

- ActiveNetConnections.txt: muestra las estadísticas de protocolo y las conexiones de red TCP/IP actuales. Permite buscar conectividad sospechosa realizada por un proceso.

- Arp.txt: muestra las tablas de caché del protocolo de resolución de direcciones (ARP) actuales para todas las interfaces. La memoria caché ARP puede revelar otros hosts en una red que estaban en peligro o sistemas sospechosos en la red que podrían usarse para ejecutar un ataque interno.

- DnsCache.txt: muestra el contenido de la caché del solucionador de cliente DNS, que incluye ambas entradas precargadas desde el archivo hosts local y los registros de recursos obtenidos recientemente para las consultas de nombres resueltas por el equipo. Esto puede ayudar a identificar conexiones sospechosas.

- IpConfig.txt: muestra la configuración completa de TCP/IP para todos los adaptadores. Los adaptadores pueden representar interfaces físicas, como adaptadores de red instalados o interfaces lógicas, como conexiones de acceso telefónico local.

- FirewallExecutionLog.txt y pfirewall.log

El pfirewall.log archivo debe existir en %windir%\system32\logfiles\firewall\pfirewall.log, por lo que se incluye en el paquete de investigación. Para obtener más información sobre cómo crear el archivo de registro de firewall, consulte Configuración del firewall de Windows con el registro de seguridad avanzada.
Archivos de captura previa Los archivos de captura previa de Windows están diseñados para acelerar el proceso de inicio de la aplicación. Se puede usar para realizar un seguimiento de todos los archivos usados recientemente en el sistema y buscar seguimientos de las aplicaciones que se pueden eliminar, pero que todavía se pueden encontrar en la lista de archivos de captura previa.

- Prefetch folder: contiene una copia de los archivos de captura previa de %SystemRoot%\Prefetch. Se recomienda descargar un visor de archivos de captura previa para ver los archivos de captura previa.

- PrefetchFilesList.txt: contiene la lista de todos los archivos copiados que se pueden usar para realizar un seguimiento de si se produjo algún error de copia en la carpeta de captura previa.
Procesos Contiene un archivo .CSV que enumera los procesos en ejecución y proporciona la capacidad de identificar los procesos actuales que se ejecutan en el dispositivo. Esto puede ser útil al identificar un proceso sospechoso y su estado.
Tareas programadas Contiene un archivo .CSV que enumera las tareas programadas, que se pueden usar para identificar las rutinas realizadas automáticamente en un dispositivo elegido para buscar código sospechoso que se haya establecido para ejecutarse automáticamente.
Registro de eventos de seguridad Contiene el registro de eventos de seguridad, que contiene registros de actividad de inicio de sesión o cierre de sesión, u otros eventos relacionados con la seguridad especificados por la directiva de auditoría del sistema.

Abra el archivo de registro de eventos mediante el Visor de eventos.
Servicios Contiene un archivo .CSV que enumera los servicios y sus estados.
sesiones de bloque de mensajes de Windows Server (SMB) Listas acceso compartido a archivos, impresoras y puertos serie y comunicaciones diversas entre nodos de una red. Esto puede ayudar a identificar la filtración de datos o el movimiento lateral.

Contiene archivos para SMBInboundSessions y SMBOutboundSession. Si no hay sesiones (entrantes o salientes), obtendrá un archivo de texto que le indicará que no se encontraron sesiones SMB.
Información del sistema Contiene un SystemInformation.txt archivo que muestra información del sistema, como la versión del sistema operativo y las tarjetas de red.
Directorios temporales Contiene un conjunto de archivos de texto que enumera los archivos que se encuentran en %Temp% para cada usuario del sistema. Esto puede ayudar a realizar un seguimiento de los archivos sospechosos que un atacante podría haber eliminado en el sistema.

