Introducción a Microsoft Defender para Office 365

• Se aplica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

En las nuevas organizaciones de Microsoft 365 con Microsoft Defender para Office 365 (incluida o como suscripción de complemento), en este artículo se describen los pasos de configuración que debe realizar en Exchange Online Protection (EOP) y Defender para Office 365 en los primeros días de la organización.

Aunque su organización de Microsoft 365 incluye un nivel predeterminado de protección desde el momento en que la crea (o agrega Defender para Office 365 a ella), los pasos de este artículo le proporcionan un plan accionable para liberar las capacidades de protección completa de EOP y Defender para Office 365. Después de completar los pasos, también puede usar este artículo para mostrar a la administración que está maximizando su inversión en Microsoft 365.

Los pasos para configurar EOP y Defender para Office 365 se describen en el diagrama siguiente:

Sugerencia

Como complemento a este artículo, se recomienda usar la Microsoft Defender para Office 365 guía de configuración automatizada en https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. En esta guía se personaliza la experiencia en función del entorno. Para revisar los procedimientos recomendados sin iniciar sesión ni activar las características de instalación automatizada, vaya al portal de instalación de Microsoft 365 en https://setup.microsoft.com/defender/office-365-setup-guide.

Requisitos

Email características de protección contra amenazas se incluyen en todas las suscripciones de Microsoft 365 con buzones de correo en la nube a través de EOP. Defender para Office 365 incluye características de protección adicionales. Para obtener comparaciones detalladas sobre las características de EOP, Defender para Office 365 para el plan 1 y Defender para Office 365 plan 2, consulte Microsoft Defender para Office 365 información general.

Roles y permisos

Para configurar las características EOP y Defender para Office 365, necesita permisos. En la tabla siguiente se enumeran los permisos que necesita para realizar los pasos de este artículo (uno es suficiente; no los necesita todos).

Rol o grupo de roles	Más información
Administrador global en Microsoft Entra	Microsoft Entra roles integrados
Administración de la organización en Email & grupos de roles de colaboración	Grupos de roles en Microsoft Defender para Office 365
Administrador de seguridad en Microsoft Entra	Microsoft Entra roles integrados
Administrador de seguridad en Email & grupos de roles de colaboración	Email & permisos de colaboración en Microsoft Defender para Office 365
Administración de la organización en Exchange Online	Permisos de Exchange Online

Paso 1: Configuración de la autenticación de correo electrónico para los dominios de Microsoft 365

Resumen: configure los registros SPF, DKIM y DMARC (en ese orden) para todos los dominios personalizados de Microsoft 365 (incluidos los dominios estacionados y los subdominios). Si es necesario, configure los selladores arc de confianza.

Detalles:

Email autenticación (también conocida como validación de correo electrónico) es un grupo de estándares para comprobar que los mensajes de correo electrónico son legítimos, no modificados y proceden de orígenes esperados para el dominio de correo electrónico del remitente. Para obtener más información, consulte Email autenticación en EOP.

Continuaremos con la suposición de que usa uno o varios dominios personalizados en Microsoft 365 para correo electrónico (por ejemplo, contoso.com), por lo que debe crear registros DNS de autenticación de correo electrónico específicos para cada dominio personalizado que use para el correo electrónico.

Create los siguientes registros DNS de autenticación de correo electrónico en el servicio de hospedaje DNS o registrador DNS para cada dominio personalizado que use para el correo electrónico en Microsoft 365:

• Marco de directivas de remitente (SPF): el registro TXT de SPF identifica orígenes válidos de correo electrónico de remitentes del dominio. Para obtener instrucciones, consulte Configuración de SPF para ayudar a evitar la suplantación de identidad.

• Correo identificado por DomainKeys (DKIM): DKIM firma los mensajes salientes y almacena la firma en el encabezado del mensaje que sobrevive al reenvío de mensajes. Para obtener instrucciones, consulte Uso de DKIM para validar el correo electrónico saliente enviado desde el dominio personalizado.

• Autenticación de mensajes basada en dominio, informes y conformidad (DMARC): DMARC ayuda a los servidores de correo electrónico de destino a decidir qué hacer con los mensajes del dominio personalizado que producen errores en las comprobaciones SPF y DKIM. Asegúrese de incluir la directiva DMARC (p=reject o p=quarantine) y los destinos del informe DMARC (informes agregados y forenses) en los registros de DMARC. Para obtener instrucciones, consulte Uso de DMARC para validar el correo electrónico.

