Compartir por


Guía de operaciones de seguridad de Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

En este artículo se proporciona información general sobre los requisitos y las tareas para el funcionamiento correcto de Microsoft Defender para Office 365 en su organización. Estas tareas ayudan a garantizar que el centro de operaciones de seguridad (SOC) proporciona un enfoque confiable y de alta calidad para proteger, detectar y responder a amenazas de seguridad relacionadas con el correo electrónico y la colaboración.

En el resto de esta guía se describen las actividades necesarias para el personal de SecOps. Las actividades se agrupan en tareas prescriptivas diarias, semanales, mensuales y ad hoc.

Un artículo complementario de esta guía proporciona información general para administrar incidentes y alertas de Defender para Office 365 en la página Incidentes del portal de Microsoft Defender.

La Guía de operaciones de seguridad de Microsoft Defender XDR contiene información adicional que puede usar para planear y desarrollar.

Para obtener un vídeo sobre esta información, vea https://youtu.be/eQanpq9N1Ps.

Actividades diarias

Supervisión de la cola de incidentes de Microsoft Defender XDR

La página Incidentes del portal de Microsoft Defender en https://security.microsoft.com/incidents (también conocida como cola de incidentes) permite administrar y supervisar eventos de los siguientes orígenes en Defender para Office 365:

Para obtener más información sobre la cola incidentes, consulte Priorización de incidentes en Microsoft Defender XDR.

El plan de evaluación de prioridades para supervisar la cola de incidentes debe usar el siguiente orden de prioridad para los incidentes:

  1. Se detectó un clic de dirección URL potencialmente malintencionado.
  2. El usuario ha restringido el envío de correo electrónico.
  3. Se han detectado patrones de envío de correo electrónico sospechosos.
  4. Email notifica el usuario como malware o phish, y varios usuarios informaron de correo electrónico como malware o phish.
  5. Email mensajes que contienen archivos malintencionados quitados después de la entrega, Email mensajes que contienen direcciones URL malintencionadas eliminadas después de la entrega y Email mensajes de una campaña eliminada después de la entrega.
  6. Phish entregado debido a una invalidación de ETR, Phish entregado porque la carpeta correo no deseado de un usuario está deshabilitada y Phish se entrega debido a una directiva de ip permitida
  7. El malware no se zapped porque ZAP está deshabilitado y Phish no zapped porque ZAP está deshabilitado.

La administración de colas de incidentes y los roles responsables se describen en la tabla siguiente:

Actividad Cadencia Descripción Persona
Valore los incidentes en la cola incidentes en https://security.microsoft.com/incidents. Diario Compruebe que todos los incidentes de gravedad media y alta de Defender para Office 365 estén evaluados. Equipo de operaciones de seguridad
Investigue y tome medidas de respuesta sobre incidentes. Diario Investigue todos los incidentes y realice activamente las acciones de respuesta recomendadas o manuales. Equipo de operaciones de seguridad
Resolución de incidentes. Diario Si el incidente se ha corregido, resuelva el incidente. La resolución del incidente resuelve todas las alertas activas vinculadas y relacionadas. Equipo de operaciones de seguridad
Clasificar incidentes. Diario Clasifique los incidentes como true o false. Para las alertas verdaderas, especifique el tipo de amenaza. Esta clasificación ayuda al equipo de seguridad a ver los patrones de amenazas y a defender su organización de ellos. Equipo de operaciones de seguridad

Administración de detecciones de falsos positivos y falsos negativos

En Defender para Office 365, se administran falsos positivos (buen correo marcado como incorrecto) y falsos negativos (se permite correo incorrecto) en las siguientes ubicaciones:

Para obtener más información, consulte la sección Administrar detecciones de falsos positivos y falsos negativos más adelante en este artículo.

La administración de falsos positivos y falsos negativos y las personas responsables se describen en la tabla siguiente:

Actividad Cadencia Descripción Persona
Envíe falsos positivos y falsos negativos a Microsoft en https://security.microsoft.com/reportsubmission. Diario Proporcione señales a Microsoft mediante la notificación de detecciones incorrectas de correo electrónico, dirección URL y archivos. Equipo de operaciones de seguridad
Analice los detalles del envío del administrador. Diario Comprenda los siguientes factores para los envíos que realiza a Microsoft:
  • ¿Qué causó el falso positivo o falso negativo?
  • Estado de la configuración de Defender para Office 365 en el momento del envío.
  • Si necesita realizar cambios en la configuración de Defender para Office 365.
Equipo de operaciones de seguridad