Si el archivo contiene el siguiente mensaje: "El sistema no encuentra la ruta de acceso especificada", significa que no hay ningún directorio temporal para este usuario y podría deberse a que el usuario no ha iniciado sesión en el sistema.
Usuarios y grupos Proporciona una lista de archivos que representan cada uno de ellos un grupo y sus miembros.
WdSupportLogs Proporciona y MpCmdRunLog.txtMPSupportFiles.cab. Esta carpeta solo se crea en Windows 10, versión 1709 o posterior con paquete acumulativo de actualizaciones de febrero de 2020 o versiones más recientes instaladas:

- Win10 1709 (RS3) Compilación 16299.1717: KB4537816

- Win10 1803 (RS4) Compilación 17134.1345: KB4537795

- Win10 1809 (RS5) Compilación 17763.1075: KB4537818

- Win10 1903/1909 (19h1/19h2) Compilaciones 18362.693 y 18363.693: KB4535996
CollectionSummaryReport.xls Este archivo es un resumen de la colección de paquetes de investigación, contiene la lista de puntos de datos, el comando usado para extraer los datos, el estado de ejecución y el código de error si se produce un error. Puede usar este informe para realizar un seguimiento de si el paquete incluye todos los datos esperados e identificar si se han producido errores.

Contenido del paquete de investigación para dispositivos Mac y Linux

En la tabla siguiente se muestra el contenido de los paquetes de colección para dispositivos Mac y Linux:

Objeto macOS Linux
Aplicaciones Lista de todas las aplicaciones instaladas No aplicable
Volumen de disco - Cantidad de espacio libre
- Lista de todos los volúmenes de disco montados
- Lista de todas las particiones
- Cantidad de espacio libre
- Lista de todos los volúmenes de disco montados
- Lista de todas las particiones
Archivo Una lista de todos los archivos abiertos con los procesos correspondientes mediante estos archivos Una lista de todos los archivos abiertos con los procesos correspondientes mediante estos archivos
Historial Historial de shell No aplicable
Módulos de kernel Todos los módulos cargados No aplicable
Conexiones de red - Conexiones activas
- Conexiones de escucha activas
- Tabla ARP
- Reglas de firewall
- Configuración de la interfaz
- Configuración del proxy
- Configuración de VPN
- Conexiones activas
- Conexiones de escucha activas
- Tabla ARP
- Reglas de firewall
- Lista de direcciones IP
- Configuración del proxy
Procesos Lista de todos los procesos en ejecución Lista de todos los procesos en ejecución
Servicios y tareas programadas -Certificados
- Perfiles de configuración
- Información de hardware
- Detalles de la CPU
- Información de hardware
- Información del sistema operativo
Información de seguridad del sistema - Información de integridad de la interfaz de firmware extensible (EFI)
- Estado del firewall
- Información de la herramienta de eliminación de malware (MRT)
- Estado de protección de integridad del sistema (SIP)
No aplicable
Usuarios y grupos - Historial de inicios de sesión
- Sudoers
- Historial de inicios de sesión
- Sudoers

Ejecución Microsoft Defender examen del Antivirus en dispositivos

Como parte del proceso de investigación o respuesta, puede iniciar de forma remota un examen antivirus para ayudar a identificar y corregir el malware que podría estar presente en un dispositivo en peligro.

Importante

  • Esta acción es compatible con macOS y Linux para la versión de cliente 101.98.84 y posteriores. También puede usar la respuesta en directo para ejecutar la acción. Para obtener más información sobre la respuesta en vivo, consulte Investigación de entidades en dispositivos con respuesta dinámica.
  • Un examen Microsoft Defender Antivirus puede ejecutarse junto con otras soluciones antivirus, tanto si Microsoft Defender Antivirus es la solución antivirus activa como si no. Microsoft Defender Antivirus puede estar en modo pasivo. Para obtener más información, consulte compatibilidad con Microsoft Defender Antivirus.

Una vez que haya seleccionado Ejecutar examen antivirus, seleccione el tipo de examen que desea ejecutar (rápido o completo) y agregue un comentario antes de confirmar el examen.

Notificación para seleccionar examen rápido o examen completo y agregar comentario

El Centro de acciones muestra la información de examen y la escala de tiempo del dispositivo incluye un nuevo evento, lo que refleja que se envió una acción de examen en el dispositivo. Microsoft Defender alertas antivirus reflejan las detecciones que aparecen durante el examen.

