Seguridad del correo electrónico con el Explorador de amenazas y detecciones en tiempo real en Microsoft Defender para Office 365

• Se aplica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la versión de prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Las organizaciones de Microsoft 365 que tienen Microsoft Defender para Office 365 incluidas en su suscripción o compradas como complemento tienen Explorador (también conocido como Explorador de amenazas) o detecciones en tiempo real. Estas características son herramientas eficaces casi en tiempo real para ayudar a los equipos de Operaciones de seguridad (SecOps) a investigar y responder a las amenazas. Para obtener más información, vea Acerca del Explorador de amenazas y Detecciones en tiempo real en Microsoft Defender para Office 365.

En este artículo se explica cómo ver e investigar los intentos de malware y suplantación de identidad detectados en el correo electrónico mediante el Explorador de amenazas o detecciones en tiempo real.

Sugerencia

Para ver otros escenarios de correo electrónico con el Explorador de amenazas y las detecciones en tiempo real, consulte los artículos siguientes:

• Búsqueda de amenazas en el Explorador de amenazas y detecciones en tiempo real en Microsoft Defender para Office 365
• Investigación del correo electrónico malintencionado que se entregó en Microsoft 365

¿Qué necesita saber antes de empezar?

• El Explorador de amenazas se incluye en Defender para Office 365 Plan 2. Las detecciones en tiempo real se incluyen en el plan 1 de Defender para Office:

  • Las diferencias entre el Explorador de amenazas y las detecciones en tiempo real se describen en Acerca del Explorador de amenazas y Detecciones en tiempo real en Microsoft Defender para Office 365.
  • Las diferencias entre Defender para Office 365 Plan 2 y Defender para Office Plan 1 se describen en la hoja de referencia rápida de Defender para Office 365 Plan 1 frente al Plan 2.

• Para obtener permisos y requisitos de licencia para el Explorador de amenazas y las detecciones en tiempo real, consulte Permisos y licencias para el Explorador de amenazas y las detecciones en tiempo real.

Visualización del correo electrónico de suplantación de identidad enviado a usuarios y dominios suplantados

Para obtener más información sobre la protección contra suplantación de usuario y dominio en las directivas contra suplantación de identidad en Defender para Office 365, vea Configuración de suplantación en directivas contra suplantación de identidad en Microsoft Defender para Office 365.

En las directivas de anti phishing predeterminadas o personalizadas, debe especificar los usuarios y dominios para protegerse de la suplantación, incluidos los dominios que posee (dominios aceptados). En las directivas de seguridad preestablecidas Estándar o Estricta, los dominios de su propiedad reciben automáticamente protección de suplantación, pero debe especificar los usuarios o dominios personalizados para la protección de suplantación. Para obtener instrucciones, consulte los artículos siguientes:

• Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365
• Configuración de directivas anti phishing en Microsoft Defender para Office 365

Siga estos pasos para revisar los mensajes de suplantación de identidad y buscar usuarios o dominios suplantados.

1. Siga uno de los pasos siguientes para abrir el Explorador de amenazas o las detecciones en tiempo real:

   • Explorador de amenazas: en el portal de Defender en https://security.microsoft.com, vaya a Explorador deseguridad> & correo electrónico. O bien, para ir directamente a la página Explorador , use https://security.microsoft.com/threatexplorerv3.
   • Detecciones en tiempo real: en el portal de Defender en https://security.microsoft.com, vaya a Correo electrónico & Detecciones de seguridad> entiempo real. O bien, para ir directamente a la página Detecciones en tiempo real , use https://security.microsoft.com/realtimereportsv3.

2. En la página Explorador o Detecciones en tiempo real , seleccione la vista Phish . Para obtener más información sobre la vista Phish , vea Vista phish en el Explorador de amenazas y Detecciones en tiempo real.

3. Seleccione el intervalo de fecha y hora. El valor predeterminado es ayer y hoy.

4. Realice cualquiera de los pasos siguientes:

   • Busque cualquier intento de suplantación de usuario o dominio:

     • Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, seleccione Tecnología de detección en la sección Básico de la lista desplegable.
     • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
     • En el cuadro de valor de propiedad, seleccione Dominio de suplantación y Usuario de suplantación.

