Investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft 365 Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft 365 Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Se aplica a

Microsoft Defender para Office 365 incluye eficaces funcionalidades de investigación y respuesta automatizadas (AIR) que pueden ahorrar tiempo y esfuerzo al equipo de operaciones de seguridad. A medida que se desencadenan alertas, depende del equipo de operaciones de seguridad revisar, priorizar y responder a esas alertas. Mantenerse al día con el volumen de alertas entrantes puede ser abrumador. Automatizar algunas de esas tareas puede ayudar.

AIR permite al equipo de operaciones de seguridad operar de forma más eficaz y eficaz. Las funcionalidades de AIR incluyen procesos de investigación automatizados en respuesta a amenazas conocidas que existen actualmente. Las acciones de corrección adecuadas esperan la aprobación, lo que permite al equipo de operaciones de seguridad responder eficazmente a las amenazas detectadas. Con AIR, el equipo de operaciones de seguridad puede centrarse en tareas de mayor prioridad sin perder de vista las alertas importantes que se desencadenan.

Este artículo describe:

En este artículo también se incluyen los pasos siguientes y los recursos para obtener más información.

El flujo general de AIR

Se desencadena una alerta y un cuaderno de estrategias de seguridad inicia una investigación automatizada, lo que da como resultado resultados y acciones recomendadas. Este es el flujo general de AIR, paso a paso:

  1. Una investigación automatizada se inicia de una de las siguientes maneras:

  2. Mientras se ejecuta una investigación automatizada, recopila datos sobre el correo electrónico en cuestión y las entidades relacionadas con ese correo electrónico. Estas entidades pueden incluir archivos, direcciones URL y destinatarios. El ámbito de la investigación puede aumentar a medida que se desencadenan alertas nuevas y relacionadas.

  3. Durante y después de una investigación automatizada, los detalles y los resultados están disponibles para su visualización. Los resultados pueden incluir acciones recomendadas que se pueden realizar para responder a las amenazas existentes que se encontraron y corregirlas.

  4. El equipo de operaciones de seguridad revisa los resultados y las recomendaciones de la investigación, y aprueba o rechaza las acciones de corrección.

  5. A medida que se aprueban (o rechazan) las acciones de corrección pendientes, se completa la investigación automatizada.

Nota: Si la investigación no da lugar a acciones recomendadas, la investigación automatizada se cerrará y los detalles de lo que se ha revisado como parte de la investigación automatizada seguirán estando disponibles en la página de investigación.

En Microsoft Defender para Office 365, no se realizan acciones de corrección automáticamente. Solo se realizan acciones de corrección tras obtener la aprobación del equipo de seguridad de su organización. Las funcionalidades de AIR ahorran tiempo al equipo de operaciones de seguridad mediante la identificación de acciones de corrección y la entrega de los detalles necesarios para tomar una decisión informada.

Durante y después de cada investigación automatizada, el equipo de operaciones de seguridad puede:

Sugerencia

Para obtener información general más detallada, consulte Funcionamiento de AIR.

Cómo obtener AIR

Las funcionalidades de AIR se incluyen en Microsoft Defender para Office 365, siempre que se configuren las directivas y las alertas. ¿Necesitas ayuda? Siga las instrucciones de Protección contra amenazas para configurar o configurar las siguientes opciones de protección:

Además, asegúrese de revisar las directivas de alerta de su organización, especialmente las directivas predeterminadas de la categoría Administración de amenazas.

¿Qué directivas de alerta desencadenan investigaciones automatizadas?

Microsoft 365 proporciona muchas directivas de alertas integradas que ayudan a identificar el abuso de permisos de administrador de Exchange, la actividad de malware, las posibles amenazas externas e internas y los riesgos de gobernanza de la información. Varias de las directivas de alerta predeterminadas pueden desencadenar investigaciones automatizadas. En la tabla siguiente se describen las alertas que desencadenan investigaciones automatizadas, su gravedad en el portal de Microsoft 365 Defender y cómo se generan:

Alerta Severity Cómo se genera la alerta
Se detectó un clic de dirección URL potencialmente malintencionado Alto Esta alerta se genera cuando se produce cualquiera de las siguientes acciones:
  • Un usuario protegido por vínculos seguros de su organización hace clic en un vínculo malintencionado
  • Los cambios de veredicto de las direcciones URL se identifican mediante Microsoft Defender para Office 365
  • Los usuarios invalidan las páginas de advertencia de Vínculos seguros (en función de la directiva de vínculos seguros de su organización.

