Investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365

Importante

El Portal de Microsoft 365 Defender mejorado ya está disponible. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el portal de Microsoft 365 Defender. Ver las novedades.

Se aplica a

Microsoft Defender para Office 365 incluye potentes capacidades de investigación y respuesta automatizadas (AIR) que pueden ahorrar tiempo y esfuerzo al equipo de operaciones de seguridad. A medida que se desencadenan las alertas, el equipo de operaciones de seguridad debe revisar, priorizar y responder a dichas alertas. Mantenerse al día con el volumen de alertas entrantes puede ser abrumador. Automatizar algunas de estas tareas puede ser de ayuda.

AIR permite que el equipo de operaciones de seguridad funcione de forma más eficaz y eficaz. Las capacidades de AIR incluyen procesos de investigación automatizados en respuesta a amenazas conocidas que existen actualmente. Las acciones de corrección apropiadas esperan su aprobación, lo que permite al equipo de operaciones de seguridad responder eficazmente a las amenazas detectadas. Con AIR, el equipo de operaciones de seguridad puede centrarse en tareas de mayor prioridad sin perder de vista las alertas importantes que se desencadenan.

Este artículo describe:

En este artículo también se incluyen los pasos siguientesy los recursos para obtener más información.

El flujo general de AIR

Se desencadena una alerta y un libro de juegos de seguridad inicia una investigación automatizada, lo que da como resultado resultados y acciones recomendadas. Este es el flujo general de AIR, paso a paso:

  1. Una investigación automatizada se inicia de una de las siguientes maneras:
  2. Mientras se ejecuta una investigación automatizada, recopila datos sobre el correo electrónico en cuestión y las entidades relacionadas con ese correo electrónico. Estas entidades pueden incluir archivos, direcciones URL y destinatarios. El ámbito de la investigación puede aumentar a medida que se desencadenan alertas nuevas y relacionadas.
  3. Durante y después de una investigación automatizada, los detalles y los resultados están disponibles para ver. Los resultados incluyen acciones recomendadas que se pueden realizar para responder y corregir las amenazas encontradas.
  4. El equipo de operaciones de seguridad revisa los resultados y recomendaciones dela investigación y aprueba o rechaza las acciones de corrección.
  5. A medida que se aprueban (o rechazan) las acciones de corrección pendientes, se completa la investigación automatizada.

En Microsoft Defender para Office 365, no se realiza ninguna acción de corrección automáticamente. Solo se realizan acciones de corrección tras obtener la aprobación del equipo de seguridad de su organización. Las capacidades de AIR ahorran tiempo al equipo de operaciones de seguridad identificando acciones de corrección y proporcionando los detalles necesarios para tomar una decisión fundamentada.

Durante y después de cada investigación automatizada, el equipo de operaciones de seguridad puede:

Sugerencia

Para obtener una introducción más detallada, vea How AIR works.

Cómo obtener AIR

Las funcionalidades de AIR se incluyen en Microsoft Defender para Office 365, siempre que se configuren las directivas y las alertas. ¿Necesita ayuda? Siga las instrucciones de Protección contra amenazas para configurar o configurar las siguientes opciones de protección:

Además, asegúrese de revisar lasdirectivas de alerta de su organización, especialmente las directivas predeterminadas en la categoría Administración de amenazas.

¿Qué directivas de alerta desencadenan investigaciones automatizadas?

Microsoft 365 proporciona muchas directivas de alerta integradas que ayudan Exchange identificar el uso indebido de permisos de administrador, la actividad de malware, las posibles amenazas externas e internas y los riesgos de gobierno de la información. Varias de las directivas de alerta predeterminadas pueden desencadenar investigaciones automatizadas. En la tabla siguiente se describen las alertas que desencadenan investigaciones automatizadas, su gravedad en el portal de Microsoft 365 Defender y cómo se generan:



Alerta Severity Cómo se genera la alerta
Se detectó un clic de dirección URL potencialmente malintencionado Alto Esta alerta se genera cuando se produce cualquiera de las siguientes situaciones:
  • Un usuario protegido por Caja fuerte vínculos de la organización hace clic en un vínculo malintencionado
  • Microsoft Defender identifica los cambios de veredicto para las direcciones URL Office 365
  • Los usuarios invalidan Caja fuerte de advertencia vínculos (según la directiva de vínculos de Caja fuerte de la organización).

Para obtener más información sobre los eventos que desencadenan esta alerta, vea Configurar Caja fuerte de vínculos.

