Acerca del Explorador de amenazas y las detecciones en tiempo real en Microsoft Defender para Office 365

• Se aplica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Las organizaciones de Microsoft 365 que Microsoft Defender para Office 365 incluyen en su suscripción o compran como complemento tienen Explorador (también conocido como Explorador de amenazas) o detecciones en tiempo real. Estas características son herramientas de informes eficaces casi en tiempo real que ayudan a los equipos de Operaciones de seguridad (SecOps) a investigar y responder a las amenazas.

En función de la suscripción, el Explorador de amenazas o las detecciones en tiempo real están disponibles en la sección Email & colaboración del portal de Microsoft Defender en https://security.microsoft.com:

• Las detecciones en tiempo real están disponibles en Defender para Office 365 Plan 1. La página Detecciones en tiempo real está disponible directamente en https://security.microsoft.com/realtimereportsv3.

  

• El Explorador de amenazas está disponible en Defender para Office 365 plan 2. La página Explorador está disponible directamente en https://security.microsoft.com/threatexplorerv3.

  

El Explorador de amenazas contiene la misma información y funcionalidades que las detecciones en tiempo real, pero con las siguientes características adicionales:

• Más vistas.
• Más opciones de filtrado de propiedades, incluida la opción para guardar consultas.
• Más acciones.

Para obtener más información sobre las diferencias entre Defender para Office 365 Plan 1 y Plan 2, consulte la hoja de referencia rápida del plan 1 frente al plan 2 de Defender para Office 365.

En el resto de este artículo se explican las vistas y características que están disponibles en el Explorador de amenazas y las detecciones en tiempo real.

Sugerencia

Para escenarios de correo electrónico mediante el Explorador de amenazas y las detecciones en tiempo real, consulte los artículos siguientes:

• Búsqueda de amenazas en el Explorador de amenazas y detecciones en tiempo real en Microsoft Defender para Office 365
• Email seguridad con el Explorador de amenazas y las detecciones en tiempo real en Microsoft Defender para Office 365
• Investigación del correo electrónico malintencionado que se entregó en Microsoft 365

Permisos y licencias para el Explorador de amenazas y las detecciones en tiempo real

Para usar el Explorador o las detecciones en tiempo real, debe tener asignados permisos. Tiene las siguientes opciones:

• Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell:
  • Acceso de lectura para el correo electrónico y los encabezados de mensaje de Teams: operaciones de seguridad/Datos sin procesar (colaboración de & de correo electrónico)/Email & metadatos de colaboración (lectura).
  • Vista previa y descarga de mensajes de correo electrónico: operaciones de seguridad/Datos sin procesar (colaboración & correo electrónico)/Email & contenido de colaboración (lectura)..
  • Corregir correo electrónico malintencionado: operaciones de seguridad/Datos de seguridad/Email & acciones avanzadas de colaboración (administrar).
• Email & permisos de colaboración en el portal de Microsoft Defender:
  • Acceso total: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad . Se requieren más permisos para realizar todas las acciones disponibles:
    • Vista previa y descarga de mensajes: requiere el rol De vista previa , que solo se asigna a los grupos de roles Investigador de datos o Administrador de exhibición de documentos electrónicos de forma predeterminada. O bien, puede crear un nuevo grupo de roles con el rol De vista previa asignado y agregar los usuarios al grupo de roles personalizado.
    • Mover mensajes y eliminar mensajes de buzones: requiere el rol Buscar y purgar , que solo se asigna a los grupos de roles Investigador de datos o Administración de la organización de forma predeterminada. O bien, puede crear un nuevo grupo de roles con el rol Buscar y purgar asignado y agregar los usuarios al grupo de roles personalizado.
  • Acceso de solo lectura: pertenencia al grupo de roles Lector de seguridad .
• Microsoft Entra permisos: la pertenencia a estos roles proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365:

  • Acceso completo: pertenencia a los roles administrador^* global o administrador de seguridad .

  • Busque reglas de flujo de correo de Exchange (reglas de transporte) por nombre en Explorador de amenazas: Pertenencia a los roles Administrador de seguridad o Lector de seguridad .

  • Acceso de solo lectura: pertenencia a los roles Lector global o Lector de seguridad .

    Importante

    ^* Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Sugerencia

Las notificaciones de correo no deseado del usuario final y los mensajes generados por el sistema no se pueden usar en el Explorador de amenazas. Estos tipos de mensajes están disponibles si hay una regla de flujo de correo (también conocida como regla de transporte) que se va a invalidar.

Las entradas de registro de auditoría se generan cuando los administradores obtienen una vista previa o descargan mensajes de correo electrónico. Puede buscar la actividad AdminMailAccess en el registro de auditoría de administración por usuario. Para obtener instrucciones, consulte Auditoría de nueva búsqueda.

Para usar el Explorador de amenazas o las detecciones en tiempo real, debe tener asignada una licencia para Defender para Office 365 (incluida en la suscripción o una licencia de complemento).

El Explorador de amenazas o las detecciones en tiempo real contienen datos para los usuarios con licencias de Defender para Office 365 asignadas.

Elementos del Explorador de amenazas y detecciones en tiempo real

El Explorador de amenazas y las detecciones en tiempo real contienen los siguientes elementos:

• Vistas: pestañas en la parte superior de la página que organizan las detecciones por amenaza. La vista afecta al resto de los datos y opciones de la página.

  En la tabla siguiente se enumeran las vistas disponibles en el Explorador de amenazas y las detecciones en tiempo real:

  Vista	Amenaza Explorador	En tiempo real Detecciones	Descripción
  Todo el correo electrónico	✔		Vista predeterminada del Explorador de amenazas. Información sobre todos los mensajes de correo electrónico enviados por usuarios externos a su organización o correo electrónico enviado entre usuarios internos de la organización.
  Malware	✔	✔	Vista predeterminada para detecciones en tiempo real. Información sobre los mensajes de correo electrónico que contienen malware.
  Suplantación de identidad	✔	✔	Información sobre los mensajes de correo electrónico que contienen amenazas de suplantación de identidad (phishing).
  Campañas	✔		Información sobre el correo electrónico malintencionado que Defender para Office 365 plan 2 identificado como parte de una campaña coordinada de phishing o malware.
  Malware de contenido	✔	✔	Información sobre los archivos malintencionados detectados por las siguientes características: Protección antivirus integrada en SharePoint, OneDrive y Microsoft Teams Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams
  Clics de URL	✔		Información sobre los clics del usuario en las direcciones URL de los mensajes de correo electrónico, los mensajes de Teams, los archivos de SharePoint y los archivos de OneDrive.

  Estas vistas se describen en detalle en este artículo, incluidas las diferencias entre el Explorador de amenazas y las detecciones en tiempo real.

• Filtros de fecha y hora: de forma predeterminada, la vista se filtra por ayer y por hoy. Para cambiar el filtro de fechas, seleccione el intervalo de fechas y, a continuación, seleccione Los valores fecha de inicio y fecha de finalización hasta hace 30 días.

  

• Filtros de propiedades (consultas): filtre los resultados en la vista por las propiedades de mensaje, archivo o amenaza disponibles. Las propiedades filtrables disponibles dependen de la vista. Algunas propiedades están disponibles en muchas vistas, mientras que otras propiedades están limitadas a una vista específica.

  Los filtros de propiedades disponibles para cada vista se enumeran en este artículo, incluidas las diferencias entre el Explorador de amenazas y las detecciones en tiempo real.

  Para obtener instrucciones para crear filtros de propiedades, consulte Filtros de propiedades en el Explorador de amenazas y Detecciones en tiempo real.

  El Explorador de amenazas permite guardar consultas para su uso posterior, como se describe en la sección Consultas guardadas en el Explorador de amenazas .

• Gráficos: cada vista contiene una representación visual agregada de los datos filtrados o sin filtrar. Puede usar tablas dinámicas disponibles para organizar el gráfico de diferentes maneras.

  A menudo, puede usar Exportar datos de gráficos para exportar datos de gráfico filtrados o sin filtrar a un archivo CSV.

  Los gráficos y las tablas dinámicas disponibles se describen en detalle en este artículo, incluidas las diferencias entre el Explorador de amenazas y las detecciones en tiempo real.

  Sugerencia

  Para quitar el gráfico de la página (que maximiza el tamaño del área de detalles), use cualquiera de los métodos siguientes:

  • Seleccione Vistade listade vistas> de gráficos en la parte superior de la página.
  • Seleccione Mostrar vista de lista entre el gráfico y el área de detalles.

• Área de detalles: el área de detalles de una vista normalmente muestra una tabla que contiene los datos filtrados o sin filtrar. Puede usar las vistas disponibles (pestañas) para organizar los datos en el área de detalles de diferentes maneras. Por ejemplo, una vista podría contener gráficos, mapas o tablas diferentes.

  Si el área de detalles contiene una tabla, a menudo puede usar Exportar para exportar de forma selectiva hasta 200 000 resultados filtrados o sin filtrar a un archivo CSV.

  Sugerencia

  En el control flotante Exportar , puede seleccionar algunas o todas las propiedades disponibles para exportar. Las selecciones se guardan por usuario. Las selecciones en el modo de exploración Incognito o InPrivate se guardan hasta que se cierra el explorador web.

Vista de correo electrónico en el Explorador de amenazas

En la vista Todo el correo electrónico del Explorador de amenazas se muestra información sobre todos los mensajes de correo electrónico enviados por usuarios externos a su organización y el correo electrónico enviado entre los usuarios internos de la organización. La vista muestra correo electrónico malintencionado y no malintencionado. Por ejemplo:

• Email identificado phishing o malware.
• Email identifica como correo no deseado o masivo.
• Email identificado sin amenazas.

Esta vista es la predeterminada en el Explorador de amenazas. Para abrir la vista Todo el correo electrónico en la página Explorador en el portal de Defender en https://security.microsoft.com, vaya a Email & pestañaDe todos los correos electrónicosdel Explorador> de colaboración>. O bien, vaya directamente a la página Explorador mediante https://security.microsoft.com/threatexplorerv3y, a continuación, compruebe que la pestaña Todo el correo electrónico está seleccionada.

