Compartir vía


Datos adjuntos seguros en Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Datos adjuntos seguros en Microsoft Defender para Office 365 proporciona una capa adicional de protección para los datos adjuntos de correo electrónico que ya han sido examinados por la protección contra malware en Exchange Online Protection (EOP). En concreto, Los datos adjuntos seguros usan un entorno virtual para comprobar los datos adjuntos en los mensajes de correo electrónico antes de que se entreguen a los destinatarios (un proceso conocido como detonación).

La protección de datos adjuntos seguros para mensajes de correo electrónico se controla mediante directivas de datos adjuntos seguros. Aunque no hay ninguna directiva de datos adjuntos seguros predeterminada, la directiva de seguridad preestablecida de protección integrada proporciona protección de datos adjuntos seguros a todos los destinatarios (usuarios que no están definidos en las directivas de seguridad preestablecidas estándar o estricta o en directivas de datos adjuntos seguros personalizadas). Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365. También es posible crear directivas de Datos adjuntos seguros que se apliquen a usuarios, grupos o dominios específicos. Para obtener instrucciones, consulte Configuración de directivas de datos adjuntos seguros en Microsoft Defender para Office 365.

En la tabla siguiente se describen los escenarios de datos adjuntos seguros en Microsoft 365 y Office 365 organizaciones que incluyen Microsoft Defender para Office 365 (es decir, la falta de licencias nunca es un problema en los ejemplos).

Escenario Resultado
La organización Microsoft 365 E5 de Pat no tiene configurada ninguna directiva de Datos adjuntos seguros. Pat está protegida por datos adjuntos seguros debido a la directiva de seguridad preestablecida de protección integrada que se aplica a todos los destinatarios que no están definidos de otro modo en las directivas de datos adjuntos seguros.
La organización de Lee tiene una directiva de Datos adjuntos seguros que solo se aplica a los empleados financieros. Lee es miembro del departamento de ventas. Lee y el resto del departamento de ventas están protegidos por datos adjuntos seguros debido a la directiva de seguridad preestablecida de protección integrada que se aplica a todos los destinatarios que no están definidos de otro modo en las directivas de datos adjuntos seguros.
Ayer, un administrador de la organización de Jean creó una directiva de Datos adjuntos seguros que se aplica a todos los empleados. Hoy mismo, Jean recibió un mensaje de correo electrónico que incluía datos adjuntos. Jean está protegido por Datos adjuntos seguros debido a esa directiva personalizada de Datos adjuntos seguros.

Normalmente, una nueva directiva tarda unos 30 minutos aplicarse.
La organización de Chris tiene directivas de Datos adjuntos seguros de larga duración para todos los miembros de la organización. Chris recibe un correo electrónico con datos adjuntos y, a continuación, reenvía el mensaje a destinatarios externos. Chris está protegido por datos adjuntos seguros.

Si los destinatarios externos estuvieran en una organización de Microsoft 365, los mensajes reenviados también estarán protegidos por Datos adjuntos seguros.

El análisis de datos adjuntos seguros tiene lugar en la misma región donde residen los datos de Microsoft 365. Para obtener más información sobre la geografía del centro de datos, consulte ¿Dónde se encuentran los datos?

Nota:

Las siguientes características se encuentran en la configuración global de las directivas de datos adjuntos seguros en el portal de Microsoft Defender. Sin embargo, esta configuración está habilitada o deshabilitada globalmente y no requiere directivas de datos adjuntos seguros:

Sugerencia

Como complemento a este artículo, consulte nuestra guía de configuración de Microsoft Defender para Office 365 para revisar los procedimientos recomendados y protegerse frente a amenazas de correo electrónico, vínculos y colaboración. Las características incluyen vínculos seguros, datos adjuntos seguros y mucho más. Para obtener una experiencia personalizada basada en su entorno, puede acceder a la guía de configuración automatizada de Microsoft Defender para Office 365 en el Centro de administración de Microsoft 365.

