Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.
Se aplica a
- Exchange Online Protection
- Plan 1 de Microsoft Defender para Office 365 y plan 2
- Microsoft Defender XDR
En este artículo se proporcionan preguntas y respuestas más frecuentes sobre la protección contra malware para organizaciones de Microsoft 365 con buzones en Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de correo Exchange Online.
Para ver las preguntas y sus correspondientes respuestas sobre la cuarentena, consulte Preguntas más frecuentes sobre la cuarentena.
Para obtener preguntas y respuestas sobre la protección contra correo no deseado, consulte Preguntas más frecuentes sobre la protección contra correo no deseado.
Para obtener preguntas y respuestas sobre la protección contra la suplantación de identidad, consulte Preguntas más frecuentes sobre la protección contra la suplantación de identidad.
¿Cuáles son los procedimientos recomendados para configurar y usar el servicio para combatir el malware?
¿Con qué frecuencia se actualizan las definiciones de malware?
Cada servidor busca nuevas definiciones de malware de los socios de antimalware cada hora.
¿Cuántos socios antimalware existen? ¿Puedo elegir qué motores de malware usar?
Tenemos asociaciones con varios proveedores de tecnología antimalware. Los mensajes se examinan con los motores antimalware de Microsoft, un motor adicional basado en firmas y exámenes de reputación de archivos y direcciones URL de varios orígenes. Nuestros asociados están sujetos a cambios, pero EOP siempre usa la protección antimalware de varios asociados. No puede elegir un motor antimalware sobre otro.
¿Dónde se produce el análisis de malware?
Buscamos malware en los mensajes que se envían o envían desde un buzón (mensajes en tránsito). Para Exchange Online buzones, también tenemos purga automática de cero horas (ZAP) para que el malware examine los mensajes que ya se han entregado. Si vuelve a enviar un mensaje desde un buzón de correo, se volverá a examinar (porque está en tránsito).
Si realizo cambios en una directiva contra malware, ¿cuánto tardan en tener efecto después de guardarlos?
Los cambios pueden tardar hasta 1 hora en surtir efecto.
¿El servicio examina los mensajes internos en busca de malware?
En el caso de las organizaciones con buzones de Exchange Online, el servicio busca malware en todos los mensajes entrantes y salientes, incluidos los mensajes enviados entre destinatarios internos.
Una suscripción de EOP independiente examina los mensajes a medida que entran o salen de la organización de correo electrónico local. Los mensajes enviados entre destinatarios locales internos no se examinan en busca de malware. Sin embargo, puede usar las características integradas de detección de antimalware de Exchange Server. Para obtener más información, consulte Protección contra malware en Exchange Server.
¿Todos los motores antimalware que usa el servicio tienen habilitado el análisis heurístico?
Sí. El análisis heurístico busca malware conocido (coincidencia de firma) y desconocido (sospechoso).
¿El servicio puede examinar archivos comprimidos (como archivos .zip)?
Sí. Los motores antimalware pueden explorar en profundidad archivos comprimidos (archivo).
¿Es el análisis de datos adjuntos comprimido compatible con recursivos (.zip dentro de un .zip dentro de un .zip) y, si es así, ¿hasta qué punto?
Sí, el examen recursivo de archivos comprimidos examina muchas capas de profundidad.
¿Funciona el servicio con versiones heredadas de Exchange y entornos que no son de Exchange?
Sí, el servicio es independiente del servidor.
¿Qué es un virus de día cero y cómo lo controla el servicio?
Un virus de día cero es una primera generación, una variante anteriormente desconocida de malware que nunca se ha capturado ni analizado.
Después de que nuestros motores antimalware capturan y analizan una muestra de virus de día cero, se crea una definición y una firma única para detectar el malware.
Cuando existe una definición o firma para el malware, ya no se considera día cero.
¿Cómo puedo configurar el servicio para bloquear archivos ejecutables específicos (como \*.exe) que temo que pueden contener malware?
Puede habilitar y configurar el filtro de datos adjuntos comunes (también conocido como bloqueo de datos adjuntos comunes) como se describe en Filtro de datos adjuntos comunes en las directivas antimalware.
