Mejoras en la búsqueda de amenazas en el Explorador de amenazas

Sugerencia

¿Sabía que puede probar las características de Microsoft 365 Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Si su organización tiene Microsoft Defender para Office 365 y tiene los permisos necesarios, tiene detecciones en tiempo real o explorador de amenazas (anteriormente informes en tiempo real, consulte las novedades).

El Explorador de amenazas o las detecciones en tiempo real ayudan al equipo de operaciones de seguridad a investigar y responder a las amenazas de forma eficaz. Con este informe, puede:

La experiencia de búsqueda de amenazas

Introducción al identificador de alerta para las alertas de Defender para Office 365 en el Explorador/Detecciones en tiempo real

Hoy en día, si navega desde una alerta al Explorador de amenazas, se abre una vista filtrada en el Explorador, con la vista filtrada por identificador de directiva de alerta (el identificador de directiva es un identificador único para una directiva de alerta). Estamos haciendo que esta integración sea más relevante mediante la introducción del identificador de alerta (consulte un ejemplo de identificador de alerta a continuación) en el Explorador de amenazas y detecciones en tiempo real para que vea los mensajes que son relevantes para la alerta específica, así como un recuento de correos electrónicos. También podrá ver si un mensaje formaba parte de una alerta, así como navegar desde ese mensaje a la alerta específica.

Captura de pantalla del filtro para el identificador de alerta.

Ampliación de la retención de datos del Explorador (y detecciones en tiempo real) y el límite de búsqueda para inquilinos de prueba de 7 a 30 días

Como parte de este cambio, podrá buscar y filtrar los datos de correo electrónico durante 30 días (un aumento con respecto a los 7 días anteriores) en el Explorador de amenazas/Detecciones en tiempo real para los inquilinos de prueba de Defender para Office 365 P1 y P2. Esto no afecta a los inquilinos de producción para los clientes P1 y P2/E5, que ya tienen las capacidades de retención y búsqueda de datos de 30 días.

Límites actualizados para la exportación de registros para el Explorador de amenazas

Como parte de esta actualización, el número de filas de Email registros que se pueden exportar desde el Explorador de amenazas se incrementa de 9990 a 200 000 registros. El conjunto de columnas que se pueden exportar actualmente seguirá siendo el mismo, pero el número de filas aumentará con respecto al límite actual.

Etiquetas en el Explorador de amenazas

Nota:

La característica de etiquetas de usuario está en versión preliminar, no está disponible para todos y está sujeta a cambios. Para obtener información sobre la programación de lanzamiento, consulte el plan de desarrollo de Microsoft 365.

Las etiquetas de usuario identifican grupos específicos de usuarios en Microsoft Defender para Office 365. Para obtener más información sobre las etiquetas, incluidas las licencias y la configuración, consulte Etiquetas de usuario.

En el Explorador de amenazas, puede ver información sobre las etiquetas de usuario en las siguientes experiencias.

Email vista de cuadrícula

La columna Etiquetas de la cuadrícula de correo electrónico contiene todas las etiquetas que se han aplicado a los buzones de remitente o destinatario. De forma predeterminada, las etiquetas del sistema, como las cuentas de prioridad, se muestran primero.

Captura de pantalla de las etiquetas de filtro en la vista de cuadrícula de correo electrónico.

Filtrado

Puede usar etiquetas como filtro. Busque solo entre cuentas de prioridad o escenarios de etiquetas de usuario específicos. También puede excluir los resultados que tienen ciertas etiquetas. Combine esta funcionalidad con otros filtros para restringir el ámbito de investigación.

Etiquetas de filtro.

Captura de pantalla de etiquetas que no se filtran.

Email control flotante de detalles

Para ver las etiquetas individuales del remitente y el destinatario, seleccione el asunto para abrir el control flotante de detalles del mensaje. En la pestaña Resumen , las etiquetas de remitente y destinatario se muestran por separado, si están presentes para un correo electrónico. La información sobre etiquetas individuales para remitente y destinatario también se extiende a los datos CSV exportados, donde puede ver estos detalles en dos columnas independientes.

Captura de pantalla de las etiquetas de detalles de Email.

La información de etiquetas también se muestra en el control flotante Clics de dirección URL. Para verlo, vaya a la vista Phish o All Email y, a continuación, a la pestaña Url o URL Clics. Seleccione un control flotante de dirección URL individual para ver detalles adicionales sobre los clics de esa dirección URL, incluidas las etiquetas asociadas a ese clic.

Vista de escala de tiempo actualizada

Captura de pantalla de las etiquetas URL.

Obtenga más información con este vídeo.

Próximas mejoras en la experiencia de búsqueda de amenazas

Información de amenazas actualizada para correos electrónicos

Nos hemos centrado en las mejoras de la plataforma y la calidad de los datos para aumentar la precisión y la coherencia de los datos para los registros de correo electrónico. Las mejoras incluyen la consolidación de la información previa y posterior a la entrega, como las acciones ejecutadas en un correo electrónico como parte del proceso ZAP, en un único registro. También se incluyen detalles adicionales como el veredicto de correo no deseado, las amenazas de nivel de entidad (por ejemplo, qué dirección URL era malintencionada) y las ubicaciones de entrega más recientes.

