Supervisión y mantenimiento de Microsoft 365 Empresa Premium y Defender para Empresas
Después de configurar y configurar Microsoft 365 Empresa Premium o la versión independiente de Microsoft Defender para Empresas, el siguiente paso es preparar un plan para el mantenimiento y las operaciones. Es importante mantener actualizados los sistemas, dispositivos, cuentas de usuario y directivas de seguridad para ayudar a protegerse frente a ciberataques. Puede usar este artículo como guía para preparar el plan.
Al preparar el plan, puede organizar las distintas tareas en dos categorías principales, como se muestra en la tabla siguiente:
Tareas de seguridad
Normalmente, los administradores de seguridad y los operadores de seguridad realizan tareas de seguridad.
Tareas de seguridad diarias
| Tarea | Descripción |
|---|---|
| Comprobación del panel de administración de vulnerabilidades de amenazas | Obtenga una instantánea de la vulnerabilidad de amenazas examinando el panel de administración de vulnerabilidades, que refleja lo vulnerable que es su organización ante las amenazas de ciberseguridad. Una puntuación de exposición alta significa que los dispositivos son más vulnerables a la explotación. 1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, seleccione Panel de administración de > vulnerabilidades. 2. Eche un vistazo a la puntuación de exposición de su organización. Si está en el nivel aceptable o > Alto> rango, puede continuar. Si no es así, seleccione Mejorar puntuación para ver detalles adicionales y recomendaciones de seguridad para mejorar esta puntuación. Ser consciente de su puntuación de exposición le ayuda a: - Comprender e identificar rápidamente las conclusiones de alto nivel sobre el estado de seguridad en la organización - Detectar y responder a áreas que requieren investigación o acción para mejorar el estado actual - Comunicarse con los compañeros y la administración sobre el impacto de los esfuerzos de seguridad |
| Revisar las acciones pendientes en el centro de actividades | A medida que se detectan amenazas, entran en juego las acciones de corrección . En función de la amenaza concreta y de cómo se configuren las opciones de seguridad, las acciones de corrección pueden realizarse automáticamente o solo tras su aprobación, motivo por el que se deben supervisar periódicamente. Se realiza un seguimiento de las acciones de corrección en el Centro de acciones. 1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, elija Centro de acciones. 2. Seleccione la pestaña Pendiente para ver y aprobar (o rechazar) las acciones pendientes. Estas acciones pueden surgir de la protección antivirus/antimalware, las investigaciones automatizadas, las actividades de respuesta manual o las sesiones de respuesta inmediata. 3. Seleccione la pestaña Historial para ver una lista de acciones completadas. |
| Revisar los dispositivos con detecciones de amenazas | Cuando se detectan amenazas en los dispositivos, el equipo de seguridad debe saber para que las acciones necesarias, como aislar un dispositivo, se puedan realizar rápidamente. 1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, elija Informe de seguridad general > de informes>. 2. Desplácese hacia abajo hasta la fila Dispositivos vulnerables . Si se detectaron amenazas en los dispositivos, puede ver esa información en esta fila. |
| Obtener información sobre nuevos incidentes o alertas | A medida que se detectan amenazas y se generan alertas, se crean incidentes. El equipo de seguridad de la empresa puede ver y administrar incidentes en el portal de Microsoft Defender. 1. En el portal de Microsoft Defender (https://security.microsoft.com), en el menú de navegación, seleccione Incidentes. Los incidentes se muestran en la página con alertas asociadas. 2. Seleccione una alerta para abrir su panel flotante, donde puede obtener más información sobre la alerta. 3. En el control flotante, puede ver el título de la alerta, ver una lista de recursos (como puntos de conexión o cuentas de usuario) que se vieron afectados, realizar acciones disponibles y usar vínculos para ver más información e incluso abrir la página de detalles de la alerta seleccionada. |
| Ejecutar un examen o una investigación automatizada | El equipo de seguridad puede iniciar un examen o una investigación automatizada en un dispositivo con un alto nivel de riesgo o amenazas detectadas. En función de los resultados del examen o de la investigación automatizada, las acciones de corrección pueden producirse automáticamente o tras la aprobación. 1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, elija Dispositivos activos>. 2. Seleccione un dispositivo para abrir su panel flotante y revise la información que se muestra. - Seleccione los puntos suspensivos (...) para abrir el menú de acciones. - Seleccione una acción, como Ejecutar examen antivirus o Iniciar investigación automatizada. |
Tareas de seguridad semanales
| Tarea | Descripción |
|---|---|