   • Buscar intentos de usuario suplantados específicos:

     • Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, seleccione Usuario suplantado en la sección Básico de la lista desplegable.
     • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
     • En el cuadro de valor de propiedad, escriba la dirección de correo electrónico completa del destinatario. Separe varios valores de destinatario por comas.

   • Buscar intentos de dominio suplantados específicos:

     • Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, seleccione Dominio suplantado en la sección Básico de la lista desplegable.
     • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
     • En el cuadro de valor de propiedad, escriba el dominio (por ejemplo, contoso.com). Separe varios valores de dominio por comas.

5. Escriba más condiciones con otras propiedades filtrables según sea necesario. Para obtener instrucciones, consulte Filtros de propiedades en el Explorador de amenazas y Detecciones en tiempo real.

6. Cuando haya terminado de crear las condiciones de filtro, seleccione Actualizar.

7. En el área de detalles debajo del gráfico, compruebe que la pestaña Correo electrónico (vista) está seleccionada.

   Puede ordenar las entradas y mostrar más columnas como se describe en la vista Correo electrónico para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real.

   • Si selecciona el valor Asunto de una entrada de la tabla, se abrirá un control flotante de detalles de correo electrónico. Este control flotante de detalles se conoce como panel Resumen de correo electrónico y contiene información de resumen estandarizada que también está disponible en la página Entidad de correo electrónico para el mensaje.

     Para obtener más información sobre la información en el panel Resumen de correo electrónico, vea El panel Resumen de correo electrónico.

     Para obtener información sobre las acciones disponibles en la parte superior del panel Resumen de correo electrónico para el Explorador de amenazas y las detecciones en tiempo real, vea Detalles del correo electrónico en la vista Correo electrónico del área de detalles de la vista Todo el correo electrónico (las mismas acciones también están disponibles en la vista Phish ).

   • Si selecciona el valor Destinatario de una entrada de la tabla, se abrirá un control flotante de detalles diferente. Para obtener más información, vea Detalles del destinatario en la vista Correo electrónico del área de detalles de la vista Phish.

Exportar datos de clic de dirección URL

Puede exportar datos de clic de dirección URL a un archivo CSV para ver los valores Id. de mensaje de red y Click verdict , que ayudan a explicar de dónde procede el tráfico de clic de la dirección URL.

1. Siga uno de los pasos siguientes para abrir el Explorador de amenazas o las detecciones en tiempo real:

   • Explorador de amenazas: en el portal de Defender en https://security.microsoft.com, vaya a Explorador deseguridad> & correo electrónico. O bien, para ir directamente a la página Explorador , use https://security.microsoft.com/threatexplorerv3.
   • Detecciones en tiempo real: en el portal de Defender en https://security.microsoft.com, vaya a Correo electrónico & Detecciones de seguridad> entiempo real. O bien, para ir directamente a la página Detecciones en tiempo real , use https://security.microsoft.com/realtimereportsv3.

2. En la página Explorador o Detecciones en tiempo real , seleccione la vista Phish . Para obtener más información sobre la vista Phish , vea Vista phish en el Explorador de amenazas y Detecciones en tiempo real.

3. Seleccione el intervalo de fecha y hora y, a continuación, seleccione Actualizar. El valor predeterminado es ayer y hoy.

4. En el área de detalles, seleccione la pestaña Direcciones URL principales o Clics superiores (vista).

5. En la vista Direcciones URL principales o Clics superiores , seleccione una o varias entradas de la tabla seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione Exportar. Explorador>Phish>Clics>Las direcciones URL principales o los clics> superiores de dirección URL seleccionan cualquier registro para abrir el control flotante de direcciones URL.

Puede usar el valor de Id. de mensaje de red para buscar mensajes específicos en el Explorador de amenazas, detecciones en tiempo real o herramientas externas. Estas búsquedas identifican el mensaje de correo electrónico asociado a un resultado de clic. Tener el identificador de mensaje de red correlacionado permite un análisis más rápido y eficaz.

Visualización del malware detectado en el correo electrónico

Siga estos pasos en Explorador de amenazas o Detecciones en tiempo real para ver el malware detectado en el correo electrónico por Microsoft 365.