Administración de seguridad
Agregue entradas de bloque en la lista de permitidos o bloqueados de inquilinos en https://security.microsoft.com/tenantAllowBlockList. Diario Use la lista de permitidos o bloqueados de inquilinos para agregar entradas de bloque para las detecciones de direcciones URL negativas falsas, archivos o remitentes según sea necesario. Equipo de operaciones de seguridad
Libere el falso positivo de la cuarentena. Diario Después de que el destinatario confirme que el mensaje se puso en cuarentena incorrectamente, puede liberar o aprobar solicitudes de versión para los usuarios.

Para controlar lo que los usuarios pueden hacer con sus propios mensajes en cuarentena (incluida la versión o la solicitud de lanzamiento), consulte Directivas de cuarentena.
Equipo de operaciones de seguridad

Equipo de mensajería

Revisar las campañas de suplantación de identidad (phishing) y malware que dieron lugar a la entrega de correo

Actividad Cadencia Descripción Persona
Revise las campañas de correo electrónico. Diario Revise las campañas de correo electrónico dirigidas a su organización en https://security.microsoft.com/campaigns. Céntrese en las campañas que dieron lugar a la entrega de mensajes a los destinatarios.

Quite los mensajes de las campañas que existen en los buzones de usuario. Esta acción solo es necesaria cuando una campaña contiene correo electrónico que aún no se ha corregido mediante acciones de incidentes, purga automática de cero horas (ZAP) o corrección manual.
Equipo de operaciones de seguridad

Actividades semanales

En Defender para Office 365, puede usar los siguientes informes para revisar las tendencias de detección de correo electrónico en su organización:

Actividad Cadencia Descripción Persona
Revise los informes de detección de correo electrónico en: Semanal Revise las tendencias de detección de correo electrónico para detectar malware, suplantación de identidad (phishing) y correo no deseado en comparación con un buen correo electrónico. La observación a lo largo del tiempo le permite ver patrones de amenazas y determinar si necesita ajustar las directivas de Defender para Office 365. Administración de seguridad

Equipo de operaciones de seguridad

Seguimiento y respuesta a amenazas emergentes mediante análisis de amenazas

Use Análisis de amenazas para revisar las amenazas activas y de tendencia.

Actividad Cadencia Descripción Persona
Revise las amenazas en Análisis de amenazas en https://security.microsoft.com/threatanalytics3. Semanal El análisis de amenazas proporciona análisis detallados, incluidos los siguientes elementos:
  • Iocs.
  • Consultas de búsqueda sobre los actores de amenazas activos y sus campañas.
  • Técnicas de ataque populares y nuevas.
  • Vulnerabilidades críticas.
  • Superficies de ataque comunes.
  • Malware frecuente.
Equipo de operaciones de seguridad

Equipo de búsqueda de amenazas

Revisión de los usuarios principales de destino para el malware y la suplantación de identidad (phishing)

Use la pestaña Usuarios de destino superior (vista) en el área de detalles de las vistas Todo el correo electrónico, Malware y Phish del Explorador de amenazas para detectar o confirmar los usuarios que son los principales destinos de malware y correo electrónico de phishing.

Actividad Cadencia Descripción Persona
Revise la pestaña Usuarios principales de destino en el Explorador de amenazas en https://security.microsoft.com/threatexplorer. Semanal Use la información para decidir si necesita ajustar directivas o protecciones para estos usuarios. Agregue los usuarios afectados a las cuentas de prioridad para obtener las siguientes ventajas: Administración de seguridad

Equipo de operaciones de seguridad

Revise las principales campañas de malware y phishing dirigidas a su organización.

Las vistas de campaña revelan ataques de malware y suplantación de identidad (phishing) contra su organización. Para obtener más información, vea Vistas de campaña en Microsoft Defender para Office 365.

Actividad Cadencia Descripción Persona
Use Vistas de campaña en https://security.microsoft.com/campaigns para revisar los ataques de malware y phishing que le afectan. Semanal Obtenga información sobre los ataques y las técnicas y qué Defender para Office 365 pudo identificar y bloquear.