Propiedades filtrables en la vista Todo el correo electrónico en el Explorador de amenazas

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

Las propiedades filtrables que están disponibles en el cuadro de acción Entrega de la vista Todo el correo electrónico se describen en la tabla siguiente:

Propiedad	Tipo
Basic
Dirección del remitente	Texto. Separe varios valores por comas.
Recipientes	Texto. Separe varios valores por comas.
Dominio del remitente	Texto. Separe varios valores por comas.
Dominio del destinatario	Texto. Separe varios valores por comas.
Asunto	Texto. Separe varios valores por comas.
Nombre para mostrar del remitente	Texto. Separe varios valores por comas.
Correo del remitente desde la dirección	Texto. Separe varios valores por comas.
Correo del remitente desde el dominio	Texto. Separe varios valores por comas.
Ruta de acceso de devolución	Texto. Separe varios valores por comas.
Dominio de ruta de acceso de retorno	Texto. Separe varios valores por comas.
Familia de malware	Texto. Separe varios valores por comas.
Etiquetas	Texto. Separe varios valores por comas. Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
Dominio suplantado	Texto. Separe varios valores por comas.
Usuario suplantado	Texto. Separe varios valores por comas.
Regla de transporte de Exchange	Texto. Separe varios valores por comas.
Regla de prevención de pérdida de datos	Texto. Separe varios valores por comas.
Contexto	Seleccione uno o varios valores: Evaluation Protección de cuenta prioritaria
Connector	Texto. Separe varios valores por comas.
Acción de entrega	Seleccione uno o varios valores: Bloqueado: Email mensajes que se pusieron en cuarentena, que no se entregaron correctamente o que se quitaron. Entregado: Email entrega a la Bandeja de entrada del usuario u otra carpeta donde el usuario puede acceder al mensaje. Entregado a correo no deseado: Email entregado a la carpeta de Email no deseado del usuario o a la carpeta Elementos eliminados donde el usuario puede acceder al mensaje. Reemplazado: datos adjuntos de mensajes que se reemplazaron por entrega dinámica en directivas de datos adjuntos seguros.
Acción adicional	Seleccione uno o varios valores: Corrección automatizada Entrega dinámica: para obtener más información, vea Entrega dinámica en directivas de datos adjuntos seguros. Corrección manual Ninguna Versión de cuarentena Reprocesado: el mensaje se identificó con carácter retroactivo como correcto. ZAP: para obtener más información, vea Purga automática de cero horas (ZAP) en Microsoft Defender para Office 365.
Directionality	Seleccione uno o varios valores: Entrantes Intra-irg Salida
Tecnología de detección	Seleccione uno o varios valores: Filtro avanzado: señales basadas en el aprendizaje automático. Protección contra el malware Masivo Campaña Reputación del dominio Detonación de archivos: Los datos adjuntos seguros detectaron un archivo adjunto malintencionado durante el análisis de detonación. Reputación de detonación de archivos: archivos adjuntos detectados anteriormente por detonaciones de datos adjuntos seguros en otras organizaciones de Microsoft 365. Reputación de archivo: el mensaje contiene un archivo que se identificó anteriormente como malintencionado en otras organizaciones de Microsoft 365. Coincidencia de huellas digitales: el mensaje es muy similar a un mensaje malintencionado detectado anteriormente. Filtro general Marca de suplantación: suplantación de remitente de marcas conocidas. Dominio de suplantación: suplantación de dominios de remitente que posee o especifica para la protección en las directivas contra suplantación de identidad Suplantación de usuarios Reputación de la P.I. Suplantación de inteligencia de buzones: detecciones de suplantación de inteligencia de buzones de correo en directivas anti phishing. Detección de análisis mixto: varios filtros contribuyeron al veredicto del mensaje. spoof DMARC: el mensaje produjo un error en la autenticación de DMARC. Suplantación de dominio externo: suplantación de dirección de correo electrónico del remitente mediante un dominio externo a su organización. Suplantación de identidad entre organizaciones: suplantación de dirección de correo electrónico del remitente mediante un dominio interno de la organización. Reputación de detonación de direcciones URL: direcciones URL detectadas anteriormente por detonaciones de vínculos seguros en otras organizaciones de Microsoft 365. Reputación malintencionada de direcciones URL: el mensaje contiene una dirección URL que se identificó anteriormente como malintencionada en otras organizaciones de Microsoft 365.
Ubicación de entrega original	Seleccione uno o varios valores: carpeta Elementos eliminados Cayó Failed Bandeja de entrada o carpeta Carpeta de correo no deseado Local/externo Cuarentena Desconocido
Ubicación de entrega más reciente¹	Los mismos valores que la ubicación de entrega original
Nivel de confianza de phish	Seleccione uno o varios valores: Alto Normal
Invalidación principal	Seleccione uno o varios valores: Permitido por la directiva de la organización Permitido por la directiva de usuario Bloqueado por la directiva de la organización Bloqueado por la directiva de usuario Ninguna
Origen de invalidación principal	Los mensajes pueden tener varias invalidaciones de permitir o bloquear como se identifica en Invalidar origen. La invalidación que en última instancia permitió o bloqueó el mensaje se identifica en Origen de invalidación principal. Seleccione uno o varios valores: Filtro de terceros Administración viaje en el tiempo iniciado (ZAP) Bloque de directiva antimalware por tipo de archivo Configuración de directivas antispam Directiva de conexión Regla de transporte de Exchange Modo exclusivo (invalidación de usuario) Filtrado omitido debido a la organización local Filtro de región IP de la directiva Filtro de idioma de la directiva Simulación de suplantación de identidad Versión de cuarentena Buzón de SecOps Lista de direcciones del remitente (invalidación de Administración) Lista de direcciones del remitente (invalidación de usuario) Lista de dominios del remitente (invalidación de Administración) Lista de dominios del remitente (invalidación de usuario) Bloque de archivos de lista de permitidos o bloqueados de inquilinos Bloque de direcciones de correo electrónico de remitente de lista de permitidos o bloqueados de inquilinos Bloque de suplantación de identidad de lista de permitidos o bloqueados de inquilinos Bloque de direcciones URL de lista de permitidos o bloqueados de inquilinos Lista de contactos de confianza (invalidación de usuario) Dominio de confianza (invalidación de usuario) Destinatario de confianza (invalidación de usuario) Solo remitentes de confianza (invalidación de usuario)
Invalidar origen	Los mismos valores que el origen de invalidación principal
Tipo de directiva	Seleccione uno o varios valores: directiva antimalware Directiva contra phishing Regla de transporte de Exchange (regla de flujo de correo), Directiva de filtro de contenido hospedado (directiva antispam), Directiva de filtro de correo no deseado de salida hospedada (directiva de correo no deseado saliente), Directiva de datos adjuntos seguros Desconocido
Acción de directiva	Seleccione uno o varios valores: Agregar encabezado x Mensaje CCO Eliminar mensaje Modificar asunto Mover a la carpeta de Email no deseado No se ha realizado ninguna acción Mensaje de redireccionamiento Enviar a cuarentena
Tipo de amenaza	Seleccione uno o varios valores: Malware Suplantación de identidad Correo no deseado
Mensaje reenviado	Seleccione uno o varios valores: True False
Lista de distribución	Texto. Separe varios valores por comas.
tamaño de Email	Entero. Separe varios valores por comas.
Avanzadas
Id. de mensaje de Internet	Texto. Separe varios valores por comas. Disponible en el campo Encabezado de id. de mensaje en el encabezado del mensaje. Un valor de ejemplo es <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenga en cuenta los corchetes angulares).
Identificador de mensaje de red	Texto. Separe varios valores por comas. Valor GUID que está disponible en el campo de encabezado X-MS-Exchange-Organization-Network-Message-Id del encabezado del mensaje.
IP del remitente	Texto. Separe varios valores por comas.
Datos adjuntos SHA256	Texto. Separe varios valores por comas.
Id. de clúster	Texto. Separe varios valores por comas.
Identificador de alerta	Texto. Separe varios valores por comas.
Identificador de directiva de alerta	Texto. Separe varios valores por comas.
Identificador de campaña	Texto. Separe varios valores por comas.
Señal de dirección URL de ZAP	Texto. Separe varios valores por comas.
Urls
Recuento de direcciones URL	Entero. Separe varios valores por comas.
Dominio de dirección URL²	Texto. Separe varios valores por comas.
Dominio url y ruta de acceso²	Texto. Separe varios valores por comas.
URL²	Texto. Separe varios valores por comas.
Ruta de acceso url²	Texto. Separe varios valores por comas.
Origen de la dirección URL	Seleccione uno o varios valores: Adjuntos Datos adjuntos en la nube cuerpo Email encabezado Email Código QR Asunto Desconocido
Haga clic en veredicto	Seleccione uno o varios valores: Permitido: se permitió al usuario abrir la dirección URL. Bloqueo invalidado: el usuario no pudo abrir directamente la dirección URL, pero superó el bloque para abrir la dirección URL. Bloqueado: se ha bloqueado al usuario para que no abra la dirección URL. Error: Al usuario se le presentó la página de error o se produjo un error al capturar el veredicto. Error: se produjo una excepción desconocida al capturar el veredicto. Es posible que el usuario haya abierto la dirección URL. Ninguno: no se puede capturar el veredicto de la dirección URL. Es posible que el usuario haya abierto la dirección URL. Veredicto pendiente: se presentó al usuario la página pendiente de detonación. Veredicto pendiente omitido: el usuario se presentó con la página de detonación, pero superó el mensaje para abrir la dirección URL.
Amenaza de dirección URL	Seleccione uno o varios valores: Malware Suplantación de identidad Correo no deseado
Archivo
Recuento de datos adjuntos	Entero. Separe varios valores por comas.
Nombres de archivos adjuntos	Texto. Separe varios valores por comas.
Tipo de archivo	Texto. Separe varios valores por comas.
Extensión de archivo	Texto. Separe varios valores por comas.
Tamaño de archivo	Entero. Separe varios valores por comas.
Autenticación
SPF	Seleccione uno o varios valores: Fallar Neutral Ninguna Pasar Error permanente Soft fail Error temporal
DKIM	Seleccione uno o varios valores: Error Fallar Ignore Ninguna Pasar Test Timeout Desconocido
DMARC	Seleccione uno o varios valores: Mejor pase de adivinación Fallar Ninguna Pasar Error permanente Paso del selector Error temporal Desconocido
Compuesto	Seleccione uno o varios valores: Fallar Ninguna Pasar Paso suave

Sugerencia

¹ La ubicación de entrega más reciente no incluye acciones del usuario final en los mensajes. Por ejemplo, si el usuario eliminó el mensaje o movió el mensaje a un archivo o archivo PST.

Hay escenarios en los que la ubicación / de entrega originalUbicación de entrega más reciente o la acción Entrega tienen el valor Desconocido. Por ejemplo:

• Se entregó el mensaje (la acción Entrega es Entregado), pero una regla bandeja de entrada movió el mensaje a una carpeta predeterminada distinta de la carpeta Bandeja de entrada o Correo no deseado Email (por ejemplo, la carpeta Borrador o Archivo).
• ZAP intentó mover el mensaje después de la entrega, pero no se encontró el mensaje (por ejemplo, el usuario movió o eliminó el mensaje).

² De forma predeterminada, una búsqueda de direcciones URL se asigna a http, a menos que se especifique explícitamente otro valor. Por ejemplo:

• La búsqueda con y sin el http:// prefijo en url, dominio de dirección URL y dominio y ruta de acceso de dirección URL debe mostrar los mismos resultados.
• Busque el prefijo en la https://dirección URL. Cuando no se especifica ningún valor, se asume el http:// prefijo.
• / al principio y al final de la ruta de acceso url, se omiten los campos Dominio url, Dominio url y Ruta de acceso .
• / al final del campo URL se omite.

Dinámicas para el gráfico en la vista Todo el correo electrónico en el Explorador de amenazas

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Tabla dinámica del gráfico de acciones de entrega en la vista Todo el correo electrónico en el Explorador de amenazas

Aunque esta tabla dinámica no se ve seleccionada de forma predeterminada, la acción Entrega es la dinámica de gráfico predeterminada en la vista Todo el correo electrónico .

El pivote de la acción Entrega organiza el gráfico por las acciones realizadas en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada acción de entrega.

Tabla dinámica del gráfico de dominio del remitente en la vista Todo el correo electrónico en el Explorador de amenazas

La dinámica de dominio remitente organiza el gráfico por los dominios de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio remitente.

Dinámica del gráfico IP del remitente en la vista Todo el correo electrónico en el Explorador de amenazas

La dinámica ip del remitente organiza el gráfico por las direcciones IP de origen de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección IP del remitente.

Tabla dinámica del gráfico de tecnología de detección en la vista Todo el correo electrónico en el Explorador de amenazas

El pivote de tecnología de detección organiza el gráfico por la característica que identificó los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Tabla dinámica del gráfico de direcciones URL completas en la vista Todo el correo electrónico en el Explorador de amenazas

La tabla dinámica de direcciones URL completas organiza el gráfico por las direcciones URL completas en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección URL completa.

