Compartir vía


Purga automática de cero horas (ZAP) en Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

En las organizaciones de Microsoft 365 con buzones de Exchange Online, la purga automática de cero horas (ZAP) es una característica de protección en Exchange Online Protection (EOP) que detecta y neutraliza de forma retroactiva mensajes malintencionados de phishing, spam o malware que ya se han entregado a Exchange Online buzones.

ZAP no funciona en entornos EOP independientes que protegen buzones locales.

Nota:

Actualmente en versión preliminar, ZAP también puede detectar de forma retroactiva mensajes de chat malintencionados existentes en Microsoft Teams.

Las firmas de spam y malware en el servicio se actualizan diariamente en tiempo real. Sin embargo, los usuarios todavía pueden recibir mensajes malintencionados. Por ejemplo:

  • Malware de día cero que era indetectable durante el flujo de correo.
  • Contenido que se arma después de ser entregado a los usuarios.

ZAP soluciona estos problemas supervisando continuamente las actualizaciones de firmas de malware y correo no deseado en el servicio, y es perfecta para los usuarios. ZAP busca y realiza una acción automatizada en los mensajes que ya están en el buzón de un usuario. La búsqueda de ZAP se limita a las últimas 48 horas de correo electrónico entregado. No se notifica a los usuarios si ZAP detecta y mueve un mensaje.

Vea este breve vídeo para aprender cómo ZAP en Microsoft Defender para Office 365 detecta y neutraliza automáticamente las amenazas en el correo electrónico.

Purga automática de cero horas (ZAP) para mensajes de correo electrónico

Purga automática de cero horas (ZAP) para malware

Para los mensajes leídos o no leídos que contienen malware después de la entrega, ZAP pone en cuarentena el mensaje que contiene los datos adjuntos de malware. De forma predeterminada, solo los administradores pueden ver y administrar los mensajes de malware en cuarentena. Sin embargo, los administradores pueden crear y usar directivas de cuarentena para definir qué pueden hacer los usuarios en los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Nota:

Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de malware en cuarentena.

ZAP para malware está habilitado de forma predeterminada en las directivas antimalware. Para obtener más información, vea Configurar directivas antimalware en EOP.

Purga automática de cero horas (ZAP) para suplantación de identidad (phishing)

Para los mensajes leídos o no leídos que se identifican como suplantación de identidad ( suplantación de identidad de alta confianza) después de la entrega, el resultado de ZAP depende de la acción configurada para un veredicto de phishing en la directiva antispam aplicable. Las acciones disponibles y los posibles resultados de ZAP se describen en la lista siguiente:

  • Agregar encabezado X, anteponer línea de asunto con texto, Redirigir mensaje a dirección de correo electrónico, Eliminar mensaje: ZAP no realiza ninguna acción en el mensaje.

  • Mover el mensaje a junk Email: ZAP mueve el mensaje a la carpeta junk Email.

    Esta es la acción predeterminada para un veredicto de suplantación de identidad (phishing ) en la directiva de antispam predeterminada y las directivas personalizadas contra correo no deseado que se crean en PowerShell.

  • Mensaje de cuarentena: ZAP pone en cuarentena el mensaje.

    Esta es la acción predeterminada para un veredicto de phishing en las directivas de seguridad preestablecidas Estándar y Estricta, y en las directivas personalizadas contra correo no deseado que se crean en el portal de Defender.

De forma predeterminada, ZAP para phishing está habilitado en las directivas contra correo no deseado.

Para obtener más información sobre cómo configurar los veredictos de filtrado de correo no deseado, consulte Configurar directivas contra correo no deseado en Microsoft 365.

Purga automática de cero horas (ZAP) para suplantación de identidad de alta confianza

Para los mensajes leídos o no leídos que se identifican como suplantación de identidad de alta confianza después de la entrega, ZAP pone en cuarentena el mensaje. De forma predeterminada, solo los administradores pueden ver y administrar mensajes de suplantación de identidad de alta confianza en cuarentena. Sin embargo, los administradores pueden crear y usar directivas de cuarentena para definir qué pueden hacer los usuarios en los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Nota:

Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como suplantación de identidad de alta confianza, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de suplantación de identidad de alta confianza en cuarentena.

Zap para la suplantación de identidad de alta confianza está habilitada de forma predeterminada. Para obtener más información, vea Proteger de forma predeterminada en Office 365.

Purga automática de cero horas (ZAP) para correo no deseado

En el caso de los mensajes no leídos que se identifican como spam o spam de alta confianza después de la entrega, el resultado de ZAP depende de la acción configurada para un veredicto de spam o spam de alta confianza en la directiva antispam aplicable. Las acciones disponibles y los posibles resultados de ZAP se describen en la lista siguiente:

  • Agregar encabezado X, anteponer línea de asunto con texto, Redirigir mensaje a dirección de correo electrónico, Eliminar mensaje: ZAP no realiza ninguna acción en el mensaje.