Nota:

Al desencadenar un examen mediante la acción de respuesta de Defender para punto de conexión, Microsoft Defender valor antivirus ScanAvgCPULoadFactor aplica y limita el impacto de cpu del examen. Si ScanAvgCPULoadFactor no está configurado, el valor predeterminado es un límite del 50 % de carga máxima de CPU durante un examen. Para obtener más información, consulte configure-advanced-scan-types-microsoft-defender-antivirus.

Restringir ejecución de aplicación

Además de contener un ataque mediante la detención de procesos malintencionados, también puede bloquear un dispositivo e impedir que se ejecuten intentos posteriores de programas potencialmente malintencionados.

Importante

  • Esta acción está disponible para dispositivos en Windows 10, versión 1709 o posterior, Windows 11 y Windows Server 2019 o posterior.
  • Esta característica está disponible si su organización usa Microsoft Defender Antivirus.
  • Esta acción debe cumplir los requisitos de firma y formatos de directiva de integridad de código de Control de aplicaciones de Windows Defender. Para obtener más información, vea Formatos de directivas de integridad de código y firma).

Para restringir la ejecución de una aplicación, se aplica una directiva de integridad de código que solo permite ejecutar archivos si están firmados por un certificado emitido por Microsoft. Este método de restricción puede ayudar a evitar que un atacante controle dispositivos en peligro y realice otras actividades malintencionadas.

Nota:

Podrá revertir la restricción de que las aplicaciones se ejecuten en cualquier momento. El botón de la página del dispositivo cambiará para decir Quitar restricciones de aplicación y, a continuación, realizará los mismos pasos que restringir la ejecución de la aplicación.

Una vez que haya seleccionado Restringir la ejecución de la aplicación en la página del dispositivo, escriba un comentario y seleccione Confirmar. El Centro de acciones muestra la información de examen y la escala de tiempo del dispositivo incluye un nuevo evento.

Notificación de restricción de la aplicación

Notificación al usuario del dispositivo

Cuando una aplicación está restringida, se muestra la siguiente notificación para informar al usuario de que se está limitando la ejecución de una aplicación:

Mensaje de restricción de la aplicación

Nota:

La notificación no está disponible en Windows Server 2016 y Windows Server 2012 R2.

Aislar dispositivos de la red

En función de la gravedad del ataque y de la confidencialidad del dispositivo, es posible que desee aislar el dispositivo de la red. Esta acción puede ayudar a evitar que el atacante controle el dispositivo en peligro y realice otras actividades, como la filtración de datos y el movimiento lateral.

Puntos importantes que debe tener en cuenta:

  • El aislamiento de dispositivos de la red es compatible con macOS para la versión de cliente 101.98.84 y posteriores. También puede usar la respuesta en directo para ejecutar la acción. Para obtener más información sobre la respuesta en vivo, consulte Investigación de entidades en dispositivos con respuesta dinámica.
  • El aislamiento completo está disponible para los dispositivos que ejecutan Windows 11, Windows 10, versión 1703 o posterior, Windows Server 2022, Windows Server 2019, Windows Server 2016 y Windows Server 2012 R2.
  • Puede usar la funcionalidad de aislamiento de dispositivo en todos los Microsoft Defender para punto de conexión admitidos en Linux que se enumeran en Requisitos del sistema. Asegúrese de que están habilitados los siguientes requisitos previos:
    • iptables
    • ip6tables
    • Kernel de Linux con CONFIG_NETFILTER, CONFID_IP_NF_IPTABLESy CONFIG_IP_NF_MATCH_OWNER
  • El aislamiento selectivo está disponible para los dispositivos que ejecutan Windows 10, versión 1709 o posterior y Windows 11.
  • Al aislar un dispositivo, solo se permiten determinados procesos y destinos. Por lo tanto, los dispositivos que están detrás de un túnel VPN completo no podrán acceder al servicio en la nube Microsoft Defender para punto de conexión después de que el dispositivo esté aislado. Se recomienda usar una VPN de túnel dividido para Microsoft Defender para punto de conexión y Microsoft Defender tráfico relacionado con la protección basada en la nube de Antivirus.
  • La característica admite la conexión VPN.
  • Debe tener asignado al menos el Active remediation actions rol. Para obtener más información, consulte Creación y administración de roles.
  • Debe tener acceso al dispositivo en función de la configuración del grupo de dispositivos. Para obtener más información, consulte Creación y administración de grupos de dispositivos.
  • No se admiten exclusiones, como el correo electrónico, la aplicación de mensajería y otras aplicaciones para el aislamiento de macOS y Linux.
  • Un dispositivo aislado se quita del aislamiento cuando un administrador modifica o agrega una nueva iptable regla al dispositivo aislado.
  • El aislamiento de un servidor que se ejecuta en Microsoft Hyper-V bloquea el tráfico de red a todas las máquinas virtuales secundarias del servidor.