• Cadena recibida autenticada (ARC): si usa servicios de terceros que modifican los mensajes entrantes en tránsito antes de la entrega a Microsoft 365, puede identificar los servicios como selladores de ARC de confianza (si lo admiten) para que los mensajes modificados no generen errores automáticamente en las comprobaciones de autenticación de correo electrónico en Microsoft 365. Para obtener instrucciones, consulte Configuración de selladores arc de confianza.

Si usa el dominio *.onmicrosoft.com para el correo electrónico (también conocido como microsoft online Email dirección de enrutamiento o dominio MOERA), no hay mucho que hacer:

• SPF: un registro SPF ya está configurado para el dominio *.onmicrosoft.com.
• DKIM: la firma DKIM ya está configurada para el correo saliente mediante el dominio *.onmicrosoft.com, pero también puede personalizarlo manualmente.
• DMARC: debe configurar manualmente el registro DMARC para el dominio *.onmicrosoft.com como se describe aquí.

Paso 2: Configurar directivas de protección

Resumen: active y use las directivas de seguridad preestablecidas Estándar o Estricta para todos los destinatarios. O bien, si las necesidades empresariales lo dictan, cree y use directivas de protección personalizadas en su lugar, pero compruébalas periódicamente con el analizador de configuración.

Detalles:

Como probablemente pueda imaginar, hay muchas directivas de protección disponibles en EOP y Defender para Office 365. Hay tres tipos básicos de directivas de protección:

• Directivas predeterminadas: estas directivas existen desde el momento en que se crea la organización. Se aplican a todos los destinatarios de la organización, no se pueden desactivar las directivas y no se puede modificar a quién se aplican las directivas. Pero puede modificar la configuración de seguridad en las directivas al igual que las directivas personalizadas. La configuración de las directivas predeterminadas se describe en las tablas de Configuración recomendada para EOP y Microsoft Defender para Office 365 seguridad.

• Directivas de seguridad preestablecidas: la seguridad preestablecida es realmente perfiles que contienen la mayoría de las directivas de protección disponibles en EOP y Defender para Office 365 con configuraciones adaptadas a niveles específicos de protección. Las directivas de seguridad preestablecidas son:

  • Directiva de seguridad preestablecida estricta.
  • Directiva de seguridad preestablecida estándar.
  • Protección integrada.

  Las directivas de seguridad preestablecidas Estándar y Estricta se desactivan de forma predeterminada hasta que se activan. Especifique las condiciones y excepciones de los destinatarios (usuarios, miembros del grupo, dominios o todos los destinatarios) para las características de protección de EOP y las características de protección Defender para Office 365 dentro de las directivas de seguridad preestablecidas Estándar y Estricta.

  La protección integrada en Defender para Office 365 está activada de forma predeterminada para proporcionar datos adjuntos seguros básicos y protección de vínculos seguros para todos los destinatarios. Puede especificar excepciones de destinatario para identificar a los usuarios que no obtienen la protección.

  En las directivas de seguridad preestablecidas estándar y estricta de Defender para Office 365 organizaciones, debe configurar entradas y excepciones opcionales para la protección de suplantación de dominio y usuario. Todas las demás configuraciones están bloqueadas en nuestros valores estándar y estrictos recomendados (muchos de los cuales son los mismos). Puede ver los valores Estándar y Estricto en las tablas de Configuración recomendada para EOP y Microsoft Defender para Office 365 seguridad, y puede ver las diferencias entre Estándar y Estricto aquí.

  A medida que se agregan nuevas funcionalidades de protección a EOP y Defender para Office 365 y a medida que cambia el panorama de seguridad, la configuración de las directivas de seguridad preestablecidas se actualiza automáticamente a nuestra configuración recomendada.

• Directivas personalizadas: para la mayoría de las directivas de protección disponibles, puede crear cualquier número de directivas personalizadas. Puede aplicar las directivas a los usuarios mediante condiciones y excepciones de destinatarios (usuarios, miembros del grupo o dominios) y puede personalizar la configuración.