Tabla dinámica del gráfico de dominios url en la vista Todo el correo electrónico en el Explorador de amenazas

La dinámica de dominio de dirección URL organiza el gráfico por los dominios de las direcciones URL de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL.

Tabla dinámica de dominio y ruta de acceso de la dirección URL en la vista Todo el correo electrónico en el Explorador de amenazas

El dominio de dirección URL y la dinámica de rutas de acceso organizan el gráfico por los dominios y rutas de acceso de las direcciones URL de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio y ruta de acceso de dirección URL.

Vistas del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

Las vistas (pestañas) disponibles en el área de detalles de la vista Todo el correo electrónico se describen en las subsecciones siguientes.

Email vista del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

Email es la vista predeterminada del área de detalles de la vista Todo el correo electrónico.

La vista Email muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (^*):

• Fecha^*
• Asunto^*
• Destinatario^*
• Dominio del destinatario
• Etiquetas^*
• Dirección del remitente^*
• Nombre para mostrar del remitente
• Dominio del remitente^*
• IP del remitente
• Correo del remitente desde la dirección
• Correo del remitente desde el dominio
• Acciones adicionales^*
• Acción de entrega
• Ubicación de entrega más reciente^*
• Ubicación de entrega original^*
• El sistema invalida el origen
• Invalidaciones del sistema
• Identificador de alerta
• Identificador de mensaje de Internet
• Identificador de mensaje de red
• Idioma del correo
• Regla de transporte de Exchange
• Connector
• Context
• Regla de prevención de pérdida de datos
• Tipo de amenaza^*
• Tecnología de detección
• Recuento de datos adjuntos
• Recuento de direcciones URL
• tamaño de Email

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

• Desplácese horizontalmente en el explorador web.
• Acote el ancho de las columnas adecuadas.
• Quite las columnas de la vista.
• Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Al seleccionar una o varias entradas de la lista seleccionando la casilla situada junto a la primera columna, la acción Tomar está disponible. Para obtener información, vea Búsqueda de amenazas: Email corrección.

En el valor Asunto de la entrada, la acción Abrir en nueva ventana está disponible. Esta acción abre el mensaje en la página de entidad Email.

Al hacer clic en los valores Asunto o Destinatario en una entrada, se abren los controles flotantes de detalles. Estos controles flotantes se describen en las subsecciones siguientes.

Email detalles de la vista Email del área de detalles en la vista Todo el correo electrónico

Al seleccionar el valor Asunto de una entrada de la tabla, se abre un control flotante de detalles de correo electrónico. Este control flotante de detalles se conoce como panel de resumen de Email y contiene información de resumen estandarizada que también está disponible en la página de entidad Email para el mensaje.

Para obtener más información sobre la información del panel de resumen de Email, vea El panel de resumen de Email en Defender.

Las siguientes acciones están disponibles en la parte superior del panel de resumen de Email para el Explorador de amenazas y las detecciones en tiempo real:

• Abrir entidad de correo electrónico
• Ver encabezado
• Tomar medidas: para obtener información, vea Búsqueda de amenazas: Email corrección.
• Más opciones:
  • Email versión preliminar¹ ²
  • Descargar correo electrónico¹ ² ³
  • Vista en el Explorador
  • Go hunt⁴

¹ Las acciones Email vista previa y Descargar correo electrónico requieren el rol Vista previa en Email & permisos de colaboración. De forma predeterminada, este rol se asigna a los grupos de roles Investigador de datos y Administrador de exhibición de documentos electrónicos. De forma predeterminada, los miembros de los grupos de roles Administración de la organización o Administradores de seguridad no pueden realizar estas acciones. Para permitir estas acciones para los miembros de esos grupos, tiene las siguientes opciones:

• Agregue los usuarios a los grupos de roles Investigador de datos o Administrador de exhibición de documentos electrónicos.
• Cree un nuevo grupo de roles con el rol Buscar y purgar asignado y agregue los usuarios al grupo de roles personalizado.

² Puede obtener una vista previa o descargar mensajes de correo electrónico que están disponibles en buzones de Microsoft 365. Algunos ejemplos de cuándo los mensajes ya no están disponibles en los buzones son:

• El mensaje se quitó antes de que se produjese un error de entrega o entrega.
• El mensaje se eliminó temporalmente (se eliminó de la carpeta Elementos eliminados, que mueve el mensaje a la carpeta Elementos recuperables\Eliminaciones).
• ZAP ha movido el mensaje a cuarentena.

³ El correo electrónico de descarga no está disponible para los mensajes que se pusieron en cuarentena. En su lugar, descargue una copia protegida con contraseña del mensaje de la cuarentena.

⁴ La búsqueda de Go solo está disponible en el Explorador de amenazas. No está disponible en detecciones en tiempo real.

Detalles del destinatario de la vista Email del área de detalles en la vista Todo el correo electrónico

Al seleccionar una entrada haciendo clic en el valor Destinatario , se abre un control flotante de detalles con la siguiente información:

Sugerencia

Para ver detalles sobre otros destinatarios sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.

• Sección de resumen :

  • Rol: si el destinatario tiene asignado algún rol de administrador.
  • Directivas:
    • Si el usuario tiene permiso para ver información de archivo.
    • Si el usuario tiene permiso para ver información de retención.
    • Si el usuario está cubierto por la prevención de pérdida de datos (DLP).
    • Si el usuario está cubierto por la administración de dispositivos móviles en https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

• Email sección: tabla que muestra la siguiente información relacionada para los mensajes enviados al destinatario:

  • Date
  • Asunto
  • Destinatario

  Seleccione Ver todo el correo electrónico para abrir el Explorador de amenazas en una nueva pestaña filtrada por el destinatario.

• Sección alertas recientes : tabla que muestra la siguiente información relacionada para las alertas recientes relacionadas:

  • Gravedad
  • Directiva de alerta
  • Categoría
  • Actividades

  Si hay más de tres alertas recientes, seleccione Ver todas las alertas recientes para verlas todas.

  • Sección actividad reciente : muestra los resultados resumidos de una búsqueda de registro de auditoría para el destinatario:

    • Date
    • Dirección IP
    • Actividad
    • Elemento

    Si el destinatario tiene más de tres entradas de registro de auditoría, seleccione Ver toda la actividad reciente para ver todas ellas.

  Sugerencia

  Los miembros del grupo de roles Administradores de seguridad de Email & permisos de colaboración no pueden expandir la sección Actividad reciente. Debe ser miembro de un grupo de roles en Exchange Online permisos que tengan asignados los roles Registros de auditoría, Analista de Information Protection o Investigador Information Protection. De forma predeterminada, esos roles se asignan a los grupos de roles Administración de registros, Administración de cumplimiento, Information Protection, Analistas de Information Protection, Investigadores Information Protection y Administración de la organización. Puede agregar los miembros de administradores de seguridad a esos grupos de roles o puede crear un nuevo grupo de roles con el rol Registros de auditoría asignado.

Vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista de clics de dirección URL muestra un gráfico que se puede organizar mediante tablas dinámicas. El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Los gráficos dinámicos se describen en las subsecciones siguientes.

Sugerencia

En el Explorador de amenazas, cada dinámica de la vista de clics de dirección URL tiene una acción Ver todos los clics que abre la vista de clics de dirección URL en una nueva pestaña.

Pivote de dominio de dirección URL para la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

Aunque esta tabla dinámica de gráficos no parece estar seleccionada, el dominio url es la dinámica de gráfico predeterminada en la vista de clics de dirección URL .

La dinámica de dominio de dirección URL muestra los distintos dominios en direcciones URL en los mensajes de correo electrónico para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL.

Haga clic en la tabla dinámica de veredicto de la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas.

La tabla dinámica Click verdict (Hacer clic en veredicto ) muestra los diferentes veredictos para las direcciones URL en las que se ha hecho clic en los mensajes de correo electrónico para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada veredicto de clic.

Tabla dinámica de direcciones URL de la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La tabla dinámica de direcciones URL muestra las distintas direcciones URL en las que se ha hecho clic en los mensajes de correo electrónico para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección URL.

Dominio url y dinámica de ruta de acceso para la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

El dominio de dirección URL y la dinámica de rutas de acceso muestran los diferentes dominios y rutas de acceso de archivo de las direcciones URL en las que se ha hecho clic en los mensajes de correo electrónico para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL y la ruta de acceso del archivo.

Vista de direcciones URL principales para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista Direcciones URL superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

• URL
• Mensajes bloqueados
• Mensajes no deseados
• Mensajes entregados

Detalles de direcciones URL principales de la vista Todo el correo electrónico

Al seleccionar una entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles con la siguiente información:

Sugerencia

Para ver detalles sobre otras direcciones URL sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.

• Las siguientes acciones están disponibles en la parte superior del control flotante:

  • Página Abrir dirección URL

  • Enviar para el análisis:

    • Informe limpio
    • Informar de suplantación de identidad
    • Informar de malware

  • Indicador de administración:

    • Agregar indicador
    • Administrar en la lista de bloques de inquilinos

    Al seleccionar cualquiera de estas opciones, se le llevará a la página Envíos del portal de Defender.

  • Más:

    • Vista en el Explorador
    • Ir a buscar
• Original URL
• Sección de detección :
  • Veredicto de inteligencia sobre amenazas
  • x alertas activas e incidentes: gráfico de barras horizontal que muestra el número de alertas de alta, media, baja e información relacionadas con este vínculo.
  • Vínculo a Ver todos los incidentes & alertas en la página URL.
• Sección detalles del dominio :
  • Nombre de dominio y un vínculo a la página Ver dominio.
  • Registrante
  • Registrado en
  • Actualizado en
  • Expira en
• Sección de información de contacto del solicitante de registro :
  • Registrador
  • País o región
  • Dirección de correo
  • Correo electrónico
  • Teléfono
  • Más información: Un vínculo a Abrir en Whois.
• Sección prevalencia de direcciones URL (últimos 30 días): contiene el número de dispositivos, Email y clics. Seleccione cada valor para ver la lista completa.
• Dispositivos: muestra los dispositivos afectados:

  • Fecha (primera y última)

  • Devices

    Si hay más de dos dispositivos implicados, seleccione Ver todos los dispositivos para verlos todos.

Vista de clics superiores para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista Clics superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

• URL
• Bloqueado
• Permitido
• Bloqueo invalidado
• Veredicto pendiente
• Veredicto pendiente omitido
• Ninguna
• Página de error
• Fracaso

Sugerencia

Se seleccionan todas las columnas disponibles. Si selecciona Personalizar columnas, no podrá anular la selección de ninguna columna.

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

• Desplácese horizontalmente en el explorador web.
• Acote el ancho de las columnas adecuadas.
• Alejar en el explorador web.

Al seleccionar una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Los detalles de direcciones URL principales de la vista Todo el correo electrónico.

Vista de usuarios de destino superior para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista Usuarios de destino superior organiza los datos en una tabla de los cinco principales destinatarios a los que se destinaron la mayoría de las amenazas. La tabla contiene la siguiente información:

• Usuarios de destino principal: dirección de correo electrónico del destinatario. Si selecciona una dirección de destinatario, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles del destinatario de la vista Email del área de detalles en la vista Todo el correo electrónico.

• Número de intentos: si selecciona el número de intentos, el Explorador de amenazas se abre en una nueva pestaña filtrada por el destinatario.