| Supervisión y mejora de la puntuación de seguridad de Microsoft | Puntuación de seguridad de Microsoft es una medida de la posición de seguridad de su organización. Los números más altos indican que se necesitan menos acciones de mejora. Mediante la puntuación segura, puede: - Informe sobre el estado actual de la posición de seguridad de su organización. - Mejore su posición de seguridad proporcionando detectabilidad, visibilidad, orientación y control. - Comparar con pruebas comparativas y establecer indicadores clave de rendimiento (KPI). Para comprobar la puntuación, siga estos pasos: 1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, elija Puntuación segura. 2. Revise y tome decisiones sobre las correcciones y acciones con el fin de mejorar la puntuación de seguridad general de Microsoft. |
| Mejora de la puntuación de seguridad para dispositivos | Mejore la configuración de seguridad mediante la corrección de problemas mediante la lista de recomendaciones de seguridad. A medida que lo hace, la Puntuación de seguridad de Microsoft para dispositivos mejora y su organización se vuelve más resistente frente a las amenazas y vulnerabilidades de ciberseguridad en el futuro. Siempre merece la pena el tiempo que se tarda en revisar y mejorar la puntuación. Para comprobar la puntuación de seguridad, siga estos pasos: 1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, seleccione Puntuación segura. 2. En la tarjeta Puntuación segura de Microsoft para dispositivos del panel de Administración de vulnerabilidades de Defender, seleccione una de las categorías. Se muestra una lista de recomendaciones relacionadas con esa categoría, junto con las recomendaciones. 3.Seleccione un elemento de la lista para mostrar los detalles relacionados con la recomendación. 4. Seleccione Opciones de corrección. 5. Lea la descripción para comprender el contexto del problema y qué hacer a continuación. Elija una fecha de vencimiento, agregue notas y seleccione Exportar todos los datos de actividad de corrección a CSV para que pueda adjuntarlos a un correo electrónico para realizar un seguimiento. Se ha creado un mensaje de confirmación que indica que se ha creado la tarea de corrección. 6. Envíe un correo electrónico de seguimiento al administrador de TI y espere el tiempo que ha asignado para que la corrección se propague en el sistema. 7. Vuelva a la tarjeta Puntuación segura de Microsoft para dispositivos en el panel. El número de recomendaciones de controles de seguridad ha disminuido como resultado de las acciones. 8. Seleccione Controles de seguridad para volver a la página Recomendaciones de seguridad. El elemento que ha abordado ya no aparece en la lista, lo que mejora la puntuación de seguridad de Microsoft. |
Tareas de seguridad mensuales
| Tarea | Descripción |
|---|---|
| Ejecutar informes | Hay varios informes disponibles en el portal de Microsoft Defender (https://security.microsoft.com). 1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, seleccione Informes. 2. Elija un informe para revisarlo. Cada informe muestra muchas categorías pertinentes para ese informe. 3. Seleccione Ver detalles para ver información más detallada para cada categoría. 4. Seleccione el título de una amenaza determinada para ver los detalles específicos de ella. |
Tareas de seguridad que se realizarán según sea necesario
| Tarea | Descripción |
|---|---|
| Administrar falsos positivos o negativos | Un falso positivo es una entidad, como un archivo o un proceso que se detectó e identificó como malintencionado aunque la entidad no sea realmente una amenaza. Un falso negativo es una entidad que no se detectó como amenaza, aunque realmente sea malintencionada. Los falsos positivos o negativos pueden producirse con cualquier solución de protección contra amenazas, incluidos Microsoft Defender para Office 365 y Microsoft Defender para Empresas, que se incluyen en Microsoft 365 Empresa Premium. Afortunadamente, se pueden realizar pasos para abordar y reducir este tipo de problemas. Para ver los falsos positivos o negativos en los dispositivos, consulte Dirección de falsos positivos o negativos en Microsoft Defender para punto de conexión. Para obtener falsos positivos o negativos en el correo electrónico, consulte los artículos siguientes: - Cómo controlar los correos electrónicos malintencionados que se entregan a los destinatarios (falsos negativos), mediante Microsoft Defender para Office 365 - Cómo controlar el bloqueo de correos electrónicos legítimos (falso positivo), mediante Microsoft Defender para Office 365 |
| Refuerce su posición de seguridad | Defender para Empresas incluye un panel de administración de vulnerabilidades que le proporciona una puntuación de exposición y le permite ver información sobre los dispositivos expuestos y ver las recomendaciones de seguridad pertinentes. Puede usar el panel de Administración de vulnerabilidades de Defender para reducir la exposición y mejorar la posición de seguridad de su organización. Consulte los siguientes artículos: - Use el panel de administración de vulnerabilidades en Microsoft Defender para Empresas - Información del panel |
| Ajuste de directivas de seguridad |
