Recomendaciones de seguridad para cuentas prioritarias en Microsoft 365
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
No todas las cuentas de usuario tienen acceso a la misma información de la empresa. Algunas cuentas tienen acceso a información confidencial, como datos financieros, información de desarrollo de productos, acceso de asociados a sistemas de compilación críticos, etc. Si se pone en peligro, las cuentas que tienen acceso a información altamente confidencial suponen una amenaza grave. Llamamos a estos tipos de cuentas cuentas prioritarias. Las cuentas de prioridad incluyen (pero no están limitadas a) directores ejecutivos, CEO, CFO, cuentas de administrador de infraestructura, cuentas de sistema de compilación y mucho más.
Microsoft Defender para Office 365 admite cuentas de prioridad como etiquetas que se pueden usar en filtros en alertas, informes e investigaciones. Para obtener más información, consulte Etiquetas de usuario en Microsoft Defender para Office 365.
En el caso de los atacantes, los ataques de phishing normales que convierten una red aleatoria para usuarios normales o desconocidos son ineficaces. Por otro lado, los ataques de phishing o caza de lanzas que tienen como destino cuentas prioritarias son muy gratificantes para los atacantes. Por lo tanto, las cuentas prioritarias requieren una protección más fuerte que la normal para ayudar a evitar el riesgo de la cuenta.
Microsoft 365 y Microsoft Defender para Office 365 contienen varias características clave que proporcionan capas de seguridad adicionales para las cuentas de prioridad. En este artículo se describen estas funcionalidades y cómo usarlas.
Tarea | Todos los planes de Office 365 Enterprise | Microsoft 365 E3 | Microsoft 365 E5 |
---|---|---|---|
Aumento de la seguridad de inicio de sesión para las cuentas de prioridad | |||
Uso de directivas de seguridad preestablecidas estrictas para cuentas de prioridad | |||
Aplicación de etiquetas de usuario a cuentas de prioridad | |||
Supervisión de cuentas de prioridad en alertas, informes y detecciones | |||
Entrenar a los usuarios |
Nota:
Para obtener información sobre cómo proteger cuentas con privilegios (cuentas de administrador), consulte este tema.
Aumento de la seguridad de inicio de sesión para las cuentas de prioridad
Las cuentas de prioridad requieren una mayor seguridad de inicio de sesión. Puede aumentar su seguridad de inicio de sesión mediante la necesidad de autenticación multifactor (MFA) y la deshabilitación de protocolos de autenticación heredados.
Para obtener instrucciones, consulte el paso 1. Aumente la seguridad de inicio de sesión para los trabajadores remotos con MFA. Aunque este artículo trata sobre los trabajos remotos, los mismos conceptos se aplican a los usuarios prioritarios.
Nota: Se recomienda encarecidamente deshabilitar globalmente los protocolos de autenticación heredados para todos los usuarios prioritarios, como se describe en el artículo anterior. Si los requisitos empresariales le impiden hacerlo, Exchange Online ofrece los siguientes controles para ayudar a limitar el ámbito de los protocolos de autenticación heredados:
Puede (hasta octubre de 2023) usar reglas de acceso de cliente en Exchange Online para bloquear o permitir la autenticación básica y los protocolos de autenticación heredados como POP3, IMAP4 y SMTP autenticado para usuarios específicos.
Puede deshabilitar el acceso POP3 e IMAP4 en buzones individuales. Puede deshabilitar SMTP autenticado en el nivel organizativo y habilitarlo en buzones específicos que aún lo requieran. Para obtener instrucciones, consulte los artículos siguientes:
También merece la pena tener en cuenta que la autenticación básica está en desuso en Exchange Online para Exchange Web Services (EWS), Exchange ActiveSync, POP3, IMAP4 y PowerShell remoto. Para obtener más información, consulte esta entrada de blog.
