Abordar comportamientos no deseados en Microsoft Defender para punto de conexión

La función principal de Microsoft Defender para punto de conexión es impedir y detectar el acceso a procesos y archivos malintencionados. Defender para punto de conexión protege a los usuarios de su organización frente a amenazas mientras mantiene la productividad con directivas y configuraciones de seguridad predeterminadas. En ocasiones, pueden producirse comportamientos no deseados, como:

  • Falsos positivos: un falso positivo es cuando una entidad, como un archivo o un proceso, se detectó e identificó como malintencionada, aunque la entidad no sea una amenaza.
  • Rendimiento deficiente: las aplicaciones experimentan problemas de rendimiento cuando se habilitan determinadas características de Defender para punto de conexión
  • Incompatibilidad de aplicaciones: las aplicaciones no funcionan correctamente cuando se habilitan determinadas características de Defender para punto de conexión

En este artículo se describe cómo abordar estos tipos de comportamientos no deseados e incluye algunos escenarios de ejemplo.

Nota:

La creación de un indicador o una exclusión solo debe tenerse en cuenta después de comprender exhaustivamente la causa principal del comportamiento inesperado.

Proceso general para abordar comportamientos no deseados

En un nivel alto, el proceso para abordar un comportamiento no deseado en Defender para punto de conexión es el siguiente:

  1. Identifique qué funcionalidad está causando el comportamiento no deseado. Para tomar la determinación, determine si hay una configuración incorrecta con Microsoft Defender Antivirus, detección y respuesta de puntos de conexión, reducción de la superficie expuesta a ataques o acceso controlado a carpetas. Use información en el portal de Microsoft Defender o en el dispositivo.

    Ubicación Qué hacer
    El portal de Microsoft Defender Para ayudar a identificar lo que sucede, realice una o varias de las siguientes acciones:
    - Investigar alertas
    - Uso de la búsqueda avanzada
    - Ver informes
    En el dispositivo Para identificar el problema, realice uno o varios de los pasos siguientes:
    - Uso de herramientas del analizador de rendimiento
    - Revisión de registros de eventos y códigos de error
    - Comprobación del historial de protección

  2. En función de los resultados del paso anterior, puede realizar una o varias de las siguientes acciones:

    La protección contra alteraciones afecta a si las exclusiones se pueden modificar o agregar. Consulte Qué ocurre cuando la protección contra alteraciones está activada.

  3. Compruebe que los cambios solucionaron el problema.

Ejemplos de comportamientos no deseados

Esta sección incluye varios escenarios de ejemplo que se pueden abordar mediante exclusiones e indicadores. Para obtener más información sobre las exclusiones, vea Información general sobre exclusiones.

Microsoft Defender Antivirus detecta una aplicación cuando se ejecuta la aplicación.

En este escenario, cada vez que un usuario ejecuta una aplicación determinada, Microsoft Defender Antivirus detecta la aplicación como una amenaza potencial.

Cómo solucionarlo: Cree un indicador "allow" para Microsoft Defender para punto de conexión. Por ejemplo, puede crear un indicador "allow" para un archivo, como un ejecutable. Consulte Creación de indicadores para archivos.

Microsoft Defender Antivirus detecta una aplicación personalizada autofirmada cuando se ejecuta la aplicación.

En este escenario, Microsoft Defender Antivirus detecta una aplicación personalizada como una amenaza potencial. La aplicación se actualiza periódicamente y está autofirmado.

Cómo abordar: Cree indicadores de "permitir" para certificados o archivos. Consulte los siguientes artículos:

Una aplicación personalizada tiene acceso a un conjunto de tipos de archivo que se detecta como malintencionados cuando se ejecuta la aplicación.

En este escenario, una aplicación personalizada accede a un conjunto de tipos de archivo y el conjunto se detecta como malintencionado por Microsoft Defender Antivirus cada vez que se ejecuta la aplicación.

Cómo observar: Cuando se ejecuta la aplicación, la supervisión del comportamiento en Microsoft Defender Antivirus la detecta.

Cómo solucionarlo: defina exclusiones para Microsoft Defender Antivirus, como una exclusión de archivo o ruta de acceso que podría incluir caracteres comodín. O bien, defina una exclusión de ruta de acceso de archivo personalizada. Consulte los siguientes artículos:

Microsoft Defender Antivirus detecta una aplicación como detección de "comportamiento"

En este escenario, Microsoft Defender Antivirus detecta una aplicación debido a cierto comportamiento, aunque la aplicación no sea una amenaza.

Cómo abordar: Definir una exclusión de proceso. Consulte los siguientes artículos:

Una aplicación se considera una aplicación potencialmente no deseada (PUA)

En este escenario, se detecta una aplicación como PUA y quiere permitir que se ejecute.

Cómo solucionarlo: Defina una exclusión para la aplicación. Consulte los siguientes artículos:

Se impide que una aplicación escriba en una carpeta protegida.

En este escenario, se impide que una aplicación legítima escriba en carpetas protegidas por el acceso controlado a carpetas.

Dirección: agregue la aplicación a la lista "permitido" para el acceso controlado a carpetas. Consulte Permitir que aplicaciones específicas realicen cambios en carpetas controladas.

Una aplicación de terceros se detecta como malintencionada por Microsoft Defender Antivirus

En este escenario, Microsoft Defender Antivirus detecta una aplicación de terceros que no es una amenaza y la identifica como malintencionada.

Cómo solucionarlo: envíe la aplicación a Microsoft para su análisis. Consulte Cómo enviar un archivo a Microsoft para su análisis.

Defender para punto de conexión detecta e identifica incorrectamente una aplicación como malintencionada

En este escenario, se detecta una aplicación legítima y se identifica como malintencionada por una regla de reducción de la superficie expuesta a ataques (ASR) en Microsoft Defender Antivirus. La regla ASR impide que JavaScript o VBScript inicien contenido ejecutable descargado bloquea cualquier contenido descargado cuando el usuario intenta usar la aplicación.

Para ver los métodos disponibles para ver las detecciones de reglas de ASR en Defender para punto de conexión, consulte Supervisión de la actividad de reglas de reducción de la superficie expuesta a ataques (ASR).

Cómo abordar:

Use el informe Reglas de reducción de superficie expuesta a ataques para ver las detecciones, los dispositivos afectados y los archivos afectados. En concreto, puede descargar la información completa del archivo y la ruta de acceso de los archivos afectados para excluirlos de la regla ASR en la pestaña Agregar exclusiones del informe.

Para ver los métodos disponibles para configurar exclusiones de reglas de ASR, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

Word plantillas que contienen macros que inician otras aplicaciones están bloqueadas

En este escenario, la regla ASR Bloquear llamadas API Win32 desde macros de Office bloquea Microsoft Word cuando un usuario abre documentos creados a partir de plantillas de Microsoft Word que contienen macros y esas macros inician otras aplicaciones.

Para ver los métodos disponibles para ver las detecciones de reglas de ASR en Defender para punto de conexión, consulte Supervisión de la actividad de reglas de reducción de la superficie expuesta a ataques (ASR).

Cómo abordar:

Use el informe Reglas de reducción de superficie expuesta a ataques para ver las detecciones, los dispositivos afectados y los archivos afectados. En concreto, puede descargar la información completa del archivo y la ruta de acceso de los archivos afectados para excluirlos de la regla ASR en la pestaña Agregar exclusiones del informe.

Para ver los métodos disponibles para configurar exclusiones de reglas de ASR, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

Vea también

  • Last updated on