Configuración de directiva de datos adjuntos seguros

En esta sección se describe la configuración de directivas de datos adjuntos seguros:

  • Filtros de destinatarios: condiciones y excepciones para identificar los destinatarios internos a los que se aplica la directiva. Se requiere al menos una condición. Puede usar los siguientes filtros de destinatario para condiciones y excepciones:

    • Usuarios: uno o varios buzones de correo, usuarios de correo o contactos de correo de la organización.
    • Grupos:
      • Miembros de los grupos de distribución especificados o grupos de seguridad habilitados para correo (no se admiten grupos de distribución dinámicos).
      • Los Grupos de Microsoft 365 especificados.
    • Dominios: uno o varios de los dominios aceptados configurados en Microsoft 365. La dirección de correo electrónico principal del destinatario está en el dominio especificado.

    Puede usar una condición o una excepción solo una vez, pero la condición o la excepción pueden contener varios valores:

    • Varios valores de la misma condición o excepción usan lógica OR (por ejemplo, <recipient1> o <recipient2>):

      • Condiciones: si el destinatario coincide con cualquiera de los valores especificados, se le aplica la directiva.
      • Excepciones: si el destinatario coincide con cualquiera de los valores especificados, la directiva no se aplica a ellos.
    • Los distintos tipos de excepciones usan lógica OR (por ejemplo, <recipient1> o <miembro de group1> o <miembro de domain1>). Si el destinatario coincide con cualquiera de los valores de excepción especificados, la directiva no se aplica a ellos.

    • Los distintos tipos de condiciones usan lógica AND. El destinatario debe coincidir con todas las condiciones especificadas para que la directiva se aplique a ellos. Por ejemplo, configure una condición con los siguientes valores:

    • Usuarios: romain@contoso.com

    • Grupos: Ejecutivos

      La política se aplica soloromain@contoso.com si también es miembro del grupo Ejecutivos. De lo contrario, la directiva no se aplica a él.

  • Respuesta de malware desconocida de datos adjuntos seguros: esta configuración controla la acción para el análisis de malware de datos adjuntos seguros en los mensajes de correo electrónico. Las opciones disponibles se describen en la tabla siguiente:

    Opción Efecto Úselo cuando desee:
    Desactivado Los datos adjuntos seguros no examinan los datos adjuntos en busca de malware. Los mensajes todavía se examinan para buscar malware mediante la protección contra malware en EOP. Desactive el examen de los destinatarios seleccionados.

    Evite retrasos innecesarios en el enrutamiento del correo interno.

    Esta opción no se recomienda para la mayoría de los usuarios. Solo debe usar esta opción para desactivar el examen de datos adjuntos seguros para los destinatarios que solo reciben mensajes de remitentes de confianza. ZAP no pondrá en cuarentena los mensajes si se desactivan los datos adjuntos seguros y no se recibe una señal de malware. Para obtener más información, consulte Purga automática de hora cero.
    Supervisar Entrega mensajes con datos adjuntos y, a continuación, realiza un seguimiento de lo que sucede con el malware detectado.

    La entrega de mensajes seguros podría retrasarse debido al examen de datos adjuntos seguros.
    Vea dónde va el malware detectado en su organización.
    Bloquear Impide que se entreguen los mensajes con datos adjuntos de malware detectados.

    Los mensajes se ponen en cuarentena. De forma predeterminada, solo los administradores (no los usuarios) pueden revisar, liberar o eliminar los mensajes.¹

    Bloquea automáticamente las instancias futuras de los mensajes y datos adjuntos.

    La entrega de mensajes seguros podría retrasarse debido al examen de datos adjuntos seguros.
    Protege su organización frente a ataques repetidos con los mismos datos adjuntos de malware.

    Este es el valor predeterminado y el valor recomendado en Directivas de seguridad preestablecidas estándar y estricta.
    Entrega dinámica Entrega mensajes inmediatamente, pero reemplaza los datos adjuntos por marcadores de posición hasta que se complete el examen de datos adjuntos seguros.

    Los mensajes que contienen datos adjuntos malintencionados se ponen en cuarentena. De forma predeterminada, solo los administradores (no los usuarios) pueden revisar, liberar o eliminar los mensajes.¹

    Para obtener más información, consulte la sección Entrega dinámica en directivas de datos adjuntos seguros más adelante en este artículo.
    Evite retrasos en los mensajes al proteger a los destinatarios de archivos malintencionados.

    ¹ Las directivas de cuarentena definen qué pueden hacer los usuarios en los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena. Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware mediante datos adjuntos seguros, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de malware en cuarentena.