La información anterior y las directivas de protección implicadas se resumen en la tabla siguiente:

	Directivas predeterminadas	Directivas de seguridad predefinidas	Directivas personalizadas
Directivas de protección de EOP:
Antimalware	✔	✔	✔
Antispam	✔	✔	✔
Protección contra suplantación de identidad (protección contra suplantación de identidad)	✔	✔	✔
Correo no deseado saliente	✔		✔
Filtrado de la conexión	✔¹
directivas de Defender para Office 365:
Protección contra suplantación de identidad (protección contra suplantación de identidad) además de: Protección contra suplantación Umbrales avanzados de phishing	✔²	✔²	✔
Vínculos seguros	³	✔	✔
Archivos adjuntos seguros	³	✔	✔
Comportamiento general
¿Protección activada de forma predeterminada?	✔	⁴
¿Configurar condiciones o excepciones para la protección?		✔⁵	✔
¿Personalizar la configuración de seguridad?	✔	⁶	✔
¿La configuración de protección se actualiza automáticamente?		✔

¹ No hay entradas predeterminadas en la lista de direcciones IP permitidas o en la lista de direcciones IP bloqueadas, por lo que la directiva de filtro de conexión predeterminada no hace nada a menos que personalice la configuración.

² No hay entradas ni excepciones opcionales para la suplantación de usuario o la protección de suplantación de dominio en Defender para Office 365 hasta que las configure.

³ Aunque no hay directivas predeterminadas de datos adjuntos seguros o vínculos seguros en Defender para Office 365, la protección integrada proporciona datos adjuntos seguros básicos y protección de vínculos seguros que siempre está activada.

⁴ Protección integrada (protección de datos adjuntos seguros y vínculos seguros en Defender para Office 365) es la única directiva de seguridad preestablecida que está activada de forma predeterminada.

⁵ Para las directivas de seguridad preestablecidas estándar y estricta, puede configurar condiciones de destinatario independientes y excepciones opcionales para EOP y Defender para Office 365 protección. Para la protección integrada en Defender para Office 365, solo puede configurar excepciones de destinatario de la protección.

⁶ La única configuración de seguridad personalizable en las directivas de seguridad preestablecidas son las entradas y excepciones opcionales para la protección de suplantación de usuario y la protección de suplantación de dominio en las directivas de seguridad preestablecidas Estándar y Estricta en Defender para Office 365.

Orden de precedencia de las directivas de protección

La forma en que se aplican las directivas de protección es una consideración importante a la hora de decidir cómo configurar la configuración de seguridad para los usuarios. Los puntos importantes que hay que recordar son:

• Las características de protección tienen un orden de procesamiento no configurado. Por ejemplo, los mensajes entrantes siempre se evalúan para detectar malware antes que el correo no deseado.
• Las directivas de protección de una característica específica (antispam, antimalware, anti phishing, etc.) se aplican en un orden específico de precedencia (más adelante en el orden de precedencia).
• Si un usuario se incluye intencionada o involuntariamente en varias directivas de una característica específica, la primera directiva de protección para esa característica donde se define el usuario (en función del orden de precedencia) determina lo que ocurre con el elemento (un mensaje, un archivo, una dirección URL, etc.).
• Una vez que esa primera directiva de protección se aplica a un elemento específico para un usuario, el procesamiento de directivas para esa característica se detiene. No se evalúan más directivas de protección de esa característica para ese usuario y ese elemento específico.

El orden de precedencia se explica en detalle en Orden de prioridad para las directivas de seguridad preestablecidas y otras directivas, pero se resume brevemente aquí:

1. Directivas de protección en directivas de seguridad preestablecidas:
   1. Directiva de seguridad preestablecida estricta.
   2. Directiva de seguridad preestablecida estándar.
2. Directivas de protección personalizadas de una característica específica (por ejemplo, directivas antimalware). Cada directiva personalizada tiene un valor de prioridad que determina el orden en que se aplica la directiva en relación con otras directivas de protección de la misma característica:
   1. Una directiva personalizada con el valor de prioridad 0.
   2. Una directiva personalizada con el valor de prioridad 1.
   3. Y así sucesivamente.
3. La directiva de protección predeterminada de una característica específica (por ejemplo, antimalware) o la protección integrada en Defender para Office 365 (vínculos seguros y datos adjuntos seguros).

Consulte la tabla anterior para ver cómo se representa una directiva de protección específica en el orden de precedencia. Por ejemplo, las directivas antimalware están presentes en cada nivel. Las directivas de correo no deseado saliente están disponibles en los niveles de directiva personalizado y predeterminado. La directiva de filtro de conexión solo está disponible en el nivel de directiva predeterminado.