Sugerencia

Use Exportar para exportar la lista de hasta 3000 usuarios y los intentos correspondientes.

Email vista de origen del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista de origen Email muestra orígenes de mensajes en un mapa del mundo.

Vista de campaña para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista Campaña muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible.

La información de la tabla es la misma que se describe en la tabla de detalles de la página Campañas.

Al seleccionar una entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto al nombre, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles de la campaña.

Vista de malware en el Explorador de amenazas y detecciones en tiempo real

La vista Malware del Explorador de amenazas y detecciones en tiempo real muestra información sobre los mensajes de correo electrónico que se encontraron para contener malware. Esta vista es la predeterminada en detecciones en tiempo real.

Para abrir la vista Malware , realice uno de los pasos siguientes:

• Explorador de amenazas: en la página Explorador del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaMalwaredel Explorador> de colaboración>. O bien, vaya directamente a la página Explorador mediante https://security.microsoft.com/threatexplorerv3y, a continuación, seleccione la pestaña Malware.
• Detecciones en tiempo real: en la página Detecciones en tiempo real del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaMalwaredel Explorador> de colaboración>. O bien, vaya directamente a la página Detecciones en tiempo real mediante https://security.microsoft.com/realtimereportsv3y compruebe que la pestaña Malware está seleccionada.

Propiedades filtrables en la vista Malware en el Explorador de amenazas y detecciones en tiempo real

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

Las propiedades filtrables que están disponibles en el cuadro Dirección del remitente de la vista Malware se describen en la tabla siguiente:

Propiedad	Tipo	Amenaza Explorador	En tiempo real Detecciones
Basic
Dirección del remitente	Texto. Separe varios valores por comas.	✔	✔
Recipientes	Texto. Separe varios valores por comas.	✔	✔
Dominio del remitente	Texto. Separe varios valores por comas.	✔	✔
Dominio del destinatario	Texto. Separe varios valores por comas.	✔	✔
Asunto	Texto. Separe varios valores por comas.	✔	✔
Nombre para mostrar del remitente	Texto. Separe varios valores por comas.	✔	✔
Correo del remitente desde la dirección	Texto. Separe varios valores por comas.	✔	✔
Correo del remitente desde el dominio	Texto. Separe varios valores por comas.	✔	✔
Ruta de acceso de devolución	Texto. Separe varios valores por comas.	✔	✔
Dominio de ruta de acceso de retorno	Texto. Separe varios valores por comas.	✔	✔
Familia de malware	Texto. Separe varios valores por comas.	✔	✔
Etiquetas	Texto. Separe varios valores por comas. Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.	✔
Regla de transporte de Exchange	Texto. Separe varios valores por comas.	✔
Regla de prevención de pérdida de datos	Texto. Separe varios valores por comas.	✔
Contexto	Seleccione uno o varios valores: Evaluation Protección de cuenta prioritaria	✔
Connector	Texto. Separe varios valores por comas.	✔
Acción de entrega	Seleccione uno o varios valores: Bloqueado Entregado Entregado a correo no deseado Reemplazado: datos adjuntos de mensajes que se reemplazaron por entrega dinámica en directivas de datos adjuntos seguros.	✔	✔
Acción adicional	Seleccione uno o varios valores: Corrección automatizada Entrega dinámica: para obtener más información, vea Entrega dinámica en directivas de datos adjuntos seguros. Corrección manual Ninguna Versión de cuarentena Reprocesado ZAP: para obtener más información, vea Purga automática de cero horas (ZAP) en Microsoft Defender para Office 365.	✔	✔
Directionality	Seleccione uno o varios valores: Entrantes Intra-irg Salida	✔	✔
Tecnología de detección	Seleccione uno o varios valores: Filtro avanzado: señales basadas en el aprendizaje automático. Protección contra el malware Masivo Campaña Reputación del dominio Detonación de archivos: Los datos adjuntos seguros detectaron un archivo adjunto malintencionado durante el análisis de detonación. Reputación de detonación de archivos: archivos adjuntos detectados anteriormente por detonaciones de datos adjuntos seguros en otras organizaciones de Microsoft 365. Reputación de archivo: el mensaje contiene un archivo que se identificó anteriormente como malintencionado en otras organizaciones de Microsoft 365. Coincidencia de huellas digitales: el mensaje es muy similar a un mensaje malintencionado detectado anteriormente. Filtro general Marca de suplantación: suplantación de remitente de marcas conocidas. Dominio de suplantación: suplantación de dominios de remitente que posee o especifica para la protección en las directivas contra suplantación de identidad Suplantación de usuarios Reputación de la P.I. Suplantación de inteligencia de buzones: detecciones de suplantación de inteligencia de buzones de correo en directivas anti phishing. Detección de análisis mixto: varios filtros contribuyeron al veredicto del mensaje. spoof DMARC: el mensaje produjo un error en la autenticación de DMARC. Suplantación de dominio externo: suplantación de dirección de correo electrónico del remitente mediante un dominio externo a su organización. Suplantación de identidad entre organizaciones: suplantación de dirección de correo electrónico del remitente mediante un dominio interno de la organización. Detonación de direcciones URL: Vínculos seguros detectó una dirección URL malintencionada en el mensaje durante el análisis de detonación. Reputación de detonación de direcciones URL: direcciones URL detectadas anteriormente por detonaciones de vínculos seguros en otras organizaciones de Microsoft 365. Reputación malintencionada de direcciones URL: el mensaje contiene una dirección URL que se identificó anteriormente como malintencionada en otras organizaciones de Microsoft 365.	✔	✔
Ubicación de entrega original	Seleccione uno o varios valores: carpeta Elementos eliminados Cayó Failed Bandeja de entrada o carpeta Carpeta de correo no deseado Local/externo Cuarentena Desconocido	✔	✔
Ubicación de entrega más reciente	Los mismos valores que la ubicación de entrega original	✔	✔
Invalidación principal	Seleccione uno o varios valores: Permitido por la directiva de la organización Permitido por la directiva de usuario Bloqueado por la directiva de la organización Bloqueado por la directiva de usuario Ninguna	✔	✔
Origen de invalidación principal	Los mensajes pueden tener varias invalidaciones de permitir o bloquear como se identifica en Invalidar origen. La invalidación que en última instancia permitió o bloqueó el mensaje se identifica en Origen de invalidación principal. Seleccione uno o varios valores: Filtro de terceros Administración viaje en el tiempo iniciado (ZAP) Bloque de directiva antimalware por tipo de archivo Configuración de directivas antispam Directiva de conexión Regla de transporte de Exchange Modo exclusivo (invalidación de usuario) Filtrado omitido debido a la organización local Filtro de región IP de la directiva Filtro de idioma de la directiva Simulación de suplantación de identidad Versión de cuarentena Buzón de SecOps Lista de direcciones del remitente (invalidación de Administración) Lista de direcciones del remitente (invalidación de usuario) Lista de dominios del remitente (invalidación de Administración) Lista de dominios del remitente (invalidación de usuario) Bloque de archivos de lista de permitidos o bloqueados de inquilinos Bloque de direcciones de correo electrónico de remitente de lista de permitidos o bloqueados de inquilinos Bloque de suplantación de identidad de lista de permitidos o bloqueados de inquilinos Bloque de direcciones URL de lista de permitidos o bloqueados de inquilinos Lista de contactos de confianza (invalidación de usuario) Dominio de confianza (invalidación de usuario) Destinatario de confianza (invalidación de usuario) Solo remitentes de confianza (invalidación de usuario)	✔	✔
Invalidar origen	Los mismos valores que el origen de invalidación principal	✔	✔
Tipo de directiva	Seleccione uno o varios valores: directiva antimalware Directiva contra phishing Regla de transporte de Exchange (regla de flujo de correo), Directiva de filtro de contenido hospedado (directiva antispam), Directiva de filtro de correo no deseado de salida hospedada (directiva de correo no deseado saliente), Directiva de datos adjuntos seguros Desconocido	✔	✔
Acción de directiva	Seleccione uno o varios valores: Agregar encabezado x Mensaje CCO Eliminar mensaje Modificar asunto Mover a la carpeta de Email no deseado No se ha realizado ninguna acción Mensaje de redireccionamiento Enviar a cuarentena	✔	✔
tamaño de Email	Entero. Separe varios valores por comas.	✔	✔
Avanzadas
Id. de mensaje de Internet	Texto. Separe varios valores por comas. Disponible en el campo Encabezado de id. de mensaje en el encabezado del mensaje. Un valor de ejemplo es <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenga en cuenta los corchetes angulares).	✔	✔
Identificador de mensaje de red	Texto. Separe varios valores por comas. Valor GUID que está disponible en el campo de encabezado X-MS-Exchange-Organization-Network-Message-Id del encabezado del mensaje.	✔	✔
IP del remitente	Texto. Separe varios valores por comas.	✔	✔
Datos adjuntos SHA256	Texto. Separe varios valores por comas.	✔	✔
Id. de clúster	Texto. Separe varios valores por comas.	✔	✔
Identificador de alerta	Texto. Separe varios valores por comas.	✔	✔
Identificador de directiva de alerta	Texto. Separe varios valores por comas.	✔	✔
Identificador de campaña	Texto. Separe varios valores por comas.	✔	✔
Señal de dirección URL de ZAP	Texto. Separe varios valores por comas.	✔	✔
Urls
Recuento de direcciones URL	Entero. Separe varios valores por comas.	✔	✔
Dominio DE DIRECCIÓN URL	Texto. Separe varios valores por comas.	✔	✔
Dominio y ruta de acceso url	Texto. Separe varios valores por comas.	✔	✔
URL	Texto. Separe varios valores por comas.	✔	✔
Ruta de acceso url	Texto. Separe varios valores por comas.	✔	✔
Origen de la dirección URL	Seleccione uno o varios valores: Adjuntos Datos adjuntos en la nube cuerpo Email encabezado Email Código QR Asunto Desconocido	✔	✔
Haga clic en veredicto	Seleccione uno o varios valores: Permitido Bloqueo invalidado Bloqueado Error Fracaso Ninguna Veredicto pendiente Veredicto pendiente omitido	✔	✔
Amenaza de dirección URL	Seleccione uno o varios valores: Malware Suplantación de identidad Correo no deseado	✔	✔
Archivo
Recuento de datos adjuntos	Entero. Separe varios valores por comas.	✔	✔
Nombres de archivos adjuntos	Texto. Separe varios valores por comas.	✔	✔
Tipo de archivo	Texto. Separe varios valores por comas.	✔	✔
Extensión de archivo	Texto. Separe varios valores por comas.	✔	✔
Tamaño de archivo	Entero. Separe varios valores por comas.	✔	✔
Autenticación
SPF	Seleccione uno o varios valores: Fallar Neutral Ninguna Pasar Error permanente Soft fail Error temporal	✔	✔
DKIM	Seleccione uno o varios valores: Error Fallar Ignore Ninguna Pasar Test Timeout Desconocido	✔	✔
DMARC	Seleccione uno o varios valores: Mejor pase de adivinación Fallar Ninguna Pasar Error permanente Paso del selector Error temporal Desconocido	✔	✔
Compuesto	Seleccione uno o varios valores: Fallar Ninguna Pasar Paso suave

Dinámicas para el gráfico en la vista Malware en el Explorador de amenazas y detecciones en tiempo real

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Los gráficos dinámicos que están disponibles en la vista Malware en el Explorador de amenazas y las detecciones en tiempo real se enumeran en la tabla siguiente:

Documento principal	Amenaza Explorador	En tiempo real Detecciones
Familia de malware	✔
Dominio del remitente	✔
IP del remitente	✔
Acción de entrega	✔	✔
Tecnología de detección	✔	✔

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Tabla dinámica del gráfico de familias de malware en la vista Malware en el Explorador de amenazas

Aunque esta tabla dinámica no tiene el aspecto seleccionado de forma predeterminada, la familia malware es la dinámica de gráfico predeterminada en la vista Malware del Explorador de amenazas.

