Microsoft Defender para Office 365 incluye eficaces funcionalidades de investigación y respuesta automatizadas (AIR) que pueden ahorrar tiempo y esfuerzo al equipo de operaciones de seguridad. A medida que se desencadenan alertas, depende del equipo de operaciones de seguridad revisar, priorizar y responder a esas alertas. Mantenerse al día con el volumen de alertas entrantes puede ser abrumador. Automatizar algunas de esas tareas puede ayudar.
AIR permite al equipo de operaciones de seguridad operar de forma más eficaz y eficaz. Las funcionalidades de AIR incluyen procesos de investigación automatizados en respuesta a amenazas conocidas que existen actualmente. Las acciones de corrección adecuadas esperan la aprobación, lo que permite al equipo de operaciones de seguridad responder eficazmente a las amenazas detectadas. Con AIR, el equipo de operaciones de seguridad puede centrarse en tareas de mayor prioridad sin perder de vista las alertas importantes que se desencadenan.
Permisos necesarios para configurar o usar funcionalidades de AIR.
En este artículo también se incluyen los pasos siguientes y los recursos para obtener más información.
El flujo general de AIR
Se desencadena una alerta y un cuaderno de estrategias de seguridad inicia una investigación automatizada, lo que da como resultado resultados y acciones recomendadas. Este es el flujo general de AIR, paso a paso:
Una investigación automatizada se inicia de una de las siguientes maneras:
Una alerta se desencadena por algo sospechoso en el correo electrónico (como un mensaje, datos adjuntos, dirección URL o cuenta de usuario en peligro). Se crea un incidente y comienza una investigación automatizada; o
Mientras se ejecuta una investigación automatizada, recopila datos sobre el correo electrónico en cuestión y las entidades relacionadas con ese correo electrónico (por ejemplo, archivos, direcciones URL y destinatarios). El ámbito de la investigación puede aumentar a medida que se desencadenan alertas nuevas y relacionadas.
Durante y después de una investigación automatizada, los detalles y los resultados están disponibles para su visualización. Los resultados pueden incluir acciones recomendadas que se pueden realizar para responder a las amenazas existentes que se encontraron y corregirlas.
A medida que se aprueban (o rechazan) las acciones de corrección pendientes, se completa la investigación automatizada.
Nota
Si la investigación no da lugar a acciones recomendadas, la investigación automatizada se cerrará y los detalles de lo que se ha revisado como parte de la investigación automatizada seguirán estando disponibles en la página de investigación.
En Microsoft Defender para Office 365, no se realizan acciones de corrección automáticamente. Solo se realizan acciones de corrección tras obtener la aprobación del equipo de seguridad de su organización. Las funcionalidades de AIR ahorran tiempo al equipo de operaciones de seguridad mediante la identificación de acciones de corrección y la entrega de los detalles necesarios para tomar una decisión informada.
Durante y después de cada investigación automatizada, el equipo de operaciones de seguridad puede:
¿Qué directivas de alerta desencadenan investigaciones automatizadas?
Microsoft 365 proporciona muchas directivas de alertas integradas que ayudan a identificar el abuso de permisos de administrador de Exchange, la actividad de malware, las posibles amenazas externas e internas y los riesgos de gobernanza de la información. Varias de las directivas de alerta predeterminadas pueden desencadenar investigaciones automatizadas. Si estas alertas están deshabilitadas o reemplazadas por alertas personalizadas, AIR no se desencadena.
En la tabla siguiente se describen las alertas que desencadenan investigaciones automatizadas, su gravedad en el portal de Microsoft Defender y cómo se generan:
Alerta
Severity
Cómo se genera la alerta
Se detectó un clic de dirección URL potencialmente malintencionado
Alto
Esta alerta se genera cuando se produce cualquiera de las siguientes acciones:
Un usuario protegido por vínculos seguros de su organización hace clic en un vínculo malintencionado
Los cambios de veredicto de las direcciones URL se identifican mediante Microsoft Defender para Office 365
Los usuarios invalidan las páginas de advertencia de Vínculos seguros (en función de la directiva de vínculos seguros de su organización.