Para evitar confusiones y la aplicación no intencionada de directivas, use las siguientes directrices:

• Use grupos o listas de destinatarios inequívoca en cada nivel. Por ejemplo, use diferentes grupos o listas de destinatarios para las directivas de seguridad preestablecidas Estándar y Estricta.
• Configure las excepciones en cada nivel según sea necesario. Por ejemplo, configure los destinatarios que necesitan directivas personalizadas como excepciones a las directivas de seguridad preestablecidas Estándar y Estricta.
• Los destinatarios restantes que no se identifican en los niveles superiores obtienen las directivas predeterminadas o la protección integrada en Defender para Office 365 (vínculos seguros y datos adjuntos seguros).

Con esta información, puede decidir la mejor manera de implementar directivas de protección en la organización.

Determinación de la estrategia de directiva de protección

Ahora que sabe sobre los diferentes tipos de directivas de protección y cómo se aplican, puede decidir cómo desea usar EOP y Defender para Office 365 para proteger a los usuarios de su organización. Su decisión se encuentra inevitablemente dentro del espectro siguiente:

• Use solo la directiva de seguridad preestablecida Estándar.
• Use las directivas de seguridad preestablecidas Estándar y Estricta.
• Use directivas de seguridad preestablecidas y directivas personalizadas.
• Use solo directivas personalizadas.

Recuerde que las directivas predeterminadas (y la protección integrada en Defender para Office 365) protegen automáticamente a todos los destinatarios de la organización (cualquiera que no esté definido en la directiva de seguridad preestablecida estándar o estricta o en directivas personalizadas). Por lo tanto, incluso si no hace nada, todos los destinatarios de la organización obtienen las protecciones predeterminadas, como se describe en Configuración recomendada para EOP y Microsoft Defender para Office 365 seguridad.

También es importante darse cuenta de que no está bloqueado en su decisión inicial para siempre. La información de las tablas de configuración recomendadas y la tabla de comparación estándar y estricta deben permitirle tomar una decisión informada. Pero si cambian las necesidades, los resultados o las circunstancias, no es difícil cambiar a otra estrategia más adelante.

Sin una necesidad empresarial atractiva que indique lo contrario, se recomienda comenzar con la directiva de seguridad preestablecida Estándar para todos los usuarios de la organización. Las directivas de seguridad preestablecidas se configuran con valores basados en años de observaciones en los centros de datos de Microsoft 365 y deben ser la opción adecuada para la mayoría de las organizaciones. Además, las directivas se actualizan automáticamente para que coincidan con las amenazas del panorama de seguridad.

En las directivas de seguridad preestablecidas, puede seleccionar la opción Todos los destinatarios para aplicar fácilmente la protección a todos los destinatarios de la organización.

Si desea incluir algunos usuarios en la directiva de seguridad preestablecida Strict y el resto de los usuarios en la directiva de seguridad preestablecida Estándar, recuerde tener en cuenta el orden de precedencia como se describió anteriormente en este artículo con los métodos siguientes:

• Use grupos o listas de destinatarios inequívoca en cada directiva de seguridad preestablecida.

  Otra posibilidad:

• Configure los destinatarios que deben obtener la configuración de la directiva de seguridad preestablecida Estándar como excepciones en la directiva de seguridad preestablecida Estricta.

Tenga en cuenta que las siguientes configuraciones de características de protección no se ven afectadas por las directivas de seguridad preestablecidas (puede usar directivas de seguridad preestablecidas y también configurar estas opciones de protección de forma independiente):

• Directivas de correo no deseado saliente (personalizadas y predeterminadas)
• La directiva de filtro de conexión predeterminada (lista de direcciones IP permitidas y lista de bloques IP)
• Activar globalmente datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams
• Activar y configurar documentos seguros globalmente (disponibles y significativos solo con licencias que no se incluyen en Defender para Office 365 (por ejemplo, Microsoft 365 A5 o Seguridad de Microsoft 365 E5))

Para activar y configurar directivas de seguridad preestablecidas, consulte Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.