El pivote de la familia malware organiza el gráfico por la familia de malware detectada en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada familia de malware.

Pivote del gráfico de dominio del remitente en la vista Malware en el Explorador de amenazas

La dinámica de dominio remitente organiza el gráfico por el dominio remitente de los mensajes que se encontraron que contienen malware para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio remitente.

Pivote del gráfico IP del remitente en la vista Malware en el Explorador de amenazas

La dinámica ip del remitente organiza el gráfico por la dirección IP de origen de los mensajes que se encontraron que contienen malware para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección IP de origen.

Tabla dinámica del gráfico de acciones de entrega en la vista Malware en el Explorador de amenazas y detecciones en tiempo real

Aunque esta tabla dinámica no tiene el aspecto seleccionado de forma predeterminada, la acción Entrega es la dinámica de gráfico predeterminada en la vista Malware en detecciones en tiempo real.

El pivote de acción Entrega organiza el gráfico según lo que ha ocurrido con los mensajes que se encontraron que contienen malware para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada acción de entrega.

Pivote del gráfico de tecnología de detección en la vista Malware en el Explorador de amenazas y detecciones en tiempo real

El pivote de tecnología de detección organiza el gráfico por la característica que identificó malware en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Vistas del área de detalles de la vista Malware en el Explorador de amenazas y detecciones en tiempo real

Las vistas (pestañas) disponibles en el área de detalles de la vista Malware se enumeran en la tabla siguiente y se describen en las subsecciones siguientes.

Vista	Amenaza Explorador	En tiempo real Detecciones
Correo electrónico	✔	✔
Principales familias de malware	✔
Usuarios de destino superior	✔
origen de Email	✔
Campaña	✔

Email vista del área de detalles de la vista Malware en el Explorador de amenazas y detecciones en tiempo real

Email es la vista predeterminada del área de detalles de la vista Malware en el Explorador de amenazas y detecciones en tiempo real.

La vista Email muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran.

En la tabla siguiente se muestran las columnas que están disponibles en el Explorador de amenazas y las detecciones en tiempo real. Los valores predeterminados se marcan con un asterisco (^*).

Column	Amenaza Explorador	En tiempo real Detecciones
Fecha*	✔	✔
Asunto*	✔	✔
Destinatario*	✔	✔
Dominio del destinatario	✔	✔
Etiquetas*	✔
Dirección del remitente*	✔	✔
Nombre para mostrar del remitente	✔	✔
Dominio del remitente*	✔	✔
IP del remitente	✔	✔
Correo del remitente desde la dirección	✔	✔
Correo del remitente desde el dominio	✔	✔
Acciones adicionales*	✔	✔
Acción de entrega	✔	✔
Ubicación de entrega más reciente*	✔	✔
Ubicación de entrega original*	✔	✔
El sistema invalida el origen	✔	✔
Invalidaciones del sistema	✔	✔
Identificador de alerta	✔	✔
Identificador de mensaje de Internet	✔	✔
Identificador de mensaje de red	✔	✔
Idioma del correo	✔	✔
Regla de transporte de Exchange	✔
Connector	✔
Context	✔	✔
Regla de prevención de pérdida de datos	✔	✔
Tipo de amenaza*	✔	✔
Tecnología de detección	✔	✔
Recuento de datos adjuntos	✔	✔
Recuento de direcciones URL	✔	✔
tamaño de Email	✔	✔

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

• Desplácese horizontalmente en el explorador web.
• Acote el ancho de las columnas adecuadas.
• Quite las columnas de la vista.
• Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Al seleccionar una o varias entradas de la lista seleccionando la casilla situada junto a la primera columna, la acción Tomar está disponible. Para obtener información, vea Búsqueda de amenazas: Email corrección.

Al hacer clic en los valores Asunto o Destinatario en una entrada, se abren los controles flotantes de detalles. Estos controles flotantes se describen en las subsecciones siguientes.

Email detalles de la vista Email del área de detalles en la vista Malware

Al seleccionar el valor Asunto de una entrada de la tabla, se abre un control flotante de detalles de correo electrónico. Este control flotante de detalles se conoce como panel de resumen de Email y contiene información de resumen estandarizada que también está disponible en la página de entidad Email para el mensaje.

Para obtener más información sobre la información del panel de resumen de Email, consulte Los paneles de resumen de Email.

Las acciones disponibles en la parte superior del panel de resumen de Email para el Explorador de amenazas y las detecciones en tiempo real se describen en la Email detalles de la vista Email del área de detalles de la vista Todo el correo electrónico.

Detalles del destinatario de la vista Email del área de detalles en la vista Malware

Al seleccionar una entrada haciendo clic en el valor Destinatario , se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles del destinatario de la vista Email del área de detalles en la vista Todo el correo electrónico.

Vista principales de familias de malware para el área de detalles de la vista Malware en el Explorador de amenazas

La vista Principales familias de malware del área de detalles organiza los datos en una tabla de las principales familias de malware. La tabla muestra:

• Columna principales de familias de malware : nombre de la familia de malware.

  Si selecciona un nombre de familia de malware, se abre un control flotante de detalles que contiene la siguiente información:

  • Email sección: tabla que muestra la siguiente información relacionada para los mensajes que contienen el archivo de malware:

    • Date
    • Asunto
    • Destinatario

    Seleccione Ver todo el correo electrónico para abrir el Explorador de amenazas en una nueva pestaña filtrada por el nombre de la familia de malware.

  • Sección de detalles técnicos

  

• Número de intentos: si selecciona el número de intentos, el Explorador de amenazas se abre en una nueva pestaña filtrada por el nombre de la familia de malware.

Vista de usuarios de destino superior para el área de detalles de la vista Malware en el Explorador de amenazas

La vista Usuarios de destino superior organiza los datos en una tabla de los cinco principales destinatarios a los que se ha dirigido el malware. La tabla muestra:

• Usuarios de destino superior: la dirección de correo electrónico del usuario de destino superior. Si selecciona una dirección de correo electrónico, se abrirá un control flotante de detalles. La información del control flotante es la misma que se describe en la vista Usuarios de destino superior para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas.

• Número de intentos: si selecciona el número de intentos, el Explorador de amenazas se abre en una nueva pestaña filtrada por el nombre de la familia de malware.

Sugerencia

Use Exportar para exportar la lista de hasta 3000 usuarios y los intentos correspondientes.

Email vista de origen del área de detalles de la vista Malware en el Explorador de amenazas

La vista de origen Email muestra orígenes de mensajes en un mapa del mundo.

Vista de campaña para el área de detalles de la vista Malware en el Explorador de amenazas

La vista Campaña muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible.

La tabla de detalles es idéntica a la tabla de detalles de la página Campañas.

Al seleccionar una entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto al nombre, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles de la campaña.

Vista phish en el Explorador de amenazas y detecciones en tiempo real

La vista Phish del Explorador de amenazas y detecciones en tiempo real muestra información sobre los mensajes de correo electrónico que se identificaron como suplantación de identidad (phishing).

Para abrir la vista Phish , realice uno de los pasos siguientes:

• Explorador de amenazas: en la página Explorador del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaPhishdel Explorador> de colaboración>. O bien, vaya directamente a la página Explorador mediante https://security.microsoft.com/threatexplorerv3y, a continuación, seleccione la pestaña Phish.
• Detecciones en tiempo real: en la página Detecciones en tiempo real del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaPhishdel Explorador> de colaboración>. O bien, vaya directamente a la página Detecciones en tiempo real mediante https://security.microsoft.com/realtimereportsv3y, a continuación, seleccione la pestaña Phish.

Propiedades filtrables en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

Las propiedades filtrables que están disponibles en el cuadro Dirección del remitente de la vista Malware se describen en la tabla siguiente:

