Explicación de las acciones del dispositivo

  • 4 minutos

Al investigar un dispositivo, puede realizar acciones, recopilar datos o acceder de forma remota a la máquina. Defender para punto de conexión proporciona el control de dispositivo necesario.

Puede realizar las siguientes acciones de independencia:

  • Aislar el dispositivo

  • Restringir la ejecución de la aplicación

  • Ejecutar un examen antivirus

Puede realizar las siguientes acciones de investigación:

  • Iniciar una investigación automatizada

  • Recopilar paquete para investigación

  • Iniciar una sesión de respuesta dinámica

El centro de actividades proporciona información sobre las acciones que se realizaron con un dispositivo o archivo.

Aislamiento de dispositivos de redes

En función de la gravedad del ataque y la confidencialidad del dispositivo, es posible que quiera aislar el dispositivo de la red. Esta acción puede ayudar a evitar que el atacante controle el dispositivo en peligro y realice actividades adicionales, como la filtración de datos y el movimiento lateral.

Esta característica de aislamiento de dispositivos desconecta el dispositivo en peligro de la red, a la vez que conserva la conectividad con el servicio de Defender para punto de conexión, que continúa supervisando el dispositivo.

En Windows 10, versión 1709 o posterior, tendrá otro control sobre el nivel de aislamiento de red. También puede habilitar Outlook, Microsoft Teams y la conectividad de Skype Empresarial (también conocido como "aislamiento selectivo").

Una vez que haya seleccionado la opción Aislar dispositivo en la página del dispositivo, escriba un comentario y seleccione Confirmar. El centro de actividades mostrará la información de examen y la escala de tiempo del dispositivo incluirá un nuevo evento.

Cuando se aísla un dispositivo, se muestra una notificación para informar al usuario de que el dispositivo está aislado de la red.

Restricción de la ejecución de la aplicación

Además de contener un ataque mediante la detención de procesos malintencionados, también puede bloquear un dispositivo y evitar que se ejecuten los intentos posteriores de programas potencialmente malintencionados.

Importante

Esta acción está disponible para los dispositivos que ejecutan Windows 10, versión 1709 o posterior. Esta característica está disponible si la organización usa Antivirus de Microsoft Defender. Esta acción debe cumplir los requisitos de firma y formatos de la directiva de integridad de código de Control de aplicaciones de Microsoft Defender. Para impedir que una aplicación se ejecute, se aplica una directiva de integridad de código que solo permite que los archivos se ejecuten si están firmados por un certificado emitido por Microsoft. Este método de restricción puede ayudar a evitar que un atacante controle los dispositivos en peligro y realice actividades malintencionadas.

Podrá revertir la restricción de la ejecución de las aplicaciones en cualquier momento. El botón de la página del dispositivo cambiará e indicará Quitar las restricciones de la aplicación y, a continuación, realizará los mismos pasos que para restringir la ejecución de la aplicación.

Una vez que haya seleccionado la opción Restringir ejecución del dispositivo en la página del dispositivo, escriba un comentario y seleccione Confirmar. El centro de actividades mostrará la información de examen y la escala de tiempo del dispositivo incluirá un nuevo evento.

Cuando una aplicación está restringida, se muestra una notificación para informar al usuario de que se está restringiendo la ejecución de una aplicación.