Microsoft anunció hará unos meses el lanzamiento al público en general de la función de corrección automática de mensajes maliciosos mediante la investigación y respuesta automatizadas (AIR), que amplía esta potente herramienta y ofrece una automatización completa de principio a fin de los escenarios clave del SOC.
AIR trabaja para clasificar, investigar, remediar y responder a alertas de seguridad de alto impacto y gran volumen, proporcionando análisis a nivel de inquilino para aumentar la protección del cliente y optimizar los equipos SOC. Con esta mejora, los clientes pueden configurar AIR para que ejecute automáticamente las correcciones de los mensajes dentro de los grupos de entidades maliciosas, lo que ahorra tiempo a los equipos SOC y agiliza aún más la corrección, ya que elimina la necesidad de que los equipos SOC aprueben estas acciones.
Para resaltar el escenario clave de envío de información por parte del usuario, además de que AIR complete la clasificación, la investigación, la identificación de soluciones y las respuestas a los comentarios de los usuarios finales, los clientes ahora pueden configurar AIR para ir un paso más allá y ejecutar automáticamente las soluciones identificadas.
Acción de corrección automática
Cuando AIR reconoce un archivo o URL malicioso, crea un clúster alrededor del archivo o URL malicioso agrupando todos los mensajes que contienen ese archivo o URL en el clúster correspondiente. A continuación, la investigación automatizada comprueba la ubicación de los mensajes dentro del clúster y, si encuentra mensajes dentro de los buzones de correo de los usuarios, AIR generará una acción de corrección. Con la mejora de la corrección automática, si el cliente ha configurado el tipo de clúster para la corrección automática, esta acción se ejecutará automáticamente sin necesidad de la aprobación de SecOps, eliminando las amenazas identificadas a la velocidad de la máquina.
Clústeres corregidos automáticamente que se muestran en el historial del centro de acciones con la automatización decidida:
Configuración
La corrección automática se controlará mediante una configuración en Settings > Email & Collaboration > MDO automation. En la sección de grupos de mensajes, las organizaciones pueden especificar qué tipos de grupos de mensajes desean que se corrijan automáticamente:
- Archivos similares: Cuando la investigación automatizada reconoce un archivo malicioso, crea un clúster alrededor del archivo malicioso agrupando todos los mensajes que contienen ese archivo en el clúster. Al seleccionar esta casilla, la organización optará por la corrección automática de estos clústeres de archivos maliciosos.
- URL similares: cuando la investigación automatizada reconoce una URL maliciosa, crea un clúster alrededor de la URL maliciosa agrupando todos los mensajes que contienen la URL en el clúster. Al seleccionar esta casilla de verificación, la organización optará por la corrección automática de estos clústeres de URL maliciosas.
La siguiente configuración es para la acción de corrección, designando el borrado suave, ya que actualmente es la única acción compatible con AIR.
Configuración de la corrección automática de clústeres de entidades maliciosas que se encuentra en Settings> Email & collaboration > MDO automation:
Nota: Los clientes interesados en la reparación automática deben activarla a través de la página de configuración de automatización de MDO, ya que no estará activada por defecto.
Registro de acciones de corrección automática
El portal Defender ofrece a los clientes varias formas de revisar las acciones de corrección para mantenerse al tanto de las acciones ejecutadas. Estas incluyen la investigación, el centro de acciones, la entidad de correo electrónico, así como el explorador de amenazas y la búsqueda avanzada. Si los clientes no están de acuerdo con la acción ejecutada, también existe la posibilidad de devolver los mensajes a los buzones de correo, según la configuración y el momento.
Mensajes remediados automáticamente que se muestran en el explorador de amenazas Acciones adicionales como remediación automatizada: automatizada:
Los mensajes auto-remediados se muestran en Búsqueda Avanzada con ActionType como Remediación Automatizada y ActionTrigger como Automatización:
Para saber más sobre las investigaciones en MDO, visite las siguientes páginas:
- Automated investigation and response in Microsoft Defender for Office 365 – Office 365 | Microsoft Learn
- View the results of an automated investigation in Microsoft 365 – Office 365 | Microsoft Learn
- How automated investigation and response works in Microsoft Defender for Office 365 – Office 365 | Microsoft Learn
- Automatic user notifications for user reported phishing results in AIR – Microsoft Defender for Office 365 | Microsoft Learn