Propiedad	Tipo	Amenaza Explorador	En tiempo real Detecciones
Basic
Dirección del remitente	Texto. Separe varios valores por comas.	✔	✔
Recipientes	Texto. Separe varios valores por comas.	✔	✔
Dominio del remitente	Texto. Separe varios valores por comas.	✔	✔
Dominio del destinatario	Texto. Separe varios valores por comas.	✔	✔
Asunto	Texto. Separe varios valores por comas.	✔	✔
Nombre para mostrar del remitente	Texto. Separe varios valores por comas.	✔	✔
Correo del remitente desde la dirección	Texto. Separe varios valores por comas.	✔	✔
Correo del remitente desde el dominio	Texto. Separe varios valores por comas.	✔	✔
Ruta de acceso de devolución	Texto. Separe varios valores por comas.	✔	✔
Dominio de ruta de acceso de retorno	Texto. Separe varios valores por comas.	✔	✔
Etiquetas	Texto. Separe varios valores por comas. Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.	✔
Dominio suplantado	Texto. Separe varios valores por comas.	✔	✔
Usuario suplantado	Texto. Separe varios valores por comas.	✔	✔
Regla de transporte de Exchange	Texto. Separe varios valores por comas.	✔
Regla de prevención de pérdida de datos	Texto. Separe varios valores por comas.	✔
Contexto	Seleccione uno o varios valores: Evaluation Protección de cuenta prioritaria	✔
Connector	Texto. Separe varios valores por comas.	✔
Acción de entrega	Seleccione uno o varios valores: Bloqueado Entregado Entregado a correo no deseado Reemplazado: datos adjuntos de mensajes que se reemplazaron por entrega dinámica en directivas de datos adjuntos seguros.	✔	✔
Acción adicional	Seleccione uno o varios valores: Corrección automatizada Entrega dinámica Corrección manual Ninguna Versión de cuarentena Reprocesado ZAP	✔	✔
Directionality	Seleccione uno o varios valores: Entrantes Intra-irg Salida	✔	✔
Tecnología de detección	Seleccione uno o varios valores: Filtro avanzado Protección contra el malware Masivo Campaña Reputación del dominio Detonación de archivos Reputación de detonación de archivos Reputación de los archivos Coincidencia de huella digital Filtro general Suplantación de marca Dominio de suplantación Suplantación de usuarios Reputación de la P.I. Suplantación de inteligencia de buzón Detección de análisis mixto spoof DMARC Suplantación de seguridad de dominio externo Suplantación de seguridad para la organización Detonación de URL Reputación de detonación de URL Reputación malintencionada de URL	✔	✔
Ubicación de entrega original	Seleccione uno o varios valores: carpeta Elementos eliminados Cayó Failed Bandeja de entrada o carpeta Carpeta de correo no deseado Local/externo Cuarentena Desconocido	✔	✔
Ubicación de entrega más reciente	Los mismos valores que la ubicación de entrega original	✔	✔
Nivel de confianza de phish	Seleccione uno o varios valores: Alto Normal	✔
Invalidación principal	Seleccione uno o varios valores: Permitido por la directiva de la organización Permitido por la directiva de usuario Bloqueado por la directiva de la organización Bloqueado por la directiva de usuario Ninguna	✔	✔
Origen de invalidación principal	Los mensajes pueden tener varias invalidaciones de permitir o bloquear como se identifica en Invalidar origen. La invalidación que en última instancia permitió o bloqueó el mensaje se identifica en Origen de invalidación principal. Seleccione uno o varios valores: Filtro de terceros Administración viaje en el tiempo iniciado (ZAP) Bloque de directiva antimalware por tipo de archivo Configuración de directivas antispam Directiva de conexión Regla de transporte de Exchange Modo exclusivo (invalidación de usuario) Filtrado omitido debido a la organización local Filtro de región IP de la directiva Filtro de idioma de la directiva Simulación de suplantación de identidad Versión de cuarentena Buzón de SecOps Lista de direcciones del remitente (invalidación de Administración) Lista de direcciones del remitente (invalidación de usuario) Lista de dominios del remitente (invalidación de Administración) Lista de dominios del remitente (invalidación de usuario) Bloque de archivos de lista de permitidos o bloqueados de inquilinos Bloque de direcciones de correo electrónico de remitente de lista de permitidos o bloqueados de inquilinos Bloque de suplantación de identidad de lista de permitidos o bloqueados de inquilinos Bloque de direcciones URL de lista de permitidos o bloqueados de inquilinos Lista de contactos de confianza (invalidación de usuario) Dominio de confianza (invalidación de usuario) Destinatario de confianza (invalidación de usuario) Solo remitentes de confianza (invalidación de usuario)	✔	✔
Invalidar origen	Los mismos valores que el origen de invalidación principal	✔	✔
Tipo de directiva	Seleccione uno o varios valores: directiva antimalware Directiva contra phishing Regla de transporte de Exchange (regla de flujo de correo), Directiva de filtro de contenido hospedado (directiva antispam), Directiva de filtro de correo no deseado de salida hospedada (directiva de correo no deseado saliente), Directiva de datos adjuntos seguros Desconocido	✔	✔
Acción de directiva	Seleccione uno o varios valores: Agregar encabezado x Mensaje CCO Eliminar mensaje Modificar asunto Mover a la carpeta de Email no deseado No se ha realizado ninguna acción Mensaje de redireccionamiento Enviar a cuarentena	✔	✔
tamaño de Email	Entero. Separe varios valores por comas.	✔	✔
Avanzadas
Id. de mensaje de Internet	Texto. Separe varios valores por comas. Disponible en el campo Encabezado de id. de mensaje en el encabezado del mensaje. Un valor de ejemplo es <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenga en cuenta los corchetes angulares).	✔	✔
Identificador de mensaje de red	Texto. Separe varios valores por comas. Valor GUID que está disponible en el campo de encabezado X-MS-Exchange-Organization-Network-Message-Id del encabezado del mensaje.	✔	✔
IP del remitente	Texto. Separe varios valores por comas.	✔	✔
Datos adjuntos SHA256	Texto. Separe varios valores por comas.	✔	✔
Id. de clúster	Texto. Separe varios valores por comas.	✔	✔
Identificador de alerta	Texto. Separe varios valores por comas.	✔	✔
Identificador de directiva de alerta	Texto. Separe varios valores por comas.	✔	✔
Identificador de campaña	Texto. Separe varios valores por comas.	✔	✔
Señal de dirección URL de ZAP	Texto. Separe varios valores por comas.	✔
Urls
Recuento de direcciones URL	Entero. Separe varios valores por comas.	✔	✔
Dominio DE DIRECCIÓN URL	Texto. Separe varios valores por comas.	✔	✔
Dominio y ruta de acceso url	Texto. Separe varios valores por comas.	✔
URL	Texto. Separe varios valores por comas.	✔
Ruta de acceso url	Texto. Separe varios valores por comas.	✔
Origen de la dirección URL	Seleccione uno o varios valores: Adjuntos Datos adjuntos en la nube cuerpo Email encabezado Email Código QR Asunto Desconocido	✔	✔
Haga clic en veredicto	Seleccione uno o varios valores: Permitido Bloqueo invalidado Bloqueado Error Fracaso Ninguna Veredicto pendiente Veredicto pendiente omitido	✔	✔
Amenaza de dirección URL	Seleccione uno o varios valores: Malware Suplantación de identidad Correo no deseado	✔	✔
Archivo
Recuento de datos adjuntos	Entero. Separe varios valores por comas.	✔	✔
Nombres de archivos adjuntos	Texto. Separe varios valores por comas.	✔	✔
Tipo de archivo	Texto. Separe varios valores por comas.	✔	✔
Extensión de archivo	Texto. Separe varios valores por comas.	✔	✔
Tamaño de archivo	Entero. Separe varios valores por comas.	✔	✔
Autenticación
SPF	Seleccione uno o varios valores: Fallar Neutral Ninguna Pasar Error permanente Soft fail Error temporal	✔	✔
DKIM	Seleccione uno o varios valores: Error Fallar Ignore Ninguna Pasar Test Timeout Desconocido	✔	✔
DMARC	Seleccione uno o varios valores: Mejor pase de adivinación Fallar Ninguna Pasar Error permanente Paso del selector Error temporal Desconocido	✔	✔
Compuesto	Seleccione uno o varios valores: Fallar Ninguna Pasar Paso suave

Dinámicas para el gráfico en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Los gráficos dinámicos que están disponibles en la vista Phish en el Explorador de amenazas y las detecciones en tiempo real se enumeran en la tabla siguiente:

Documento principal	Amenaza Explorador	En tiempo real Detecciones
Dominio del remitente	✔	✔
IP del remitente	✔
Acción de entrega	✔	✔
Tecnología de detección	✔	✔
Dirección URL completa	✔
Dominio DE DIRECCIÓN URL	✔	✔
Dominio y ruta de acceso url	✔

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Dinámica del gráfico de dominio del remitente en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

Aunque esta tabla dinámica no tiene el aspecto seleccionado de forma predeterminada, dominio remitente es el gráfico dinámico predeterminado en la vista Phish en detecciones en tiempo real.

La dinámica de dominio remitente organiza el gráfico por los dominios de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio remitente.

Pivote del gráfico IP del remitente en la vista Phish en el Explorador de amenazas

La dinámica ip del remitente organiza el gráfico por las direcciones IP de origen de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección IP de origen.

Tabla dinámica del gráfico de acciones de entrega en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

Aunque esta tabla dinámica no se ve seleccionada de forma predeterminada, la acción Entrega es la dinámica de gráfico predeterminada en la vista Phish del Explorador de amenazas.

El pivote de la acción Entrega organiza el gráfico por las acciones realizadas en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada acción de entrega.

Pivote del gráfico de tecnología de detección en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

El pivote de tecnología de detección organiza el gráfico por la característica que identificó los mensajes de suplantación de identidad para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Tabla dinámica de gráficos de direcciones URL completas en la vista Phish en el Explorador de amenazas

La tabla dinámica de direcciones URL completas organiza el gráfico por las direcciones URL completas en los mensajes de suplantación de identidad para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección URL completa.

Tabla dinámica del gráfico de dominio de direcciones URL en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

La dinámica de dominio de dirección URL organiza el gráfico por los dominios de las direcciones URL de los mensajes de suplantación de identidad para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL.

Dinámica del gráfico de rutas de acceso y dominio de url en la vista Phish del Explorador de amenazas

El dominio de dirección URL y la dinámica de rutas de acceso organizan el gráfico por los dominios y rutas de acceso de las direcciones URL en los mensajes de suplantación de identidad para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio y ruta de acceso de dirección URL.

Vistas del área de detalles de la vista Phish en el Explorador de amenazas

Las vistas disponibles (pestañas) en el área de detalles de la vista Phish se enumeran en la tabla siguiente y se describen en las subsecciones siguientes.

Vista	Amenaza Explorador	En tiempo real Detecciones
Correo electrónico	✔	✔
Clics de URL	✔	✔
Direcciones URL principales	✔	✔
Clics superiores	✔	✔
Usuarios de destino superior	✔
origen de Email	✔
Campaña	✔

Email vista del área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real

Email es la vista predeterminada del área de detalles de la vista Phish en el Explorador de amenazas y las detecciones en tiempo real.

La vista Email muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran.

En la tabla siguiente se muestran las columnas que están disponibles en el Explorador de amenazas y las detecciones en tiempo real. Los valores predeterminados se marcan con un asterisco (^*).

Column	Amenaza Explorador	En tiempo real Detecciones
Fecha*	✔	✔
Asunto*	✔	✔
Destinatario*	✔	✔
Dominio del destinatario	✔	✔
Etiquetas*	✔
Dirección del remitente*	✔	✔
Nombre para mostrar del remitente	✔	✔
Dominio del remitente*	✔	✔
IP del remitente	✔	✔
Correo del remitente desde la dirección	✔	✔
Correo del remitente desde el dominio	✔	✔
Acciones adicionales*	✔	✔
Acción de entrega	✔	✔
Ubicación de entrega más reciente*	✔	✔
Ubicación de entrega original*	✔	✔
El sistema invalida el origen	✔	✔
Invalidaciones del sistema	✔	✔
Identificador de alerta	✔	✔
Identificador de mensaje de Internet	✔	✔
Identificador de mensaje de red	✔	✔
Idioma del correo	✔	✔
Regla de transporte de Exchange	✔
Connector	✔
Nivel de confianza de phish	✔
Context	✔
Regla de prevención de pérdida de datos	✔
Tipo de amenaza*	✔	✔
Tecnología de detección	✔	✔
Recuento de datos adjuntos	✔	✔
Recuento de direcciones URL	✔	✔
tamaño de Email	✔	✔

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

• Desplácese horizontalmente en el explorador web.
• Acote el ancho de las columnas adecuadas.
• Quite las columnas de la vista.
• Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Al seleccionar una o varias entradas de la lista seleccionando la casilla situada junto a la primera columna, la acción Tomar está disponible. Para obtener información, vea Búsqueda de amenazas: Email corrección.

Al hacer clic en los valores Asunto o Destinatario en una entrada, se abren los controles flotantes de detalles. Estos controles flotantes se describen en las subsecciones siguientes.

Email detalles de la vista Email del área de detalles en la vista Phish

Al seleccionar el valor Asunto de una entrada de la tabla, se abre un control flotante de detalles de correo electrónico. Este control flotante de detalles se conoce como panel de resumen de Email y contiene información de resumen estandarizada que también está disponible en la página de entidad Email para el mensaje.

Para obtener más información sobre la información del panel de resumen de Email, consulte El panel de resumen de Email en Defender para Office 365 características.

Las acciones disponibles en la parte superior del panel de resumen de Email para el Explorador de amenazas y las detecciones en tiempo real se describen en la Email detalles de la vista Email del área de detalles de la vista Todo el correo electrónico.

Detalles del destinatario de la vista Email del área de detalles en la vista Phish

Al seleccionar una entrada haciendo clic en el valor Destinatario , se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles del destinatario de la vista Email del área de detalles en la vista Todo el correo electrónico.

Vista de clics de dirección URL para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real

La vista de clics de dirección URL muestra un gráfico que se puede organizar mediante tablas dinámicas. El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

En la tabla siguiente se describen los gráficos dinámicos que están disponibles en la vista Malware del Explorador de amenazas y las detecciones en tiempo real:

Documento principal	Amenaza Explorador	En tiempo real Detecciones
Dominio DE DIRECCIÓN URL	✔	✔
Haga clic en veredicto	✔	✔
URL	✔
Dominio y ruta de acceso url	✔

Los mismos gráficos dinámicos están disponibles y se describen para la vista Todo el correo electrónico en el Explorador de amenazas:

• Pivote de dominio de dirección URL para la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas
• Haga clic en la tabla dinámica de veredicto de la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas.
• Tabla dinámica de direcciones URL de la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas
• Dominio url y dinámica de ruta de acceso para la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

Sugerencia

En el Explorador de amenazas, cada dinámica de la vista de clics de dirección URL tiene una acción Ver todos los clics que abre la vista de clics de dirección URL en el Explorador de amenazas en una nueva pestaña. Esta acción no está disponible en las detecciones en tiempo real, ya que la vista de clics de dirección URL no está disponible en las detecciones en tiempo real.

