Obtener el mejor valor de seguridad de Microsoft Defender para Office 365 cuando se tiene filtrado de correo electrónico de terceros

Artículo
04/27/2024

Esta guía es para usted si:

Tiene licencia para Microsoft Defender para Office 365 y hospedar sus buzones en Office 365
También usa un tercero para la seguridad del correo electrónico.

En la siguiente información se detalla cómo sacar el máximo partido a su inversión, desglosada en pasos fáciles de seguir.

¿Qué es necesario?

Buzones hospedados en Office 365
Uno o varios de:
- Plan 1 de Microsoft Defender para Office 365 para las características de protección
- Microsoft Defender para Office 365 plan 2 para la mayoría de las demás características (incluidas en los planes E5)
- Microsoft Defender para Office 365 prueba (disponible para todos los clientes en aka.ms/tryMDO)
Permisos suficientes para configurar las características que se describen a continuación

Paso 1: Comprender el valor que ya tiene

Características de protección integradas

La protección integrada ofrece un nivel base de protección discreta e incluye malware, día cero (datos adjuntos seguros) y protección de direcciones URL (vínculos seguros) en el correo electrónico (incluido el correo electrónico interno), SharePoint Online, OneDrive y Teams. La protección de direcciones URL proporcionada en este estado es solo a través de una llamada API. No encapsula ni reescriba direcciones URL, pero requiere un cliente de Outlook compatible. Puede crear sus propias directivas personalizadas para expandir la protección.

Lea más & watch un vídeo de información general de Vínculos seguros aquí:Información general sobre los vínculos seguros completos

Obtenga más información sobre los datos adjuntos seguros aquí:Datos adjuntos seguros

Características de detección, investigación, respuesta y búsqueda

Cuando las alertas se activan en Microsoft Defender para Office 365, se correlacionan automáticamente y se combinan en Incidentes para ayudar a reducir la fatiga de alertas en el personal de seguridad. La investigación y respuesta automatizadas (AIR) desencadena investigaciones para ayudar a corregir y contener amenazas.

Obtenga más información, watch un vídeo de información general y comience aquí:Respuesta a incidentes con Microsoft Defender XDR

Threat Analytics es nuestra solución de inteligencia sobre amenazas detallada y en el producto de expertos investigadores de seguridad de Microsoft. Threat Analytics contiene informes detallados que están diseñados para ponerse al día con los grupos de amenazas más recientes, las técnicas de ataque, cómo proteger su organización con indicadores de compromiso (IOC) y mucho más.

Obtenga más información, watch un vídeo de información general y comience aquí:Análisis de amenazas en Microsoft Defender XDR

El Explorador se puede usar para buscar amenazas, visualizar patrones de flujo de correo, detectar tendencias e identificar el impacto de los cambios realizados durante el ajuste de Defender para Office 365. También puede eliminar rápidamente los mensajes de su organización con unos pocos clics simples.

Obtenga más información y comience aquí:Explorador de amenazas y detecciones en tiempo real

Paso 2: Mejorar aún más el valor con estos sencillos pasos

Características de protección adicionales

Considere la posibilidad de habilitar directivas más allá de la protección integrada. Habilitar la protección de tiempo de clic o la protección contra suplantación, por ejemplo, para agregar capas adicionales o rellenar espacios que faltan en la protección de terceros. Si tiene una regla de flujo de correo (también conocida como regla de transporte) o un filtro de conexión que invalida los veredictos (también conocido como regla SCL=-1), debe abordar esta configuración antes de activar otras características de protección.

Obtenga más información aquí:Directivas contra suplantación de identidad

Si el proveedor de seguridad actual está configurado para modificar los mensajes de cualquier manera, es importante tener en cuenta que las señales de autenticación pueden afectar a la capacidad de Defender para Office 365 de protegerle contra ataques como la suplantación de identidad. Si su tercero admite la cadena de recepción autenticada (ARC), habilitar este es un paso muy recomendado en su recorrido hacia el filtrado dual avanzado. Mover cualquier configuración de modificación de mensajes a Defender para Office 365 también es una alternativa.

Obtenga más información aquí:Configuración de selladores arc de confianza.

