Investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365 Plan 2

• Se aplica a:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

A medida que aparecen alertas de seguridad en una organización de Microsoft 365 en https://security.microsoft.com/alerts, depende del equipo de operaciones de seguridad (SecOps) revisar, priorizar y responder a esas alertas. Mantenerse al día con el volumen de alertas entrantes puede ser abrumador. Automatizar algunas de esas tareas puede ayudar.

Microsoft Defender para Office 365 Plan 2 (incluido en licencias de Microsoft 365 como E5 o como una suscripción independiente) incluye eficaces funcionalidades de investigación y respuesta automatizadas (AIR) que ahorran tiempo y esfuerzo para los equipos de SecOps.

AIR evalúa las alertas de alto impacto y gran volumen completando las investigaciones de nivel de organización. Las investigaciones de AIR amplían las detecciones o proporcionan análisis adicionales para determinar el estado de la amenaza para la organización. Cuando AIR identifica amenazas, pone en cola las acciones de corrección de amenazas para que el personal de SecOps las apruebe. AIR da como resultado las siguientes ventajas:

• Procesos de investigación automatizados en respuesta a amenazas conocidas.
• Acciones de corrección adecuadas en espera de aprobación, lo que permite al equipo de SecOps responder eficazmente a las amenazas detectadas.
• El equipo de SecOps puede centrarse en tareas de mayor prioridad sin perder de vista las alertas importantes que se desencadenan.

AIR en Defender para Office 365 plan 2 requiere que el registro de auditoría esté activado (está activado de forma predeterminada).

El flujo general de AIR

Se desencadena una alerta y un cuaderno de estrategias de seguridad inicia una investigación automatizada, lo que da como resultado resultados y acciones recomendadas. Este es el flujo general de AIR, paso a paso:

1. Se inicia una investigación automatizada de una de las siguientes maneras:

   • Alertas específicas diseñadas para iniciar AIR. Estas alertas incluyen:

     • Se identifica algo sospechoso en el correo electrónico (por ejemplo, el mensaje en sí, los datos adjuntos, una dirección URL o una cuenta de usuario en peligro).

     • Purga automática de cero horas (ZAP).

     • Envíos de usuarios.

     • El usuario hace clic en alertas.

     • Comportamiento sospechoso del buzón.

       Sugerencia

       Asegúrese de revisar periódicamente las alertas de su organización. Para obtener más información sobre las directivas de alerta que desencadenan investigaciones automatizadas, consulte las directivas de alerta predeterminadas en la categoría Administración de amenazas. Las entradas que contienen el valor Sí para la investigación automatizada pueden desencadenar investigaciones automatizadas. Si estas alertas están deshabilitadas o reemplazadas por alertas personalizadas, AIR no se desencadena.

   • Un analista de seguridad desencadena manualmente la investigación seleccionando Realizar acción en el Explorador de amenazas, Búsqueda avanzada, detección personalizada, la página de entidad Email o el panel de resumen de Email. Para obtener más información, vea Búsqueda de amenazas: Email corrección. Para obtener ejemplos, vea Ejemplos de investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365 Plan 2.

2. La investigación automatizada evalúa y analiza la naturaleza de la alerta, el mensaje implicado y pruebas adicionales que rodean el mensaje. El ámbito de la investigación puede aumentar en función de las pruebas que se descubran y recopilen durante la investigación.

3. Durante y después de una investigación automatizada, los detalles y los resultados están disponibles. Los resultados pueden incluir acciones recomendadas para que el personal de SecOps corrija las amenazas encontradas.

4. El equipo de SecOps revisa los resultados y las recomendaciones de la investigación (en la propia investigación, el incidente o en el Centro de acciones) y aprueba o rechaza las acciones de corrección.

   Sugerencia

   No se producen acciones de corrección automáticamente. Las acciones de corrección requieren la aprobación manual por parte del personal de SecOps. Las funcionalidades de AIR ahorran tiempo al llegar a las acciones de corrección recomendadas con todos los detalles para tomar una decisión informada.

   AIR también ahorra tiempo mediante la evaluación y resolución automática de alertas e incidentes en los que no se encontraron amenazas. Este resultado es muy común en escenarios de envío de usuarios. AIR cierra la investigación si no se encontró ninguna amenaza o si se encontraron amenazas en los mensajes que ya se han corregido. Típicamente

5. A medida que se aprueban o rechazan las acciones de corrección pendientes, se completa la investigación automatizada.

   La investigación automatizada se cierra automáticamente si no se identifica ninguna acción recomendada. Los detalles de la investigación todavía están disponibles en la página Investigaciones en https://security.microsoft.com/airinvestigation.

Durante y después de cada investigación automatizada, el equipo de SecOps puede realizar las siguientes tareas:

• Ver detalles sobre una alerta relacionada con una investigación
• Ver los detalles de los resultados de una investigación
• Revisar y aprobar acciones como resultado de una investigación

Permisos y licencias necesarios para AIR

Debe tener asignados permisos para usar AIR. Tiene las siguientes opciones:

• Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell:
  • Inicie una investigación automatizada o apruebe o rechace las acciones recomendadas: operaciones de seguridad o Email acciones de corrección avanzadas (administrar).
• Email & permisos de colaboración en el portal de Microsoft Defender:
  • Configuración de características de AIR: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad .
  • Inicie una investigación automatizada o apruebe o rechace las acciones recomendadas:
    • Pertenencia a los grupos de roles Administración de la organización, Administrador de seguridad, Operador de seguridad, Lector de seguridad o Lector global . y
    • El rol Buscar y purgar , que solo se asigna a los grupos de roles Investigador de datos o Administración de la organización de forma predeterminada. O bien, puede crear un nuevo grupo de roles con el rol Buscar y purgar asignado, y agregar los usuarios al grupo de roles personalizado.
• Microsoft Entra permisos: conceda a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365:
  • Configuración de las características de AIR Pertenencia a los roles Administrador global o Administrador de seguridad .
  • Inicie una investigación automatizada o apruebe o rechace las acciones recomendadas:
    • Pertenencia a los roles Administrador global, Administrador de seguridad, Operador de seguridad, Lector de seguridad o Lector global . y
    • Pertenencia a un grupo de roles de colaboración Email & con el rol Buscar y purgar asignado como se describió anteriormente.

Para usar AIR, debe tener asignada una licencia para Defender para Office 365 Plan 2 (incluida en su suscripción o en una licencia de complemento).

Pasos siguientes

• Ejemplos de AIR
• Ver detalles y resultados de una investigación automatizada
• Revisión y aprobación de acciones pendientes
• Ver acciones de corrección pendientes o completadas