Vista de direcciones URL principales para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real

La vista Direcciones URL superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

• URL
• Mensajes bloqueados
• Mensajes no deseados
• Mensajes entregados

Detalles de direcciones URL principales de la vista Phish

Al seleccionar una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Los detalles de direcciones URL principales de la vista Todo el correo electrónico.

Sugerencia

La acción De búsqueda de Go solo está disponible en el Explorador de amenazas. No está disponible en detecciones en tiempo real.

Vista de clics superiores para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real

La vista Clics superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

• URL
• Bloqueado
• Permitido
• Bloqueo invalidado
• Veredicto pendiente
• Veredicto pendiente omitido
• Ninguna
• Página de error
• Fracaso

Sugerencia

Se seleccionan todas las columnas disponibles. Si selecciona Personalizar columnas, no podrá anular la selección de ninguna columna.

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

• Desplácese horizontalmente en el explorador web.
• Acote el ancho de las columnas adecuadas.
• Alejar en el explorador web.

Al seleccionar una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Los detalles de direcciones URL principales de la vista Todo el correo electrónico.

Vista de usuarios de destino superior para el área de detalles de la vista Phish en el Explorador de amenazas

La vista Usuarios de destino superior organiza los datos en una tabla de los cinco principales destinatarios a los que se destinaron los intentos de suplantación de identidad (phishing). La tabla muestra:

• Usuarios de destino superior: la dirección de correo electrónico del usuario de destino superior. Si selecciona una dirección de correo electrónico, se abrirá un control flotante de detalles. La información del control flotante es la misma que se describe en la vista Usuarios de destino superior para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas.

• Número de intentos: si selecciona el número de intentos, el Explorador de amenazas se abre en una nueva pestaña filtrada por el nombre de la familia de malware.

Sugerencia

Use Exportar para exportar la lista de hasta 3000 usuarios y los intentos correspondientes.

Email vista de origen para el área de detalles de la vista Phish en el Explorador de amenazas

La vista de origen Email muestra orígenes de mensajes en un mapa del mundo.

Vista de campaña para el área de detalles de la vista Phish en el Explorador de amenazas

La vista Campaña muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible.

La información de la tabla es la misma que se describe en la tabla de detalles de la página Campañas.

Al seleccionar una entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto al nombre, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles de la campaña.

Vista campañas en el Explorador de amenazas

La vista Campañas del Explorador de amenazas muestra información sobre las amenazas que se identificaron como ataques de phishing y malware coordinados, ya sea específicos de su organización o de otras organizaciones de Microsoft 365.

Para abrir la vista Campañas en la página Explorador del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaCampañasdel Explorador> de colaboración>. O bien, vaya directamente a la página Explorador mediante https://security.microsoft.com/threatexplorerv3y, a continuación, seleccione la pestaña Campañas.

Toda la información y las acciones disponibles son idénticas a la información y las acciones de la página Campañas en https://security.microsoft.com/campaignsv3. Para obtener más información, consulte la página Campañas en el portal de Microsoft Defender.

Vista de malware de contenido en el Explorador de amenazas y detecciones en tiempo real

La vista Malware de contenido del Explorador de amenazas y detecciones en tiempo real muestra información sobre los archivos identificados como malware por:

• Protección antivirus integrada en SharePoint, OneDrive y Microsoft Teams
• Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams.

Para abrir la vista Malware de contenido , realice uno de los pasos siguientes:

• Explorador de amenazas: en la página Explorador del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaMalware de contenidodel Explorador> de colaboración>. O bien, vaya directamente a la página Explorador mediante https://security.microsoft.com/threatexplorerv3y, a continuación, seleccione la pestaña Malware de contenido.
• Detecciones en tiempo real: en la página Detecciones en tiempo real del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaMalware de contenido delExplorador> de colaboración>. O bien, vaya directamente a la página Detecciones en tiempo real mediante https://security.microsoft.com/realtimereportsv3y, a continuación, seleccione la pestaña Malware de contenido.

Propiedades filtrables en la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

Las propiedades filtrables que están disponibles en el cuadro Nombre de archivo de la vista Malware de contenido del Explorador de amenazas y detecciones en tiempo real se describen en la tabla siguiente:

Propiedad	Tipo	Amenaza Explorador	En tiempo real Detecciones
Archivo
Nombre de archivo	Texto. Separe varios valores por comas.	✔	✔
Carga de trabajo	Seleccione uno o varios valores: OneDrive SharePoint Teams	✔	✔
Site	Texto. Separe varios valores por comas.	✔	✔
Propietario del archivo	Texto. Separe varios valores por comas.	✔	✔
Última modificación	Texto. Separe varios valores por comas.	✔	✔
SHA256	Entero. Separe varios valores por comas. Para buscar el valor hash SHA256 de un archivo en Windows, ejecute el siguiente comando en un símbolo del sistema: certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Familia de malware	Texto. Separe varios valores por comas.	✔	✔
Tecnología de detección	Seleccione uno o varios valores: Filtro avanzado Protección contra el malware Masivo Campaña Reputación del dominio Detonación de archivos Reputación de detonación de archivos Reputación de los archivos Coincidencia de huella digital Filtro general Suplantación de marca Dominio de suplantación Suplantación de usuarios Reputación de la P.I. Suplantación de inteligencia de buzón Detección de análisis mixto spoof DMARC Suplantación de seguridad de dominio externo Suplantación de seguridad para la organización Detonación de URL Reputación de detonación de URL Reputación malintencionada de URL	✔	✔
Tipo de amenaza	Seleccione uno o varios valores: Bloquear Malware Suplantación de identidad Correo no deseado	✔	✔

Dinámicas para el gráfico en la vista Malware de contenido en el Explorador de amenazas y Detecciones en tiempo real

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Los gráficos dinámicos que están disponibles en la vista Malware de contenido del Explorador de amenazas y las detecciones en tiempo real se enumeran en la tabla siguiente:

Documento principal	Amenaza Explorador	En tiempo real Detecciones
Familia de malware	✔	✔
Tecnología de detección	✔	✔
Carga de trabajo	✔	✔

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Tabla dinámica del gráfico de familias de malware en la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

Aunque esta tabla dinámica no tiene el aspecto seleccionado de forma predeterminada, la familia malware es la dinámica de gráfico predeterminada en la vista Malware de contenido del Explorador de amenazas y detecciones en tiempo real.

El pivote de la familia malware organiza el gráfico por el malware identificado en los archivos de SharePoint, OneDrive y Microsoft Teams mediante el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada familia de malware.

Pivote del gráfico de tecnología de detección en la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

El pivote de tecnología de detección organiza el gráfico por la característica que identificó malware en archivos de SharePoint, OneDrive y Microsoft Teams para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Tabla dinámica del gráfico de cargas de trabajo en la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

La tabla dinámica Carga de trabajo organiza el gráfico por donde se identificó el malware (SharePoint, OneDrive o Microsoft Teams) para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada carga de trabajo.

Vistas del área de detalles de la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

En el Explorador de amenazas y detecciones en tiempo real, el área de detalles de la vista Malware de contenido contiene solo una vista (pestaña) denominada Documentos. Esta vista se describe en la subsección siguiente.

Vista de documento para el área de detalles de la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

El documento es el valor predeterminado y solo la vista del área de detalles en la vista Malware de contenido .

La vista Documento muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (^*):

• Fecha^*
• Nombre^*
• Carga de trabajo^*
• Amenaza^*
• Tecnología de detección^*
• Última modificación del usuario^*
• Propietario del archivo^*
• Tamaño (bytes)^*
• Hora de última modificación
• Ruta de acceso del sitio
• Ruta de acceso de archivo
• Id. de documento
• SHA256
• Fecha detectada
• Familia de malware
• Context

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

• Desplácese horizontalmente en el explorador web.
• Acote el ancho de las columnas adecuadas.
• Quite las columnas de la vista.
• Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Al seleccionar un valor de nombre de archivo en la columna Nombre , se abre un control flotante de detalles. El control flotante contiene la siguiente información:

• Sección de resumen :

  • Filename
  • Ruta de acceso del sitio
  • Ruta de acceso de archivo
  • Id. de documento
  • SHA256
  • Última fecha de modificación
  • Última modificación
  • Amenaza
  • Tecnología de detección

• Sección de detalles :

  • Fecha detectada
  • Detectado por
  • Nombre de malware
  • Última modificación
  • Tamaño del archivo
  • Propietario del archivo

• Email sección de lista: tabla que muestra la siguiente información relacionada para los mensajes que contienen el archivo de malware:

  • Date
  • Asunto
  • Destinatario

  Seleccione Ver todo el correo electrónico para abrir el Explorador de amenazas en una nueva pestaña filtrada por el nombre de la familia de malware.

• Actividad reciente: muestra los resultados resumidos de una búsqueda de registro de auditoría para el destinatario:

  • Date
  • Dirección IP
  • Actividad
  • Elemento

  Si el destinatario tiene más de tres entradas de registro de auditoría, seleccione Ver toda la actividad reciente para ver todas ellas.

  Sugerencia

  Los miembros del grupo de roles Administradores de seguridad de Email & permisos de colaboración no pueden expandir la sección Actividad reciente. Debe ser miembro de un grupo de roles en Exchange Online permisos que tengan asignados los roles Registros de auditoría, Analista de Information Protection o Investigador Information Protection. De forma predeterminada, esos roles se asignan a los grupos de roles Administración de registros, Administración de cumplimiento, Information Protection, Analistas de Information Protection, Investigadores Information Protection y Administración de la organización. Puede agregar los miembros de administradores de seguridad a esos grupos de roles o puede crear un nuevo grupo de roles con el rol Registros de auditoría asignado.

Vista de clics de dirección URL en el Explorador de amenazas

La vista de clics de dirección URL en el Explorador de amenazas muestra todos los clics del usuario en las direcciones URL en el correo electrónico, en los archivos de Office admitidos en SharePoint y OneDrive, y en Microsoft Teams.

Para abrir la vista de clics de dirección URL en la página Explorador del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaClics en la dirección URLdel Explorador> de colaboración>. O bien, vaya directamente a la página Explorador mediante https://security.microsoft.com/threatexplorerv3y, a continuación, seleccione la pestaña Url clicks (Url clicks).

Propiedades filtrables en la vista de clics de dirección URL en el Explorador de amenazas

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

En la tabla siguiente se describen las propiedades filtrables que están disponibles en el cuadro Destinatarios de la vista Url clicks del Explorador de amenazas:

Propiedad	Tipo
Basic
Recipientes	Texto. Separe varios valores por comas.
Etiquetas	Texto. Separe varios valores por comas. Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
Identificador de mensaje de red	Texto. Separe varios valores por comas. Valor GUID que está disponible en el campo de encabezado X-MS-Exchange-Organization-Network-Message-Id del encabezado del mensaje.
URL	Texto. Separe varios valores por comas.
Acción de clic	Seleccione uno o varios valores: Permitido Página Bloquear Invalidación de página de bloque Página de error Fracaso Ninguna Página de detonación pendiente Invalidación de página de detonación pendiente
Tipo de amenaza	Seleccione uno o varios valores: Permitir Bloquear Malware Suplantación de identidad Correo no deseado
Tecnología de detección	Seleccione uno o varios valores: Detonación de URL Reputación de detonación de URL Reputación malintencionada de URL
Haga clic en Id.	Texto. Separe varios valores por comas.
IP de cliente	Texto. Separe varios valores por comas.