El filtrado mejorado para conectores permite conservar la información de dirección IP y remitente a través de terceros. Esta característica mejora la precisión de la pila de filtrado (protección), las funcionalidades posteriores a la vulneración & mejoras de autenticación.

Obtenga más información aquí:Filtrado mejorado para conectores en Exchange Online

La protección de cuentas prioritarias ofrece visibilidad mejorada para las cuentas en herramientas, junto con protección adicional cuando se encuentra en un estado de configuración de defensa avanzada en profundidad.

Obtenga más información aquí:Protección de la cuenta de prioridad

La entrega avanzada debe configurarse para entregar las simulaciones de phish de terceros correctamente y, si tiene un buzón de operaciones de seguridad, considere la posibilidad de definirlo como un buzón de SecOps para asegurarse de que los correos electrónicos no se quitan del buzón debido a amenazas.

Obtenga más información aquí:Entrega avanzada

Puede configurar las opciones notificadas por el usuario para permitir que los usuarios notifiquen mensajes buenos o incorrectos a Microsoft, a un buzón de informes designado (para integrarlos con los flujos de trabajo de seguridad actuales) o ambos. Los administradores pueden usar la pestaña Usuario notificado en la página Envíos para evaluar los falsos positivos y los mensajes notificados por el usuario falsos negativos.

Obtenga más información aquí:Implemente y configure el complemento de mensaje de informe para los usuarios.

Características de detección, investigación, respuesta y búsqueda

La búsqueda avanzada se puede usar para buscar amenazas de forma proactiva en su organización, mediante consultas compartidas de la comunidad para ayudarle a empezar. También puede usar detecciones personalizadas para configurar alertas cuando se cumplan criterios personalizados.

Obtenga más información, watch un vídeo de introducción y comience aquí:Información general: Búsqueda avanzada

Características de educación

Entrenamiento de simulación de ataque permite ejecutar escenarios de ciberataque realistas pero benignos en su organización. Si aún no tiene funcionalidades de simulación de suplantación de identidad (phishing) del proveedor de seguridad de correo electrónico principal, los ataques simulados de Microsoft pueden ayudarle a identificar y encontrar usuarios, directivas y prácticas vulnerables. Esta funcionalidad contiene conocimientos importantes para tener y corregir antes de que un ataque real afecte a su organización. Después de la simulación, asignamos un entrenamiento personalizado o de producto para educar a los usuarios sobre las amenazas que han perdido, lo que reduce en última instancia el perfil de riesgo de la organización. Con Entrenamiento de simulación de ataque, entregamos mensajes directamente en la bandeja de entrada, por lo que la experiencia del usuario es enriquecida. Esto también significa que no se necesitan cambios de seguridad, como invalidaciones, para que las simulaciones se entreguen correctamente.

Introducción:Introducción al uso de la simulación de ataques.

Vaya directamente a la entrega de una simulación aquí:Configuración de ataques automatizados y entrenamiento dentro de Entrenamiento de simulación de ataque

Paso 3 y posteriores, convirtiéndose en un héroe de doble uso

Muchos de los equipos de seguridad deben repetir muchas de las actividades de detección, investigación, respuesta y búsqueda descritas anteriormente. Esta guía ofrece una descripción detallada de las tareas, la cadencia y las asignaciones de equipo que se recomiendan.

Más información:Guía de operaciones de seguridad para Defender para Office 365

Tenga en cuenta experiencias de usuario como el acceso a varias cuarentenas o el envío o informes de falsos positivos y falsos negativos. Puede marcar los mensajes detectados por el servicio de terceros con un encabezado X personalizado. Por ejemplo, puede usar reglas de flujo de correo para detectar y poner en cuarentena el correo electrónico que contiene el encabezado X . Este resultado también proporciona a los usuarios un único lugar para acceder al correo en cuarentena.

Más información:Configuración de directivas y permisos de cuarentena

La guía de migración contiene una gran cantidad de instrucciones útiles sobre cómo preparar y ajustar el entorno para prepararlo para una migración. Pero muchos de los pasos también se aplican a un escenario de doble uso. Simplemente ignore la guía del conmutador MX en los pasos finales.

Léelo aquí:Migración de un servicio de protección de terceros a Microsoft Defender para Office 365: Office 365 | Microsoft Docs.