  • Redirigir mensajes con datos adjuntos detectados: habilite el redireccionamiento y enviar mensajes que contengan datos adjuntos supervisados a la dirección de correo electrónico especificada: solo para la acción Supervisar , envíe mensajes que contengan datos adjuntos de malware a la dirección de correo electrónico interna o externa especificada para su análisis e investigación.

    La recomendación para la configuración de directivas Estándar y Estricta es habilitar el redireccionamiento. Para obtener más información, consulte Configuración de datos adjuntos seguros.

  • Prioridad: si crea varias directivas, puede especificar el orden en que se aplican. Ninguna de las dos directivas puede tener la misma prioridad y el procesamiento de directivas se detiene después de aplicar la primera directiva (la directiva de mayor prioridad para ese destinatario).

    Para obtener más información sobre el orden de prioridad y cómo se evalúan y aplican las distintas directivas, consulte Orden y prioridad de la protección de correo electrónico.

Entrega dinámica en directivas de datos adjuntos seguros

Nota:

La entrega dinámica solo funciona para los buzones de Exchange Online.

La acción Entrega dinámica en las directivas de datos adjuntos seguros busca eliminar los retrasos en la entrega de correo electrónico que puedan deberse al examen de datos adjuntos seguros. El cuerpo del mensaje de correo electrónico se entrega al destinatario con un marcador de posición para cada dato adjunto. El marcador de posición permanece hasta que se detecta que los datos adjuntos son seguros y, a continuación, los datos adjuntos están disponibles para abrirse o descargarse.

Si se detecta que los datos adjuntos son malintencionados, el mensaje se pone en cuarentena.

Se puede obtener una vista previa de la mayoría de los archivos PDF y documentos de Office en modo seguro mientras se está realizando el análisis de datos adjuntos seguros. Si un archivo adjunto no es compatible con el previewer de entrega dinámica, los destinatarios verán un marcador de posición para los datos adjuntos hasta que se complete el examen de datos adjuntos seguros.

Si usa un dispositivo móvil y los archivos PDF no se representan en el previewer de entrega dinámica en el dispositivo móvil, intente abrir el mensaje en Outlook en la Web (anteriormente conocido como Outlook Web App) mediante el explorador móvil.

Estas son algunas consideraciones para la entrega dinámica y los mensajes reenviados:

  • Si el destinatario reenviado está protegido por una directiva de datos adjuntos seguros que usa la opción Entrega dinámica, el destinatario verá el marcador de posición, con la capacidad de obtener una vista previa de los archivos compatibles.
  • Si el destinatario reenviado no está protegido por una directiva de datos adjuntos seguros, el mensaje y los datos adjuntos se entregarán sin ningún marcador de posición de datos adjuntos o de análisis de datos adjuntos seguros.

Hay escenarios en los que la entrega dinámica no puede reemplazar los datos adjuntos en los mensajes. Entre estos escenarios se incluyen lo siguientes:

  • Mensajes en carpetas públicas.
  • Mensajes que se enrutan fuera de y, a continuación, de nuevo en el buzón de un usuario mediante reglas personalizadas.
  • Mensajes que se mueven (de forma automática o manual) desde buzones de correo en la nube a otras ubicaciones, incluidas las carpetas de archivo.
  • Las reglas de bandeja de entrada mueven el mensaje de la Bandeja de entrada a otra carpeta.
  • Mensajes eliminados.
  • La carpeta de búsqueda del buzón de correo del usuario está en estado de error.
  • Exchange Online organizaciones donde Exclaimer está habilitado. Para resolver este problema, consulte KB4014438.
  • S/MIME) mensajes cifrados.
  • Ha configurado la acción Entrega dinámica en una directiva de datos adjuntos seguros, pero el destinatario no admite la entrega dinámica (por ejemplo, el destinatario es un buzón de una organización local de Exchange). Sin embargo, vínculos seguros en Microsoft Defender para Office 365 es capaz de examinar los datos adjuntos de archivos de Office que contienen direcciones URL (si el examen de vínculos seguros de aplicaciones de Office de soporte técnico está activado en la directiva de vínculos seguros aplicable).

Envío de archivos para el análisis de malware