Guía del usuario de prueba: Microsoft Defender para Office 365
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.
Bienvenido a la guía del usuario de prueba de Microsoft Defender para Office 365! Esta guía de usuario le ayuda a sacar el máximo partido a su evaluación gratuita enseñándole a proteger su organización frente a amenazas malintencionadas planteadas por mensajes de correo electrónico, vínculos (DIRECCIONES URL) y herramientas de colaboración.
¿Qué es Defender para Office 365?
Defender para Office 365 ayuda a las organizaciones a proteger su empresa al ofrecer una lista completa de funcionalidades, incluidas las directivas de protección contra amenazas, los informes, las funcionalidades de investigación y respuesta de amenazas y las funcionalidades automatizadas de investigación y respuesta.
Además de la detección de amenazas avanzadas, en el siguiente vídeo se muestra cómo las funcionalidades de SecOps de Defender para Office 365 pueden ayudar a su equipo a responder a las amenazas:
Modo de auditoría frente a modo de bloqueo para Defender para Office 365
¿Desea que su experiencia de Defender para Office 365 sea activa o pasiva? Estos son los dos modos entre los que puede seleccionar:
Modo de auditoría: se crean directivas de evaluación especiales para la protección contra suplantación de identidad (que incluye protección contra suplantación), datos adjuntos seguros y vínculos seguros. Estas directivas de evaluación están configuradas para detectar solo amenazas. Defender para Office 365 detecta mensajes dañinos para los informes, pero los mensajes no se actúan sobre ellos (por ejemplo, los mensajes detectados no se ponen en cuarentena). La configuración de estas directivas de evaluación se describe en la sección Directivas en modo de auditoría más adelante en este artículo.
El modo de auditoría proporciona acceso a informes personalizados para las amenazas detectadas por las directivas de evaluación de Defender para Office 365 en la página de evaluación de Microsoft Defender para Office 365 en https://security.microsoft.com/atpEvaluation.
Modo de bloqueo: la plantilla Estándar para directivas de seguridad preestablecidas se activa y se usa para la prueba, y los usuarios que especifique incluir en la prueba se agregan a la directiva de seguridad preestablecida Estándar. Defender para Office 365 detecta y toma medidas en los mensajes dañinos (por ejemplo, los mensajes detectados están en cuarentena).
La selección predeterminada y recomendada es limitar estas directivas de Defender para Office 365 a todos los usuarios de la organización. Pero, durante o después de la configuración de la prueba, puede cambiar la asignación de directiva a usuarios, grupos o dominios de correo electrónico específicos en el portal de Microsoft Defender o en PowerShell.
El modo de bloqueo no proporciona informes personalizados para las amenazas detectadas por Defender para Office 365. En su lugar, la información está disponible en los informes regulares y las características de investigación de Defender para Office 365 Plan 2. Para obtener más información, vea Informes para el modo de bloqueo.
Los factores clave que determinan qué modos están disponibles para usted son:
Ya sea que tenga o no Defender para Office 365 (Plan 1 o Plan 2) como se describe en Evaluación frente a evaluación para Defender para Office 365.
Cómo se entrega el correo electrónico a la organización de Microsoft 365, tal como se describe en los escenarios siguientes:
El correo de Internet fluye directamente en Microsoft 365, pero la suscripción actual solo tiene Exchange Online Protection (EOP) o Defender para Office 365 Plan 1.
En estos entornos, el modo de auditoría o el modo de bloqueo están disponibles, en función de las licencias.
Actualmente usa un servicio o dispositivo de terceros para la protección por correo electrónico de los buzones de Microsoft 365. El correo de Internet fluye a través del servicio de protección antes de su entrega a la organización de Microsoft 365. La protección de Microsoft 365 es lo más baja posible (nunca está completamente desactivada; por ejemplo, siempre se aplica la protección contra malware).
En estos entornos, solo está disponible el modo de auditoría . No es necesario cambiar el flujo de correo (registros MX) para evaluar Defender para Office 365 plan 2.
Comencemos
Modo de bloqueo
Paso 1: Introducción al modo de bloqueo
Iniciar la versión de prueba de Microsoft Defender para Office 365
Después de iniciar la versión de prueba y completar el proceso de configuración, los cambios pueden tardar hasta 2 horas en surtir efecto.
Hemos habilitado automáticamente la directiva de seguridad preestablecida Estándar en su entorno. Este perfil representa un perfil de protección de línea base adecuado para la mayoría de los usuarios. La protección estándar incluye:
- Vínculos seguros, datos adjuntos seguros y directivas contra la suplantación de identidad que engloban todo el espacio empresarial o el subconjunto de usuarios que hayas elegido durante el proceso de configuración de prueba.
- Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams.
- Protección de vínculos seguros para aplicaciones de Office 365 compatibles.
Mira este vídeo para obtener más información: Protección contra vínculos malintencionados con Vínculos seguros en Microsoft Defender para Office 365 - YouTube.
