Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=mdr-ops-actions

Qué medidas puede tomar el equipo de operaciones de MDR

En esta página se describen las medidas que puede tomar nuestro equipo de operaciones de MDR si usted le autoriza a responder a las amenazas en su nombre.

Solo tomamos medidas cuando es necesario. Sin embargo, si elige la opción de respuesta a amenazas Autorizar al configurar MDR, nuestro equipo responderá a las amenazas activas sin consultar primero con sus contactos.

Si prefiere que el equipo de operaciones de MDR no actúe sin consultar, elija la opción de respuesta a amenazas Colaborar. Para hacerlo, consulte Definir la respuesta a amenazas.

Para obtener más información sobre las diferentes opciones de configuración de respuesta a amenazas, consulte None.

Acciones con Live Response

El equipo de operaciones de MDR puede utilizar Live Response para conectarse a los dispositivos y tomar medidas. Debe tener Live Response activado para que podamos hacerlo. Consulte Configurar e iniciar Live Response.

Estas son algunas de las acciones que puede realizar el equipo:

  • Desactivar usuarios
  • Eliminar usuarios
  • Finalizar sesiones
  • Detener procesos maliciosos
  • Eliminar archivos
  • Examinar carpetas
  • Eliminar tareas programadas
  • Eliminar procesos

Acciones con Sophos Central

Desde la sección Configuración general de Sophos Central, el equipo puede hacer lo siguiente:

  • Aislar dispositivos
  • Bloquear aplicaciones
  • Bloquear direcciones IP

Acciones con Microsoft 365

El equipo de operaciones de MDR puede utilizar las acciones de respuesta de Microsoft 365 si ha configurado esa integración.

El equipo puede hacer lo siguiente:

  • Bloquear o permitir los inicios de sesión de los usuarios. Esto ayuda a impedir el acceso no autorizado.
  • Desconectar o revocar todas las sesiones actuales. Esto ayuda a aislar las cuentas vulneradas.
  • Desactivar las reglas de la bandeja de entrada para los usuarios. Esto ayuda a detener el reenvío malintencionado de correos electrónicos confidenciales, las tácticas de evasión de la seguridad, la eliminación de pruebas, etc.

Para configurar las acciones de respuesta de Microsoft 365, consulte Acciones de respuesta de Microsoft 365.

Acciones con Sophos Firewall

Si tiene Sophos Firewall, podemos interactuar con los feeds de amenazas de XG Firewall. Por ejemplo, si se produce un incidente crítico, podemos terminar las sesiones VPN de los usuarios expuestos.