Notificaciones automáticas de usuario para los resultados de suplantación de identidad notificados por el usuario en AIR

• Se aplica a:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Nota:

Las características descritas en este artículo están actualmente en versión preliminar pública, no están disponibles en todas las organizaciones y están sujetas a cambios.

En las organizaciones de Microsoft 365 con buzones de Exchange Online, los administradores pueden configurar el back-end para los mensajes que los usuarios notifican como malintencionados o no malintencionados en Outlook (enviar a Microsoft, enviar a un buzón de informes o ambos) y configurar las distintas opciones de notificación para los mensajes notificados por el usuario. Para obtener más información, consulte Configuración notificada por el usuario.

En las organizaciones de Microsoft 365 con Microsoft Defender para Office 365 Plan 2, cuando un usuario notifica un mensaje como suplantación de identidad (phishing), se crea automáticamente una investigación en una investigación y respuesta automatizadas (AIR). Los administradores pueden configurar los valores de mensaje notificados por el usuario para enviar una notificación por correo electrónico al usuario que informó del mensaje en función del veredicto de AIR. Esta notificación también se conoce como respuesta automática de comentarios.

En este artículo se explica cómo habilitar y personalizar la respuesta automática de comentarios para veredictos específicos de AIR, cómo se envían los mensajes de correo electrónico de notificación y cómo se ven las notificaciones.

¿Qué necesita saber antes de empezar?

• Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Configuración notificada por el usuario , use https://security.microsoft.com/securitysettings/userSubmission.

• Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

  • Email & permisos de colaboración en el portal de Microsoft Defender: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad.
  • Microsoft Entra permisos: la pertenencia a los roles administrador global o administrador de seguridad proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.

Uso del portal de Microsoft Defender para configurar la respuesta automática de comentarios

1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Configuración> Email & pestañaConfiguración notificada por el usuario de colaboración>. Para ir directamente a la página Configuración notificada por el usuario, use https://security.microsoft.com/securitysettings/userSubmission.

2. En la página Configuración notificada por el usuario , compruebe que la opción Supervisión de mensajes notificados en Outlook está seleccionada.

3. En la sección decorreo electrónicoEmail notificaciones> Resultados, seleccione Enviar automáticamente a los usuarios por correo electrónico los resultados de la investigación y, a continuación, seleccione una o varias de las siguientes opciones que aparecen:

   • Phishing o malware: se envía una notificación por correo electrónico al usuario que ha notificado el mensaje como suplantación de identidad (phishing) cuando AIR identifica la amenaza como phishing, phishing de alta confianza o malware.
   • Correo no deseado: se envía una notificación por correo electrónico al usuario que ha notificado el mensaje como suplantación de identidad (phishing) cuando AIR identifica la amenaza como correo no deseado.
   • No se encontraron amenazas: se envía una notificación por correo electrónico al usuario que informó del mensaje como suplantación de identidad (phishing) cuando AIR no identifica ninguna amenaza.

   

4. El correo electrónico de notificación usa la misma plantilla que cuando un administrador selecciona Marcar como y notificar en la página Envíos en https://security.microsoft.com/reportsubmission.

   Puede personalizar el correo electrónico de notificación seleccionando el vínculo Personalizar el correo electrónico de resultados .

   En el control flotante Personalizar las notificaciones de correo electrónico de revisión del administrador que se abre, configure las siguientes opciones en las pestañas Phishing (que corresponde a la opción De suplantación de identidad o respuesta automática de comentarios de malware), Correo no deseado y No se encontraron amenazas :

   • Email texto de resultados del cuerpo: escriba el texto personalizado que se va a usar. Puede usar texto diferente para phishing, correo no deseado y no se encuentran amenazas.
   • Email texto del pie de página: escriba el texto del pie de página del mensaje personalizado que se va a usar. El mismo texto se usa para phishing, correo no deseado y no se encuentran amenazas.

   

   Cuando haya terminado en el control flotante Personalizar notificaciones por correo electrónico de revisión de administrador , seleccione Confirmar para volver a la página Configuración notificada por el usuario .

Funcionamiento de la respuesta de comentarios automatizada

Después de habilitar la respuesta de comentarios automatizada, el usuario que ha notificado el mensaje como suplantación de identidad (phishing) recibe una notificación por correo electrónico basada en el veredicto de AIR y los usuarios de correo electrónico seleccionados de forma automática los resultados de las opciones de investigación :

Sugerencia

En las capturas de pantalla siguientes se muestran mensajes de correo electrónico de notificación de ejemplo que se envían a los usuarios. Como se explicó anteriormente, puede personalizar el correo electrónico de notificación mediante las opciones de Personalización del correo electrónico de resultados en la configuración notificada por el usuario.

• No se encontraron amenazas: si un usuario notifica un mensaje como phishing, el envío desencadena AIR en el mensaje notificado. Si la investigación no encuentra amenazas, el usuario que ha notificado el mensaje recibe un correo electrónico de notificación similar al siguiente:

  

• Correo no deseado: si un usuario informa de un mensaje como suplantación de identidad (phishing), el envío desencadena AIR en el mensaje notificado. Si la investigación detecta que el mensaje es correo no deseado, el usuario que ha notificado el mensaje recibe un correo electrónico de notificación similar al siguiente:

  

• Phishing o malware: si un usuario informa de un mensaje como phishing, el envío desencadena AIR en el mensaje notificado. Lo que sucede a continuación depende de los resultados de la investigación:

  • Phishing o malware de alta confianza: el mensaje debe corregirse mediante una de las siguientes acciones:

    • Apruebe la acción recomendada (que se muestra como acciones pendientes en la investigación o en el Centro de acciones).
    • Corrección a través de otros medios (por ejemplo, explorador de amenazas).

    Una vez corregido el mensaje, la investigación se cierra como Corregida o Corregida parcialmente. Solo cuando el estado de la investigación es uno de esos valores es la notificación por correo electrónico enviada al usuario que ha notificado el mensaje.

    Sugerencia

    En el caso de phishing o malware de alta confianza, la investigación podría cerrarse inmediatamente como Corregido si el mensaje no se encuentra en el buzón (el mensaje se eliminó). No hay ninguna investigación pendiente que cerrar, por lo que no se envía ninguna notificación por correo electrónico al usuario que ha notificado el mensaje.

  • Phishing: la investigación no crea ninguna acción pendiente, pero el usuario sigue recibiendo un correo electrónico de notificación que indica que el mensaje se ha detectado como phishing. El correo electrónico de notificación tiene este aspecto:

    

Cuando AIR llega a un veredicto y se envía el correo electrónico de notificación al usuario que ha notificado el mensaje como phishing, se muestran los siguientes valores de propiedad para la entrada en la pestaña Usuario notificado de la página Envíos del portal de Defender:

• Marcado como: Contiene el veredicto.
• Marcado por: el valor es Automation.

Si el mensaje se envió automáticamente o manualmente a Microsoft para su revisión, o si AIR investigó el mensaje, el veredicto se muestra en la propiedad Marcado como . Para obtener más información sobre la pestaña Usuario notificado en la página Envíos, vea Administración opciones para los mensajes notificados por el usuario.

Más información

Para obtener más información sobre envíos e investigaciones en Defender para Microsoft 365, consulte los artículos siguientes:

• Investigación y respuesta automatizadas en Microsoft Defender para Office 365
• Visualización de los resultados de una investigación automatizada en Microsoft 365
• Revisión del administrador para los mensajes de los que se informe
• Funcionamiento de la investigación y respuesta automatizadas en Microsoft Defender para Office 365