Permitir o bloquear archivos mediante la lista de bloqueados y permitidos del espacio empresarial

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin Exchange Online buzones, los administradores pueden crear y administrar entradas para los archivos de la lista de inquilinos permitidos o bloqueados. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.

En este artículo se describe cómo los administradores pueden administrar las entradas de los archivos en el portal de Microsoft Defender y en Exchange Online PowerShell.

¿Qué necesita saber antes de empezar?

  • Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList. Para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.

  • Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell. Para conectarse a EOP PowerShell independiente, consulte Connect to Exchange Online Protection PowerShell (Conexión a Exchange Online Protection PowerShell).

  • Los archivos se especifican mediante el valor hash SHA256 del archivo. Para buscar el valor hash SHA256 de un archivo en Windows, ejecute el siguiente comando en un símbolo del sistema:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    Un valor de ejemplo es 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. No se admiten los valores de hash perceptual (pHash).

  • Límites de entrada para los archivos:

    • Exchange Online Protection: el número máximo de entradas permitidas es 500 y el número máximo de entradas de bloque es 500 (1000 entradas de archivo en total).
    • Defender para Office 365 Plan 1: el número máximo de entradas permitidas es 1000 y el número máximo de entradas de bloque es 1000 (2000 entradas de archivo en total).
    • Defender para Office 365 Plan 2: el número máximo de entradas permitidas es 5000 y el número máximo de entradas de bloque es 10000 (15000 entradas de archivo en total).

  • Puede escribir un máximo de 64 caracteres en una entrada de archivo.

  • Una entrada debe estar activa en un plazo de 5 minutos.

  • Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

    • Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (solo afecta al portal de Defender, no a PowerShell): Autorización y configuración/Configuración de seguridad/Ajuste de la detección (administrar) o Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (lectura).
    • permisos de Exchange Online:
      • Agregue y quite entradas de la lista de permitidos o bloqueados de inquilinos: pertenencia a uno de los siguientes grupos de roles:
        • Administración de la organización o Administrador de seguridad (rol administrador de seguridad).
        • Operador de seguridad (Tenant AllowBlockList Manager).
      • Acceso de solo lectura a la lista de permitidos o bloqueados de inquilinos: pertenencia a uno de los siguientes grupos de roles:
        • Lector global
        • Lector de seguridad
        • Configuración con permiso de vista
        • View-Only Organization Management
    • Microsoft Entra permisos: la pertenencia a los roles Administrador global, Administrador de seguridad, Lector global o Lector de seguridad proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.

  • Una pestaña Archivos solo está disponible en la página Envíos en organizaciones con Microsoft Defender XDR o Microsoft Defender para punto de conexión Plan 2. Para obtener información e instrucciones para enviar archivos desde la pestaña Archivos, consulte Envío de archivos en Microsoft Defender para punto de conexión.

Create permitir entradas para archivos

No puede crear entradas permitidas para archivos directamente en la lista de permitidos o bloqueados de inquilinos. Las entradas permitidas innecesarias exponen su organización a un correo electrónico malintencionado que el sistema habría filtrado.

En su lugar, use la pestaña datos adjuntos Email de la página Envíos en https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Al enviar un archivo bloqueado como No debería haberse bloqueado (Falso positivo), puede seleccionar Permitir que este archivo agregue una entrada de permiso para el archivo en la pestaña Archivos de la página Permitir o bloquear inquilinos Listas. Para obtener instrucciones, consulte Envío de buenos datos adjuntos de correo electrónico a Microsoft.

Nota:

Las entradas permitidas se agregan en función de los filtros que determinaron que el mensaje era malintencionado durante el flujo de correo. Por ejemplo, si se determinó que la dirección de correo electrónico del remitente y un archivo del mensaje eran incorrectos, se crea una entrada de permiso para el remitente (dirección de correo electrónico o dominio) y el archivo.

Cuando se vuelve a encontrar la entidad de la entrada allow (durante el flujo de correo o en el momento de hacer clic), se invalidan todos los filtros asociados a esa entidad.

De forma predeterminada, permite que las entradas de los archivos existan durante 30 días. Durante esos 30 días, Microsoft aprende de las entradas permitidas y las quita o las extiende automáticamente. Una vez que Microsoft se entera de las entradas permitidas eliminadas, se entregan los mensajes que contienen esas entidades, a menos que se detecte otra cosa en el mensaje como malintencionada.

Durante el flujo de correo, si los mensajes que contienen la entidad permitida pasan otras comprobaciones en la pila de filtrado, se entregan los mensajes. Por ejemplo, si un mensaje pasa comprobaciones de autenticación por correo electrónico, el mensaje se entrega si también contiene un archivo permitido.

Durante el tiempo de clic, la entrada permitir archivo invalida todos los filtros asociados a la entidad de archivo, lo que permite a los usuarios acceder al archivo.

Create entradas de bloque para archivos

Email mensajes que contienen estos archivos bloqueados se bloquean como malware. Los mensajes que contienen los archivos bloqueados se ponen en cuarentena.

Para crear entradas de bloque para archivos, use cualquiera de los métodos siguientes:

Use el portal de Microsoft Defender para crear entradas de bloque para los archivos de la lista de permitidos o bloqueados de inquilinos.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.

  2. En la página Permitir o bloquear inquilinos Listas, seleccione la pestaña Archivos.

  3. En la pestaña Archivos , seleccione Bloquear.

  4. En el control flotante Bloquear archivos que se abre, configure los siguientes valores:

    • Agregar hash de archivo: escriba un valor hash SHA256 por línea, hasta un máximo de 20.