Uso de directivas de seguridad preestablecidas estrictas para cuentas de prioridad
Los usuarios prioritarios requieren acciones más estrictas para las distintas protecciones disponibles en Exchange Online Protection (EOP) y Defender para Office 365.
Por ejemplo, en lugar de entregar mensajes que se clasificaron como correo no deseado en la carpeta Junk Email, debe poner en cuarentena esos mismos mensajes si están destinados a cuentas de prioridad.
Puede implementar este enfoque estricto para las cuentas de prioridad mediante el perfil Strict en las directivas de seguridad preestablecidas.
Las directivas de seguridad preestablecidas son una ubicación cómoda y central para aplicar nuestra configuración de directiva estricta recomendada para todas las protecciones de EOP y Defender para Office 365. Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.
Para obtener más información sobre cómo la configuración de directiva estricta difiere de la configuración de directiva estándar y predeterminada, consulte Configuración recomendada para EOP y Microsoft Defender para Office 365 seguridad.
Aplicación de etiquetas de usuario a cuentas de prioridad
Las etiquetas de usuario de Microsoft Defender para Office 365 Plan 2 (como parte de Microsoft 365 E5 o una suscripción de complemento) son una manera de identificar y clasificar rápidamente usuarios o grupos específicos de usuarios en informes e investigaciones de incidentes.
Las cuentas de prioridad son un tipo de etiqueta de usuario integrada (conocida como etiqueta del sistema) que puede usar para identificar incidentes y alertas que implican cuentas de prioridad. Para obtener más información sobre las cuentas de prioridad, consulte Administración y supervisión de cuentas de prioridad.
También puede crear etiquetas personalizadas para identificar y clasificar aún más las cuentas de prioridad. Para obtener más información, consulte Etiquetas de usuario. Puede administrar cuentas de prioridad (etiquetas del sistema) en la misma interfaz que las etiquetas de usuario personalizadas.
Supervisión de cuentas de prioridad en alertas, informes y detecciones
Después de proteger y etiquetar los usuarios prioritarios, puede usar los informes, alertas e investigaciones disponibles en EOP y Defender para Office 365 para identificar rápidamente incidentes o detecciones que implican cuentas prioritarias. Las características que admiten etiquetas de usuario se describen en la tabla siguiente.
Característica | Descripción |
---|---|
Alertas | Las etiquetas de usuario de los usuarios afectados están visibles y están disponibles como filtros en la página Alertas del portal de Microsoft Defender. Para obtener más información, consulte Directivas de alerta en el portal de Microsoft Defender. |
Incidentes | Las etiquetas de usuario de todas las alertas correlacionadas están visibles en la página Incidentes del portal de Microsoft Defender. Para obtener más información, consulte Administración de incidentes y alertas. |
Directivas de alertas personalizadas | Puede crear directivas de alerta basadas en etiquetas de usuario en el portal de Microsoft Defender. Para obtener más información, consulte Directivas de alerta en el portal de Microsoft Defender. |
Explorador Detecciones en tiempo real |
En explorador (Defender para Office 365 plan 2) o detecciones en tiempo real (Defender para Office 365 plan 1), las etiquetas de usuario son visibles en la vista de cuadrícula de Email y el control flotante de detalles de Email. Las etiquetas de usuario también están disponibles como una propiedad filtrable. Para obtener más información, vea Etiquetas en el Explorador de amenazas. |
Página de la entidad de correo electrónico | Puede filtrar el correo electrónico en función de las etiquetas de usuario aplicadas en Microsoft 365 E5 y en Defender para Office 365 Plan 1 y Plan 2. Para obtener más información, vea Email página de entidad. |
Vistas de campañas | Las etiquetas de usuario son una de las muchas propiedades filtrables en Vistas de campaña en Microsoft Defender para Office 365 Plan 2. Para obtener más información, consulte Vistas de campaña. |