  • Mover el mensaje a junk Email: ZAP mueve el mensaje a la carpeta junk Email.

    Para el veredicto de correo no deseado, esta es la acción predeterminada en la directiva de antispam predeterminada, las nuevas directivas personalizadas contra correo no deseado y la directiva de seguridad preestablecida estándar.

    Para el veredicto de spam de alta confianza , esta es la acción predeterminada en la directiva de antispam predeterminada y en las nuevas directivas personalizadas contra correo no deseado.

  • Mensaje de cuarentena: ZAP pone en cuarentena el mensaje.

    Para el veredicto de correo no deseado , esta es la acción predeterminada en la directiva de seguridad preestablecida Estricta.

    Para el veredicto de spam de alta confianza , esta es la acción predeterminada en las directivas de seguridad preestablecidas Estándar y Estricta.

De forma predeterminada, los usuarios pueden ver y administrar los mensajes que se pusieron en cuarentena como correo no deseado o spam de alta confianza donde son destinatarios. Sin embargo, los administradores pueden crear y usar directivas de cuarentena para definir qué pueden hacer los usuarios en los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

De forma predeterminada, ZAP para correo no deseado está habilitado en las directivas de antispam.

Para obtener más información sobre cómo configurar los veredictos de filtrado de correo no deseado, consulte Configurar directivas contra correo no deseado en Microsoft 365.

Cómo ver si ZAP movió el mensaje

Para determinar si ZAP movió el mensaje, tiene las siguientes opciones:

Nota:

ZAP no se registra en los registros de auditoría del buzón de Exchange como una acción del sistema.

Consideraciones sobre la purga automática de cero horas (ZAP) para datos adjuntos seguros en Microsoft Defender para Office 365

ZAP no pone en cuarentena los mensajes que están en proceso de entrega dinámica en el examen de directivas de datos adjuntos seguros. Si se recibe una señal de phishing o spam para los mensajes en este estado y el veredicto de filtrado de la directiva contra correo no deseado está establecido para realizar alguna acción en el mensaje (Mover a correo no deseado, redirigir, eliminar o poner en cuarentena), ZAP vuelve a la acción "Mover a correo no deseado".

Purga automática de cero horas (ZAP) en Microsoft Teams

Sugerencia

ZAP para Microsoft Teams solo está disponible para los clientes con suscripciones Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2. Para configurar ZAP para la protección de Teams, consulte Microsoft Defender para Office 365 compatibilidad del plan 2 con Microsoft Teams.

ZAP en chats de Teams

ZAP está disponible para mensajes internos en chats de Teams que se identifican como malware o phishing de alta confianza. Actualmente, no se admiten mensajes externos.

Teams es diferente del correo electrónico, porque todos los usuarios de un chat de Teams reciben la misma copia del mensaje al mismo tiempo (no hay bifurcación de mensajes). Cuando zap para la protección de Teams bloquea un mensaje, el mensaje se bloquea para todos los usuarios del chat. El bloque inicial se produce justo después de la entrega, pero ZAP se produce hasta 48 horas después de la entrega.

Las exclusiones de zap para la protección de Teams en los chats de Teams son importantes para los destinatarios de mensajes, no para los remitentes de mensajes. Para configurar excepciones para los chats de Teams, consulte Configuración de ZAP para la protección de Teams en Defender para Office 365 Plan 2.

Zap para la protección de Teams puede tomar medidas sobre los mensajes de todos los destinatarios de un chat si los destinatarios del chat no se excluyen de ZAP para la protección de Teams. Solo cuando todos los destinatarios de un chat se excluyen de ZAP para la protección de Teams, ZAP no tomará medidas en un mensaje. Estos escenarios se muestran en la tabla siguiente:

Escenario Resultado
Chat en grupo con destinatarios A, B, C y D.

Los destinatarios A, B, C y D se excluyen de ZAP para la protección de Teams.
ZAP no bloqueará los mensajes enviados al chat de grupo.
Chat en grupo con destinatarios A, B, C y D.

Solo los destinatarios A, B y C se excluyen de ZAP para la protección de Teams.
ZAP puede bloquear los mensajes enviados al chat de grupo para todos los destinatarios.
Chat en grupo con destinatarios A, B, C y D.

Los destinatarios A, B, C y D no se excluyen de ZAP para la protección de Teams.

El remitente X se excluye de ZAP para la protección de Teams y envía un mensaje al chat de grupo.
ZAP puede bloquear los mensajes enviados al chat de grupo para todos los destinatarios.

Vista remitente:

Imagen que muestra cómo funciona la protección de ZAP para Teams para el remitente.

Vista destinatario:

Imagen que muestra cómo funciona la protección de ZAP para Teams para el destinatario.