La decisión de usar directivas personalizadas en lugar de o además de directivas de seguridad preestablecidas en última instancia se reduce a los siguientes requisitos empresariales:

• Los usuarios requieren una configuración de seguridad diferente de la configuración no modificable en las directivas de seguridad preestablecidas (correo no deseado frente a cuarentena o viceversa, sin sugerencias de seguridad, notificar a destinatarios personalizados, etc.).
• Los usuarios requieren una configuración que no esté configurada en directivas de seguridad preestablecidas (por ejemplo, bloquear el correo electrónico de países específicos o en idiomas específicos en directivas contra correo no deseado).
• Los usuarios necesitan una experiencia de cuarentena diferente de la configuración no modificable en las directivas de seguridad preestablecidas. Las directivas de cuarentena definen qué pueden hacer los usuarios en sus mensajes en cuarentena en función de por qué se puso en cuarentena el mensaje y si se notifica a los destinatarios sobre sus mensajes en cuarentena. La experiencia de cuarentena predeterminada del usuario final se resume en la tabla aquí y las directivas de cuarentena que se usan en las directivas de seguridad preestablecidas Estándar y Estricta se describen en las tablas aquí.

Use la información de Configuración recomendada para EOP y Microsoft Defender para Office 365 seguridad para comparar la configuración disponible en directivas personalizadas o directivas predeterminadas en comparación con lo que se configura en las directivas de seguridad preestablecidas Estándar y Estricto.

Las directrices de diseño para varias directivas personalizadas para una característica específica (por ejemplo, directivas antimalware) incluyen:

• Los usuarios de las directivas personalizadas no se pueden incluir en las directivas de seguridad preestablecidas Estándar o Estricta debido al orden de precedencia.
• Asigne menos usuarios a directivas de mayor prioridad y más usuarios a directivas de prioridad inferior.
• Configure directivas de mayor prioridad para que tengan una configuración más estricta o más especializada que las directivas de prioridad inferior (incluidas las directivas predeterminadas).

Si decide usar directivas personalizadas, use el Analizador de configuración para comparar periódicamente la configuración de las directivas con la configuración recomendada en las directivas de seguridad preestablecidas Estándar y Estricta.

Paso 3: Asignación de permisos a administradores

Resumen: asigne el rol Administrador de seguridad en Azure Active Directory a otros administradores, especialistas y personal del departamento de soporte técnico para que puedan realizar tareas en EOP y Defender para Office 365.

Detalles:

Probablemente ya esté usando la cuenta inicial que usó para inscribirse en Microsoft 365 para realizar todo el trabajo de esta guía de implementación. Esa cuenta es un administrador en todas partes de Microsoft 365 (en concreto, es miembro del rol de administrador global en Azure Active Directory (Azure AD)) y le permite hacer prácticamente cualquier cosa. Los permisos necesarios se describieron anteriormente en este artículo en Roles y permisos.

Pero la intención de este paso es configurar otros administradores para ayudarle a administrar las características de EOP y Defender para Office 365 en el futuro. Lo que no quiere es una gran cantidad de personas con poder de administrador global que no lo necesitan. Por ejemplo, ¿realmente necesitan eliminar o crear cuentas o hacer que otros usuarios sean administradores globales? El concepto de privilegios mínimos (asignar solo los permisos necesarios para realizar el trabajo y nada más) es una buena práctica a seguir.

A la hora de asignar permisos para tareas en EOP y Defender para Office 365, están disponibles las siguientes opciones:

• Microsoft Entra permisos: estos permisos se aplican a todas las cargas de trabajo de Microsoft 365 (Exchange Online, SharePoint Online, Microsoft Teams, etc.).
• permisos de Exchange Online: la mayoría de las tareas de EOP y Defender para Office 365 están disponibles mediante permisos de Exchange Online. La asignación de permisos solo en Exchange Online impide el acceso administrativo en otras cargas de trabajo de Microsoft 365.
• Email & permisos de colaboración en el portal de Microsoft Defender: la administración de algunas características de seguridad en EOP y Defender para Office 365 está disponible con permisos de colaboración Email &. Por ejemplo:
  • Analizador de configuración
  • Administración directivas de cuarentena y administración de cuarentena
  • Administración envíos y revisión de mensajes notificados por el usuario
  • Etiquetas de usuario

Por motivos de simplicidad, se recomienda usar el rol Administrador de seguridad en Azure AD para otros usuarios que necesiten configurar la configuración en EOP y Defender para Office 365.