Después de estas actualizaciones, verá una sola entrada para cada mensaje, independientemente de los diferentes eventos posteriores a la entrega que afectan al mensaje. Las acciones pueden incluir ZAP, corrección manual (lo que significa acción de administración), entrega dinámica, etc.

Además de mostrar amenazas de malware y phishing, verá el veredicto de correo no deseado asociado a un correo electrónico. En el correo electrónico, vea todas las amenazas asociadas al correo electrónico junto con las tecnologías de detección correspondientes. Un correo electrónico puede tener cero, una o varias amenazas. Verá las amenazas actuales en la sección Detalles del control flotante de correo electrónico. En el caso de varias amenazas (como malware y phishing), el campo tecnología de detección muestra la asignación de detección de amenazas, que es la tecnología de detección que identificó la amenaza.

El conjunto de tecnologías de detección ahora incluye nuevos métodos de detección, así como tecnologías de detección de correo no deseado. Puede usar el mismo conjunto de tecnologías de detección para filtrar los resultados en las distintas vistas de correo electrónico (Malware, Phish, All Email).

Nota:

Es posible que el análisis de veredictos no esté necesariamente vinculado a entidades. Por ejemplo, un correo electrónico podría clasificarse como phish o spam, pero no hay direcciones URL que estén selladas con un veredicto de phish/spam. Esto se debe a que los filtros también evalúan el contenido y otros detalles de un correo electrónico antes de asignar un veredicto.

Amenazas en direcciones URL

Ahora puede ver la amenaza específica de una dirección URL en la pestaña Detalles del control flotante de correo electrónico. La amenaza puede ser malware, phish, spam o ninguno).

Captura de pantalla de las amenazas de dirección URL.

Vista de escala de tiempo actualizada (próximamente)

Captura de pantalla de la vista de escala de tiempo actualizada.

La vista escala de tiempo identifica todos los eventos de entrega y posteriores a la entrega. Incluye información sobre la amenaza identificada en ese momento para un subconjunto de estos eventos. La vista escala de tiempo también proporciona información sobre cualquier acción adicional realizada (como ZAP o corrección manual), junto con el resultado de esa acción. La información de la vista de escala de tiempo incluye:

  • Fuente: Origen del evento. Puede ser administrador, sistema o usuario.
  • Evento: Incluye eventos de nivel superior, como entrega original, corrección manual, ZAP, envíos y entrega dinámica.
  • Acción: Acción específica que se realizó como parte de zap o acción de administrador (por ejemplo, eliminación temporal).
  • Amenazas: Cubre las amenazas (malware, phish, spam) identificadas en ese momento.
  • Resultado/Detalles: Más información sobre el resultado de la acción, como si se realizó como parte de la acción ZAP/admin.

Ubicación de entrega original y más reciente

Actualmente, exponemos la ubicación de entrega en la cuadrícula de correo electrónico y el control flotante de correo electrónico. El campo Ubicación de entrega se cambia de nombre Ubicación de entrega original. Y estamos introduciendo otro campo, Ubicación de entrega más reciente.

La ubicación de entrega original proporcionará más información sobre dónde se entregó inicialmente un correo electrónico. La ubicación de entrega más reciente indicará dónde aterrizó un correo electrónico después de acciones del sistema como ZAP o acciones de administrador, como Mover a elementos eliminados. La ubicación de entrega más reciente está pensada para indicar a los administradores la última ubicación conocida del mensaje después de la entrega o cualquier acción del sistema o administrador. No incluye ninguna acción del usuario final en el correo electrónico. Por ejemplo, si un usuario eliminó un mensaje o movió el mensaje a archive/pst, la ubicación del mensaje "entrega" no se actualizará. Pero si una acción del sistema actualizó la ubicación (por ejemplo, ZAP, lo que da lugar a un correo electrónico que se mueve a cuarentena), la ubicación de entrega más reciente se mostraría como "cuarentena".

Captura de pantalla de las ubicaciones de entrega actualizadas.

Nota:

Hay algunos casos en los que la ubicación de entrega y la acción de entrega pueden mostrarse como "desconocidos":

  • Es posible que vea Ubicación de entrega como "entregado" y Ubicación de entrega como "desconocido" si el mensaje se ha entregado, pero una regla de bandeja de entrada ha movido el mensaje a una carpeta predeterminada (como Borrador o Archivo) en lugar de a la carpeta Bandeja de entrada o Correo no deseado Email.

  • La ubicación de entrega más reciente puede ser desconocida si se intentó realizar una acción de administrador o sistema (como ZAP), pero no se encontró el mensaje. Normalmente, la acción se produce después de que el usuario haya movido o eliminado el mensaje. En tales casos, compruebe la columna Resultado/Detalles en la vista de escala de tiempo. Busque la instrucción "Mensaje movido o eliminado por el usuario".

