Configuración de las capacidades de investigación y corrección automatizadas

  • 5 minutos

Para configurar la investigación y la corrección automatizadas, active las características y, a continuación, configure los grupos de dispositivos.

Activación de la investigación y corrección automatizadas

Como administrador global o administrador de seguridad:

  1. En el panel de navegación, seleccione Configuración > Puntos de conexión.

  2. En la sección General, seleccione Características avanzadas.

  3. Active la investigación automatizada y la resolución automática de alertas.

Configuración de los grupos de dispositivos

  1. En el panel de navegación de Puntos de conexión, en Permisos, seleccione Grupos de dispositivos.

  2. Seleccione + Agregar grupo de dispositivos.

    • Cree al menos un grupo de dispositivos, como se indica a continuación:

      • Especifique un nombre y una descripción para el grupo de dispositivos.

      • En la lista Nivel de automatización, seleccione un nivel, como, por ejemplo, Completo: corrige las amenazas automáticamente. El nivel de automatización determina si las acciones de corrección se realizan automáticamente o solo tras la aprobación. Para obtener más información, consulte Cómo se corrigen las amenazas.

      • En la sección Dispositivos, use una o varias condiciones para identificar e incluir dispositivos.

      • En la pestaña Acceso de usuario, seleccione los grupos de Azure Active Directory que deben tener acceso al grupo de dispositivos que está creando.

  3. Cuando haya terminado de configurar el grupo de dispositivos, seleccione Listo.

Niveles de automatización

Completo: corrige las amenazas automáticamente (se conoce también como automatización completa)

Con la automatización completa, las acciones de corrección se realizan automáticamente. Todas las acciones correctivas que se llevan a cabo se pueden ver en el centro de actividades de la pestaña Historial. Si es necesario, se puede deshacer una acción correctiva.

Semi: requiere la aprobación de cualquier corrección (se conoce también como semiautomatización)

Con este nivel de semiautomatización, se requiere aprobación para cualquier acción de corrección. Estas acciones pendientes pueden verse y aprobarse en el centro de actividades, en la pestaña Pendiente.

Semi: requiere aprobación para las correcciones de las carpetas principales (también un tipo de semiautomatización)

Con este nivel de semiautomatización, se requiere aprobación para cualquier acción de corrección necesaria en los archivos o ejecutables que se encuentran en las carpetas principales. Las carpetas principales incluyen los directorios del sistema operativo, como Windows (\windows*). Las acciones de corrección se pueden realizar automáticamente en archivos o ejecutables que se encuentran en otras carpetas (no principales). Las acciones pendientes para los archivos o ejecutables de las carpetas principales pueden verse y aprobarse en el centro de actividades, en la pestaña Pendiente. Las acciones que se realizaron en archivos o ejecutables en otras carpetas se pueden ver en el centro de actividades, en la pestaña Historial.

Semi: requiere aprobación para las correcciones de las carpetas no temporales (también un tipo de semiautomatización)

Con este nivel de semiautomatización, se requiere aprobación para cualquier acción de corrección necesaria en los archivos o ejecutables que no están en las carpetas temporales.

Las carpetas temporales pueden incluir los ejemplos siguientes:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \program files\

  • \program files (x86)*

  • \documents and settings*\users*

Las acciones de corrección se pueden realizar automáticamente en archivos o ejecutables que se encuentran en carpetas temporales. Las acciones pendientes para los archivos o ejecutables que no están en las carpetas temporales se pueden ver y aprobar en el centro de actividades, en la pestaña Pendiente. Las acciones realizadas en los archivos o ejecutables de las carpetas temporales pueden verse y aprobarse en el centro de actividades, en la pestaña Historial.

Respuesta no automatizada (también conocido como "no automatización")

Con la no automatización, la investigación automatizada no se ejecuta en los dispositivos de la organización. En consecuencia, no se han tomado ni están pendientes acciones de corrección como resultado de una investigación automatizada. Sin embargo, pueden estar en vigor otras características de protección contra amenazas, como la protección de aplicaciones potencialmente no deseadas, dependiendo de cómo estén configuradas sus características de antivirus y de protección de nueva generación.

No se recomienda usar la opción No automatización porque reduce la seguridad de los dispositivos de la organización. Considere la posibilidad de ajustar su nivel de automatización a la automatización completa (o al menos a la semiautomatización).

Configuración rápida de niveles de corrección en grupos de dispositivos

Otra manera de establecer o actualizar los niveles de corrección en grupos de dispositivos se encuentra en la página Configuración, General, Corrección automática. En la página se proporciona una lista de grupos de dispositivos y el nivel de corrección actual para cada uno. Al seleccionar la fila, podrá ajustar el valor de corrección.