1. Siga uno de los pasos siguientes para abrir el Explorador de amenazas o las detecciones en tiempo real:

   • Explorador de amenazas: en el portal de Defender en https://security.microsoft.com, vaya a Explorador deseguridad> & correo electrónico. O bien, para ir directamente a la página Explorador , use https://security.microsoft.com/threatexplorerv3.
   • Detecciones en tiempo real: en el portal de Defender en https://security.microsoft.com, vaya a Correo electrónico & Detecciones de seguridad> entiempo real. O bien, para ir directamente a la página Detecciones en tiempo real , use https://security.microsoft.com/realtimereportsv3.

2. En la página Explorador o Detecciones en tiempo real , seleccione la vista Malware . Para obtener más información sobre la vista Phish , vea Vista de malware en el Explorador de amenazas y Detecciones en tiempo real.

3. Seleccione el intervalo de fecha y hora. El valor predeterminado es ayer y hoy.

4. Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, seleccione Tecnología de detección en la sección Básico de la lista desplegable.

   • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
   • En el cuadro de valor de propiedad, seleccione uno o varios de los valores siguientes:
     • Protección contra malware
     • Detonación de archivos
     • Reputación de detonación de archivos
     • Reputación de los archivos
     • Coincidencia de huella digital

5. Escriba más condiciones con otras propiedades filtrables según sea necesario. Para obtener instrucciones, consulte Filtros de propiedades en el Explorador de amenazas y Detecciones en tiempo real.

6. Cuando haya terminado de crear las condiciones de filtro, seleccione Actualizar.

El informe muestra los resultados que el malware detectó en el correo electrónico, mediante las opciones de tecnología seleccionadas. Desde aquí, puede realizar análisis adicionales.

Notificar mensajes como limpios

Puede usar la página Envíos del portal de Defender en https://security.microsoft.com/reportsubmission para notificar mensajes como limpios (falsos positivos) a Microsoft. Pero también puede enviar mensajes como limpios a Microsoft desde Acción en el Explorador de amenazas o en la página de entidad Email.

Para obtener instrucciones, consulte Búsqueda de amenazas: Asistente para realizar acciones.

Para resumir:

• Seleccione Realizar acción mediante uno de los métodos siguientes:

  • Seleccione uno o varios mensajes de la tabla de detalles en la pestaña Email (vista) de las vistas Todo el correo electrónico, Malware o Phish; para ello, active las casillas de las entradas.

  O bien,

  • En el control flotante de detalles después de seleccionar un mensaje de la tabla de detalles de la pestaña Email (vista) de las vistas Todo el correo electrónico, Malware o Phish, haga clic en el valor Asunto.

• En el Asistente para realizar acciones , seleccione Enviar a Microsoft para revisar>He confirmado que está limpio.

Ver la dirección URL de phishing y hacer clic en datos de veredicto

La protección de vínculos seguros realiza un seguimiento de las direcciones URL permitidas, bloqueadas y reemplazadas. La protección de vínculos seguros está activada de forma predeterminada, gracias a la protección integrada en las directivas de seguridad preestablecidas. La protección de vínculos seguros está activada en las directivas de seguridad preestablecidas Estándar y Estricta. También puede crear y configurar la protección de vínculos seguros en directivas de vínculos seguros personalizadas. Para obtener más información sobre la configuración de directivas de vínculos seguros, consulte Configuración de directivas de vínculos seguros.

Siga estos pasos para ver los intentos de suplantación de identidad mediante direcciones URL en los mensajes de correo electrónico.

1. Siga uno de los pasos siguientes para abrir el Explorador de amenazas o las detecciones en tiempo real:

   • Explorador de amenazas: en el portal de Defender de https://security.microsoft.com, vaya a Email &Exploradorde seguridad>. O bien, para ir directamente a la página Explorador , use https://security.microsoft.com/threatexplorerv3.
   • Detecciones en tiempo real: en el portal de Defender en https://security.microsoft.com, vaya a Email &Detecciones en tiempo real de seguridad>. O bien, para ir directamente a la página Detecciones en tiempo real , use https://security.microsoft.com/realtimereportsv3.

2. En la página Explorador o Detecciones en tiempo real , seleccione la vista Phish . Para obtener más información sobre la vista Phish , vea Vista phish en el Explorador de amenazas y Detecciones en tiempo real.

3. Seleccione el intervalo de fecha y hora. El valor predeterminado es ayer y hoy.

4. Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, haga clic en Veredicto en la sección Direcciones URL de la lista desplegable.

   • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
   • En el cuadro de valor de propiedad, seleccione uno o varios de los valores siguientes:
     • Bloqueado
     • Bloqueado invalidado

   Para obtener explicaciones sobre los valores de veredicto click, vea Click verdict in Filterable properties in the All email view in Threat Explorer (Hacer clic en veredicto en propiedades filtrables) en la vista Todo el correo electrónico del Explorador de amenazas.

5. Escriba más condiciones con otras propiedades filtrables según sea necesario. Para obtener instrucciones, consulte Filtros de propiedades en el Explorador de amenazas y Detecciones en tiempo real.

6. Cuando haya terminado de crear las condiciones de filtro, seleccione Actualizar.

La pestaña Direcciones URL principales (vista) del área de detalles debajo del gráfico muestra el recuento de mensajes bloqueados, mensajes no deseados y mensajes entregados para las cinco direcciones URL principales. Para obtener más información, vea Top URL view for the details area of the Phish view in Threat Explorer and Real-time detections(Vista de direcciones URL principales para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real).

La pestaña Clics superiores (vista) del área de detalles debajo del gráfico muestra los cinco vínculos en los que se ha hecho clic en los cinco primeros clics que se ajustaron mediante vínculos seguros. Los clics de dirección URL en los vínculos desencapsados no aparecen aquí. Para obtener más información, vea Vista de clics principales para el área de detalles de la vista Phish en Explorador de amenazas y Detecciones en tiempo real.

Estas tablas de direcciones URL muestran direcciones URL que se bloquearon o visitaron a pesar de una advertencia. Esta información muestra los posibles vínculos incorrectos que se presentaron a los usuarios. Desde aquí, puede realizar análisis adicionales.

Seleccione una dirección URL de una entrada de la vista para obtener más información. Para obtener más información, vea Detalles de direcciones URL para las pestañas Direcciones URL principales y Clics superiores en la vista Phish.

Sugerencia

En el control flotante de detalles de la dirección URL, se quita el filtrado de mensajes de correo electrónico para mostrar la vista completa de la exposición de la dirección URL en su entorno. Este comportamiento le permite filtrar por mensajes de correo electrónico específicos, buscar direcciones URL específicas que son posibles amenazas y, a continuación, ampliar la comprensión de la exposición de direcciones URL en su entorno sin tener que agregar filtros de dirección URL en la vista Phish .

Interpretación de los veredictos de clic

Los resultados de la propiedad Click verdict están visibles en las siguientes ubicaciones:

• Haga clic en la tabla dinámica del gráfico de veredictos para la vista de clics de dirección URL del área de detalles de la vista Todo el correo electrónico (solo explorador de amenazas) o la vista Phish
• Vista de clics superiores para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas
• Vista de clics superiores para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real
• Vista de clics superiores para el área de detalles de la vista de clics de dirección URL en el Explorador de amenazas

Los valores de veredicto se describen en la lista siguiente:

• Permitido: se permitió al usuario abrir la dirección URL.
• Bloqueo invalidado: el usuario no pudo abrir directamente la dirección URL, pero superó el bloque para abrir la dirección URL.
• Bloqueado: se ha bloqueado al usuario para que no abra la dirección URL.
• Error: Al usuario se le presentó la página de error o se produjo un error al capturar el veredicto.
• Error: se produjo una excepción desconocida al capturar el veredicto. Es posible que el usuario haya abierto la dirección URL.
• Ninguno: no se puede capturar el veredicto de la dirección URL. Es posible que el usuario haya abierto la dirección URL.
• Veredicto pendiente: se presentó al usuario la página pendiente de detonación.
• Veredicto pendiente omitido: el usuario se presentó con la página de detonación, pero superó el mensaje para abrir la dirección URL.

Inicio de una investigación y respuesta automatizadas en el Explorador de amenazas

La investigación y respuesta automatizadas (AIR) en Defender para Office 365 Plan 2 pueden ahorrar tiempo y esfuerzo a medida que se investigan y mitigan los ciberataques. Puede configurar alertas que desencadenan un cuaderno de estrategias de seguridad y puede iniciar AIR en el Explorador de amenazas. Para obtener más información, vea Ejemplo: Un administrador de seguridad desencadena una investigación desde el Explorador.

Otros artículos

Investigación del correo electrónico con la página de entidad Email