Para obtener más información sobre los eventos que desencadenan esta alerta, consulte Configuración de directivas de vínculos seguros.

Un usuario notifica un mensaje de correo electrónico como malware o phish Informativo Esta alerta se genera cuando los usuarios de su organización notifican mensajes como correo electrónico de suplantación de identidad mediante el complemento Mensaje de informe o el complemento De suplantación de identidad de informe.
Mensajes de correo electrónico que contienen archivos malintencionados quitados después de la entrega Informativo Esta alerta se genera cuando los mensajes que contienen un archivo malintencionado se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante la purga automática de cero horas (ZAP).
Email mensajes que contienen malware se quitan después de la entrega Informativo Esta alerta se genera cuando los mensajes de correo electrónico que contienen malware se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante la purga automática de cero horas (ZAP).
Mensajes de correo electrónico que contienen direcciones URL malintencionadas quitados después de la entrega Informativo Esta alerta se genera cuando los mensajes que contienen una dirección URL malintencionada se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante la purga automática de cero horas (ZAP).
Email mensajes que contienen direcciones URL de phish se quitan después de la entrega Informativo Esta alerta se genera cuando los mensajes que contienen phish se entregan a los buzones de su organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones mediante ZAP.
Se detectan patrones de envío de correo electrónico sospechosos Medio Esta alerta se genera cuando alguien de su organización ha enviado un correo electrónico sospechoso y corre el riesgo de que se le restrinja el envío de correo electrónico. La alerta es una advertencia temprana para el comportamiento que podría indicar que la cuenta está en peligro, pero no lo suficientemente grave como para restringir al usuario.

Aunque es poco frecuente, una alerta generada por esta directiva puede ser una anomalía. Sin embargo, es una buena idea comprobar si la cuenta de usuario está en peligro.

Un usuario tiene restringido el envío de correo electrónico. Alto Esta alerta se genera cuando a alguien de su organización se le restringe el envío de correo saliente. Esta alerta suele producirse cuando una cuenta de correo electrónico está en peligro.

Para obtener más información sobre los usuarios restringidos, vea Quitar usuarios bloqueados del portal Usuarios restringidos en Microsoft 365.

Administración investigación manual desencadenada del correo electrónico Informativo Esta alerta se genera cuando un administrador desencadena la investigación manual de un correo electrónico desde el Explorador de amenazas. Esta alerta notifica a la organización que se inició la investigación.
Administración investigación de riesgo de usuario desencadenada Medio Esta alerta se genera cuando un administrador desencadena la investigación de riesgo manual del usuario de un remitente o destinatario de correo electrónico desde el Explorador de amenazas. Esta alerta notifica a su organización que se inició la investigación de riesgo del usuario.

Sugerencia

Para obtener más información sobre las directivas de alerta o editar la configuración predeterminada, consulte Directivas de alerta en el portal de cumplimiento Microsoft Purview.

Permisos necesarios para usar las funcionalidades de AIR

Los permisos se conceden a través de determinados roles, como los que se describen en la tabla siguiente:

Tarea Rol(s) requerido(s)
Configuración de las características de AIR Uno de los siguientes roles:
  • Administrador global
  • Administrador de seguridad

Estos roles se pueden asignar en Azure Active Directory o en el portal de Microsoft 365 Defender.

Iniciar una investigación automatizada

--- o ---

Aprobar o rechazar las acciones recomendadas

Uno de los siguientes roles, asignados en Azure Active Directory o en el portal de Microsoft 365 Defender:
  • Administrador global
  • Administrador de seguridad
  • Operador de seguridad
  • Lector de seguridad
    --- y ---
  • Buscar y purgar (este rol solo se asigna en el portal de Microsoft 365 Defender. Es posible que tenga que crear un nuevo grupo de roles de colaboración Email & allí y agregar el rol Buscar y purgar a ese nuevo grupo de roles.

Licencias necesarias

Microsoft Defender para Office 365 licencias del plan 2 deben asignarse a:

  • Administradores de seguridad (incluidos los administradores globales)
  • El equipo de operaciones de seguridad de su organización (incluidos los lectores de seguridad y los que tienen el rol Buscar y purgar )
  • Usuarios finales

Pasos siguientes