Captura de pantalla de las ubicaciones de entrega de la escala de tiempo.

Acciones adicionales

Se aplicaron acciones adicionales después de la entrega del correo electrónico. Pueden incluir ZAP, corrección manual (acción realizada por un Administración como la eliminación temporal), entrega dinámica y reprocesamiento (para un correo electrónico que se detectó de forma retroactiva como correcto).

Nota:

Como parte de los cambios pendientes, el valor "Quitado por ZAP" que aparece actualmente en el filtro Acción de entrega desaparece. Tendrá una manera de buscar todo el correo electrónico con el intento ZAP a través de acciones adicionales.

Captura de pantalla de las acciones adicionales en el Explorador.

Invalidaciones del sistema

Las invalidaciones del sistema permiten realizar excepciones en la ubicación de entrega prevista de un mensaje. La ubicación de entrega proporcionada por el sistema se invalida en función de las amenazas y otras detecciones identificadas por la pila de filtrado. Las invalidaciones del sistema se pueden establecer a través de la directiva de inquilino o de usuario para entregar el mensaje tal y como sugiere la directiva. Las invalidaciones pueden identificar la entrega involuntaria de mensajes malintencionados debido a brechas de configuraciones, como una directiva de remitente seguro demasiado amplia establecida por un usuario. Estos valores de invalidación pueden ser:

  • Permitido por la directiva de usuario: un usuario crea directivas en el nivel de buzón para permitir dominios o remitentes.

  • Bloqueado por la directiva de usuario: un usuario crea directivas en el nivel de cuadro de correo para bloquear dominios o remitentes.

  • Permitido por la directiva de la organización: los equipos de seguridad de la organización establecen directivas o reglas de flujo de correo de Exchange (también conocidas como reglas de transporte) para permitir remitentes y dominios para los usuarios de su organización. Esto puede ser para un conjunto de usuarios o toda la organización.

  • Bloqueado por la directiva de la organización: los equipos de seguridad de la organización establecen directivas o reglas de flujo de correo para bloquear remitentes, dominios, idiomas de mensaje o direcciones IP de origen para los usuarios de su organización. Esto se puede aplicar a un conjunto de usuarios o a toda la organización.

  • Extensión de archivo bloqueada por la directiva de la organización: el equipo de seguridad de una organización bloquea una extensión de nombre de archivo a través de la configuración de la directiva antimalware. Estos valores ahora se mostrarán en los detalles del correo electrónico para ayudar con las investigaciones. Los equipos de Secops también pueden usar la funcionalidad de filtrado enriquecido para filtrar las extensiones de archivo bloqueadas.

Invalidaciones del sistema en el Explorador.

Captura de pantalla de la cuadrícula Invalidaciones del sistema en el Explorador.

Mejoras en la experiencia de url y clics

Las mejoras incluyen:

  • Muestre la dirección URL completa en la que se ha hecho clic (incluidos los parámetros de consulta que forman parte de la dirección URL) en la sección Clics del control flotante URL. Actualmente, el dominio y la ruta de acceso de la dirección URL aparecen en la barra de título. Vamos a ampliar esa información para mostrar la dirección URL completa.

  • Correcciones entre filtros de dirección URL (dirección URL frente a dominio de dirección URL frente a dominio y ruta de acceso de dirección URL): las actualizaciones afectan a la búsqueda de mensajes que contienen un veredicto de dirección URL o clic. Hemos habilitado la compatibilidad con búsquedas independientes del protocolo, por lo que puede buscar una dirección URL sin usar http. De forma predeterminada, la búsqueda de direcciones URL se asigna a http, a menos que se especifique explícitamente otro valor. Por ejemplo:

    • Busque con y sin el http:// prefijo en los campos url, dominio url y dominio url y filtro de ruta de acceso . Las búsquedas deben mostrar los mismos resultados.
    • Busque el prefijo en la https://dirección URL. Cuando no se especifica ningún valor, se asume el http:// prefijo.
    • / se omite al principio y al final de los campos URL path, URL Domain, URL domain y path . / al final del campo URL se omite.

Nivel de confianza de phish

El nivel de confianza de phish ayuda a identificar el grado de confianza con el que se clasificó un correo electrónico como "phish". Los dos valores posibles son Alta y Normal. En las fases iniciales, este filtro solo estará disponible en la vista Phish del Explorador de amenazas.

Nivel de confianza de phish en el Explorador.

Señal de dirección URL de ZAP

La señal de dirección URL de ZAP se usa normalmente para escenarios de alertas de phish de ZAP en los que un correo electrónico se identificó como Phish y se quitó después de la entrega. Esta señal conecta la alerta con los resultados correspondientes en el Explorador. Es uno de los IOC de la alerta.

