Compartir a través de


Introducción

Históricamente, las listas de permitidos habilitadas Exchange Online Protection ignorar las señales que indican que un correo electrónico es malintencionado. Es habitual que los proveedores soliciten direcciones IP, dominios y direcciones de remitente que se reemplacen innecesariamente. Se sabe que los atacantes aprovechan este error y es una laguna de seguridad apremiante tener entradas de lista de permitidos innecesarias. Esta guía paso a paso le guiará por el uso de la búsqueda avanzada para identificar estas invalidaciones mal configuradas y quitarlas, de modo que pueda aumentar la posición de seguridad de su organización.

¿Qué es necesario?

  • Microsoft Defender para Office 365 Plan 2 (incluido en los planes E5, o prueba disponible en aka.ms/trymdo)
  • Permisos suficientes (rol lector de seguridad)
  • 5-10 minutos para realizar los procedimientos siguientes.

Pasos comunes para todas las consultas siguientes

  1. Inicie sesión en el portal de seguridad y vaya a búsqueda avanzada.
  2. Escriba la consulta KQL en el cuadro de consulta y presione Ejecutar consulta.
  3. Al presionar el hipervínculo NetworkMessageId para correos electrónicos individuales cuando se muestra en los resultados, se carga un control flotante, lo que permite un fácil acceso a la página de la entidad de correo electrónico, donde la pestaña de análisis proporciona más detalles, como las reglas de transporte que coincidieron con el correo electrónico.
  4. Los resultados también se pueden exportar presionando Exportar para la manipulación o el análisis sin conexión.

Sugerencia

El cambio de OrgLevelAction a UserLevelAction le permitirá buscar advertencias de correo electrónico reemplazadas por usuarios en lugar de administradores, y también puede ser una información útil.

Consultas

Origen de invalidación superior

Use esta consulta para buscar dónde se encuentran las invalidaciones más innecesarias. Esta consulta busca correos electrónicos que se invalidaron sin ninguna detección que necesitara una invalidación.

EmailEvents
| where OrgLevelAction == "Allow"
| summarize count() by OrgLevelPolicy, ThreatTypes

Tipo de amenaza invalidado superior

Use esta consulta para buscar los tipos de amenazas más invalidados detectados. Esta consulta busca correos electrónicos que tuvieran la amenaza detectada invalidada, DMARC o Spoof indica problemas de autenticación de correo electrónico que se pueden corregir para quitar la necesidad de la invalidación.

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by DetectionMethods

Direcciones IP reemplazadas por arriba

Esta consulta busca correos electrónicos que se invalidaron por IP, sin ninguna detección que llamara a una invalidación.

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderIPv4
| top 10 by count_

Dominios principales invalidados

Esta consulta busca correos electrónicos que se invalidaron mediante el envío de dominio sin ninguna detección que llamara a una invalidación. (Cambie a SenderMailFromDomain para comprobar el archivo 5321.MailFrom)

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromDomain
| top 10 by count_

Remitentes principales invalidados

Esta consulta busca correos electrónicos que se invalidaron mediante el envío de una dirección sin ninguna detección que requiera una invalidación. (Cambie a SenderMailFromAddress para comprobar el archivo 5321.MailFrom)

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromAddress
| top 10 by count_

Más información

Esperemos que este artículo le resulte útil, con algunas consultas básicas para empezar a trabajar con la búsqueda avanzada, para obtener más información sobre los artículos siguientes:

Más información sobre la búsqueda avanzada: Información general: Búsqueda avanzada.

Más información sobre la autenticación: autenticación de Email en Exchange Online Protection.