Email seguridad con el Explorador de amenazas y las detecciones en tiempo real en Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Las organizaciones de Microsoft 365 que Microsoft Defender para Office 365 incluyen en su suscripción o compran como complemento tienen Explorador (también conocido como Explorador de amenazas) o detecciones en tiempo real. Estas características son herramientas eficaces casi en tiempo real para ayudar a los equipos de Operaciones de seguridad (SecOps) a investigar y responder a las amenazas. Para obtener más información, consulte Acerca del Explorador de amenazas y Detecciones en tiempo real en Microsoft Defender para Office 365.

En este artículo se explica cómo ver e investigar los intentos de malware y suplantación de identidad detectados en el correo electrónico mediante el Explorador de amenazas o detecciones en tiempo real.

Sugerencia

Para ver otros escenarios de correo electrónico con el Explorador de amenazas y las detecciones en tiempo real, consulte los artículos siguientes:

¿Qué necesita saber antes de empezar?

Visualización del correo electrónico de suplantación de identidad enviado a usuarios y dominios suplantados

Para obtener más información sobre la protección contra suplantación de usuario y dominio en las directivas contra suplantación de identidad en Defender para Office 365, consulte Configuración de suplantación en las directivas contra suplantación de identidad en Microsoft Defender para Office 365.

En las directivas de anti phishing predeterminadas o personalizadas, debe especificar los usuarios y dominios para protegerse de la suplantación, incluidos los dominios que posee (dominios aceptados). En las directivas de seguridad preestablecidas Estándar o Estricta, los dominios de su propiedad reciben automáticamente protección de suplantación, pero debe especificar los usuarios o dominios personalizados para la protección de suplantación. Para obtener instrucciones, consulte los artículos siguientes:

Siga estos pasos para revisar los mensajes de suplantación de identidad y buscar usuarios o dominios suplantados.

  1. Siga uno de los pasos siguientes para abrir el Explorador de amenazas o las detecciones en tiempo real:

  2. En la página Explorador o Detecciones en tiempo real , seleccione la vista Phish . Para obtener más información sobre la vista Phish , vea Vista phish en el Explorador de amenazas y Detecciones en tiempo real.

  3. Seleccione el intervalo de fecha y hora. El valor predeterminado es ayer y hoy.

  4. Realice cualquiera de los pasos siguientes:

    • Busque cualquier intento de suplantación de usuario o dominio:

      • Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, seleccione Tecnología de detección en la sección Básico de la lista desplegable.
      • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
      • En el cuadro de valor de propiedad, seleccione Dominio de suplantación y Usuario de suplantación.

    • Buscar intentos de usuario suplantados específicos:

      • Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, seleccione Usuario suplantado en la sección Básico de la lista desplegable.
      • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
      • En el cuadro de valor de propiedad, escriba la dirección de correo electrónico completa del destinatario. Separe varios valores de destinatario por comas.

    • Buscar intentos de dominio suplantados específicos:

      • Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, seleccione Dominio suplantado en la sección Básico de la lista desplegable.
      • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
      • En el cuadro de valor de propiedad, escriba el dominio (por ejemplo, contoso.com). Separe varios valores de dominio por comas.

  5. Escriba más condiciones con otras propiedades filtrables según sea necesario. Para obtener instrucciones, consulte Filtros de propiedades en el Explorador de amenazas y Detecciones en tiempo real.

  6. Cuando haya terminado de crear las condiciones de filtro, seleccione Actualizar.

  7. En el área de detalles debajo del gráfico, compruebe que está seleccionada la pestaña Email (vista).

    Puede ordenar las entradas y mostrar más columnas como se describe en Email vista para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real.

Exportar datos de clic de dirección URL

Puede exportar datos de clic de dirección URL a un archivo CSV para ver los valores Id. de mensaje de red y Click verdict , que ayudan a explicar de dónde procede el tráfico de clic de la dirección URL.

  1. Siga uno de los pasos siguientes para abrir el Explorador de amenazas o las detecciones en tiempo real:

  2. En la página Explorador o Detecciones en tiempo real , seleccione la vista Phish . Para obtener más información sobre la vista Phish , vea Vista phish en el Explorador de amenazas y Detecciones en tiempo real.

  3. Seleccione el intervalo de fecha y hora y, a continuación, seleccione Actualizar. El valor predeterminado es ayer y hoy.

  4. En el área de detalles, seleccione la pestaña Direcciones URL principales o Clics superiores (vista).

  5. En la vista Direcciones URL principales o Clics superiores , seleccione una o varias entradas de la tabla seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione Exportar. Explorador>Phish>Clics>Las direcciones URL principales o los clics> superiores de dirección URL seleccionan cualquier registro para abrir el control flotante de direcciones URL.

Puede usar el valor de Id. de mensaje de red para buscar mensajes específicos en el Explorador de amenazas, detecciones en tiempo real o herramientas externas. Estas búsquedas identifican el mensaje de correo electrónico asociado a un resultado de clic. Tener el identificador de mensaje de red correlacionado permite un análisis más rápido y eficaz.

Visualización del malware detectado en el correo electrónico

Siga estos pasos en Explorador de amenazas o Detecciones en tiempo real para ver el malware detectado en el correo electrónico por Microsoft 365.

  1. Siga uno de los pasos siguientes para abrir el Explorador de amenazas o las detecciones en tiempo real:

  2. En la página Explorador o Detecciones en tiempo real , seleccione la vista Malware . Para obtener más información sobre la vista Phish , vea Vista de malware en el Explorador de amenazas y Detecciones en tiempo real.

  3. Seleccione el intervalo de fecha y hora. El valor predeterminado es ayer y hoy.

  4. Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, seleccione Tecnología de detección en la sección Básico de la lista desplegable.

    • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
    • En el cuadro de valor de propiedad, seleccione uno o varios de los valores siguientes:
      • Protección contra malware
      • Detonación de archivos
      • Reputación de detonación de archivos
      • Reputación de los archivos
      • Coincidencia de huella digital

  5. Escriba más condiciones con otras propiedades filtrables según sea necesario. Para obtener instrucciones, consulte Filtros de propiedades en el Explorador de amenazas y Detecciones en tiempo real.

  6. Cuando haya terminado de crear las condiciones de filtro, seleccione Actualizar.

El informe muestra los resultados que el malware detectó en el correo electrónico, mediante las opciones de tecnología seleccionadas. Desde aquí, puede realizar análisis adicionales.

Notificar mensajes como limpios

Puede usar la página Envíos del portal de Defender en https://security.microsoft.com/reportsubmission para notificar mensajes como limpios (falsos positivos) a Microsoft. Pero también puede enviar mensajes como limpios a Microsoft desde el Explorador o las detecciones en tiempo real.

Para obtener instrucciones, consulte Email corrección en el Explorador de amenazas y detecciones en tiempo real.

Para resumir:

  • Seleccione un mensaje en la tabla de detalles de la pestaña Email (vista) de las vistas Todo el correo electrónico, Malware o Phish; para ello, active la casilla de la fila y, a continuación, seleccione Acciones de mensaje y, a continuación, una de las siguientes opciones:

O bien,

  • Seleccione un mensaje de la tabla de detalles en la pestaña Email (vista) de las vistas Todo el correo electrónico, Malware o Phish haciendo clic en el valor Asunto.

    En el control flotante de detalles que se abre, seleccione Realizar acción>Enviar a Microsoft para revisar>He confirmado que está limpio. Para obtener más instrucciones, consulte Corrección mediante tomar medidas.

Ver la dirección URL de phishing y hacer clic en datos de veredicto

La protección de vínculos seguros realiza un seguimiento de las direcciones URL permitidas, bloqueadas y reemplazadas. La protección de vínculos seguros está activada de forma predeterminada, gracias a la protección integrada en las directivas de seguridad preestablecidas. La protección de vínculos seguros está activada en las directivas de seguridad preestablecidas Estándar y Estricta. También puede crear y configurar la protección de vínculos seguros en directivas de vínculos seguros personalizadas. Para obtener más información sobre la configuración de directivas de vínculos seguros, consulte Configuración de directivas de vínculos seguros.

Siga estos pasos para ver los intentos de suplantación de identidad mediante direcciones URL en los mensajes de correo electrónico.

  1. Siga uno de los pasos siguientes para abrir el Explorador de amenazas o las detecciones en tiempo real:

  2. En la página Explorador o Detecciones en tiempo real , seleccione la vista Phish . Para obtener más información sobre la vista Phish , vea Vista phish en el Explorador de amenazas y Detecciones en tiempo real.