Use Descargar informe de amenazas en Vistas de campaña para obtener información detallada sobre una campaña.
Equipo de operaciones de seguridad

Actividades ad hoc

Investigación y eliminación manual del correo electrónico

Actividad Cadencia Descripción Persona
Investigue y quite el correo electrónico incorrecto en el Explorador de amenazas en https://security.microsoft.com/threatexplorer en función de las solicitudes del usuario. Ad hoc Use la acción Desencadenar investigación en el Explorador de amenazas para iniciar una investigación y un cuaderno de estrategias de respuesta automatizados en cualquier correo electrónico de los últimos 30 días. Desencadenar manualmente una investigación ahorra tiempo y esfuerzo al incluir de forma centralizada:
  • Una investigación raíz.
  • Pasos para identificar y correlacionar amenazas.
  • Acciones recomendadas para mitigar esas amenazas.

Para obtener más información, vea Ejemplo: Un mensaje de phish notificado por el usuario inicia un cuaderno de estrategias de investigación.

O bien, puede usar el Explorador de amenazas para investigar manualmente el correo electrónico con funcionalidades eficaces de búsqueda y filtrado y realizar acciones de respuesta manual directamente desde el mismo lugar. Acciones manuales disponibles:
  • Mover a la bandeja de entrada
  • Mover a correo no deseado
  • Mover a elementos eliminados
  • Eliminar temporalmente
  • Eliminación rígida.
Equipo de operaciones de seguridad

Búsqueda proactiva de amenazas

Actividad Cadencia Descripción Persona
Búsqueda periódica y proactiva de amenazas en:. Ad hoc Busque amenazas mediante el Explorador de amenazas y la búsqueda avanzada. Equipo de operaciones de seguridad

Equipo de búsqueda de amenazas
Compartir consultas de búsqueda. Ad hoc Comparta activamente consultas útiles y usadas con frecuencia dentro del equipo de seguridad para una búsqueda y corrección de amenazas manuales más rápidas.

Use seguimientos de amenazas y consultas compartidas en búsqueda avanzada.
Equipo de operaciones de seguridad

Equipo de búsqueda de amenazas
Cree reglas de detección personalizadas en https://security.microsoft.com/custom_detection. Ad hoc Cree reglas de detección personalizadas para supervisar de forma proactiva eventos, patrones y amenazas en función de Defender para Office 365 datos en La búsqueda anticipada. Las reglas de detección contienen consultas de búsqueda avanzadas que generan alertas basadas en los criterios coincidentes. Equipo de operaciones de seguridad

Equipo de búsqueda de amenazas

Revisión de las configuraciones de directiva de Defender para Office 365

Actividad Cadencia Descripción Persona
Revise la configuración de las directivas de Defender para Office 365 en https://security.microsoft.com/configurationAnalyzer. Ad hoc

Mensualmente
Use el Analizador de configuración para comparar la configuración de directiva existente con los valores Estándar o Estricto recomendados para Defender para Office 365. El analizador de configuración identifica cambios accidentales o malintencionados que pueden reducir la posición de seguridad de la organización.

También puede usar la herramienta ORCA basada en PowerShell.
Administración de seguridad

Equipo de mensajería
Revisión de las invalidaciones de detección en Defender para Office 365 enhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP Ad hoc

Mensualmente
Use la vista Ver datos por invalidación > del sistema Desglose del gráfico por motivo en el informe de estado de Protección contra amenazas para revisar el correo electrónico que se detectó como suplantación de identidad (phishing) pero que se entregó debido a la configuración de invalidación de usuario o directiva.

Investigue, quite o ajuste de forma activa las invalidaciones para evitar la entrega de correo electrónico que se determinó que era malintencionado.
Administración de seguridad

Equipo de mensajería

Revisión de las detecciones de suplantación y suplantación

Actividad Cadencia Descripción Persona
Revise la información de inteligencia de suplantación y la información de detección de suplantación en. Ad hoc

Mensualmente
Use la información de inteligencia desuplantación y la información de suplantación para ajustar el filtrado para las detecciones de suplantación y suplantación. Administración de seguridad

Equipo de mensajería

Revisar la pertenencia a la cuenta de prioridad

Actividad Cadencia Descripción Persona
Revise quién se define como una cuenta de prioridad en https://security.microsoft.com/securitysettings/userTags. Ad hoc Mantenga actualizada la pertenencia de las cuentas de prioridad con los cambios de la organización para obtener las siguientes ventajas para esos usuarios:
  • Mejor visibilidad en los informes.
  • Filtrado en incidentes y alertas.
  • Heurística personalizada para patrones de flujo de correo ejecutivo (protección de cuenta prioritaria).