La característica de aislamiento de dispositivo desconecta el dispositivo en peligro de la red mientras conserva la conectividad con el servicio Defender para punto de conexión, que sigue supervisando el dispositivo. En Windows 10, versión 1709 o posterior, puede usar el aislamiento selectivo para tener más control sobre el nivel de aislamiento de red. También puede optar por habilitar la conectividad de Outlook y Microsoft Teams.

Nota:

Podrá volver a conectar el dispositivo a la red en cualquier momento. El botón de la página del dispositivo cambiará para decir Liberar del aislamiento y, a continuación, realizará los mismos pasos que el aislamiento del dispositivo.

Una vez que haya seleccionado Aislar dispositivo en la página del dispositivo, escriba un comentario y seleccione Confirmar. El Centro de acciones muestra la información de examen y la escala de tiempo del dispositivo incluye un nuevo evento.

Página de detalles de un dispositivo aislado

Nota:

El dispositivo permanecerá conectado al servicio Defender para punto de conexión incluso si está aislado de la red. Si ha elegido habilitar Outlook y Skype Empresarial comunicación, podrá comunicarse con el usuario mientras el dispositivo está aislado. El aislamiento selectivo solo funciona en las versiones clásicas de Outlook y Microsoft Teams.

Liberar por la fuerza el dispositivo del aislamiento

La característica de aislamiento de dispositivos es una herramienta valiosa para proteger los dispositivos frente a amenazas externas. Sin embargo, hay instancias en las que los dispositivos aislados dejan de responder.

Hay un script descargable para estas instancias que puede ejecutar para liberar a la fuerza los dispositivos del aislamiento. El script está disponible a través de un vínculo en la interfaz de usuario.

Nota:

  • Los administradores y administrar la configuración de seguridad en los permisos de Security Center pueden liberar a la fuerza los dispositivos del aislamiento.
  • El script solo es válido para el dispositivo específico.
  • El script expirará en tres días.

Para liberar por la fuerza el dispositivo del aislamiento:

  1. En la página del dispositivo, seleccione Descargar script para forzar la liberación de un dispositivo del aislamiento en el menú de acciones.

  2. En el panel de la derecha, seleccione Descargar script.

Requisitos mínimos para la versión del dispositivo forzoso

Para liberar a la fuerza un dispositivo del aislamiento, el dispositivo debe ejecutar Windows. Se admiten las versiones siguientes:

  • Windows 10 21H2 y 22H2 con kb KB5023773.
  • Windows 11 versión 21H2, todas las ediciones con KB5023774.
  • Windows 11 versión 22H2, todas las ediciones con KB5023778.

Notificación al usuario del dispositivo

Cuando se aísla un dispositivo, se muestra la siguiente notificación para informar al usuario de que el dispositivo se está aislando de la red:

Un mensaje sin conexión de red

Nota:

La notificación no está disponible en plataformas que no son de Windows.

Contener dispositivos de la red

Cuando haya identificado un dispositivo no administrado que está en peligro o potencialmente en peligro, es posible que desee contener ese dispositivo de la red para evitar que el posible ataque se mueva lateralmente a través de la red. Cuando contiene un dispositivo, cualquier dispositivo Microsoft Defender para punto de conexión incorporado bloquea la comunicación entrante y saliente con ese dispositivo. Esta acción puede ayudar a evitar que los dispositivos vecinos se pongan en peligro mientras el analista de operaciones de seguridad localiza, identifica y corrige la amenaza en el dispositivo en peligro.

Nota:

El bloqueo de la comunicación entrante y saliente con un dispositivo "contenido" es compatible con dispositivos incorporados Microsoft Defender para punto de conexión Windows 10 y Windows Server 2019+.