  3. Seleccione el intervalo de fecha y hora. El valor predeterminado es ayer y hoy.

  4. Seleccione el cuadro Dirección del remitente (propiedad) y, a continuación, haga clic en Veredicto en la sección Direcciones URL de la lista desplegable.

    • Compruebe que Equal cualquiera de está seleccionado como operador de filtro.
    • En el cuadro de valor de propiedad, seleccione uno o varios de los valores siguientes:
      • Bloqueado
      • Bloqueado invalidado

    Para obtener explicaciones sobre los valores de veredicto click, vea Click verdict in Filterable properties in the All email view in Threat Explorer (Hacer clic en veredicto en propiedades filtrables) en la vista Todo el correo electrónico del Explorador de amenazas.

  5. Escriba más condiciones con otras propiedades filtrables según sea necesario. Para obtener instrucciones, consulte Filtros de propiedades en el Explorador de amenazas y Detecciones en tiempo real.

  6. Cuando haya terminado de crear las condiciones de filtro, seleccione Actualizar.

La pestaña Direcciones URL principales (vista) del área de detalles debajo del gráfico muestra el recuento de mensajes bloqueados, mensajes no deseados y mensajes entregados para las cinco direcciones URL principales. Para obtener más información, vea Top URL view for the details area of the Phish view in Threat Explorer and Real-time detections(Vista de direcciones URL principales para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real).

La pestaña Clics superiores (vista) del área de detalles debajo del gráfico muestra los cinco vínculos en los que se ha hecho clic en los cinco primeros clics que se ajustaron mediante vínculos seguros. Los clics de dirección URL en los vínculos desencapsados no aparecen aquí. Para obtener más información, vea Vista de clics principales para el área de detalles de la vista Phish en Explorador de amenazas y Detecciones en tiempo real.

Estas tablas de direcciones URL muestran direcciones URL que se bloquearon o visitaron a pesar de una advertencia. Esta información muestra los posibles vínculos incorrectos que se presentaron a los usuarios. Desde aquí, puede realizar análisis adicionales.

Seleccione una dirección URL de una entrada de la vista para obtener más información. Para obtener más información, vea Detalles de direcciones URL para las pestañas Direcciones URL principales y Clics superiores en la vista Phish.

Sugerencia

En el control flotante de detalles de la dirección URL, se quita el filtrado de mensajes de correo electrónico para mostrar la vista completa de la exposición de la dirección URL en su entorno. Este comportamiento le permite filtrar por mensajes de correo electrónico específicos, buscar direcciones URL específicas que son posibles amenazas y, a continuación, ampliar la comprensión de la exposición de direcciones URL en su entorno sin tener que agregar filtros de dirección URL en la vista Phish .

Interpretación de los veredictos de clic

Los resultados de la propiedad Click verdict están visibles en las siguientes ubicaciones:

Los valores de veredicto se describen en la lista siguiente:

  • Permitido: se permitió al usuario abrir la dirección URL.
  • Bloqueo invalidado: el usuario no pudo abrir directamente la dirección URL, pero superó el bloque para abrir la dirección URL.
  • Bloqueado: se ha bloqueado al usuario para que no abra la dirección URL.
  • Error: Al usuario se le presentó la página de error o se produjo un error al capturar el veredicto.
  • Error: se produjo una excepción desconocida al capturar el veredicto. Es posible que el usuario haya abierto la dirección URL.
  • Ninguno: no se puede capturar el veredicto de la dirección URL. Es posible que el usuario haya abierto la dirección URL.
  • Veredicto pendiente: se presentó al usuario la página pendiente de detonación.
  • Veredicto pendiente omitido: el usuario se presentó con la página de detonación, pero superó el mensaje para abrir la dirección URL.

Inicio de una investigación y respuesta automatizadas en el Explorador de amenazas

La investigación y respuesta automatizadas (AIR) en Defender para Office 365 Plan 2 pueden ahorrar tiempo y esfuerzo a medida que se investigan y mitigan los ciberataques. Puede configurar alertas que desencadenan un cuaderno de estrategias de seguridad y puede iniciar AIR en el Explorador de amenazas. Para obtener más información, vea Ejemplo: Un administrador de seguridad desencadena una investigación desde el Explorador.

Investigación del correo electrónico con la página de entidad Email