Protección contra amenazas paso a paso en Microsoft Defender para Office 365
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
La pila de protección o filtrado de Microsoft Defender para Office 365 se puede dividir en cuatro fases, como en este artículo. En términos generales, el correo entrante pasa por todas estas fases antes de la entrega, pero la ruta de acceso real que toma el correo electrónico está sujeta a la configuración Defender para Office 365 de una organización.
Sugerencia
Manténgase atento hasta el final de este artículo para obtener un gráfico unificado de las 4 fases de Defender para Office 365 protección!
Fase 1: Protección perimetral
Desafortunadamente, los bloques perimetrales que antes eran críticos ahora son relativamente sencillos de superar para los actores incorrectos. Con el tiempo, se bloquea menos tráfico aquí, pero sigue siendo una parte importante de la pila.
Los bloques perimetrales están diseñados para ser automáticos. En el caso de falsos positivos, se notifica a los remitentes y se les indica cómo solucionar su problema. Los conectores de asociados de confianza con una reputación limitada pueden garantizar la entrega o se pueden implementar invalidaciones temporales al incorporar nuevos puntos de conexión.
La limitación de red protege a Office 365 infraestructura y clientes frente a ataques de denegación de servicio (DOS) limitando el número de mensajes que puede enviar un conjunto específico de infraestructura.
La reputación y limitación de IP bloquean los mensajes que se envían desde direcciones IP de conexión incorrecta conocidas. Si una dirección IP específica envía muchos mensajes en un breve período de tiempo, se limitarán.
La reputación del dominio bloquea los mensajes que se envían desde un dominio incorrecto conocido.
Filtro perimetral basado en directorios bloquea los intentos de recopilar información de directorio de una organización a través de SMTP.
Detección de devolución de correo no enviado impide que una organización sea atacada a través de informes de no entrega (NDR) no válidos.
El filtrado mejorado de conectores conserva la información de autenticación incluso cuando el tráfico pasa a través de otro dispositivo antes de que llegue a Office 365. Esto mejora la precisión de la pila de filtrado, incluidos los modelos de agrupación en clústeres heurísticas, contra la suplantación de identidad y el aprendizaje automático anti phishing, incluso en escenarios de enrutamiento complejos o híbridos.
Fase 2: Inteligencia del remitente
Las características de la inteligencia del remitente son fundamentales para detectar mensajes de correo no deseado, masivos, suplantación y suplantación no autorizados, además de tener en cuenta la detección de phish. La mayoría de estas características se pueden configurar individualmente.
Los desencadenadores y alertas de detección de riesgos de cuenta se generan cuando una cuenta tiene un comportamiento anómalo, coherente con el riesgo. En algunos casos, la cuenta de usuario se bloquea y no se puede enviar más mensajes de correo electrónico hasta que el equipo de operaciones de seguridad de una organización resuelva el problema.
Email La autenticación implica tanto métodos configurados por el cliente como métodos configurados en la nube, con el objetivo de garantizar que los remitentes estén autorizados y sean auténticos. Estos métodos resisten la suplantación de identidad.
- SPF puede rechazar los correos basados en registros TXT de DNS que enumeran las direcciones IP y los servidores que pueden enviar correo en nombre de la organización.
- DKIM proporciona una firma cifrada que autentica al remitente.
- DMARC permite a los administradores marcar SPF y DKIM según sea necesario en su dominio y exige la alineación entre los resultados de estas dos tecnologías.
- ARC se basa en DMARC para trabajar con el reenvío en listas de correo mientras se registra una cadena de autenticación.
La inteligencia de suplantación de identidad es capaz de filtrar aquellos a los que se les permite "suplantar" (es decir, aquellos que envían correo en nombre de otra cuenta o reenvía para una lista de correo) desde remitentes malintencionados que imitan dominios externos conocidos o de la organización. Separa el correo legítimo "en nombre de" de los remitentes que suplantan para entregar mensajes de spam y phishing.
Inteligencia contra la suplantación de identidad dentro de la organización detecta y bloquea los intentos de suplantación de identidad de un dominio dentro de la organización.
Inteligencia contra la suplantación de identidad entre dominios detecta y bloquea los intentos de suplantación de identidad de un dominio fuera de la organización.
El filtrado masivo permite a los administradores configurar un nivel de confianza masivo (BCL) que indica si el mensaje se envió desde un remitente masivo. Los administradores pueden usar el control deslizante masivo en la directiva antispam para decidir qué nivel de correo masivo tratar como correo no deseado.
Inteligencia de buzones aprende de los comportamientos estándar del correo electrónico del usuario. Aprovecha el gráfico de comunicación de un usuario para detectar cuándo un remitente solo parece ser alguien con el que el usuario suele comunicarse, pero en realidad es malintencionado. Este método detecta la suplantación.
La suplantación de inteligencia de buzones habilita o deshabilita los resultados de suplantación mejorados en función del mapa de remitente individual de cada usuario. Cuando está habilitada, esta característica ayuda a identificar la suplantación.
La suplantación de usuario permite a un administrador crear una lista de destinos de alto valor que probablemente se suplantarán. Si llega un correo donde el remitente solo parece tener el mismo nombre y dirección que la cuenta de alto valor protegida, el correo se marca o etiqueta. (Por ejemplo, trα cye@contoso.com para tracye@contoso.com).
La suplantación de dominio detecta dominios que son similares al dominio del destinatario y que intentan parecerse a un dominio interno. Por ejemplo, esta suplantación tracye@liw α re.com para tracye@litware.com.
Fase 3: Filtrado de contenido
En esta fase, la pila de filtrado comienza a controlar el contenido específico del correo, incluidos sus hipervínculos y datos adjuntos.