Informe de estado de protección contra amenazas | En prácticamente todas las vistas y tablas de detalles del informe de estado de protección contra amenazas, puede filtrar los resultados por cuentas de prioridad. Para obtener más información, consulte Informe de estado de protección contra amenazas. |
Informe de remitentes y destinatarios principales | Puede agregar esta etiqueta de usuario a los 20 principales remitentes de mensajes de su organización. Para obtener más información, vea Informe de remitentes y destinatarios principales. |
Informe de usuario en peligro | Las cuentas de usuario marcadas como Sospechosas o Restringidas en organizaciones de Microsoft 365 con buzones de Exchange Online se muestran en este informe. Para obtener más información, vea Informe de usuario en peligro. |
Administración envíos y mensajes notificados por el usuario | Use la página Envíos del portal de Microsoft Defender para enviar mensajes de correo electrónico, direcciones URL y datos adjuntos a Microsoft para su análisis. Para obtener más información, consulte envíos de Administración y mensajes notificados por el usuario. |
Cuarentena | La cuarentena está disponible para contener mensajes potencialmente peligrosos o no deseados en organizaciones de Microsoft 365 con buzones de correo en organizaciones de Exchange Online o de Exchange Online Protection (EOP) independientes para cuentas de prioridad. Para obtener más información, consulte Cuarentena de mensajes de correo electrónico. |
Simulación de ataque | Para probar las directivas y prácticas de seguridad, ejecute una simulación de ciberataque benigna para los usuarios de destino. Para obtener más información, vea Simulación de ataques. |
Informe de problemas de correo electrónico para cuentas prioritarias | El informe Problemas de correo electrónico para cuentas de prioridad en el Centro de administración de Exchange (EAC) contiene información sobre los mensajes no entregados y retrasados para las cuentas de prioridad. Para obtener más información, consulte El informe Problemas de correo electrónico para cuentas de prioridad. |
Entrenar a los usuarios
Entrenar a los usuarios con cuentas prioritarias puede ayudar a ahorrar a esos usuarios y al equipo de operaciones de seguridad mucho tiempo y frustración. Los usuarios conocedores tienen menos probabilidades de abrir datos adjuntos o hacer clic en vínculos en mensajes de correo electrónico cuestionables, y es más probable que eviten sitios web sospechosos.
El Manual de campañas de ciberseguridad de la Escuela Kennedy de Harvard proporciona una excelente guía para establecer una sólida cultura de conciencia de seguridad dentro de su organización, incluido el entrenamiento de usuarios para identificar ataques de phishing.
Microsoft 365 proporciona los siguientes recursos para ayudar a informar a los usuarios de su organización:
Concepto | Recursos | Descripción |
---|---|---|
Microsoft 365 | Caminos de aprendizaje personalizables | Estos recursos pueden ayudarle a organizar el entrenamiento para los usuarios de su organización. |
Centro de seguridad de Microsoft 365 | Módulo de aprendizaje: Protección de la organización con seguridad inteligente integrada de Microsoft 365 | Este módulo le permite describir cómo funcionan conjuntamente las características de seguridad de Microsoft 365 y articular las ventajas de estas características de seguridad. |
Autenticación multifactor | Descarga e instalación de la aplicación Microsoft Authenticator | Este artículo ayuda a los usuarios finales a comprender qué es la autenticación multifactor y por qué se usa en su organización. |
Aprendizaje de simulación de ataque | Introducción al uso de aprendizaje de simulación de ataques | El entrenamiento de simulación de ataques en Microsoft Defender para Office 365 Plan 2 permite al administrador configurar, iniciar y realizar un seguimiento de ataques simulados de suplantación de identidad (phishing) contra grupos específicos de usuarios. |
Además, Microsoft recomienda que los usuarios realicen las acciones descritas en este artículo: Proteger su cuenta y dispositivos de hackers y malware. Entre estas acciones se incluyen:
- Uso de contraseñas seguras
- Protección de dispositivos
- Habilitación de características de seguridad en equipos Windows y Mac (para dispositivos no administrados)