Para obtener instrucciones, consulte Asignación de roles de Microsoft Entra a usuarios y Administración del acceso a Microsoft Defender XDR con roles globales de Azure Active Directory.

Paso 4: Cuentas prioritarias y etiquetas de usuario

Resumen: identifique y etiquete a los usuarios adecuados de su organización como cuentas prioritarias para facilitar la identificación en informes e investigaciones, y para recibir protección de cuenta prioritaria en Defender para Office 365. Considere la posibilidad de crear y aplicar etiquetas de usuario personalizadas en Defender para Office 365 plan 2.

Detalles:

En Defender para Office 365, las cuentas de prioridad permiten etiquetar hasta 250 usuarios de alto valor para facilitar la identificación en informes e investigaciones. Estas cuentas prioritarias también reciben heurísticas adicionales que no benefician a los empleados normales. Para obtener más información, consulte Administración y supervisión de cuentas de prioridad y Configuración y revisión de la protección de cuentas de prioridad en Microsoft Defender para Office 365.

En Defender para Office 365 Plan 2, también tiene acceso para crear y aplicar etiquetas de usuario personalizadas para identificar fácilmente grupos específicos de usuarios en informes e investigaciones. Para obtener más información, consulte Etiquetas de usuario en Microsoft Defender para Office 365.

Identifique los usuarios adecuados para etiquetar como cuentas de prioridad y decida si necesita crear y aplicar etiquetas de usuario personalizadas.

Paso 5: Revisión y configuración de los mensajes notificados por el usuario

Resumen: implemente los complementos de suplantación de identidad de informe o de mensaje de informe o una herramienta de terceros compatible para que los usuarios puedan notificar falsos positivos y falsos negativos en Outlook, por lo que esos mensajes notificados están disponibles para los administradores en la pestaña Informe del usuario de la página Envíos del portal de Defender. Configure la organización para que los mensajes notificados vayan a un buzón de informes especificado, a Microsoft o a ambos.

Detalles:

La capacidad de los usuarios de notificar mensajes buenos marcados como malos (falsos positivos) o mensajes incorrectos permitidos (falsos negativos) es importante para que supervise y ajuste la configuración de protección en EOP y Defender para Office 365.

Las partes importantes de los informes de mensajes de usuario son:

• ¿Cómo notifican los usuarios los mensajes?: Asegúrese de que los clientes usan uno de los métodos siguientes para que los mensajes notificados aparezcan en la pestaña Informes de usuario de la página Envíos del portal de Defender en :https://security.microsoft.com/reportsubmission?viewid=user

• Botón De informe integrado en Outlook en la Web (anteriormente conocido como Outlook Web App o OWA).

• Los complementos Mensaje de informe de Microsoft o Suplantación de identidad de informe para Outlook y Outlook en la Web.

• Herramientas de informes de terceros que usan el formato de envío de mensajes admitido.

• ¿Dónde van los mensajes notificados por el usuario?: Tiene las siguientes opciones:

  • A un buzón de informes designado y a Microsoft (este es el valor predeterminado).
  • Solo para un buzón de informes designado.
  • Solo a Microsoft.

  El buzón predeterminado que se usa para recopilar mensajes notificados por el usuario es el buzón del administrador global (la cuenta inicial de la organización). Si desea que los mensajes notificados por el usuario vayan a un buzón de informes de su organización, debe crear y configurar un buzón exclusivo para usarlo.

  Depende de usted si desea que los mensajes notificados por el usuario también vayan a Microsoft para su análisis (exclusivamente o junto con la entrega al buzón de informes designado).

  Si desea que los mensajes notificados por el usuario vayan solo al buzón de informes designado, los administradores deben enviar manualmente mensajes notificados por el usuario a Microsoft para su análisis desde la pestaña Informe de usuario de la página Envíos del portal de Defender en https://security.microsoft.com/reportsubmission?viewid=user.

  Enviar mensajes notificados por el usuario a Microsoft es importante para permitir que nuestros filtros aprendan y mejoren.

Para obtener información completa sobre la configuración de mensajes notificados por el usuario, consulte Configuración notificada por el usuario.

Paso 6: Bloquear y permitir entradas

Resumen: familiarícese con los procedimientos para bloquear y permitir mensajes, archivos y direcciones URL en Defender para Office 365.

