Información de inteligencia sobre suplantación de identidad en EOP

Propina

¿Sabía que puede probar las características de Microsoft 365 Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft 365 Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Se aplica a

En las organizaciones de Microsoft 365 con buzones en Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de correo Exchange Online, los mensajes de correo electrónico entrantes se protegen automáticamente contra la suplantación de identidad. EOP usa inteligencia de suplantación de identidad como parte de la defensa general de su organización contra la suplantación de identidad (phishing). Para obtener más información, vea Protección contra la suplantación de identidad en EOP.

Cuando un remitente suplanta una dirección de correo electrónico, parece ser un usuario de uno de los dominios de la organización o un usuario de un dominio externo que envía correo electrónico a su organización. Los atacantes que suplantan a los remitentes para enviar correo no deseado o correo electrónico de suplantación de identidad deben bloquearse. Pero hay escenarios en los que los remitentes legítimos son suplantados. Por ejemplo:

  • Escenarios legítimos para suplantar dominios internos:

    • Los remitentes de terceros usan su dominio para enviar correo masivo a sus propios empleados para los sondeos de la empresa.
    • Una empresa externa genera y envía publicidad o actualizaciones de productos en su nombre.
    • Un asistente debe enviar periódicamente correo electrónico a otra persona de la organización.
    • Una aplicación interna envía notificaciones por correo electrónico.
  • Escenarios legítimos para suplantar dominios externos:

    • El remitente está en una lista de correo (también conocida como lista de discusión) y la lista de distribución retransmite el correo electrónico del remitente original a todos los participantes de la lista de correo.
    • Una empresa externa envía un correo electrónico en nombre de otra empresa (por ejemplo, un informe automatizado o una empresa de software como servicio).

Puede usar la información de inteligencia sobre suplantación de identidad en el portal de Microsoft 365 Defender para identificar rápidamente a los remitentes suplantados que le envían legítimamente correo electrónico no autenticado (mensajes de dominios que no pasan comprobaciones de SPF, DKIM o DMARC) y permitir manualmente esos remitentes.

Al permitir que los remitentes conocidos envíen mensajes suplantados desde ubicaciones conocidas, puede reducir los falsos positivos (un buen correo electrónico marcado como incorrecto). Al supervisar los remitentes suplantados permitidos, proporciona una capa de seguridad adicional para evitar que lleguen mensajes no seguros a su organización.

Del mismo modo, puede revisar los remitentes suplantados permitidos por la inteligencia de suplantación de identidad y bloquear manualmente a esos remitentes de la información de inteligencia de suplantación de identidad.

En el resto de este artículo se explica cómo usar la información de inteligencia sobre suplantación de identidad en el portal de Microsoft 365 Defender y en PowerShell (Exchange Online PowerShell para organizaciones de Microsoft 365 con buzones en Exchange Online; PowerShell EOP independiente para organizaciones sin Exchange Online buzones).

Nota:

  • En la información de inteligencia sobre suplantación de identidad solo aparecen los remitentes suplantados detectados por la inteligencia suplantada. Cuando se invalida el veredicto de permitir o bloquear en la información, el remitente suplantado se convierte en una entrada manual de permitir o bloquear que aparece solo en la pestaña Remitentes suplantados de la Lista de permitidos o bloqueados de inquilinos . También puede crear manualmente entradas de permitir o bloquear para remitentes suplantados antes de que se detecten mediante inteligencia de suplantación de identidad. Para obtener más información, consulte Administrar la lista de permitidos y bloqueados del espacio empresarial en EOP.

  • La información de inteligencia de suplantación y la pestaña Remitentes suplantados de la lista Permitir o bloquear inquilino reemplazan la funcionalidad de la directiva de inteligencia de suplantación de identidad que estaba disponible en la página de directivas contra correo no deseado en el Centro de cumplimiento de seguridad & .

  • La información de inteligencia de suplantación muestra 7 días de datos. El cmdlet Get-SpoofIntelligenceInsight muestra datos de 30 días.

  • Los datos más recientes disponibles son de 3 a 4 días de antigüedad.

¿Qué necesita saber antes de comenzar?

Abra la información de inteligencia sobre suplantación de identidad en el portal de Microsoft 365 Defender

  1. En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya a Email &Directivas de colaboración >& Directivas De>amenazas Directivas>Listas de inquilinos permitidos o bloqueados en la sección Reglas. Para ir directamente a la pestaña Remitentes suplantados de la página Lista de inquilinos permitidos o bloqueados, use https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

  2. En la página Listas de permitidos o bloqueados de inquilinos, la información de inteligencia de suplantación es similar a la siguiente:

    La información de inteligencia de suplantación de identidad en la página De la directiva contra suplantación de identidad

    La información tiene dos modos:

    • Modo de información: si la inteligencia de suplantación está habilitada, la información muestra cuántos mensajes se detectaron mediante inteligencia suplantada durante los últimos siete días.
    • Modo What if: si la inteligencia de suplantación de identidad está deshabilitada, la información muestra cuántos mensajes se habrían detectado mediante la inteligencia de suplantación de identidad durante los últimos siete días.

Para ver información sobre las detecciones de inteligencia de suplantación de identidad, haga clic en Ver actividad de suplantación de identidad en la información de inteligencia de suplantación.

Visualización de información sobre mensajes suplantados

Nota:

Recuerde que solo aparecen en esta página los remitentes suplantados detectados por inteligencia de suplantación de identidad. Cuando se invalida el veredicto de permitir o bloquear en la información, el remitente suplantado se convierte en una entrada manual de permitir o bloquear que aparece solo en la pestaña Remitentes suplantados de la Lista de permitidos o bloqueados de inquilinos .