Use etiquetas de usuario personalizadas para que otros usuarios obtengan:
  • Mejor visibilidad en los informes.
  • Filtrado en incidentes y alertas.
Equipo de operaciones de seguridad

Apéndice

Más información sobre Microsoft Defender para Office 365 herramientas y procesos

Los miembros del equipo de operaciones de seguridad y respuesta deben integrar Defender para Office 365 herramientas y características en las investigaciones y los procesos de respuesta existentes. El aprendizaje de las nuevas herramientas y funcionalidades puede tardar tiempo, pero es una parte fundamental del proceso de incorporación. La manera más sencilla de que los miembros del equipo de seguridad de SecOps y correo electrónico obtengan información sobre Defender para Office 365 es usar el contenido de entrenamiento que está disponible como parte del contenido de entrenamiento ninja en https://aka.ms/mdoninja.

El contenido está estructurado para diferentes niveles de conocimiento (fundamentales, intermedios y avanzados) con varios módulos por nivel.

Los vídeos breves para tareas específicas también están disponibles en el canal de YouTube Microsoft Defender para Office 365.

Permisos para Defender para Office 365 actividades y tareas

Los permisos para administrar Defender para Office 365 en el portal de Microsoft Defender y PowerShell se basan en el modelo de permisos de control de acceso basado en rol (RBAC). RBAC es el mismo modelo de permisos que usan la mayoría de los servicios de Microsoft 365. Para obtener más información, vea Permisos en el portal de Microsoft Defender.

Nota:

Privileged Identity Management (PIM) en Microsoft Entra ID también es una manera de asignar los permisos necesarios al personal de SecOps. Para obtener más información, vea Privileged Identity Management (PIM) y por qué usarlo con Microsoft Defender para Office 365.

Los siguientes permisos (roles y grupos de roles) están disponibles en Defender para Office 365 y se pueden usar para conceder acceso a los miembros del equipo de seguridad:

  • Microsoft Entra ID: roles centralizados que asignan permisos para todos los servicios de Microsoft 365, incluidos los Defender para Office 365. Puede ver los roles de Microsoft Entra y los usuarios asignados en el portal de Microsoft Defender, pero no puede administrarlos directamente allí. En su lugar, administra Microsoft Entra roles y miembros en https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Los roles más frecuentes que usan los equipos de seguridad son:

  • colaboración Exchange Online y Email &: roles y grupos de roles que conceden permisos específicos para Microsoft Defender para Office 365. Los siguientes roles no están disponibles en Microsoft Entra ID, pero pueden ser importantes para los equipos de seguridad:

    • Rol de vista previa (Email & colaboración): asigne este rol a los miembros del equipo que necesiten obtener una vista previa o descargar mensajes de correo electrónico como parte de las actividades de investigación. Permite a los usuarios obtener una vista previa y descargar mensajes de correo electrónico de buzones de correo en la nube mediante el Explorador de amenazas (Explorer) o las detecciones en tiempo real y la página de entidad Email.

      De forma predeterminada, el rol De vista previa solo se asigna a los siguientes grupos de roles:

      • Investigador de datos
      • Supervisor de eDiscovery

      Puede agregar usuarios a esos grupos de roles o puede crear un nuevo grupo de roles con el rol De vista previa asignado y agregar los usuarios al grupo de roles personalizado.

    • Rol de búsqueda y purga (Email & colaboración): apruebe la eliminación de mensajes malintencionados según lo recomendado por AIR o realice acciones manuales en los mensajes en experiencias de búsqueda como el Explorador de amenazas.

      De forma predeterminada, el rol Buscar y purgar solo se asigna a los siguientes grupos de roles:

      • Investigador de datos
      • Administración de la organización

      Puede agregar usuarios a esos grupos de roles, o puede crear un nuevo grupo de roles con el rol Buscar y purgar asignado y agregar los usuarios al grupo de roles personalizado.

    • Tenant AllowBlockList Manager (Exchange Online): administre las entradas de permitir y bloquear en la lista de permitidos o bloques de inquilinos. Bloquear direcciones URL, archivos (mediante hash de archivos) o remitentes es una acción de respuesta útil que se debe realizar al investigar el correo electrónico malintencionado que se ha entregado.

      De forma predeterminada, este rol solo se asigna al grupo de roles Operador de seguridad en Exchange Online, no en Microsoft Entra ID. La pertenencia al rol Operador de seguridad en Microsoft Entra IDno permite administrar las entradas de la lista de permitidos o bloqueados de inquilinos.

