Realizar acciones en los resultados de consultas de búsqueda avanzadas

  • Se aplica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Puede contener rápidamente amenazas o abordar los recursos en peligro que se encuentran en la búsqueda avanzada. Puede realizar acciones en dispositivos y correos electrónicos, y poner en cuarentena archivos.

Permisos necesarios

Para realizar acciones en los dispositivos mediante la búsqueda avanzada, necesita un rol en Microsoft Defender para punto de conexión con permisos para enviar acciones de corrección en los dispositivos.

Si no puede realizar ninguna acción, póngase en contacto con un administrador global para obtener el permiso siguiente:

Acciones de corrección > activas Operaciones de seguridad.

Para tomar medidas en los correos electrónicos a través de la búsqueda avanzada, necesita un rol en Microsoft Defender para Office 365 buscar y purgar correos electrónicos.

  • Microsoft Defender XDR control de acceso basado en rol unificado (URBAC): la pertenencia asignada con los siguientes permisos URBAC habilita la opción Tomar acción en la búsqueda avanzada y concede a los usuarios los permisos necesarios para realizar acciones de corrección:
    • Operaciones> de seguridadDatos> de seguridadRespuesta (administrar): es necesario para aprobar o descartar acciones correctivas.
    • Operaciones> de seguridadDatos> de seguridadEmail & acciones avanzadas de colaboración (administrar): es necesario realizar acciones en los correos electrónicos (mover, eliminar temporalmente, eliminar de forma rígida).

Llevar a cabo acciones en los dispositivos

Puede realizar las siguientes acciones en los dispositivos identificados por la columna en los DeviceId resultados de la consulta:

  • Aísle los dispositivos afectados para que contengan una infección o eviten que los ataques se muevan lateralmente.
  • Recopile un paquete de investigación para obtener más información forense.
  • Ejecute un examen antivirus para buscar y quitar amenazas mediante las últimas actualizaciones de inteligencia de seguridad.
  • Inicie una investigación automatizada para comprobar y corregir las amenazas en el dispositivo y posiblemente en otros dispositivos afectados.
  • Restrinja la ejecución de la aplicación solo a los archivos ejecutables firmados por Microsoft, lo que impide la actividad de amenazas posterior a través de malware u otros ejecutables que no son de confianza.

Para obtener más información sobre cómo Microsoft Defender para punto de conexión realiza estas acciones de respuesta, consulte Acciones de respuesta en dispositivos.

Archivos de cuarentena

Puede implementar la acción de cuarentena en archivos para que los archivos se pongan en cuarentena automáticamente cuando se encuentren. Al seleccionar esta acción, puede elegir entre las columnas siguientes para identificar qué archivos de los resultados de la consulta se ponen en cuarentena:

  • SHA1: en las tablas de búsqueda más avanzadas, esta columna hace referencia al SHA-1 del archivo que se ve afectado por la acción registrada. Por ejemplo, si se copió un archivo, este archivo afectado es el archivo copiado.
  • InitiatingProcessSHA1: en las tablas de búsqueda más avanzadas, esta columna hace referencia al archivo responsable de iniciar la acción registrada. Por ejemplo, si se inició un proceso secundario, este archivo iniciador forma parte del proceso primario.
  • SHA256: esta columna es el equivalente SHA-256 del archivo identificado por la SHA1 columna.
  • InitiatingProcessSHA256: esta columna es el equivalente SHA-256 del archivo identificado por la InitiatingProcessSHA1 columna.

Para obtener más información sobre cómo poner en cuarentena los archivos y restaurarlos, consulte Acciones de respuesta en archivos.

Nota:

Para buscar archivos y ponerlos en cuarentena, los resultados de la consulta también deben incluir DeviceId valores como identificadores de dispositivo.

Para realizar cualquiera de estas acciones, seleccione uno o varios registros en los resultados de la consulta y, a continuación, seleccione Realizar acciones. Un asistente le guía por el proceso de selección y envío de las acciones que prefiera.

Captura de pantalla de la opción realizar acciones en el portal de Microsoft Defender.

Realizar acciones en los correos electrónicos

Además de los pasos de corrección centrados en el dispositivo, también puede realizar acciones en los correos electrónicos de los resultados de la consulta. Seleccione los registros en los que desea realizar acciones, seleccione Realizar acciones y, a continuación, en Elegir acciones, seleccione su elección entre las siguientes opciones:

  • Mover a la carpeta buzón : seleccione esta acción para mover los mensajes de correo electrónico a la carpeta Elementos no deseados, Bandeja de entrada o Elementos eliminados.