Para mejorar el proceso de búsqueda, hemos actualizado el Explorador de amenazas y las detecciones en tiempo real para que la experiencia de búsqueda sea más coherente. Los cambios se describen aquí:

Filtrar por etiquetas de usuario

Ahora puede ordenar y filtrar las etiquetas de usuario personalizadas o del sistema para comprender rápidamente el ámbito de las amenazas. Para más información, consulte Etiquetas de usuario.

Importante

El filtrado y ordenación por etiquetas de usuario está actualmente en versión preliminar pública. Esta funcionalidad puede modificarse sustancialmente antes de que se publique comercialmente. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información proporcionada al respecto.

Captura de pantalla de la columna Etiquetas en el Explorador.

Mejoras en la zona horaria

Verá la zona horaria para los registros de correo electrónico en el portal, así como para los datos exportados. Será visible entre experiencias como Email Grid, control flotante Detalles, escala de tiempo de Email y Correos electrónicos similares, por lo que la zona horaria del conjunto de resultados es clara.

Captura de pantalla de la zona horaria ver en el Explorador.

Actualización en el proceso de actualización

Algunos usuarios han comentado sobre la confusión con la actualización automática (por ejemplo, en cuanto cambia la fecha, la página se actualiza) y la actualización manual (para otros filtros). De forma similar, la eliminación de filtros conduce a la actualización automática. Cambiar los filtros al modificar la consulta puede provocar experiencias de búsqueda incoherentes. Para resolver estos problemas, vamos a pasar a un mecanismo de filtrado manual.

Desde el punto de vista de la experiencia, el usuario puede aplicar y quitar el intervalo diferente de filtros (del conjunto de filtros y la fecha) y seleccionar el botón actualizar para filtrar los resultados una vez que haya definido la consulta. El botón actualizar también se resalta ahora en la pantalla. También hemos actualizado la información sobre herramientas relacionada y la documentación del producto.

Captura de pantalla del botón Actualizar para filtrar los resultados.

Obtención de detalles del gráfico para agregar a filtros

Ahora puede crear gráficos de valores de leyenda para agregarlos como filtros. Seleccione el botón Actualizar para filtrar los resultados.

Captura de pantalla de los gráficos de obtención de detalles para filtrar.

Actualizaciones de información del producto

Ahora hay detalles adicionales disponibles en el producto, como el número total de resultados de búsqueda dentro de la cuadrícula (consulte a continuación). Hemos mejorado las etiquetas, los mensajes de error y la información sobre herramientas para proporcionar más información sobre los filtros, la experiencia de búsqueda y el conjunto de resultados.

Captura de pantalla que muestra la información del producto que se va a ver.

Funcionalidades extendidas en el Explorador de amenazas

Usuarios de destino superior

Hoy exponemos la lista de los usuarios de destino principales en la vista Malware para correos electrónicos, en la sección Principales familias de malware . Ampliaremos esta vista también en las vistas Phish y All Email. Podrá ver los cinco usuarios de destino principales, junto con el número de intentos de cada usuario para la vista correspondiente. Por ejemplo, para la vista Phish, verá el número de intentos de Phish.

Podrá exportar la lista de usuarios de destino, hasta un límite de 3000, junto con el número de intentos de análisis sin conexión para cada vista de correo electrónico. Además, al seleccionar el número de intentos (por ejemplo, 13 intentos en la imagen siguiente), se abrirá una vista filtrada en el Explorador de amenazas, para que pueda ver más detalles en los correos electrónicos y las amenazas de ese usuario.

Captura de pantalla de los usuarios de destino superior.

Reglas de transporte de Exchange

Como parte del enriquecimiento de datos, podrá ver todas las distintas reglas de transporte de Exchange (ETR) que se aplicaron a un mensaje. Esta información estará disponible en la vista de cuadrícula de Email. Para verlo, seleccione Opciones de columna en la cuadrícula y, a continuación, Agregue regla de transporte de Exchange en las opciones de columna. También estará visible en el control flotante Detalles del correo electrónico.

Podrá ver el GUID y el nombre de las reglas de transporte que se aplicaron al mensaje. Podrá buscar los mensajes mediante el nombre de la regla de transporte. Se trata de una búsqueda "Contiene", lo que significa que también puede realizar búsquedas parciales.

Importante

La disponibilidad de nombres y búsqueda de ETR depende del rol específico que se le asigne. Debe tener uno de los siguientes roles o permisos para ver los nombres y la búsqueda de ETR. Si no tiene ninguno de estos roles asignados, no podrá ver los nombres de las reglas de transporte ni buscar mensajes mediante nombres ETR. Sin embargo, podría ver la etiqueta ETR y la información del GUID en los detalles de Email. Otras experiencias de visualización de registros en Email Grids, Email controles flotantes, filtros y exportación no se ven afectados.

  • Solo EXO: prevención de pérdida de datos: todos
  • Solo EXO: O365SupportViewConfig: todos
  • Microsoft Entra id. o EXO: Administración de seguridad: todos
  • Microsoft Entra id. o EXO- Lector de seguridad: Todos
  • Solo EXO: reglas de transporte: todas
  • Solo EXO: configuración de View-Only: todos

Dentro de la cuadrícula de correo electrónico, el control flotante Detalles y CSV exportado, los ETR se presentan con un nombre o GUID, como se muestra a continuación.