Mensajes de correo electrónico que contienen archivos malintencionados quitados después de la entrega
Informativo
Esta alerta se genera cuando los mensajes que contienen un archivo malintencionado se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante la purga automática de cero horas (ZAP).
Email mensajes que contienen malware se quitan después de la entrega
Informativo
Esta alerta se genera cuando los mensajes de correo electrónico que contienen malware se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante la purga automática de cero horas (ZAP).
Mensajes de correo electrónico que contienen direcciones URL malintencionadas quitados después de la entrega
Informativo
Esta alerta se genera cuando los mensajes que contienen una dirección URL malintencionada se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante la purga automática de cero horas (ZAP).
Email mensajes que contienen direcciones URL de phish se quitan después de la entrega
Informativo
Esta alerta se genera cuando los mensajes que contienen phish se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante ZAP.
Se detectan patrones de envío de correo electrónico sospechosos
Medio
Esta alerta se genera cuando alguien de su organización ha enviado un correo electrónico sospechoso y corre el riesgo de que se le restrinja el envío de correo electrónico. La alerta es una advertencia temprana para el comportamiento que podría indicar que la cuenta está en peligro, pero no lo suficientemente grave como para restringir al usuario.
Un usuario tiene restringido el envío de correo electrónico.
Alto
Esta alerta se genera cuando a alguien de su organización se le restringe el envío de correo saliente. Esta alerta suele producirse cuando una cuenta de correo electrónico está en peligro.
Administración investigación manual desencadenada del correo electrónico
Informativo
Esta alerta se genera cuando un administrador desencadena la investigación manual de un correo electrónico desde el Explorador de amenazas. Esta alerta notifica a la organización que se inició la investigación.
Administración investigación de riesgo de usuario desencadenada
Medio
Esta alerta se genera cuando un administrador desencadena la investigación de riesgo manual del usuario de un remitente o destinatario de correo electrónico desde el Explorador de amenazas. Esta alerta notifica a su organización que se inició la investigación de riesgo del usuario.
Inicie una investigación automatizada o apruebe o rechace las acciones recomendadas: Operador de seguridad o Email acciones de corrección avanzadas (administrar).
Configuración de características de AIR: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad .
Inicie una investigación automatizada o apruebe o rechace las acciones recomendadas:
Pertenencia a los grupos de roles Administración de la organización, Administrador de seguridad, Operador de seguridad, Lector de seguridad o Lector global .
y
Pertenencia a un grupo de roles con el rol Buscar y purgar asignado. De forma predeterminada, este rol se asigna a los grupos de roles Investigador de datos y Administración de la organización . O bien, puede crear un grupo de roles personalizado para asignar el rol Buscar y purgar .
Configuración de las características de AIR Pertenencia a los roles Administrador global o Administrador de seguridad .
Inicie una investigación automatizada o apruebe o rechace las acciones recomendadas:
Pertenencia a los roles Administrador global, Administrador de seguridad, Operador de seguridad, Lector de seguridad o Lector global .
y
Pertenencia a un grupo de roles de colaboración Email & con el rol Buscar y purgar asignado. De forma predeterminada, este rol se asigna a los grupos de roles Investigador de datos y Administración de la organización . O bien, puede crear un grupo de roles de colaboración Email & personalizado para asignar el rol Buscar y purgar.
Microsoft Entra permisos proporcionan a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.
Licencias necesarias
Microsoft Defender para Office 365 licencias del plan 2 deben asignarse a:
Administradores de seguridad (incluidos los administradores globales)
El equipo de operaciones de seguridad de su organización (incluidos los lectores de seguridad y los que tienen el rol Buscar y purgar )
En este módulo se exploran las diferencias entre Auditoría de Microsoft Purview (Estándar) y Auditoría (Premium), además de la funcionalidad clave de Auditoría (Premium), incluidos los requisitos de configuración, la habilitación del registro de auditoría, la creación de directivas de retención de registros de auditoría y la realización de investigaciones forenses.