Una vez que los dispositivos estén contenidos, se recomienda investigar y corregir la amenaza en los dispositivos contenidos lo antes posible. Después de la corrección, debe quitar los dispositivos de la contención.

Cómo contener un dispositivo

  1. Vaya a la página Inventario de dispositivos y seleccione el dispositivo que va a contener.

  2. Seleccione Contener dispositivo en el menú acciones del control flotante del dispositivo.

    Captura de pantalla del mensaje emergente de contenido del dispositivo.

  3. En el elemento emergente Contener dispositivo, escriba un comentario y seleccione Confirmar.

Captura de pantalla del elemento de menú Contener dispositivo.

Importante

Si se contiene un gran número de dispositivos, es posible que se produzcan problemas de rendimiento en los dispositivos incorporados a Defender para punto de conexión. Para evitar problemas, Microsoft recomienda contener hasta 100 dispositivos en un momento dado.

Contener un dispositivo de la página del dispositivo

Un dispositivo también se puede incluir en la página del dispositivo seleccionando Contener dispositivo en la barra de acciones:

Captura de pantalla del elemento de menú Contener dispositivo en la página del dispositivo.

Nota:

Los detalles sobre un dispositivo recién contenido pueden tardar hasta 5 minutos en llegar a Microsoft Defender para punto de conexión dispositivos incorporados.

Importante

  • Si un dispositivo contenido cambia su dirección IP, todos los Microsoft Defender para punto de conexión dispositivos incorporados lo reconocerán y comenzarán a bloquear las comunicaciones con la nueva dirección IP. La dirección IP original ya no se bloqueará (puede tardar hasta 5 minutos en ver estos cambios).
  • En los casos en los que otro dispositivo de la red usa la dirección IP del dispositivo contenido, habrá una advertencia al contener el dispositivo, con un vínculo a la búsqueda avanzada (con una consulta rellenada previamente). Esto proporcionará visibilidad a los demás dispositivos que usan la misma dirección IP para ayudarle a tomar una decisión consciente si desea continuar con la contención del dispositivo.
  • En los casos en los que el dispositivo contenido sea un dispositivo de red, aparecerá una advertencia con un mensaje que indica que esto puede provocar problemas de conectividad de red (por ejemplo, que contiene un enrutador que actúa como puerta de enlace predeterminada). En este momento, podrá elegir si desea contener el dispositivo o no.

Después de contener un dispositivo, si el comportamiento no es el esperado, compruebe que el servicio Motor de filtrado base (BFE) está habilitado en los dispositivos incorporados de Defender para punto de conexión.

Dejar de contener un dispositivo

Podrá dejar de contener un dispositivo en cualquier momento.

  1. Seleccione el dispositivo en inventario de dispositivos o abra la página del dispositivo.

  2. Seleccione Liberar desde la contención en el menú de acción. Esta acción restaurará la conexión de este dispositivo a la red.

Contener el usuario de la red

Cuando una identidad de la red puede estar en peligro, debe impedir que esa identidad acceda a la red y a distintos puntos de conexión. Defender for Endpoint puede contener una identidad, bloquearla del acceso y ayudar a evitar ataques, en concreto, ransomware. Cuando se contiene una identidad, cualquier Microsoft Defender para punto de conexión dispositivo incorporado admitido bloqueará el tráfico entrante en protocolos específicos relacionados con ataques (inicios de sesión de red, RPC, SMB, RDP), finalizará las sesiones remotas en curso y cerrará las conexiones RDP existentes (finalizando la sesión en sí, incluidos todos sus procesos relacionados), al tiempo que se habilita el tráfico legítimo. Esta acción puede ayudar significativamente a reducir el impacto de un ataque. Cuando se contiene una identidad, los analistas de operaciones de seguridad tienen tiempo adicional para localizar, identificar y corregir la amenaza a la identidad en peligro.

Nota:

El bloqueo de la comunicación entrante con un usuario "contenido" se admite en dispositivos Microsoft Defender para punto de conexión Windows 10 y 11 incorporados (sense versión 8740 y posteriores), dispositivos Windows Server 2019+ y Windows Servers 2012R2 y 2016 con el agente moderno.