    Puede volver a mover los resultados de correo electrónico en cuarentena (como falsos positivos) a la bandeja de entrada seleccionando la opción Bandeja de entrada .

    Captura de pantalla de la opción Bandeja de entrada en el panel Realizar acciones en el portal de Microsoft Defender.

  • Eliminar correo electrónico : seleccione esta acción para mover los mensajes de correo electrónico a la carpeta Elementos eliminados (eliminación temporal) o eliminarlos permanentemente (eliminación rígida).

    Al seleccionar Eliminación temporal también se eliminan automáticamente los mensajes de la carpeta Elementos enviados del remitente si el remitente está en la organización.

    Captura de pantalla del panel Acciones con la opción Eliminación temporal y la configuración de eliminación automática de copia del remitente.

    La eliminación temporal automática de la copia del remitente está disponible para los resultados mediante las EmailEvents tablas y EmailPostDeliveryEvents , pero no la UrlClickEvents tabla. Además, el resultado debe contener las EmailDirection columnas y SenderFromAddress para que esta opción de acción aparezca en el Asistente para realizar acciones . La limpieza de copia del remitente se aplica a los correos electrónicos dentro de la organización y los correos electrónicos salientes, lo que garantiza que solo se elimine temporalmente la copia del remitente para estos mensajes de correo electrónico. Los mensajes entrantes están fuera del ámbito.

    Consulte la consulta siguiente como referencia:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

  • Enviar a Microsoft : seleccione esta acción para enviar correos electrónicos falsos positivos o falsos negativos a Microsoft.

    Como parte del envío, también puede agregar direcciones URL y dominios url, dominios de remitente y archivos adjuntos a la lista de permitidos o bloqueados de inquilinos para resolver inmediatamente el problema mientras Microsoft evalúa el envío.

    Importante

    Para bloquear una dirección URL o un dominio de dirección URL, una la EmailUrlInfo tabla con NetworkMessageId para obtener los detalles necesarios. Para bloquear los datos adjuntos (archivo), una la EmailAttachmentInfo tabla con NetworkMessageId para obtener el hash del archivo.

    Enviar a Microsoft podría estar deshabilitado si faltan columnas obligatorias. Para resolver este problema, seleccione Mostrar columnas vacías antes de seleccionar Realizar acciones.

    Captura de pantalla de la página Elegir acciones del Asistente para realizar acciones con Enviar a Microsoft seleccionado y el control flotante Entidades seleccionadas para bloquear detalles.

  • Iniciar investigación automatizada : seleccione esta acción para desencadenar una investigación automatizada en destinatarios de correo electrónico, remitente, destinatario o contacto.

    Si faltan columnas obligatorias, es posible que se deshabilite la investigación automatizada. Para resolver este problema, seleccione Mostrar columnas vacías antes de seleccionar Realizar acciones.

    Captura de pantalla de la página Elegir acciones del Asistente para realizar acciones con Iniciar investigación automatizada seleccionada.

Puede proporcionar un nombre de corrección y una breve descripción de la acción para realizar el seguimiento en el historial del centro de acciones. Use el identificador de aprobación proporcionado al final del asistente para filtrar estas acciones en el centro de acciones:

Captura de pantalla del Asistente para realizar acciones que muestra el paso Elegir acciones para las entidades seleccionadas.

Estas acciones de correo electrónico también se aplican a las detecciones personalizadas.

Revisar las acciones realizadas

Centro de acciones en Centro de acciones \

El historial (security.microsoft.com/action-center/history) registra cada acción individualmente. Para comprobar el estado de cada acción, vaya al centro de acciones.

Nota:

Es posible que algunas tablas de este artículo no estén disponibles en Microsoft Defender para punto de conexión. Active Microsoft Defender XDR para buscar amenazas mediante más orígenes de datos. Para mover los flujos de trabajo de búsqueda avanzados de Microsoft Defender para punto de conexión a Microsoft Defender XDR, consulte Migración de consultas de búsqueda avanzadas desde Microsoft Defender para punto de conexión.

Contenido relacionado

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

  • Last updated on