    • Quitar entrada de bloque después: Seleccione entre los valores siguientes:

      • 1 día
      • 7 días
      • 30 días (valor predeterminado)
      • Nunca expirar
      • Fecha específica: el valor máximo es de 90 días a partir de hoy.

    • Nota opcional: escriba texto descriptivo para saber por qué está bloqueando los archivos.

    Cuando haya terminado en el control flotante Bloquear archivos , seleccione Agregar.

De nuevo en la pestaña Archivos , se muestra la entrada.

Uso de PowerShell para crear entradas de bloque para archivos en la lista de inquilinos permitidos o bloqueados

En Exchange Online PowerShell, use la sintaxis siguiente:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

En este ejemplo se agrega una entrada de bloque para los archivos especificados que nunca expiran.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Para obtener información detallada sobre la sintaxis y los parámetros, vea New-TenantAllowBlockListItems.

Use el portal de Microsoft Defender para ver las entradas de los archivos de la lista de inquilinos permitidos o bloqueados.

En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglas>Directivas de amenazas>Permitir o bloquear Listas de inquilinos en la sección Reglas. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.

Seleccione la pestaña Archivos .

En la pestaña Archivos , puede ordenar las entradas haciendo clic en un encabezado de columna disponible. Las columnas siguientes están disponibles:

  • Valor: el hash de archivo.
  • Acción: los valores disponibles son Allow o Block.
  • Modificado por
  • Actualizado por última vez
  • Quitar en: fecha de expiración.
  • Notas

Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtro que se abre:

  • Acción: los valores disponibles son Allow y Block.
  • Nunca expire: o
  • Última actualización: seleccione Las fechas De y A .
  • Quitar en: seleccione Las fechas De y A .

Cuando haya terminado en el control flotante Filtro , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.

Use el cuadro Búsqueda y un valor correspondiente para buscar entradas específicas.

Para agrupar las entradas, seleccione Grupo y, a continuación, acción. Para desagrupar las entradas, seleccione Ninguno.

Uso de PowerShell para ver las entradas de los archivos de la lista de inquilinos permitidos o bloqueados

En Exchange Online PowerShell, use la sintaxis siguiente:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

En este ejemplo se devuelven todos los archivos permitidos y bloqueados.

Get-TenantAllowBlockListItems -ListType FileHash

En este ejemplo se devuelve información del valor hash de archivo especificado.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

En este ejemplo se filtran los resultados mediante archivos bloqueados.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Para obtener información detallada sobre la sintaxis y los parámetros, vea Get-TenantAllowBlockListItems.

Use el portal de Microsoft Defender para modificar las entradas de los archivos de la lista de permitidos o bloqueados de inquilinos.

En las entradas de archivo existentes, puede cambiar la fecha de expiración y la nota.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.

  2. Seleccione la pestaña Archivos.

  3. En la pestaña Archivos, seleccione la entrada de la lista seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione la acción Editar que aparece.

  4. En el control flotante Editar archivo que se abre, están disponibles los siguientes valores:

    • Entradas de bloque:
      • Quitar entrada de bloque después: Seleccione entre los valores siguientes:
        • 1 día
        • 7 días
        • 30 días
        • Nunca expirar
        • Fecha específica: el valor máximo es de 90 días a partir de hoy.
      • Nota opcional
    • Permitir entradas:
      • Quitar la entrada allow después: Seleccione entre los valores siguientes:
        • 1 día
        • 7 días
        • 30 días
        • Fecha específica: el valor máximo es de 30 días a partir de hoy.
      • Nota opcional

    Cuando haya terminado en el control flotante Editar archivo , seleccione Guardar.

Sugerencia

En el control flotante de detalles de una entrada de la pestaña Archivos , use Ver envío en la parte superior del control flotante para ir a los detalles de la entrada correspondiente en la página Envíos . Esta acción está disponible si un envío fue responsable de crear la entrada en la lista de permitidos o bloqueados de inquilinos.

Uso de PowerShell para modificar las entradas de permitir o bloquear existentes para los archivos de la lista de permitidos o bloqueados de inquilinos

En Exchange Online PowerShell, use la sintaxis siguiente:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

En este ejemplo se cambia la fecha de expiración de la entrada de bloque de archivos especificada.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-TenantAllowBlockListItems.

Use el portal de Microsoft Defender para quitar las entradas de los archivos de la lista de permitidos o bloqueados de inquilinos.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.

  2. Seleccione la pestaña Archivos .

  3. En la pestaña Archivos , realice uno de los pasos siguientes:

    • Seleccione la entrada de la lista seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione la acción Eliminar que aparece.

    • Seleccione la entrada de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla. En el control flotante de detalles que se abre, seleccione Eliminar en la parte superior del control flotante.

      Sugerencia

      Para ver detalles sobre otras entradas sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.

  4. En el cuadro de diálogo de advertencia que se abre, seleccione Eliminar.

De nuevo en la pestaña Archivos , la entrada ya no aparece.

Sugerencia

Puede seleccionar varias entradas seleccionando cada casilla o seleccionando todas las entradas seleccionando la casilla situada junto al encabezado de columna Valor .

Uso de PowerShell para quitar las entradas de los archivos de la lista de permitidos o bloqueados de inquilinos

En Exchange Online PowerShell, use la sintaxis siguiente:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

En este ejemplo se quita el bloque de archivos especificado de la lista de permitidos o bloqueados de inquilinos.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Para obtener información detallada sobre la sintaxis y los parámetros, vea Remove-TenantAllowBlockListItems.