Dinámicas para el gráfico en la vista de clics de dirección URL en el Explorador de amenazas

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Tabla dinámica del gráfico de dominio url en la vista de clics de dirección URL en el Explorador de amenazas

Aunque esta tabla dinámica no se ve seleccionada de forma predeterminada, el dominio URL es la dinámica de gráfico predeterminada en la vista de clics de dirección URL .

La dinámica de dominio de dirección URL organiza el gráfico por los dominios de las direcciones URL en las que los usuarios han hecho clic en el correo electrónico, los archivos de Office o Microsoft Teams para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL.

Tabla dinámica del gráfico de cargas de trabajo en la vista de clics de dirección URL en el Explorador de amenazas

La dinámica Carga de trabajo organiza el gráfico según la ubicación de la dirección URL en la que se ha hecho clic (correo electrónico, archivos de Office o Microsoft Teams) para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada carga de trabajo.

Tabla dinámica del gráfico de tecnología de detección en la vista de clics de dirección URL en el Explorador de amenazas

El pivote de tecnología de detección organiza el gráfico por la característica que identificó los clics de dirección URL en el correo electrónico, los archivos de Office o Microsoft Teams para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Tabla dinámica de tipos de amenazas en la vista de clics de dirección URL en el Explorador de amenazas

La tabla dinámica Tipo de amenaza organiza el gráfico según los resultados de las direcciones URL en las que se ha hecho clic en correo electrónico, archivos de Office o Microsoft Teams para el intervalo de fecha y hora especificado y los filtros de propiedades.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de tipo de amenaza.

Vistas del área de detalles de la vista de clics de dirección URL en el Explorador de amenazas

Las vistas (pestañas) disponibles en el área de detalles de la vista de clics de dirección URL se describen en las subsecciones siguientes.

Vista de resultados del área de detalles de la vista de clics de dirección URL en el Explorador de amenazas

Los resultados son la vista predeterminada del área de detalles de la vista de clics de dirección URL .

La vista Resultados muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. De forma predeterminada, se seleccionan todas las columnas:

• Tiempo en el que se hace clic
• Destinatario
• Acción de clic de dirección URL
• URL
• Tags
• Identificador de mensaje de red
• Haga clic en Id.
• IP de cliente
• Cadena de direcciones URL
• Tipo de amenaza
• Tecnología de detección

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

• Desplácese horizontalmente en el explorador web.
• Acote el ancho de las columnas adecuadas.
• Quite las columnas de la vista.
• Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Seleccione una o entradas seleccionando la casilla situada junto a la primera columna de la fila y, a continuación, seleccione Ver todos los correos electrónicos para abrir el Explorador de amenazas en la vista Todo el correo electrónico en una nueva pestaña filtrada por los valores de Id. de mensaje de red de los mensajes seleccionados.

Vista de clics superiores para el área de detalles de la vista de clics de dirección URL en el Explorador de amenazas

La vista Clics superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

• URL
• Bloqueado
• Permitido
• Bloqueo invalidado
• Veredicto pendiente
• Veredicto pendiente omitido
• Ninguna
• Página de error
• Fracaso

Sugerencia

Se seleccionan todas las columnas disponibles. Si selecciona Personalizar columnas, no podrá anular la selección de ninguna columna.

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

• Desplácese horizontalmente en el explorador web.
• Acote el ancho de las columnas adecuadas.
• Alejar en el explorador web.

Seleccione una entrada seleccionando la casilla situada junto a la primera columna de la fila y, a continuación, seleccione Ver todos los clics para abrir el Explorador de amenazas en una nueva pestaña en la vista De clics de dirección URL .

Al seleccionar una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Los detalles de direcciones URL principales de la vista Todo el correo electrónico.

Vista de usuarios de destino superior para el área de detalles de la vista de clics de dirección URL en el Explorador de amenazas

La vista Usuarios de destino superior organiza los datos en una tabla de los cinco destinatarios principales que han hecho clic en las direcciones URL. La tabla muestra:

• Usuarios de destino superior: la dirección de correo electrónico del usuario de destino superior. Si selecciona una dirección de correo electrónico, se abrirá un control flotante de detalles. La información del control flotante es la misma que se describe en la vista Usuarios de destino superior para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas.

• Número de intentos: si selecciona el número de intentos, el Explorador de amenazas se abre en una nueva pestaña filtrada por el nombre de la familia de malware.

Sugerencia

Use Exportar para exportar la lista de hasta 3000 usuarios y los intentos correspondientes.

Filtros de propiedades en el Explorador de amenazas y detecciones en tiempo real

La sintaxis básica de un filtro o consulta de propiedades es:

Condition = <Filter property><Filter operator><Property value or values>

Varias condiciones usan la sintaxis siguiente:

<Condición1><Y | Condición OR2><><Y | Condición OR3><>... <AND | OR><ConditionN>

Sugerencia

Las búsquedas con caracteres comodín (**** o ?) no se admiten en valores de texto o enteros. La propiedad Subject usa la coincidencia parcial de texto y produce resultados similares a una búsqueda con caracteres comodín.

Los pasos para crear condiciones de consulta o filtro de propiedades son los mismos en todas las vistas del Explorador de amenazas y detecciones en tiempo real:

1. Identifique la propiedad de filtro mediante las tablas de las secciones de descripción de vista previa anteriores en este artículo.

2. Seleccione un operador de filtro disponible. Los operadores de filtro disponibles dependen del tipo de propiedad como se describe en la tabla siguiente:

   Operador filter	Tipo de propiedad
   Igual a cualquiera de	Texto Entero Valores discretos
   No es igual a ninguno de	Texto Valores discretos
   Mayor que	Entero
   Menos que	Entero

3. Escriba o seleccione uno o varios valores de propiedad. Para valores de texto y enteros, puede escribir varios valores separados por comas.

   Varios valores del valor de propiedad usan el operador lógico OR. Por ejemplo, Dirección>del remitente Igual a cualquiera de>bob@fabrikam.com,cindy@fabrikam.com los medios Dirección>del remitente Igual a cualquiera de>bob@fabrikam.com O cindy@fabrikam.com.

   Después de escribir o seleccionar uno o varios valores de propiedad, la condición de filtro completada aparece debajo de los cuadros de creación del filtro.

   Sugerencia

   Para las propiedades que requieren que seleccione uno o varios valores disponibles, el uso de la propiedad en la condición de filtro con todos los valores seleccionados tiene el mismo resultado que no usar la propiedad en la condición de filtro.

4. Para agregar otra condición, repita los tres pasos anteriores.

   Las condiciones siguientes a los cuadros de creación de filtros se separan por el operador lógico que se seleccionó en el momento en que creó las segundas condiciones o posteriores. El valor predeterminado es AND, pero también puede seleccionar OR.

   Se usa el mismo operador lógico entre todas las condiciones: todos son AND o todos son OR. Para cambiar los operadores lógicos existentes, seleccione el cuadro operador lógico y, a continuación, seleccione AND o OR.

   Para editar una condición existente, haga doble clic en ella para devolver la propiedad, el operador de filtro y los valores seleccionados a los cuadros correspondientes.

   Para quitar una condición existente, seleccione en la condición .

5. Para aplicar el filtro al gráfico y a la tabla de detalles, seleccione Actualizar.

   

Consultas guardadas en el Explorador de amenazas

Sugerencia

Guardar consulta forma parte de los seguimientos de amenazas y no está disponible en las detecciones en tiempo real. Las consultas guardadas y los seguimientos de amenazas solo están disponibles en Defender para Office 365 plan 2.

Guardar consulta no está disponible en la vista Malware de contenido.

La mayoría de las vistas del Explorador de amenazas le permiten guardar filtros (consultas) para su uso posterior. Las consultas guardadas están disponibles en la página Seguimiento de amenazas del portal de Defender en https://security.microsoft.com/threattrackerv2. Para obtener más información sobre los seguimientos de amenazas, vea Seguimientos de amenazas en Microsoft Defender para Office 365 Plan 2.

Para guardar consultas en el Explorador de amenazas, siga estos pasos:

1. Después de crear el filtro o consulta como se describió anteriormente, seleccione Guardar consulta>Guardar consulta.

2. En el control flotante Guardar consulta que se abre, configure las siguientes opciones:

   • Nombre de la consulta: escriba un nombre único para la consulta.
   • Seleccione una de las siguientes opciones:
     • Fechas exactas: seleccione una fecha de inicio y una fecha de finalización en los cuadros. La fecha de inicio más antigua que puede seleccionar es 30 días antes de hoy. La fecha de finalización más reciente que puede seleccionar es hoy.
     • Fechas relativas: seleccione el número de días en Mostrar los últimos nn días en que se ejecuta la búsqueda. El valor predeterminado es 7, pero puede seleccionar de 1 a 30.
   • Realizar un seguimiento de la consulta: de forma predeterminada, esta opción no está seleccionada. Esta opción afecta a si la consulta se ejecuta automáticamente:
     • Seguimiento de la consulta no seleccionada: la consulta está disponible para que se ejecute manualmente en el Explorador de amenazas. La consulta se guarda en la pestaña Consultas guardadas de la página Seguimiento de amenazas con el valor de la propiedad Consulta con seguimiento No.
     • Seguimiento de la consulta seleccionada: la consulta se ejecuta periódicamente en segundo plano. La consulta está disponible en la pestaña Consultas guardadas de la página Seguimiento de amenazas con el valor de la propiedad Consulta con seguimiento Sí. Los resultados periódicos de la consulta se muestran en la pestaña Consultas de seguimiento de la página Seguimiento de amenazas .

   Cuando haya terminado en el control flotante Guardar consulta , seleccione Guardar y, a continuación, seleccione Aceptar en el cuadro de diálogo de confirmación.

En las pestañas Consulta guardada o Consulta de seguimiento de la página Seguimiento de amenazas del portal de Defender en https://security.microsoft.com/threattrackerv2, puede seleccionar Explorar en la columna Acciones para abrir y usar la consulta en el Explorador de amenazas.

Al abrir la consulta, seleccione Explorar en la página Seguimiento de amenazas , Guardar consulta como y La configuración de consulta guardada ahora está disponible en Guardar consulta en la página Explorador :

• Si selecciona Guardar consulta como, se abrirá el control flotante Guardar consulta con todos los valores seleccionados anteriormente. Si realiza cambios, seleccione Guardar y, a continuación, seleccione Aceptar en el cuadro de diálogo Correcto , la consulta actualizada se guardará como una nueva consulta en la página Seguimiento de amenazas (es posible que tenga que seleccionar Actualizar para verla).

• Si selecciona Configuración de consulta guardada, se abre el control flotante Configuración de consulta guardada , donde puede actualizar la fecha y realizar el seguimiento de la configuración de consulta de la consulta existente.

Más información

• Explorador de amenazas recopila detalles de correo electrónico en la página Entidad de correo electrónico
• Buscar e investigar el correo electrónico malintencionado que se ha entregado
• Visualización de archivos malintencionados detectados en SharePoint Online, OneDrive y Microsoft Teams
• Informe de estado de protección contra amenazas
• Investigación y respuesta automatizada en la Protección contra amenazas de Microsoft