Captura de pantalla de las reglas de transporte de Exchange.

Conectores entrantes

Los conectores son una colección de instrucciones que personalizan cómo fluye el correo electrónico hacia y desde su organización de Microsoft 365 o Office 365. Permiten aplicar restricciones o controles de seguridad. En el Explorador de amenazas, ahora puede ver los conectores relacionados con un correo electrónico y buscar correos electrónicos mediante nombres de conector.

La búsqueda de conectores es "contiene" por naturaleza, lo que significa que las búsquedas parciales de palabras clave también deberían funcionar. En la vista de cuadrícula Principal, el control flotante Detalles y el ARCHIVO CSV exportado, los conectores se muestran en el formato nombre/GUID, como se muestra aquí:

Captura de pantalla de los detalles del conector.

Nuevas características del Explorador de amenazas y detecciones en tiempo real

Visualización de correos electrónicos de suplantación de identidad enviados a usuarios y dominios suplantados

Para identificar los intentos de suplantación de identidad de los usuarios y dominios que son usuarios suplantados se deben agregar a la lista de usuarios que se van a proteger. En el caso de los dominios, los administradores deben habilitar los dominios de la organización o agregar un nombre de dominio a Dominios para protegerlos. Los dominios que se van a proteger se encuentran en la página Directiva contra suplantación de identidad en la sección Suplantación .

Para revisar los mensajes de phish y buscar usuarios o dominios suplantados, use la vista Email > Phish del Explorador.

En este ejemplo se usa el Explorador de amenazas.

  1. En el portal de Microsoft Defender (https://security.microsoft.com), elija Explorador de administración de> amenazas (o Detecciones en tiempo real).

  2. En el menú Ver, elija Phish.

    Aquí puede elegir un dominio suplantado o un usuario suplantado.

  3. SeleccioneDominio suplantado y escriba un dominio protegido en el cuadro de texto.

    Por ejemplo, busque nombres de dominio protegidos como contoso, contoso.com o contoso.com.au.

  4. Seleccione el Asunto de cualquier mensaje en la pestaña Email pestaña > Detalles para ver información adicional de suplantación, como Dominio suplantado/Ubicación detectada.

    O

    Seleccione Usuario suplantado y escriba la dirección de correo electrónico de un usuario protegido en el cuadro de texto.

    Sugerencia

    Para obtener los mejores resultados, use direcciones de correo electrónico completas para buscar usuarios protegidos. Encontrará el usuario protegido más rápido y correctamente si busca , por firstname.lastname@contoso.comejemplo, al investigar la suplantación de usuario. Al buscar un dominio protegido, la búsqueda tomará el dominio raíz (contoso.com, por ejemplo) y el nombre de dominio (contoso). La búsqueda del dominio raíz contoso.com devolverá las suplantaciones de contoso.com y el nombre de dominio contoso.

  5. Seleccione el Asunto de cualquier mensaje en Email pestaña>Detalles para ver información adicional de suplantación sobre el usuario o dominio y la ubicación Detectada.

    Captura de pantalla del panel de detalles del Explorador de amenazas para un usuario protegido que muestra la ubicación de detección y la amenaza que se detectó (aquí se muestra la suplantación de identidad de un usuario).

Nota:

En el paso 3 o 5, si elige Tecnología de detección y selecciona Dominio de suplantación o Usuario de suplantación respectivamente, la información de la pestaña Email pestaña>Detalles sobre el usuario o dominio, y la ubicación Detectada solo se mostrará en los mensajes relacionados con el usuario o dominio enumerados en la página Directiva anti phishing.

Vista previa del encabezado de correo electrónico y descarga del cuerpo del correo electrónico

Ahora puede obtener una vista previa de un encabezado de correo electrónico y descargar el cuerpo del correo electrónico en el Explorador de amenazas. Los administradores pueden analizar los encabezados descargados o los mensajes de correo electrónico para detectar amenazas. Dado que la descarga de mensajes de correo electrónico puede arriesgar la exposición de información, este proceso se controla mediante el control de acceso basado en rol (RBAC). Se requiere un nuevo rol, Versión preliminar, para conceder la capacidad de descargar correos electrónicos en la vista de mensajes de correo electrónico completo. Sin embargo, la visualización del encabezado de correo electrónico no requiere ningún rol adicional (aparte de lo necesario para ver los mensajes en el Explorador de amenazas). Para crear un nuevo grupo de roles con el rol De vista previa:

  1. Seleccione un grupo de roles integrado que solo tenga el rol Vista previa, como Investigador de datos o Administrador de exhibición de documentos electrónicos.
  2. Seleccione Copiar grupo de roles.
  3. Elija un nombre y una descripción para el nuevo grupo de roles y seleccione Siguiente.
  4. Modifique los roles agregando y quitando roles según sea necesario, pero dejando el rol Vista previa.
  5. Agregue miembros y, a continuación, seleccione Crear grupo de roles.