Permitir que los usuarios notifiquen contenido sospechoso en modo de bloqueo
Defender para Office 365 permite a los usuarios notificar mensajes a sus equipos de seguridad y permite que los administradores envíen mensajes a Microsoft para ser analizados.
- Compruebe o configure las opciones notificadas por el usuario para que los mensajes notificados vayan a un buzón de informes especificado, a Microsoft o a ambos.
- Implemente el complemento Mensaje de informe o el complemento De suplantación de identidad de informe para que los usuarios informen de los mensajes. O bien, los usuarios pueden usar el botón integrado Informe en Outlook en la Web (anteriormente conocido como Outlook Web App o OWA).
- Establece un flujo de trabajo para Notificar falsos positivos y falsos negativos.
- Use la pestaña Usuario notificado en la página Envíos de https://security.microsoft.com/reportsubmission?viewid=user para ver y administrar los mensajes notificados por el usuario.
Vea este vídeo para obtener más información: obtenga información sobre cómo usar la página Envíos para enviar mensajes para su análisis: YouTube.
Revisar informes para comprender el panorama de amenazas en modo de bloqueo
Usa las funcionalidades de informe de Defender para Office 365 para obtener más detalles sobre tu entorno.
- Comprende las amenazas recibidas en las herramientas de correo electrónico y de colaboración con el Informe de estado de protección contra amenazas.
- Consulta dónde se bloquean las amenazas con el informe de estado del Flujo de correo.
- Use el informe de protección de direcciones URL para revisar los vínculos que han visto los usuarios o que el sistema ha bloqueado.
Paso 2: Pasos intermedios en modo de bloqueo
Prioriza el enfoque en los principales usuarios de destino
Protege a los principales usuarios de destino y a los usuarios más visibles con Priority Account Protection en Defender para Office 365, lo que ayuda a priorizar el flujo de trabajo para garantizar la seguridad estos usuarios.
- Identifica los principales usuarios de destino o los usuarios visibles.
- Etiqueta a estos usuarios como cuentas de prioridad.
- Realice un seguimiento de las amenazas a las cuentas prioritarias en todo el portal.
Mira este vídeo para obtener más información: Proteger las cuentas de prioridad en Microsoft Defender para Office 365 - YouTube.
Evita infracciones costosas al impedir que el usuario se vea en peligro
Recibe alertas sobre posibles peligros y limita automáticamente el impacto de estas amenazas para evitar que los atacantes obtengan un acceso más profundo a tu entorno.
- Revisa las alertas de usuarios en peligro.
- Investigar y responder a usuarios en peligro.
Mira este vídeo para obtener más información: Detectar y responder a un peligro en Microsoft Defender para Office 365 - YouTube.
Usa el Explorador de amenazas para investigar el correo electrónico malintencionado
Defender para Office 365 permite investigar las actividades que ponen en peligro a las personas de la organización y tomar medidas para proteger la organización. Puede hacerlo mediante el Explorador de amenazas (Explorer):
- Buscar correo electrónico sospechoso que haya sido entregado: buscar y eliminar mensajes, identificar la dirección IP de un remitente de correo electrónico malintencionado o abrir un incidente para una investigación posterior.
- Email escenarios de seguridad en el Explorador de amenazas y detecciones en tiempo real
Mira las campañas dirigidas a tu organización
Consulta la imagen más grande con Vistas de campaña en Defender para Office 365, que te ofrece una vista de las campañas de ataque dirigidas a tu organización y su impacto en los usuarios.
Identificar las campañas dirigidas a los usuarios.
Visualizar el alcance del ataque.
Realizar un seguimiento de la interacción del usuario con estos mensajes.
Mira este vídeo para obtener más información: Vistas de campaña en Microsoft Defender para Office 365 - YouTube.
Usa la automatización para corregir riesgos
Responde de forma eficaz mediante la investigación y respuesta automatizadas (AIR) para revisar, priorizar y responder a las amenazas.
- Obtenga más información sobre las guías de usuario de investigación.
- Ver los detalles y resultados de una investigación.
- Elimina las amenazas mediante la aprobación de acciones de corrección.
Paso 3: Contenido avanzado en modo de bloqueo
Profundiza en los datos con la búsqueda basada en consultas
Usa la búsqueda avanzada para escribir reglas de detección personalizadas, inspeccionar proactivamente los eventos de tu entorno y localizar indicadores de amenazas. Explora los datos sin procesar del entorno.
- Crea reglas de detección personalizadas.
- Accede a consultas compartidas creadas por otros usuarios.
Vea este vídeo para obtener más información: Búsqueda de amenazas con Microsoft Defender XDR - YouTube.
Entrena a los usuarios para detectar amenazas simulando ataques
Proporciona los conocimientos adecuados a los usuarios para que identifiquen amenazas e informar de mensajes sospechosos con el entrenamiento de simulación de ataques en Defender para Office 365.