Los informes están disponibles para que pueda ver información sobre las amenazas detectadas, el estado del dispositivo y mucho más. A veces es necesario ajustar las directivas de seguridad. Por ejemplo, puede aplicar protección estricta a algunas cuentas de usuario o dispositivos, y protección estándar a otros. Consulte los siguientes artículos: - Para la protección de dispositivos: ver o editar directivas en Microsoft Defender para Empresas - Para la protección por correo electrónico: configuración recomendada para EOP y seguridad Microsoft Defender para Office 365 |
| Análisis de envíos de administradores | En ocasiones, es necesario enviar entidades, como mensajes de correo electrónico, direcciones URL o datos adjuntos a Microsoft para su posterior análisis. Los elementos de informes pueden ayudar a reducir la aparición de falsos positivos o negativos y a mejorar la precisión de la detección de amenazas. Consulte los siguientes artículos: - Use la página Envíos para enviar sospechas de correo no deseado, correo no deseado, direcciones URL, bloqueo de correo electrónico legítimo y datos adjuntos de correo electrónico a Microsoft - Administración revisión de los mensajes notificados por el usuario |
| Proteger cuentas de usuario prioritarias | No todas las cuentas de usuario tienen acceso a la misma información de la empresa. Algunas cuentas tienen acceso a información confidencial, como datos financieros, información de desarrollo de productos, acceso de asociados a sistemas de compilación críticos, etc. Si se pone en peligro, las cuentas que tienen acceso a información altamente confidencial suponen una amenaza grave. Llamamos a estos tipos de cuentas cuentas prioritarias. Las cuentas de prioridad incluyen (pero no están limitadas a) directores ejecutivos, CEO, CFO, cuentas de administrador de infraestructura, cuentas de sistema de compilación y mucho más. Consulte los siguientes artículos: - Protección de las cuentas de administrador - Recomendaciones de seguridad para cuentas prioritarias en Microsoft 365 |
| Protección de dispositivos de alto riesgo | La evaluación general del riesgo de un dispositivo se basa en una combinación de factores, como los tipos y la gravedad de las alertas activas en el dispositivo. A medida que el equipo de seguridad resuelve las alertas activas, aprueba las actividades de corrección y suprime las alertas posteriores, el nivel de riesgo disminuye. Consulte Administración de dispositivos en Microsoft Defender para Empresas. |
| Dispositivos incorporados o fuera del panel | A medida que los dispositivos se reemplazan o se retiran, se compran nuevos dispositivos o cambian las necesidades empresariales, puede incorporar o quitar dispositivos de Defender para Empresas. Consulte los siguientes artículos: - Incorporación de dispositivos a Microsoft Defender para Empresas - Desconectar un dispositivo de Microsoft Defender para Empresas |
| Corregir un elemento | Microsoft 365 Empresa Premium incluye varias acciones de corrección. Algunas acciones se realizan automáticamente y otras esperan la aprobación del equipo de seguridad. 1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, vaya a Dispositivos activos>. 2. Seleccione un dispositivo, como uno con un nivel de riesgo alto o un nivel de exposición. Se abre un panel flotante y muestra más información sobre las alertas e incidentes generados para ese elemento. 3. En el control flotante, vea la información que se muestra. Seleccione los puntos suspensivos (...) para abrir un menú que enumera las acciones disponibles. 4. Seleccione una acción disponible. Por ejemplo, puede elegir Ejecutar examen antivirus, lo que hará que Antivirus de Microsoft Defender inicie un examen rápido en el dispositivo. O bien, puede seleccionar Iniciar investigación automatizada para desencadenar una investigación automatizada en el dispositivo. |
Acciones de corrección para dispositivos
En la tabla siguiente se resumen las acciones de corrección que están disponibles para los dispositivos de Microsoft 365 Empresa Premium y Defender para Empresas:
| Origen | Acciones |
|---|---|
| Investigaciones automatizadas | Poner en cuarentena un archivo Eliminación de una clave del Registro Eliminación de un proceso Detener un servicio Deshabilitar un controlador Eliminación de una tarea programada |
| Acciones de contestación manual | Ejecutar examen de antivirus Aislar el dispositivo Adición de un indicador para bloquear o permitir un archivo |
| Respuesta inmediata | Recopilación de datos forenses Analizar un archivo Ejecutar un script Envío de una entidad sospechosa a Microsoft para su análisis Corrección de un archivo Búsqueda proactiva de amenazas |
Tareas generales de administración
El mantenimiento del entorno incluye la administración de cuentas de usuario, la administración de dispositivos y el mantenimiento de las cosas actualizadas y funcionando correctamente. Administración tareas normalmente las realizan los administradores globales y los administradores de inquilinos. Obtenga más información acerca de los roles de administrador.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Si no está familiarizado con Microsoft 365, tómese un momento para obtener información general de la Centro de administración de Microsoft 365.