Detalles:

Debe familiarizarse con cómo bloquear y permitir (temporalmente) remitentes de mensajes, archivos y direcciones URL en las siguientes ubicaciones del portal de Defender:

• Lista de permitidos o bloqueados de inquilinos en https://security.microsoft.com/tenantAllowBlockList.
• La página Envíos en https://security.microsoft.com/reportsubmission.
• Página de información de inteligencia sobre suplantación de identidad en https://security.microsoft.com/spoofintelligence.

En general, es más fácil crear bloques de lo que permite, ya que las entradas permitidas innecesarias exponen su organización a correo electrónico malintencionado que el sistema habría filtrado.

• Bloquear:

  • Puede crear entradas de bloque para dominios y direcciones de correo electrónico, archivos y direcciones URL en las pestañas correspondientes de la lista de permitidos o bloqueados de inquilinos y enviar los elementos a Microsoft para su análisis desde la página Envíos. Al enviar un elemento a Microsoft, las entradas de bloque correspondientes también se crean en la lista de permitidos o bloqueados de inquilinos.

    Sugerencia

    Los usuarios de la organización tampoco pueden enviar correo electrónico a dominios o direcciones de correo electrónico que se especifican en entradas de bloque en la lista de permitidos o bloqueados de inquilinos.

  • Los mensajes bloqueados por la inteligencia suplantada se muestran en la página Spoof intelligence (Inteligencia de suplantación de identidad ). Si cambia una entrada de permiso a una entrada de bloque, el remitente se convierte en una entrada de bloque manual en la pestaña Remitentes suplantados de la Lista de permitidos o bloqueados de inquilinos . También puede crear de forma proactiva entradas de bloque para remitentes suplantados que aún no se encuentran en la pestaña Remitentes suplantados .

• Permitir:

  • No puede crear entradas permitidas para dominios y direcciones de correo electrónico, archivos y direcciones URL directamente en las pestañas correspondientes de la lista de permitidos o bloqueados de inquilinos. En su lugar, usa la página Envíos para informar del elemento a Microsoft. A medida que informe del elemento a Microsoft, puede seleccionar para permitir el elemento, lo que crea una entrada de permiso temporal correspondiente en la lista Permitir o bloquear inquilinos.

  • Los mensajes permitidos por la inteligencia suplantada se muestran en la página Spoof intelligence (Inteligencia de suplantación de identidad). Si cambia una entrada de bloque a una entrada allow, el remitente se convierte en una entrada de permiso manual en la pestaña Remitentes suplantados de la Lista de permitidos o bloqueados de inquilinos . También puede crear de forma proactiva entradas permitidas para remitentes suplantados que aún no se encuentran en la pestaña Remitentes suplantados .

Para obtener detalles completos, consulte los artículos siguientes:

• Permitir o bloquear el correo electrónico mediante la lista de permitidos o bloqueados de inquilinos
• Permitir o bloquear archivos mediante la lista de bloqueados y permitidos del espacio empresarial
• Permitir o bloquear direcciones URL mediante la lista de bloqueados y permitidos del espacio empresarial
• Use la página Envíos para enviar sospechas de correo no deseado, correo no deseado, direcciones URL, bloqueo de correo electrónico legítimo y datos adjuntos de correo electrónico a Microsoft
• Invalidar el veredicto de inteligencia de suplantación

Paso 7: Iniciar simulaciones de suplantación de identidad mediante Entrenamiento de simulación de ataque

En Defender para Office 365 Plan 2, Entrenamiento de simulación de ataque permite enviar mensajes simulados de suplantación de identidad a los usuarios y asignar entrenamiento en función de cómo respondan. Están disponibles las opciones siguientes:

• Simulaciones individuales mediante cargas integradas o personalizadas.
• Automatizaciones de simulación tomadas de ataques de suplantación de identidad reales mediante varias cargas y programación automatizada.
• Campañas de solo entrenamiento en las que no es necesario iniciar una campaña y esperar a que los usuarios haga clic en vínculos o descarguen datos adjuntos en los mensajes de suplantación de identidad simulados antes de que se asignen los entrenamientos.

Para obtener más información, consulte Introducción al uso de Entrenamiento de simulación de ataque.

Paso 8: Investigar y responder

Ahora que la configuración inicial está completa, use la información de la Guía de operaciones de seguridad de Microsoft Defender para Office 365 para supervisar e investigar las amenazas en la organización.