Las detecciones en tiempo real y explorador también obtendrán nuevos campos que proporcionan una imagen más completa de dónde llegan los mensajes de correo electrónico. Estos cambios facilitan la búsqueda de operaciones de seguridad. Pero el resultado principal es que puede conocer la ubicación de los mensajes de correo electrónico problemáticos de un vistazo.

¿Cómo se hace esto? El estado de entrega ahora se divide en dos columnas:

  • Acción de entrega : estado del correo electrónico.
  • Ubicación de entrega : dónde se enrutó el correo electrónico.

La acción de entrega es la acción realizada en un correo electrónico debido a directivas o detecciones existentes. Estas son las posibles acciones para un correo electrónico:

Entregado Tirados Blocked Substituido
Email se entregó en la bandeja de entrada o carpeta de un usuario, y el usuario puede acceder a ella. Email se envió a la carpeta No deseado o Eliminado del usuario, y el usuario puede acceder a ella. Correos electrónicos en cuarentena, con errores o eliminados. Estos correos no son accesibles para el usuario. Email tenía datos adjuntos malintencionados reemplazados por archivos .txt que indican que los datos adjuntos eran malintencionados.

Esto es lo que el usuario puede y no puede ver:

Accesible para los usuarios finales Inaccesible para los usuarios finales
Entregado Blocked
Tirados Substituido

La ubicación de entrega muestra los resultados de las directivas y detecciones que se ejecutan después de la entrega. Está vinculado a la acción de entrega. Estos son los valores posibles:

  • Bandeja de entrada o carpeta: el correo electrónico está en la bandeja de entrada o en una carpeta (de acuerdo con las reglas de correo electrónico).
  • Local o externo: el buzón no existe en la nube, pero es local.
  • Carpeta no deseada: el correo electrónico está en la carpeta No deseado de un usuario.
  • Carpeta elementos eliminados: el correo electrónico de la carpeta Elementos eliminados de un usuario.
  • Cuarentena: el correo electrónico está en cuarentena y no en el buzón de un usuario.
  • Error: el correo electrónico no pudo llegar al buzón de correo.
  • Eliminado: el correo electrónico se perdió en algún lugar del flujo de correo.

escala de tiempo de Email

La escala de tiempo de Email es una nueva característica del Explorador que mejora la experiencia de búsqueda de los administradores. Reduce el tiempo dedicado a comprobar diferentes ubicaciones para intentar comprender el evento. Cuando se producen varios eventos en o cerca del mismo momento en que llega un correo electrónico, esos eventos se muestran en una vista de escala de tiempo. Algunos eventos que se producen en el correo electrónico posterior a la entrega se capturan en la columna Acción especial . Los administradores pueden combinar información de la escala de tiempo con la acción especial realizada en el correo posterior a la entrega para obtener información sobre cómo funcionan sus directivas, dónde se enrutó finalmente el correo y, en algunos casos, cuál fue la evaluación final.

Para obtener más información, vea Investigar y corregir el correo electrónico malintencionado que se entregó en Office 365.

Exportar datos de clic de dirección URL

Ahora puede exportar informes para hacer clic en url a Microsoft Excel para ver su identificador de mensaje de red y hacer clic en el veredicto, lo que ayuda a explicar dónde se originó el tráfico de clic de la dirección URL. Este es el funcionamiento: En Administración de amenazas en la barra de inicio rápido Office 365, siga esta cadena:

Explorador>Phish>Clics>Las direcciones URL principales o los clics> superiores de dirección URL seleccionan cualquier registro para abrir el control flotante de direcciones URL.

Al seleccionar una dirección URL en la lista, verá un nuevo botón Exportar en el panel flotante. Use este botón para mover datos a una hoja de cálculo de Excel para facilitar la generación de informes.

Siga esta ruta de acceso para llegar a la misma ubicación en el informe Detecciones en tiempo real:

Explorador>Detecciones en> tiempo realPhish>Url>Direcciones URL principales o Clics> superiores Seleccione cualquier registro para abrir el control flotante > url, vaya a la pestaña Clics.

Sugerencia

El identificador de mensaje de red asigna el clic de nuevo a correos electrónicos específicos al buscar en el identificador a través del Explorador o herramientas de terceros asociadas. Estas búsquedas identifican el correo electrónico asociado a un resultado de clic. Tener el identificador de mensaje de red correlacionado permite un análisis más rápido y eficaz.

Captura de pantalla de la pestaña Clics en el Explorador.

Ver malware detectado en el correo electrónico por tecnología

Supongamos que desea ver el malware detectado en el correo electrónico ordenado por la tecnología de Microsoft 365. Para ello, use la vista Malware del Explorador (o detecciones en tiempo real).

  1. En el portal de Microsoft Defender (https://security.microsoft.com), elija Explorador de administración de> amenazas (o Detecciones en tiempo real). (En este ejemplo se usa el Explorador).