      Los miembros de los roles de administraciónadministrador de seguridad u organización de Microsoft Entra ID o los grupos de roles correspondientes de Exchange Online pueden administrar las entradas de la lista de permitidos o bloqueados de inquilinos.

Integración de SIEM/SOAR

Defender para Office 365 expone la mayoría de sus datos a través de un conjunto de API mediante programación. Estas API le ayudan a automatizar los flujos de trabajo y a hacer un uso completo de las funcionalidades de Defender para Office 365. Los datos están disponibles a través de las API de Microsoft Defender XDR y se pueden usar para integrar Defender para Office 365 en soluciones SIEM/SOAR existentes.

  • API de incidentes: las alertas de Defender para Office 365 y las investigaciones automatizadas son partes activas de incidentes en Microsoft Defender XDR. Los equipos de seguridad pueden centrarse en lo que es fundamental mediante la agrupación del ámbito de ataque completo y todos los recursos afectados.

  • API de streaming de eventos: permite el envío de eventos y alertas en tiempo real en un único flujo de datos a medida que se producen. Entre los tipos de eventos admitidos en Defender para Office 365 se incluyen:

    Los eventos contienen datos del procesamiento de todo el correo electrónico (incluidos los mensajes dentro de la organización) en los últimos 30 días.

  • API de búsqueda avanzada: permite la búsqueda de amenazas entre productos.

  • API de evaluación de amenazas: se puede usar para informar de correo no deseado, direcciones URL de suplantación de identidad (phishing) o datos adjuntos de malware directamente a Microsoft.

Para conectar Defender para Office 365 incidentes y datos sin procesar con Microsoft Sentinel, puede usar el conector de Microsoft Defender XDR (M365D)

Puede usar el siguiente ejemplo de "Hola mundo" para probar el acceso de la API a las API de Microsoft Defender: Hola mundo para Microsoft Defender XDR API REST.

Para obtener más información sobre la integración de herramientas SIEM, consulte Integración de las herramientas SIEM con Microsoft Defender XDR.

Abordar falsos positivos y falsos negativos en Defender para Office 365

Los mensajes notificados por el usuario y los envíos de administración de mensajes de correo electrónico son señales de refuerzo positivas críticas para nuestros sistemas de detección de aprendizaje automático. Los envíos nos ayudan a revisar, evaluar, aprender rápidamente y mitigar los ataques. Informar activamente de falsos positivos y falsos negativos es una actividad importante que proporciona comentarios a Defender para Office 365 cuando se cometen errores durante la detección.

Las organizaciones tienen varias opciones para configurar los mensajes notificados por el usuario. En función de la configuración, los equipos de seguridad pueden tener una participación más activa cuando los usuarios envían falsos positivos o falsos negativos a Microsoft:

  • Los mensajes notificados por el usuario se envían a Microsoft para su análisis cuando la configuración notificada por el usuario se configura con cualquiera de las opciones siguientes:

    • Enviar los mensajes notificados a: solo Microsoft.
    • Envíe los mensajes notificados a: Microsoft y mi buzón de informes.

    Los miembros de los equipos de seguridad deben realizar envíos de administración ad hoc cuando el equipo de operaciones detecta falsos positivos o falsos negativos que no han notificado los usuarios.

  • Cuando los mensajes notificados por el usuario están configurados para enviar mensajes solo al buzón de la organización, los equipos de seguridad deben enviar activamente falsos positivos y falsos negativos notificados por el usuario a Microsoft a través de envíos de administrador.

Cuando un usuario notifica un mensaje como phishing, Defender para Office 365 genera una alerta y la alerta desencadena un cuaderno de estrategias de AIR. La lógica de incidentes correlaciona esta información con otras alertas y eventos siempre que sea posible. Esta consolidación de la información ayuda a los equipos de seguridad a evaluar, investigar y responder a los mensajes notificados por el usuario.

La canalización de envío en el servicio sigue un proceso estrechamente integrado cuando los mensajes de informe de usuario y los administradores envían mensajes. Por lo general, este proceso incluye:

  • Reducción de ruido.
  • Evaluación de prioridades automatizada.
  • Clasificación por parte de analistas de seguridad y soluciones basadas en aprendizaje automático asociadas por el usuario.

Para obtener más información, consulte Generación de informes de un correo electrónico en Defender para Office 365 - Microsoft Tech Community.