Las reglas de transporte (también conocidas como reglas de flujo de correo o reglas de transporte de Exchange) permiten a un administrador realizar una amplia gama de acciones cuando se cumple una gama igualmente amplia de condiciones para un mensaje. Todos los mensajes que fluyen a través de la organización se evalúan en función de las reglas de flujo de correo o las reglas de transporte habilitadas.
Microsoft Defender Antivirus se usa para detectar todo el malware conocido en los datos adjuntos.
El motor antivirus (AV) usa la coincidencia de tipos verdaderos para detectar el tipo de archivo, independientemente de la extensión de nombre de archivo (por ejemplo,
exe
los archivos cuyo nombre se ha cambiado setxt
detectan comoexe
archivos). Esta funcionalidad permite que el bloqueo de tipos (también conocido como filtro de datos adjuntos comunes) bloquee correctamente los tipos de archivo especificados por los administradores. Para obtener la lista de tipos de archivo admitidos, consulte Coincidencia de tipos true en el filtro de datos adjuntos comunes.Cada vez que Microsoft Defender para Office 365 detecta datos adjuntos malintencionados, el hash del archivo y un hash de su contenido activo se agregan a Exchange Online Protection reputación (EOP). El bloqueo de la reputación de los datos adjuntos bloquea ese archivo en todos los Office 365, y en los puntos de conexión, a través de llamadas en la nube de MSAV.
Agrupación heurística puede determinar que un archivo es sospechoso en función de la heurística de entrega. Cuando se encuentra un archivo adjunto sospechoso, toda la campaña se pausa y el archivo está en espacio aislado. Si se detecta que el archivo es malintencionado, se bloquea toda la campaña.
Modelo de aprendizaje automático actúa sobre el encabezado, el contenido del cuerpo y las direcciones URL de un mensaje para detectar intentos de suplantación de identidad.
Microsoft usa una determinación de la reputación del espacio aislado de direcciones URL y la reputación de direcciones URL de fuentes de terceros en el bloqueo de reputación de direcciones URL, para bloquear cualquier mensaje con una dirección URL malintencionada conocida.
Los heurísticos de contenido pueden detectar mensajes sospechosos en función de la estructura y la frecuencia de palabras dentro del cuerpo del mensaje, mediante modelos de aprendizaje automático.
Los espacios aislados de datos adjuntos seguros de cada dato adjunto para Defender para Office 365 clientes, mediante el análisis dinámico para detectar amenazas nunca antes vistas.
Detonación de contenido vinculado trata todas las direcciones URL que se vinculan a un archivo de un correo electrónico como datos adjuntos, creando de forma asincrónica un espacio aislado en el archivo en el momento de la entrega.
Detonación URL se produce cuando la tecnología antiphishing ascendente detecta que un mensaje o una dirección URL son sospechosos. La detonación de direcciones URL espacio aislado las direcciones URL del mensaje en el momento de la entrega.
Fase 4: Protección posterior a la entrega
La última fase tiene lugar después de la entrega de correo o archivo, actuando en el correo que se encuentra en varios buzones y archivos y vínculos que aparecen en clientes como Microsoft Teams.
Vínculos seguros es la protección de tiempo de clic de Defender para Office 365. Cada dirección URL de cada mensaje se ajusta para que apunte a los servidores de Vínculos seguros de Microsoft. Cuando se hace clic en una dirección URL, se comprueba la reputación más reciente, antes de que se redirija al usuario al sitio de destino. La dirección URL está en espacio aislado asincrónicamente para actualizar su reputación.
La purga automática de cero horas (ZAP) para phishing detecta y neutraliza de forma retroactiva los mensajes de phishing malintencionados que ya se han entregado a Exchange Online buzones.
ZAP para malware detecta y neutraliza de forma retroactiva los mensajes de malware malintencionados que ya se han entregado a Exchange Online buzones.
ZAP para correo no deseado detecta y neutraliza de forma retroactiva los mensajes de correo no deseado malintencionados que ya se han entregado a Exchange Online buzones.
Las vistas de campaña permiten a los administradores ver el panorama general de un ataque, más rápido y completamente, de lo que cualquier equipo podría sin automatización. Microsoft aprovecha las grandes cantidades de datos anti-phishing, antispam y antimalware en todo el servicio para ayudar a identificar las campañas y, a continuación, permite a los administradores investigarlas de principio a fin, incluidos los destinos, impactos y flujos, que también están disponibles en una escritura de campaña descargable.
Los complementos de mensaje de informe permiten a los usuarios notificar fácilmente falsos positivos (buen correo electrónico, marcados erróneamente como incorrectos) o falsos negativos (correo electrónico incorrecto marcado como bueno) a Microsoft para su posterior análisis.
Vínculos seguros para clientes de Office ofrece la misma protección de tiempo de clic de Vínculos seguros, de forma nativa, dentro de aplicaciones de Office compatibles como Word, PowerPoint y Excel.
La protección para OneDrive, SharePoint y Teams ofrece la misma protección de datos adjuntos seguros contra archivos malintencionados, de forma nativa, dentro de OneDrive, SharePoint y Microsoft Teams.
Cuando se selecciona una dirección URL que apunta a un archivo después de la entrega, la detonación de contenido vinculado muestra una página de advertencia hasta que se completa el espacio aislado del archivo y se detecta que la dirección URL es segura.
Diagrama de pila de filtrado
El diagrama final (como con todas las partes del diagrama que lo componen) está sujeto a cambios a medida que el producto crece y se desarrolla. Marque esta página y use la opción de comentarios que encontrará en la parte inferior si necesita preguntar después de las actualizaciones. Para los registros, esta es la pila con todas las fases en orden:
Gracias especiales de MSFTTracyP y el equipo de redacción de documentos a Giulian Garruba por este contenido.