En la página Información de inteligencia de suplantación que aparece después de hacer clic en Ver actividad de suplantación de identidad en la información de inteligencia de suplantación, la página contiene la siguiente información:

  • Usuario suplantado: dominio del usuario suplantado que se muestra en el cuadro De en los clientes de correo electrónico. La dirección From también se conoce como dirección 5322.From .
  • Infraestructura de envío: también conocida como infraestructura. La infraestructura de envío será uno de los siguientes valores:
    • Dominio encontrado en una búsqueda dns inversa (registro PTR) de la dirección IP del servidor de correo electrónico de origen.
    • Si la dirección IP de origen no tiene ningún registro PTR, la infraestructura de envío se identifica como <IP>/24 de origen (por ejemplo, 192.168.100.100/24).
    • Un dominio DKIM comprobado.
  • Recuento de mensajes: el número de mensajes de la combinación del dominio suplantado y la infraestructura de envío a la organización en los últimos 7 días.
  • Última vez que se ha visto: la última fecha en que se recibió un mensaje de la infraestructura de envío que contiene el dominio suplantado.
  • Tipo de suplantación: uno de los siguientes valores:
    • Interno: el remitente suplantado está en un dominio que pertenece a su organización (un dominio aceptado).
    • Externo: el remitente suplantado está en un dominio externo.
  • Acción: este valor es Permitido o Bloqueado:
    • Permitido: el dominio no pudo realizar comprobaciones de autenticación explícita de correo electrónico SPF, DKIM y DMARC. Sin embargo, el dominio pasó nuestras comprobaciones implícitas de autenticación de correo electrónico (autenticación compuesta). Como resultado, no se realizó ninguna acción contra la suplantación de identidad en el mensaje.
    • Bloqueado: los mensajes de la combinación del dominio suplantado y la infraestructura de envío están marcados como incorrectos por la inteligencia suplantada. La acción que se realiza en los mensajes suplantados se controla mediante la directiva de anti phishing predeterminada o las directivas de anti phishing personalizadas (el valor predeterminado es Mover mensaje a la carpeta de Email no deseado). Para obtener más información, vea Configurar directivas contra suplantación de identidad (antiphishing) en Microsoft Defender para Office 365.

Puede hacer clic en los encabezados de columna seleccionados para ordenar los resultados.

Para filtrar los resultados, tiene las siguientes opciones:

  • Haga clic en el botón Filtrar . En el control flotante Filtro que aparece, puede filtrar los resultados por:
    • Tipo de suplantación de identidad
    • Action
  • Use el cuadro Buscar para escribir una lista separada por comas de valores de dominio suplantados o enviar valores de infraestructura para filtrar los resultados.

Ver detalles sobre mensajes suplantados

Al seleccionar una entrada de la lista, aparece un control flotante de detalles que contiene la siguiente información y características:

  • Permitir suplantar o bloquear la suplantación de identidad: seleccione uno de estos valores para invalidar el veredicto de inteligencia sobre suplantación de identidad original y mover la entrada de la información de inteligencia de suplantación a la lista de permitidos o bloques de inquilinos como entrada de permiso o de bloqueo para suplantación de identidad.
  • Por qué lo capturamos.
  • Lo que tienes que hacer.
  • Un resumen de dominio que incluye la mayoría de la misma información de la página principal de inteligencia sobre suplantación de identidad.
  • WhoIs datos sobre el remitente.
  • Vínculo para abrir el Explorador de amenazas para ver detalles adicionales sobre el remitente en Ver>phish en Microsoft Defender para Office 365.
  • Mensajes similares que hemos visto en el inquilino desde el mismo remitente.

Acerca de los remitentes suplantados permitidos

Un remitente suplantado permitido en la información de inteligencia de suplantación o un remitente falsificado bloqueado que ha cambiado manualmente a Permitir la suplantación solo permite mensajes de la combinación del dominio suplantado y la infraestructura de envío. No permite el correo electrónico del dominio suplantado de ningún origen ni permite el correo electrónico de la infraestructura de envío para ningún dominio.

Por ejemplo, el siguiente remitente suplantado puede suplantar:

  • Dominio: gmail.com
  • Infraestructura: tms.mx.com

Solo se permitirá la suplantación de correo electrónico de ese par de infraestructura de dominio o envío. No se permiten automáticamente otros remitentes que intenten suplantar gmail.com. Los mensajes de los remitentes de otros dominios que se originan en tms.mx.com siguen siendo comprobados por inteligencia de suplantación de identidad y pueden bloquearse.

Uso de la información de inteligencia de suplantación de identidad en Exchange Online PowerShell o PowerShell de EOP independiente

En PowerShell, se usa el cmdlet Get-SpoofIntelligenceInsight para ver los remitentes suplantados permitidos y bloqueados detectados por la inteligencia de suplantación de identidad. Para permitir o bloquear manualmente los remitentes suplantados, debe usar el cmdlet New-TenantAllowBlockListSpoofItems . Para obtener más información, consulte Uso de PowerShell para administrar entradas de remitente suplantadas en la lista de permitidos o bloqueados de inquilinos.

Para ver la información en la información de inteligencia de suplantación, ejecute el siguiente comando:

Get-SpoofIntelligenceInsight

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-SpoofIntelligenceInsight.

Otras formas de administrar la suplantación de identidad y la suplantación de identidad (phishing)

Sea diligente sobre la suplantación de identidad y la protección contra suplantación de identidad (phishing). Estas son formas relacionadas de comprobar los remitentes que están suplantando el dominio y ayudar a evitar que dañen su organización: