Abordar las cuentas de usuario en peligro con una investigación y respuesta automatizadas
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.
Microsoft Defender para Office 365 Plan 2 incluye eficaces funcionalidades de investigación y respuesta automatizadas (AIR). Estas funcionalidades pueden ahorrar mucho tiempo y esfuerzo al equipo de operaciones de seguridad frente a amenazas. En este artículo se describe una de las facetas de las funcionalidades de AIR, el cuaderno de estrategias de seguridad de usuario en peligro.
El cuaderno de estrategias de seguridad de usuario en peligro permite al equipo de seguridad de su organización:
- Acelerar la detección de cuentas de usuario en peligro;
- Limitar el ámbito de una infracción cuando una cuenta está en peligro; Y
- Responda a los usuarios en peligro de forma más eficaz y eficaz.
Alertas de usuario en peligro
Cuando una cuenta de usuario está en peligro, se producen comportamientos atípicos o anómalo. Por ejemplo, los mensajes de phishing y correo no deseado se pueden enviar internamente desde una cuenta de usuario de confianza. Defender para Office 365 puede detectar estas anomalías en los patrones de correo electrónico y la actividad de colaboración dentro de Office 365. Cuando esto sucede, se desencadenan alertas y comienza el proceso de mitigación de amenazas.
Investigación y respuesta a un usuario en peligro
Cuando una cuenta de usuario está en peligro, se desencadenan alertas. Y, en algunos casos, esa cuenta de usuario se bloquea e impide el envío de más mensajes de correo electrónico hasta que el equipo de operaciones de seguridad de la organización resuelva el problema. En otros casos, comienza una investigación automatizada que puede dar lugar a acciones recomendadas que el equipo de seguridad debe realizar.
Importante
Debe tener los permisos adecuados para realizar las siguientes tareas. Consulte Permisos necesarios para usar las funcionalidades de AIR.
Vea este breve vídeo para aprender a detectar y responder a los riesgos del usuario en Microsoft Defender para Office 365 mediante la investigación y respuesta automatizadas (AIR) y las alertas de usuario en peligro.
Visualización e investigación de usuarios restringidos
Tiene algunas opciones para navegar a una lista de usuarios restringidos. Por ejemplo, en el portal de Microsoft Defender, puede ir a Email & colaboración>Revisar>usuarios restringidos. En el procedimiento siguiente se describe la navegación mediante el panel Alertas , que es una buena manera de ver varios tipos de alertas que podrían haberse desencadenado.
Abra el portal de Microsoft Defender en https://security.microsoft.com y vaya a Incidentes & alertas>alertas. O bien, para ir directamente a la página Alertas , use https://security.microsoft.com/alerts.
En la página Alertas , filtre los resultados por período de tiempo y la directiva denominada Usuario restringido al envío de correo electrónico.
Si selecciona la entrada haciendo clic en el nombre, se abrirá una página Usuario restringido al envío de correo electrónico con detalles adicionales para revisar. Junto al botón Administrar alerta , puede hacer clic en
Más opciones y, a continuación, seleccionar Ver detalles de usuario restringidos para ir a la página Usuarios restringidos , donde puede liberar al usuario restringido.
Ver detalles sobre las investigaciones automatizadas
Cuando se ha iniciado una investigación automatizada, puede ver sus detalles y resultados en el Centro de acciones en el portal de Microsoft Defender.
Para más información, consulte Visualización de los detalles de una investigación.
Tenga en cuenta los siguientes puntos
Manténgase al tanto de las alertas. Como sabe, cuanto más tiempo no se detecte un riesgo, mayor será el potencial de impacto y costo generalizados para su organización, clientes y asociados. La detección temprana y la respuesta oportuna son fundamentales para mitigar las amenazas y, especialmente, cuando la cuenta de un usuario está en peligro.
Automation ayuda al equipo de operaciones de seguridad. Las funcionalidades automatizadas de investigación y respuesta pueden detectar un usuario en peligro al principio y permitir que el equipo de operaciones de seguridad tome medidas para corregir la amenaza. ¿Necesitas ayuda con esto? Consulte Revisar y aprobar acciones.
Pasos siguientes
Revisión de los permisos necesarios para usar las funcionalidades de AIR
Búsqueda e investigación de correo electrónico malintencionado en Office 365
Más información sobre AIR en Microsoft Defender para punto de conexión
Visite la hoja de ruta de Microsoft 365 para ver lo que se va a implementar próximamente.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de