Los miembros del equipo de seguridad pueden realizar envíos desde varias ubicaciones en el portal de Microsoft Defender en https://security.microsoft.com:

  • Administración envío: use la página Envíos para enviar sospechas de correo no deseado, suplantación de identidad (phishing), direcciones URL y archivos a Microsoft.

  • Directamente desde el Explorador de amenazas mediante una de las siguientes acciones de mensaje:

    • Informe limpio
    • Informar de suplantación de identidad
    • Informar de malware
    • Notificar correo no deseado

    Puede seleccionar hasta 10 mensajes para realizar un envío masivo. Administración envíos creados con estos métodos están visibles en las pestañas correspondientes de la página Envíos.

Para la mitigación a corto plazo de falsos negativos, los equipos de seguridad pueden administrar directamente entradas de bloque para archivos, direcciones URL y dominios o direcciones de correo electrónico en la lista de permitidos o bloqueados de inquilinos.

Para la mitigación a corto plazo de falsos positivos, los equipos de seguridad no pueden administrar directamente las entradas permitidas para dominios y direcciones de correo electrónico en la lista de permitidos o bloqueados de inquilinos. En su lugar, deben usar envíos de administrador para notificar el mensaje de correo electrónico como falso positivo. Para obtener instrucciones, consulte Informe de un buen correo electrónico a Microsoft.

La cuarentena en Defender para Office 365 contiene mensajes y archivos potencialmente peligrosos o no deseados. Los equipos de seguridad pueden ver, liberar y eliminar todos los tipos de mensajes en cuarentena para todos los usuarios. Esta funcionalidad permite a los equipos de seguridad responder de forma eficaz cuando se pone en cuarentena un mensaje o archivo falso positivo.

Integración de herramientas de informes de terceros con Defender para Office 365 mensajes notificados por el usuario

Si su organización usa una herramienta de informes de terceros que permite a los usuarios informar internamente de correo electrónico sospechoso, puede integrar la herramienta con las funcionalidades de mensajes notificados por el usuario de Defender para Office 365. Esta integración proporciona las siguientes ventajas a los equipos de seguridad:

  • Integración con las funcionalidades de AIR de Defender para Office 365.
  • Evaluación de prioridades simplificada.
  • Tiempo reducido de investigación y respuesta.

Designe el buzón de informes donde se envían los mensajes notificados por el usuario en la página Configuración notificada por el usuario en el portal de Microsoft Defender en https://security.microsoft.com/securitysettings/userSubmission. Para obtener más información, consulte Configuración notificada por el usuario.

Nota:

  • El buzón de informes debe ser un buzón de Exchange Online.
  • La herramienta de informes de terceros debe incluir el mensaje notificado original como un sin comprimir. EML o . Datos adjuntos MSG en el mensaje que se envía al buzón de informes (no reenvíe el mensaje original al buzón de informes). Para obtener más información, vea Formato de envío de mensajes para herramientas de informes de terceros.
  • El buzón de informes requiere requisitos previos específicos para permitir la entrega de mensajes potencialmente incorrectos sin filtrarse ni modificarse. Para obtener más información, vea Requisitos de configuración para el buzón de informes.

Cuando un mensaje notificado por el usuario llega al buzón de informes, Defender para Office 365 genera automáticamente la alerta denominada Email notificada por el usuario como malware o phish. Esta alerta inicia un cuaderno de estrategias de AIR. El cuaderno de estrategias realiza una serie de pasos de investigaciones automatizadas:

  • Recopile datos sobre el correo electrónico especificado.
  • Recopile datos sobre las amenazas y entidades relacionadas con ese correo electrónico (por ejemplo, archivos, direcciones URL y destinatarios).
  • Proporcione las acciones recomendadas para que el equipo de SecOps realice en función de los resultados de la investigación.

Email notifica el usuario como alertas de malware o phish, las investigaciones automatizadas y sus acciones recomendadas se correlacionan automáticamente con incidentes en Microsoft Defender XDR. Esta correlación simplifica aún más el proceso de evaluación y respuesta para los equipos de seguridad. Si varios usuarios notifican los mismos mensajes o similares, todos los usuarios y mensajes se correlacionan con el mismo incidente.

Los datos de alertas e investigaciones en Defender para Office 365 se comparan automáticamente con las alertas e investigaciones de los demás productos de Microsoft Defender XDR:

  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Si se detecta una relación, el sistema crea un incidente que proporciona visibilidad para todo el ataque.