También puede crear una regla de flujo de correo de Exchange (también conocida como regla de transporte) que bloquee los datos adjuntos de correo electrónico que tengan contenido ejecutable.
Siga los pasos descritos en How to reduce malware threats through file attachment blocking in Exchange Online Protection to block the file types listed in Supported file types for mail flow rule content inspection in Exchange Online (Cómo reducir las amenazas de malware a través del bloqueo de archivos adjuntos en Exchange Online Protection para bloquear los tipos de archivo enumerados en Tipos de archivo admitidos para la inspección del contenido de la regla de flujo de correo en Exchange Online.
Para aumentar la protección, también se recomienda usar la extensión De archivo adjunto incluye estas palabras condición en las reglas de flujo de correo para bloquear algunas o todas las extensiones siguientes: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
¿Por qué un malware específico pasó los filtros?
El malware que ha recibido es una nueva variante (consulte ¿Qué es un virus de día cero y cómo lo controla el servicio?). El tiempo que se tarda en actualizar una definición de malware depende de nuestros asociados antimalware.
Recuerde que ninguna configuración configurable por el usuario o el administrador puede excluir los datos adjuntos de correo electrónico de ser examinados por la protección contra malware.
¿Cómo puedo enviar malware que superó los filtros a Microsoft? ¿Y cómo puedo enviar un archivo que considero que se detectó incorrectamente como malware?
He recibido un mensaje de correo electrónico con datos adjuntos desconocidos. ¿Es malware o puedo hacer caso omiso del archivo adjunto?
Se recomienda encarecidamente que no abra los datos adjuntos que no reconozca. Si desea que investiguemos los datos adjuntos, informe del archivo a Microsoft.
¿Dónde puedo obtener mensajes eliminados por los filtros de malware?
Los mensajes contienen código malintencionado activo y, por lo tanto, no se permite el acceso a estos mensajes. Se eliminan de forma no brusca.
No puedo recibir un dato adjunto específico porque se está identificando falsamente como malware. ¿Puedo permitir estos datos adjuntos a través de reglas de flujo de correo?
No. No puede usar reglas de flujo de correo de Exchange para omitir el filtrado de malware. La única manera de omitir el filtrado de malware para un destinatario es identificar el buzón como un buzón de SecOps. Para obtener más información, consulte Uso del portal de Microsoft Defender para configurar buzones de SecOps en la directiva de entrega avanzada.
¿Puedo obtener datos de informes sobre detecciones de malware?
Sí, puede acceder a los informes en el portal de Microsoft Defender. Para obtener más información, vea Ver informes de seguridad de correo electrónico en el portal de Microsoft Defender.
¿Puedo usar alguna herramienta para seguir un mensaje que el servicio haya detectado como malware?
Sí, la herramienta de seguimiento de mensajes le permite seguir los mensajes de correo que pasan por el servicio. Para obtener más información sobre cómo usar la herramienta de seguimiento de mensajes para averiguar por qué se detectó que un mensaje contenía malware, consulte Seguimiento de mensajes en el centro de administración moderno de Exchange.
¿Puedo usar un proveedor de antispam y antimalware de terceros con Exchange Online?
Sí. En la mayoría de los casos, se recomienda que apunte los registros MX a (es decir, envíe el correo electrónico directamente a) EOP. Si primero necesita enrutar el correo electrónico a otro lugar, debe habilitar el filtrado mejorado para conectores para que EOP pueda usar el origen de mensaje verdadero en las decisiones de filtrado.
¿Se investigan los mensajes de malware o correo no deseado en cuanto a quién los envió o se transfieren a las autoridades judiciales?
El servicio se enfoca en la detección y eliminación de malware y correo no deseado, aunque de vez en cuando podemos investigar campañas de ataques o correo no deseado particularmente peligroso, y perseguir a sus autores.
A menudo trabajamos con nuestras unidades de delitos legales y digitales para realizar las siguientes acciones:
- Derribe una red de bots de correo no deseado.
- Impedir que un atacante use el servicio.
- Pase la información a las fuerzas del orden para su procesamiento penal.