Revisión y administración de acciones correctivas en la investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365 Plan 2

• Se aplica a:

  ✅ Microsoft Defender for Office 365 Plan 2

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

En las organizaciones de Microsoft 365 con Microsoft Defender para Office 365 Plan 2 (incluido en licencias de Microsoft 365 como E5 o como una suscripción independiente), la investigación y la respuesta automatizadas (AIR) suelen dar lugar a acciones de corrección pendientes. Por ejemplo:

• Eliminación temporal de mensajes de correo electrónico o clústeres.
• Desactivar el reenvío de correo externo.

Estas acciones de corrección no se toman automáticamente. Las acciones de corrección necesitan la aprobación de un miembro del equipo de operaciones de seguridad (SecOps). En el resto de este artículo se explica cómo aprobar o rechazar acciones de corrección pendientes.

Sugerencia

Se recomienda revisar y aprobar o rechazar las acciones de corrección pendientes lo antes posible para que las investigaciones automatizadas se completen a tiempo.

El sistema comprueba si hay investigaciones duplicadas o superpuestas en las que los mismos clústeres se aprobaron varias veces. Si el mismo clúster de investigación ya se aprobó en la hora anterior, las nuevas correcciones duplicadas no se procesan de nuevo. Este comportamiento no elimina investigaciones duplicadas ni pruebas de investigación, simplemente desduplica las acciones aprobadas para mejorar la velocidad de procesamiento de la corrección. En el caso de las investigaciones de clúster aprobadas duplicadas, no verá los detalles de la acción en el control flotante de la pestaña Historial de la página Centro de acciones del portal de Microsoft Defender en https://security.microsoft.com/action-center/history.

¿Qué necesita saber antes de empezar?

• Para ver los permisos y los requisitos de licencia de AIR, consulte Permisos y licencias necesarios para AIR.
• Las acciones pendientes agotan el tiempo de espera después de esperar la aprobación durante una semana.

Aprobar o rechazar acciones pendientes de la página Investigaciones de Defender para Office 365

Para obtener más información sobre la página Incidentes de Defender para Office 365, consulte Detalles y resultados de la investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365 Plan 2.

1. En el portal de Microsoft Defender de https://security.microsoft.com, vaya a la página Investigaciones de Defender para Office 365 en Email &Investigaciones decolaboración>. O bien, para ir directamente a la página Investigaciones de Defender para Office 365, use https://security.microsoft.com/airinvestigation.
2. En la página Investigaciones de Defender para Office 365, busque y un elemento de la lista donde el valor Estado es Pendiente de aprobación. Use Filtrar para filtrar los resultados por la acción Estado valor Pendiente.
3. En la página Investigaciones , seleccione el elemento de acción Pendiente haciendo clic en Abrir en nueva ventana en la columna Id . (no active la casilla).
4. En la página de detalles de la investigación que se abre, seleccione la pestaña Acciones pendientes y, a continuación, seleccione una entrada de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna.
5. En el control flotante de detalles que se abre, revise la información y seleccione una de las siguientes acciones en la parte superior del control flotante:
   • Aprobar: inicie la acción pendiente.
   • Rechazar: evite que se realice la acción pendiente.

Aprobar o rechazar acciones pendientes de la página Incidentes de Defender XDR

Para obtener más información sobre la página Incidentes de Defender XDR, vea Investigar incidentes en Microsoft Defender XDR.

1. En el portal de Microsoft Defender de https://security.microsoft.com, vaya a la página Incidentes de Defender XDR en Incidentes & alertas>Incidentes. O bien, para ir directamente a la página Incidentes de Defender XDR, use https://security.microsoft.com/incidents.

2. En la página Investigaciones de Defender XDR, busque y un elemento de la lista donde el valor Estado es Pendiente de aprobación. Siga estos pasos para filtrar los resultados:

   1. Borre los filtros no deseados existentes en la página Incidentes; para ello, seleccione Borrar.
   2. Seleccione Agregar filtro.
   3. En el cuadro de diálogo Agregar filtro que se abre, seleccione Estado de investigación automatizada y, a continuación, seleccione Agregar.
   4. Seleccione el estado De investigación automatizada: Cualquier filtro en la página Incidentes .
   5. En la lista desplegable que se abre, seleccione Acción pendiente y, a continuación, seleccione Aplicar.

   Sugerencia

   Filtrado por estado de investigación automatizada: la acción Pendiente puede revelar incidentes primarios con el valor Pendiente de aprobación para Estado de investigación. En ese caso, le interesa el incidente de aprobación pendiente principal.

3. En la página Incidentes , seleccione el incidente de aprobación pendiente haciendo clic en el valor nombre del incidente (no active la casilla).

4. En la página de detalles del incidente que se abre, seleccione la pestaña Evidencia y respuesta y busque las entradas con el valor Estado de correcciónPendiente de aprobación. Por ejemplo:

   • Haga clic en el encabezado de columna Estado de corrección y, a continuación, seleccione Ordenar ascendente.
   • Seleccione Filtrar>aprobación pendiente en la sección >Estado de correcciónAplicar.

5. En la pestaña Evidencia y respuesta , seleccione la entrada Aprobación pendiente haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna.

6. En el control flotante de detalles que se abre, revise la información y seleccione una de las siguientes acciones en la parte superior del control flotante:

   • Aprobar: inicie la acción pendiente.
   • Rechazar: evite que se realice la acción pendiente.

Aprobación o rechazo de acciones pendientes desde el Centro de acciones unificado

Para obtener más información sobre el centro de acciones unificado en Defender XDR, vea El centro de acciones.

1. En el portal de Microsoft Defender de https://security.microsoft.com, vaya a la pestaña Pendiente de la página Centro de acciones de la pestaña Acciones & envíos>Centro> de accionesPendiente. O bien, para ir directamente a la pestaña Pendiente de la página Centro de acciones, use https://security.microsoft.com/action-center/pending.
2. En la pestaña Pendiente de la página Centro de acciones, seleccione una entrada de la lista haciendo clic en el valor Id. de investigación (no active la casilla).
3. En la página de detalles de la investigación que se abre, seleccione la pestaña Acciones pendientes y, a continuación, seleccione una entrada de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna.
4. En el control flotante de detalles que se abre, revise la información y seleccione una de las siguientes acciones en la parte superior del control flotante:
   • Aprobar: inicie la acción pendiente.
   • Rechazar: evite que se realice la acción pendiente.

Cambiar o deshacer acciones de corrección

Para obtener instrucciones, consulte Deshacer acciones de corrección.

Recursos adicionales

• Ver detalles y resultados de una investigación automatizada en Office 365
• Corregir el correo electrónico malintencionado entregado en Office 365
• Notificar falsos positivos o falsos negativos en la investigación y respuesta automatizadas (AIR)