  2. En el menú Ver , elija Malware.

    Captura de pantalla del menú Ver del Explorador.

  3. Haga clic en Remitente y, a continuación, elijaTecnología de detecciónbásica>.

    Las tecnologías de detección ahora están disponibles como filtros para el informe.

    Captura de pantalla de las tecnologías de detección de malware.

  4. Elija una opción. A continuación, seleccione el botón Actualizar para aplicar ese filtro.

    Captura de pantalla de la tecnología de detección seleccionada.

El informe se actualiza para mostrar los resultados detectados por malware en el correo electrónico, mediante la opción de tecnología seleccionada. Desde aquí, puede realizar análisis adicionales.

Ver la dirección URL de phishing y hacer clic en datos de veredicto

Supongamos que desea ver los intentos de suplantación de identidad a través de direcciones URL en el correo electrónico, incluida una lista de direcciones URL permitidas, bloqueadas y reemplazadas. Para identificar las direcciones URL en las que se ha hecho clic, se deben configurar vínculos seguros . Asegúrese de configurar directivas de vínculos seguros para la protección con el tiempo de clic y el registro de veredictos de clics mediante vínculos seguros.

Para revisar las direcciones URL de phish en los mensajes y hacer clic en las direcciones URL de los mensajes de phish, use la vista Phish de las detecciones del Explorador o en tiempo real.

  1. En el portal de Microsoft Defender (https://security.microsoft.com), elija Explorador de administración de> amenazas (o Detecciones en tiempo real). (En este ejemplo se usa el Explorador).

  2. En el menú Ver, elija Email>Fish.

    Captura de pantalla del menú Ver del Explorador en contexto de suplantación de identidad (phishing).

  3. Haga clic en Remitentey, a continuación, elija Direcciones> URLHaga clic en veredicto.

  4. Seleccione una o varias opciones, como Bloqueado y Bloquear invalidados, y, a continuación, seleccione el botón Actualizar en la misma línea que las opciones para aplicar ese filtro. (No actualice la ventana del explorador).

    Las direcciones URL y los veredictos de clic

    El informe se actualiza para mostrar dos tablas de direcciones URL diferentes en la pestaña URL del informe:

    • Las direcciones URL principales son las direcciones URL de los mensajes a los que filtró y la acción de entrega de correo electrónico cuenta para cada dirección URL. En la vista de correo electrónico de Phish, esta lista normalmente contiene direcciones URL legítimas. Los atacantes incluyen una combinación de direcciones URL buenas y malas en sus mensajes para intentar que se entreguen, pero hacen que los vínculos malintencionados parezcan más interesantes. La tabla de direcciones URL se ordena por número total de correo electrónico, pero esta columna está oculta para simplificar la vista.

    • Los clics superiores son las direcciones URL encapsuladas en vínculos seguros en las que se ha hecho clic, ordenadas por número total de clics. Esta columna tampoco se muestra para simplificar la vista. Los recuentos totales por columna indican el recuento de veredictos de clic de vínculos seguros para cada dirección URL en la que se ha hecho clic. En la vista de correo electrónico de Phish, suelen ser direcciones URL sospechosas o malintencionadas. Pero la vista podría incluir direcciones URL que no son amenazas, pero que están en mensajes de tipo phish. Los clics de dirección URL en los vínculos desencapsados no aparecen aquí.

    Las dos tablas de direcciones URL muestran las direcciones URL principales en los mensajes de correo electrónico de suplantación de identidad por acción de entrega y ubicación. En las tablas se muestran los clics de dirección URL que se bloquearon o visitaron a pesar de una advertencia, por lo que puede ver qué posibles vínculos incorrectos se presentaron a los usuarios y en los que se hizo clic en el usuario. Desde aquí, puede realizar análisis adicionales. Por ejemplo, debajo del gráfico puede ver las direcciones URL principales en los mensajes de correo electrónico que se bloquearon en el entorno de la organización.

    Las direcciones URL del Explorador que se bloquearon

    Seleccione una dirección URL para ver información más detallada.

    Nota:

    En el cuadro de diálogo de control flotante URL, se quita el filtrado de mensajes de correo electrónico para mostrar la vista completa de la exposición de la dirección URL en su entorno. Esto le permite filtrar los mensajes de correo electrónico que le preocupan en el Explorador, buscar direcciones URL específicas que son posibles amenazas y, a continuación, ampliar la comprensión de la exposición de direcciones URL en el entorno (a través del cuadro de diálogo Detalles de dirección URL) sin tener que agregar filtros de dirección URL a la propia vista del Explorador.

