Compartir vía

Configuración de la interrupción automática de ataques en Microsoft Defender XDR

  • Artículo

Microsoft Defender XDR incluye eficaces funcionalidades automatizadas de interrupción de ataques que pueden proteger su entorno frente a ataques sofisticados de alto impacto.

En este artículo se describe cómo configurar las funcionalidades de interrupción automática de ataques en Microsoft Defender XDR. Una vez configurado, puede ver y administrar las acciones de contención en Incidentes y el Centro de acciones. Y, si es necesario, puede realizar cambios en la configuración.

Requisitos previos

Los siguientes son requisitos previos para configurar la interrupción automática de ataques en Microsoft Defender XDR:

Requisito Detalles
Requisitos de suscripción Una de estas suscripciones:
  • Microsoft 365 E5 o A5
  • Microsoft 365 E3 con el complemento Seguridad de Microsoft 365 E5
  • Microsoft 365 E3 con el complemento Enterprise Mobility + Security E5
  • Microsoft 365 A3 con el complemento seguridad de Microsoft 365 A5
  • Windows 10 Enterprise E5 o A5
  • Windows 11 Empresas E5 o A5
  • Enterprise Mobility + Seguridad (EMS) E5 o A5
  • Office 365 E5 o A5
  • Microsoft Defender para punto de conexión (Plan 2)
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Defender para Office 365 (Plan 2)
  • Microsoft Defender para Empresas

Consulte Microsoft Defender XDR requisitos de licencia.
Requisitos de implementación
  • Implementación en productos de Defender (por ejemplo, Defender para punto de conexión, Defender para Office 365, Defender for Identity y Defender for Cloud Apps)
    • Cuanto más amplia sea la implementación, mayor será la cobertura de protección. Por ejemplo, si se usa una señal de Microsoft Defender for Cloud Apps en una detección determinada, este producto es necesario para detectar el escenario de ataque específico pertinente.
    • Del mismo modo, el producto pertinente debe implementarse para ejecutar una acción de respuesta automatizada. Por ejemplo, Microsoft Defender para punto de conexión es necesario para contener automáticamente un dispositivo.
  • la detección de dispositivos de Microsoft Defender para punto de conexión se establece en "detección estándar" (requisito previo para el inicio automático de la acción "Contener dispositivo")
Permissions Para configurar las funcionalidades de interrupción automática de ataques, debe tener uno de los siguientes roles asignados en Microsoft Entra ID (https://portal.azure.com) o en el Centro de administración de Microsoft 365 (https://admin.microsoft.com):
  • Administrador global
  • Administrador de seguridad
Para trabajar con funcionalidades automatizadas de investigación y respuesta, como revisar, aprobar o rechazar acciones pendientes, consulte Permisos necesarios para las tareas del Centro de acciones.

Microsoft Defender para punto de conexión requisitos previos

Versión mínima del cliente de Sense (MDE cliente)

La versión mínima del agente de Sense necesaria para que la acción Contener usuario funcione es v10.8470. Puede identificar la versión del agente de Sense en un dispositivo ejecutando el siguiente comando de PowerShell:

Get-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection" -Name "InstallLocation"

Configuración de automatización para los dispositivos de la organización

Revise el nivel de automatización configurado para las directivas de grupo de dispositivos, si se ejecutan investigaciones automatizadas y si las acciones de corrección se realizan automáticamente o solo tras la aprobación de los dispositivos dependen de ciertas configuraciones. Debe ser administrador global o administrador de seguridad para realizar el procedimiento siguiente:

  1. Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.

  2. Vaya aConfiguración del>sistema>Puntos de conexión>Grupos de dispositivos en Permisos.

  3. Revise las directivas de grupo de dispositivos y examine la columna Nivel de corrección . Se recomienda usar Full: corregir las amenazas automáticamente.

También puede crear o editar los grupos de dispositivos para establecer el nivel de corrección adecuado para cada grupo. La selección del nivel de automatización semi permite desencadenar la interrupción automática de ataques sin necesidad de aprobación manual. Para excluir un grupo de dispositivos de la contención automatizada, puede establecer su nivel de automatización en ninguna respuesta automatizada. Tenga en cuenta que esta configuración no es muy recomendable y solo debe realizarse para un número limitado de dispositivos.

Configuración de detección de dispositivos

La configuración de detección de dispositivos debe activarse en "detección de Standard" como mínimo. Obtenga información sobre cómo configurar la detección de dispositivos en Configuración de la detección de dispositivos.

Nota:

La interrupción de ataques puede actuar en dispositivos independientes del estado operativo de un dispositivo Microsoft Defender Antivirus. El estado operativo puede estar en modo de bloque activo, pasivo o EDR.

Requisitos previos de Microsoft Defender for Identity

Configuración de la auditoría en controladores de dominio

Obtenga información sobre cómo configurar la auditoría en controladores de dominio en Configurar directivas de auditoría para registros de eventos de Windows para asegurarse de que los eventos de auditoría necesarios están configurados en los controladores de dominio donde se implementa el sensor de Defender for Identity.

Validar cuentas de acción

Defender for Identity permite realizar acciones de corrección destinadas a cuentas de Active Directory local en caso de que una identidad esté en peligro. Para realizar estas acciones, Defender for Identity debe tener los permisos necesarios para hacerlo. De forma predeterminada, el sensor de Defender for Identity suplanta la cuenta LocalSystem del controlador de dominio y realiza las acciones. Puesto que se puede cambiar el valor predeterminado, compruebe que Defender for Identity tiene los permisos necesarios o que usa la cuenta localsystem predeterminada.

Puede encontrar más información sobre las cuentas de acción en Configurar cuentas de acción Microsoft Defender for Identity

El sensor de Defender for Identity debe implementarse en el controlador de dominio donde se va a desactivar la cuenta de Active Directory.

Nota:

Si tiene automatización para activar o bloquear a un usuario, compruebe si la automatización puede interferir con la interrupción. Por ejemplo, si hay una automatización en su lugar para comprobar y aplicar periódicamente que todos los empleados activos tienen cuentas habilitadas, esto podría activar involuntariamente las cuentas que se desactivaron por interrupción del ataque mientras se detecta un ataque.

Microsoft Defender for Cloud Apps requisitos previos

conector de Microsoft Office 365

Microsoft Defender for Cloud Apps debe conectarse a Microsoft Office 365 a través del conector. Para conectar Defender for Cloud Apps, consulte Conexión de Microsoft 365 a Microsoft Defender for Cloud Apps.

Gobernanza de aplicaciones

La gobernanza de aplicaciones debe estar activada. Consulte la documentación de gobernanza de aplicaciones para activarla.

Microsoft Defender para Office 365 requisitos previos

Ubicación de buzones

Los buzones deben hospedarse en Exchange Online.

Registro de auditoría de buzones de correo

Los siguientes eventos de buzón deben auditarse como mínimo:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

Revise administrar la auditoría de buzones para obtener información sobre cómo administrar la auditoría de buzones.

Pasos siguientes

Contenido relacionado

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.