Importante

Una vez que se aplica una acción Contener usuario en un controlador de dominio, se inicia una actualización de GPO en la directiva de controlador de dominio predeterminada. Un cambio de un GPO inicia una sincronización entre los controladores de dominio del entorno. Este es el comportamiento esperado y, si supervisa los cambios de GPO de AD en el entorno, es posible que se le notifiquen dichos cambios. Al deshacer la acción Contener usuario , se revierten los cambios de GPO a su estado anterior, lo que iniciará otra sincronización de GPO de AD en el entorno. Obtenga más información sobre la combinación de directivas de seguridad en controladores de dominio.

Cómo contener un usuario

Actualmente, contener usuarios solo está disponible automáticamente mediante la interrupción automática de ataques. Cuando Microsoft detecta que un usuario está en peligro, se establece automáticamente una directiva "Contener usuario".

Visualización de las acciones de contenido de usuario

Una vez contenido un usuario, puede ver la acción en esta vista Historial del Centro de acciones. Aquí puede ver cuándo se produjo la acción y qué usuarios de su organización estaban contenidos:

Ver la acción de contenido del usuario en el centro de acciones

Además, una vez que una identidad se considera "independiente", Defender for Endpoint bloqueará ese usuario y no podrá realizar ningún movimiento lateral malintencionado ni cifrado remoto en ningún dispositivo incorporado de Defender para punto de conexión compatible. Estos bloques se mostrarán como alertas para ayudarle a ver rápidamente los dispositivos que el usuario en peligro intentó acceder y las posibles técnicas de ataque:

Muestra que un usuario contiene un evento de bloque de movimiento lateral

Deshacer contienen acciones de usuario

Puede liberar los bloques y la contención en un usuario en cualquier momento:

  1. Seleccione la acción Contener usuario en el Centro de acciones. En el panel lateral, seleccione Deshacer.

  2. Seleccione el usuario en el inventario de usuarios, en el panel lateral de la página Incidente o en el panel lateral de alertas y seleccione Deshacer.

Esta acción restaura la conexión del usuario a la red.

Muestra que el usuario contiene la opción deshacer en el centro de acciones.

Funcionalidades de investigación con Contener usuario

Una vez contenido un usuario, puede investigar la posible amenaza si ve las acciones bloqueadas por el usuario en peligro. En la vista de escala de tiempo del dispositivo, puede ver información sobre eventos específicos, incluida la granularidad de protocolo e interfaz, y la técnica DE MITRE pertinente asociada.

Muestra los detalles del evento bloqueado para un usuario independiente

Además, puede expandir la investigación mediante la búsqueda avanzada. Busque cualquier tipo de acción a partir de contenido en la DeviceEvents tabla. A continuación, puede ver todos los diferentes eventos de bloqueo singulares en relación con El usuario contenido en el inquilino, profundizar en el contexto de cada bloque y extraer las distintas entidades y técnicas asociadas a esos eventos.

Muestra la búsqueda avanzada de eventos de contenido de usuario

Consultar a un experto en amenazas

Puede consultar a un experto en amenazas de Microsoft para obtener más información sobre un dispositivo potencialmente comprometido o ya comprometido. Expertos en amenazas de Microsoft se pueden activar directamente desde el Microsoft Defender XDR para obtener una respuesta oportuna y precisa. Los expertos proporcionan información no solo sobre un dispositivo potencialmente comprometido, sino también para comprender mejor las amenazas complejas, las notificaciones de ataque dirigidas que recibe, o si necesita más información sobre las alertas o un contexto de inteligencia sobre amenazas que ve en el panel del portal.

Consulte Configuración y administración de notificaciones de ataque de punto de conexión para obtener más información.

Comprobar los detalles de actividad en el Centro de actividades

El Centro de acciones (https://security.microsoft.com/action-center) proporciona información sobre las acciones que se realizaron en un dispositivo o archivo. Podrá ver los detalles siguientes:

  • Colección de paquetes de investigación
  • Examen antivirus
  • Restricción de la aplicación
  • Aislamiento del dispositivo

También se muestran todos los demás detalles relacionados, por ejemplo, la fecha y hora de envío, el usuario que envía y si la acción se realizó correctamente o no.

Centro de acciones con información

Recursos adicionales

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.