Simula amenazas realistas para identificar a los usuarios vulnerables.
Asigna formación a los usuarios en función de los resultados de la simulación.
Realiza un seguimiento del progreso de la organización en las simulaciones y la finalización de aprendizaje.
Modo de auditoría
Paso 1: Introducción al modo de auditoría
Inicio de la evaluación de Defender para Office 365
Una vez completado el proceso de configuración, los cambios pueden tardar hasta 2 horas en tomar efecto. Hemos configurado automáticamente las directivas de evaluación preestablecida en su entorno.
Las directivas de evaluación garantizan que no se realice ninguna acción en el correo electrónico detectado por Defender para Office 365.
Permitir que los usuarios notifiquen contenido sospechoso en modo de auditoría
Defender para Office 365 permite a los usuarios notificar mensajes a sus equipos de seguridad y permite que los administradores envíen mensajes a Microsoft para ser analizados.
- Compruebe o configure las opciones notificadas por el usuario para que los mensajes notificados vayan a un buzón de informes especificado, a Microsoft o a ambos.
- Implemente el complemento Mensaje de informe o el complemento De suplantación de identidad de informe para que los usuarios informen de los mensajes. O bien, los usuarios pueden usar el botón integrado Informe en Outlook en la Web (anteriormente conocido como Outlook Web App o OWA).
- Establece un flujo de trabajo para Notificar falsos positivos y falsos negativos.
- Use la pestaña Usuario notificado en la página Envíos de https://security.microsoft.com/reportsubmission?viewid=user para ver y administrar los mensajes notificados por el usuario.
Vea este vídeo para obtener más información: obtenga información sobre cómo usar la página Envíos para enviar mensajes para su análisis: YouTube.
Revisar informes para comprender el panorama de amenazas en modo auditoría
Usa las funcionalidades de informe de Defender para Office 365 para obtener más detalles sobre tu entorno.
- El panel Evaluación proporciona una vista sencilla de las amenazas detectadas por Defender para Office 365 durante la evaluación.
- Comprende las amenazas recibidas en las herramientas de correo electrónico y de colaboración con el Informe de estado de protección contra amenazas.
Paso 2: Pasos intermedios en modo auditoría
Usar el Explorador de amenazas para investigar el correo electrónico malintencionado en modo de auditoría
Defender para Office 365 permite investigar las actividades que ponen en peligro a las personas de la organización y tomar medidas para proteger la organización. Puede hacerlo mediante el Explorador de amenazas (Explorer):
- Buscar correo electrónico sospechoso que haya sido entregado: buscar y eliminar mensajes, identificar la dirección IP de un remitente de correo electrónico malintencionado o abrir un incidente para una investigación posterior.
- Email escenarios de seguridad en el Explorador de amenazas y detecciones en tiempo real
Convertir en protección estándar al final del período de evaluación
Cuando esté listo para activar directivas de Defender para Office 365 en producción, puede usar Convertir a protección estándar para pasar fácilmente del modo de auditoría al modo de bloqueo activando la directiva de seguridad preestablecida Estándar, que contiene todos o todos los destinatarios del modo de auditoría.
Migrar desde un dispositivo o servicio de protección de terceros a Defender para Office 365
Si ya tiene un dispositivo o servicio de protección de terceros que se encuentra delante de Microsoft 365, puede migrar su protección a Microsoft Defender para Office 365 para obtener las ventajas de una experiencia de administración consolidada, un costo potencialmente reducido (con productos que ya paga) y un producto consolidado con protección de seguridad integrada.
Para obtener más información, consulteMigrar desde un dispositivo o servicio de protección de terceros a Microsoft Defender para Office 365.
Paso 3: Contenido avanzado en modo auditoría
Entrenar a los usuarios para detectar amenazas mediante la simulación de ataques en modo auditoría
Proporciona los conocimientos adecuados a los usuarios para que identifiquen amenazas e informar de mensajes sospechosos con el entrenamiento de simulación de ataques en Defender para Office 365.
Simula amenazas realistas para identificar a los usuarios vulnerables.
Asigna formación a los usuarios en función de los resultados de la simulación.
Realiza un seguimiento del progreso de la organización en las simulaciones y la finalización de aprendizaje.
Recursos adicionales
- Guía interactiva:¿No estás familiarizado con Defender para Office 365? Revisa la guía interactiva para saber cómo empezar.
- Guía de introducción de Fast Track*: Microsoft Defender para Office 365
- Microsoft Defender para Office 365 documentación: obtenga información detallada sobre cómo funciona Defender para Office 365 y cómo implementarla mejor para su organización. Visite la documentación de Microsoft Defender para Office 365.
- Qué incluye: Para ver todas las características de seguridad del correo electrónico de Office 365 ordenadas por nivel de producto, consulta la Matriz de características.
- Por qué elegir Defender para Office 365: La hoja de datos de Defender para Office 365 muestra las 10 razones principales por las que los clientes eligen Microsoft.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de