ZAP en canales de Teams

ZAP para la protección de Teams admite los siguientes tipos de canales de Teams:

  • Canales estándar: ZAP está disponible para los mensajes internos. Actualmente, no se admiten mensajes externos.
  • Canales compartidos: ZAP está disponible para mensajes internos y externos.

Actualmente, ZAP no está disponible en canales privados.

Para configurar excepciones para la protección zap para los canales de Teams, necesita la dirección de correo electrónico del destinatario. Esta dirección es diferente de la dirección de correo electrónico del canal en el cliente de Teams.

Para obtener la dirección de correo electrónico del destinatario que se usará para las excepciones para la protección del canal de Teams, use el valor Nombre y correo electrónico de la sección Detalles del canal del panel de entidades de mensajes de Teams. Para obtener más información, vea El panel de entidades de mensajes de Teams en Microsoft Defender para Office 365.

La dirección de correo electrónico del canal de Teams correcta desde el panel de entidades de mensaje de Teams.

Para configurar excepciones para canales de Teams, consulte Configuración de ZAP para la protección de Teams en Defender para Office 365 Plan 2.

Purga automática de cero horas (ZAP) para mensajes de suplantación de identidad de alta confianza en Teams

Para los mensajes que se identifican como suplantación de identidad de alta confianza después de la entrega, zap para la protección de Teams bloquea y pone en cuarentena el mensaje. Para establecer la directiva de cuarentena que se usa para las detecciones de suplantación de identidad de alta confianza en ZAP para Teams, consulte Microsoft Defender para Office 365 compatibilidad del plan 2 con Microsoft Teams.

Purga automática de cero horas (ZAP) para malware en mensajes de Teams

Para los mensajes que se identifican como malware, ZAP para la protección de Teams bloquea y pone en cuarentena el mensaje. Para establecer la directiva de cuarentena que se usa para las detecciones de malware en ZAP para Teams, consulte Microsoft Defender para Office 365 compatibilidad del plan 2 con Microsoft Teams.

Cómo ver si ZAP bloqueó un mensaje de Teams

Actualmente, solo los administradores pueden ver y administrar los mensajes que zap ha puesto en cuarentena para la protección de Teams. Para obtener más información, consulte Uso del portal de Microsoft Defender para administrar mensajes en cuarentena de Microsoft Teams.

Preguntas más frecuentes sobre la purga automática de cero horas (ZAP)

¿Qué ocurre si ZAP mueve mensajes legítimos a la carpeta de Email no deseado?

Siga el proceso normal para notificar falsos positivos a Microsoft. ZAP mueve el mensaje de la carpeta Bandeja de entrada a la carpeta de Email no deseado solo si el servicio determina que el mensaje es spam o malintencionado.

¿Qué ocurre si utilizo la carpeta Cuarentena en lugar de la carpeta Correo no deseado?

ZAP toma medidas en un mensaje en función de la configuración de las directivas contra correo no deseado, como se describió anteriormente en este artículo.

¿Cómo afecta ZAP a las excepciones a las características de protección en EOP y Defender para Office 365?

Las acciones ZAP pueden invalidarse mediante listas de remitentes seguros, reglas de flujo de correo de Exchange (reglas de transporte) y otros bloques organizativos y configuraciones permitidas. Sin embargo, para el malware y los veredictos de phishing de alta confianza, hay muy pocos escenarios en los que ZAP no actúa sobre los mensajes para proteger a los usuarios:

Es importante que tenga en cuenta cuidadosamente las implicaciones de omitir el filtrado, ya que podría poner en peligro la posición de seguridad de su organización.

¿Cuáles son los requisitos de licencia para ZAP?

No hay requisitos de licencias especiales para ZAP para malware, correo no deseado y suplantación de identidad (phishing). ZAP funciona en todos los buzones hospedados en Exchange Online. ZAP no funciona en buzones locales protegidos por EOP independiente.

Zap para la protección de Teams requiere licencias de Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2.

¿Funciona ZAP en los mensajes de otras carpetas del buzón (por ejemplo, mensajes movidos por reglas de bandeja de entrada)?

ZAP sigue funcionando siempre y cuando el mensaje no se haya eliminado o siempre que no se haya aplicado la misma acción o una acción más fuerte. Por ejemplo, si el mensaje está en la carpeta Junk Email y la acción de la directiva anti-phishing aplicable es cuarentena, ZAP pone en cuarentena el mensaje.

¿Cómo afecta ZAP a los buzones en espera?

ZAP pone en cuarentena los mensajes de los buzones en espera. ZAP puede mover mensajes a la carpeta junk Email en función de la acción configurada para un veredicto de spam o phishing en las directivas contra correo no deseado.

Para obtener más información sobre las retenciones en Exchange Online, consulte Suspensión local y retención por juicio en Exchange Online.