tareas del centro de Administración
| Tarea | Recursos para obtener más información |
|---|---|
| Introducción al uso de la Centro de administración de Microsoft 365 | Información general del Centro de administración de Microsoft 365 |
| Obtenga información sobre las nuevas características de la Centro de administración de Microsoft 365 | Novedades de la Centro de administración de Microsoft 365 |
| Obtenga información sobre las nuevas actualizaciones y características del producto para que pueda ayudar a preparar a los usuarios. | Manténgase al tanto de los cambios de características y productos de Microsoft 365 |
| Ver informes de uso para ver cómo los usuarios usan Microsoft 365 | Informes de Microsoft 365 en el centro de administración |
| Abrir una incidencia de soporte técnico | Obtener soporte técnico para Microsoft 365 para empresas |
Usuarios, grupos y contraseñas
Correo electrónico y calendarios
| Tarea | Recursos para obtener más información |
|---|---|
| Migración de correo electrónico y contactos de Gmail u otro proveedor de correo electrónico a Microsoft 365 | Migrar correo y contactos a Microsoft 365 |
| Agregar una firma de correo electrónico, una declaración de declinación de responsabilidades legal o una declaración de divulgación a los mensajes de correo electrónico que entran o salen | Creación de firmas y declinaciones de responsabilidades para toda la organización |
| Configuración, edición o eliminación de un grupo de seguridad | Crear, editar o eliminar un grupo de seguridad en el Centro de administración de Microsoft 365 |
| Agregar usuarios a un grupo de distribución | Agregar un usuario o un contacto a un grupo de distribución de Microsoft 365 |
Configurar un buzón compartido para que los usuarios puedan supervisar y enviar correo electrónico desde direcciones de correo electrónico comunes, como info@contoso.com |
Crear un buzón compartido |
Dispositivos
| Tarea | Recursos para obtener más información |
|---|---|
| Uso de Windows Autopilot para configurar y preconfigurar nuevos dispositivos o para restablecer, reasignar y recuperar dispositivos (se aplica a Microsoft 365 Empresa Premium) |
Introducción a Windows Autopilot |
| Ver el estado actual de los dispositivos y administrarlos | Administración de dispositivos en Microsoft Defender para Empresas |
| Incorporar dispositivos a Defender para Empresas | Incorporar dispositivos a Defender para Empresas |
| Dispositivos fuera de la placa de Defender para Empresas | Desconectar un dispositivo de Defender para Empresas |
| Administrar dispositivos con Intune |
¿Qué significa la administración de dispositivos con Intune? Administrar los dispositivos y controlar las características del dispositivo en Microsoft Intune |
Dominios
| Tarea | Recursos para obtener más información |
|---|---|
| Agregar un dominio (como contoso.com) a la suscripción de Microsoft 365 | Agregar un dominio a Microsoft 365 |
| Comprar un dominio | Comprar un nombre de dominio |
| Quitar un dominio | Quitar un dominio |
Suscripciones y facturación
| Tarea | Recursos para obtener más información |
|---|---|
| Ver la factura | Ver la factura o la suscripción a Microsoft 365 para empresas |
| Administrar los métodos de pago | Administrar métodos de pago |
| Cambiar la frecuencia de los pagos | Cambiar la frecuencia de facturación de la suscripción de Microsoft 365 |
| Cambiar la dirección de facturación | Cambio de las direcciones de facturación de Microsoft 365 para empresas |