Interpretación de los veredictos de clic

Dentro de los controles flotantes Email o URL, los clics superiores, así como dentro de nuestras experiencias de filtrado, verá diferentes valores de veredicto de clic:

  • Ninguno: No se puede capturar el veredicto de la dirección URL. Es posible que el usuario haya hecho clic en la dirección URL.
  • Permitido: Se permitió al usuario navegar a la dirección URL.
  • Bloqueado: El usuario no pudo navegar a la dirección URL.
  • Veredicto pendiente: Al usuario se le presentó la página pendiente de detonación.
  • Bloqueado invalidado: El usuario no pudo navegar directamente a la dirección URL. Pero el usuario superó el bloque para navegar a la dirección URL.
  • Veredicto pendiente omitido: Al usuario se le presentó la página de detonación. Pero el usuario superó el mensaje para acceder a la dirección URL.
  • Error: Al usuario se le presentó la página de error o se produjo un error al capturar el veredicto.
  • Fracaso: Se produjo una excepción desconocida al capturar el veredicto. Es posible que el usuario haya hecho clic en la dirección URL.

Revisión de los mensajes de correo electrónico notificados por los usuarios

Supongamos que desea ver mensajes de correo electrónico que los usuarios de su organización notificaron como Correo no deseado, No correo no deseado o Phishing a través de los complementos Mensaje de informe de Microsoft o Informe de suplantación de identidad, use la vista Todo el correo electrónico del Explorador (o Detecciones en tiempo real).

  1. En el portal de Microsoft Defender (https://security.microsoft.com), elija Explorador de administración de> amenazas (o Detecciones en tiempo real). (En este ejemplo se usa el Explorador).

  2. En el menú Ver, elija Email>Submissions.

    El menú Ver del Explorador para correos electrónicos

  3. Haga clic en Remitente y, a continuación, elijaTipo de informebásico>.

  4. Seleccione una opción, como Phish, y, a continuación, seleccione el botón Actualizar .

    La phish notificada por el usuario

El informe se actualiza para mostrar los datos sobre los mensajes de correo electrónico que los usuarios de su organización notificaron como un intento de suplantación de identidad (phishing). Puede usar esta información para realizar análisis adicionales y, si es necesario, ajustar las directivas contra phishing en Microsoft Defender para Office 365.

Inicio de una investigación y respuesta automatizadas

Nota:

Las funcionalidades automatizadas de investigación y respuesta están disponibles en Microsoft Defender para Office 365 Plan 2 y Office 365 E5.

La investigación y la respuesta automatizadas pueden ahorrar tiempo y esfuerzo al equipo de operaciones de seguridad dedicados a investigar y mitigar los ciberataques. Además de configurar alertas que pueden desencadenar un cuaderno de estrategias de seguridad, puede iniciar un proceso de investigación y respuesta automatizado desde una vista en el Explorador. Para obtener más información, vea Ejemplo: Un administrador de seguridad desencadena una investigación desde el Explorador.

Más formas de usar el Explorador y las detecciones en tiempo real

Además de los escenarios descritos en este artículo, tiene muchas más opciones de informes disponibles con explorer (o detecciones en tiempo real). Consulte los siguientes artículos:

Permisos y licencias necesarios

Debe tener Microsoft Defender para Office 365 para usar el Explorador o las detecciones en tiempo real.

  • Explorer se incluye en Defender para Office 365 Plan 2.
  • El informe de detecciones en tiempo real se incluye en Defender para Office 365 plan 1.
  • Planee asignar licencias para todos los usuarios que deben estar protegidos por Defender para Office 365. Las detecciones del Explorador y en tiempo real muestran los datos de detección de los usuarios con licencia.

Para ver y usar el Explorador o las detecciones en tiempo real, debe tener los permisos adecuados, como los concedidos a un administrador de seguridad o a un lector de seguridad.

  • Para el portal de Microsoft Defender, debe tener asignado uno de los siguientes roles:

    • Administración de la organización
    • Administrador de seguridad (esto se puede asignar en el centro de administración de Microsoft Entra (https://aad.portal.azure.com)
    • Lector de seguridad

  • Para Exchange Online, debe tener uno de los siguientes roles asignados en el Centro de administración de Exchange (EAC) o Exchange Online PowerShell:

    • Administración de la organización
    • Administración de la organización de solo visualización
    • Destinatarios con permiso de vista
    • Administración de cumplimiento

Para obtener más información sobre los roles y permisos, consulte los siguientes recursos:

Diferencias entre el Explorador de amenazas y las detecciones en tiempo real

  • El informe de detecciones en tiempo real está disponible en Defender para Office 365 plan 1. El Explorador de amenazas está disponible en Defender para Office 365 Plan 2.
  • El informe de detecciones en tiempo real permite ver las detecciones en tiempo real. El Explorador de amenazas también lo hace, pero también proporciona detalles adicionales para un ataque determinado.
  • Una vista De todo el correo electrónico está disponible en el Explorador de amenazas, pero no en el informe de detecciones en tiempo real.
  • En el Explorador de amenazas se incluyen más funcionalidades de filtrado y acciones disponibles. Para obtener más información, consulte Descripción del servicio de Microsoft Defender para Office 365: disponibilidad de la característica en los planes de Defender para Office 365.

Investigación de correos electrónicos con la página de entidad Email