Un usuario notifica un mensaje de correo electrónico como malware o phish Informativo Esta alerta se genera cuando los usuarios de la organización informan de mensajes como correo electrónico de suplantación de identidad mediante el complemento Report Message o el complemento Report Phishing.
Los mensajes de correo electrónico que contienen malware se quitan después de la entrega Informativo Esta alerta se genera cuando los mensajes de correo electrónico que contienen malware se entregan a los buzones de la organización. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de correo Exchange Online mediante purga automática de hora cero (ZAP).
Los mensajes de correo electrónico que contienen direcciones URL de suplantación de identidad se quitan después de la entrega Informativo Esta alerta se genera cuando los mensajes que contienen phish se entregan a los buzones de la organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones de correo mediante ZAP.
Se detectan patrones de envío de correo electrónico sospechosos Medio Esta alerta se genera cuando alguien de la organización ha enviado correo electrónico sospechoso y corre el riesgo de que se le restringa el envío de correo electrónico. La alerta es una advertencia anticipada para el comportamiento que puede indicar que la cuenta está en peligro, pero no lo suficientemente grave como para restringir al usuario.

Aunque es poco común, una alerta generada por esta directiva puede ser una anomalía. Sin embargo, es una buena idea comprobar si la cuenta de usuario está en peligro.

A un usuario se le restringe el envío de correo electrónico Alto Esta alerta se genera cuando alguien de la organización tiene restringido el envío de correo saliente. Normalmente, esta alerta se produce cuando una cuenta de correo electrónico está en peligro.

Para obtener más información acerca de los usuarios restringidos, vea Remove blocked users from the Restricted Users portal in Microsoft 365.

Sugerencia

Para obtener más información sobre las directivas de alerta o editar la configuración predeterminada, consulte Directivas de alerta en el Centro de cumplimiento de Microsoft 365.

Permisos necesarios para usar funcionalidades de AIR

Los permisos se conceden a través de determinados roles, como los que se describen en la tabla siguiente:



Tarea Rol(s) obligatorio(s)
Configurar características de AIR Uno de los siguientes roles:
  • Administrador global
  • Administrador de seguridad

Estos roles se pueden asignar en Azure Active Directory o en el portal Microsoft 365 Defender .

Iniciar una investigación automatizada

--- o ---

Aprobar o rechazar acciones recomendadas

Uno de los siguientes roles, asignados en Azure Active Directory o en el portal de Microsoft 365 Defender:
  • Administrador global
  • Administrador de seguridad
  • Operador de seguridad
  • Lector de seguridad
    --- y ---
  • Buscar y purgar (este rol solo se asigna en el portal Microsoft 365 Defender . Es posible que necesite crear un nuevo grupo de roles de colaboración & correo electrónico y agregar el rol Buscar y purgar a ese nuevo grupo de roles.

Licencias necesarias

Las licencias Office 365 plan 2 de Microsoft Defender deben asignarse a:

  • Administradores de seguridad (incluidos los administradores globales)
  • El equipo de operaciones de seguridad de la organización (incluidos los lectores de seguridad y los que tienen el rol Buscar y purgar)
  • Usuarios finales

Los cambios se van a realizar próximamente en el portal Microsoft 365 Defender web

Si ya estás usando funcionalidades de AIR en Microsoft Defender para Office 365, estás a punto de ver algunos cambios en el portal de Microsoft 365 Defender mejorado.

Centro de acciones unificadas.

El nuevo y mejorado portal de Microsoft 365 Defender reúne las capacidades de AIR en Microsoft Defender para Office 365 y en Microsoft Defender para endpoint. Con estas actualizaciones y mejoras, su equipo de operaciones de seguridad podrá ver detalles sobre investigaciones automatizadas y acciones de corrección en todos sus correos electrónicos, contenido de colaboración, cuentas de usuario y dispositivos, todo en un mismo sitio.

Sugerencia

El nuevo Microsoft 365 Microsoft 365 Defender web ( https://security.microsoft.com ) reemplaza a los siguientes centros:

Además de cambiar la dirección URL, hay un nuevo aspecto, diseñado para ofrecer a su equipo de seguridad una experiencia más optimizada, con visibilidad de más detecciones de amenazas en un solo lugar.

Qué esperar

En la tabla siguiente se enumeran los cambios y mejoras que se han realizado en AIR en Microsoft Defender para Office 365.



Item ¿Qué está cambiando?
Página Investigaciones La página Investigaciones actualizada es más coherente con lo que se ve en Microsoft Defender para endpoint. Verá algunos cambios generales de formato y estilo que se alinean con la nueva vista Investigaciones unificada. Por ejemplo, el gráfico de investigación tiene un formato más unificado.
Pestaña Usuarios La pestaña Usuarios ahora es la pestaña Buzones. Los detalles sobre los usuarios se enumeran en la pestaña Buzón de correo.
Pestaña Correo electrónico Se ha quitado la pestaña Correo electrónico; visite la pestaña Entidades para ver una lista de elementos del clúster de correo electrónico y correo electrónico.
Pestaña Entidades La pestaña Entidades tiene un estilo de pestaña en pestaña que incluye una vista de resumen total y la capacidad de filtrar por tipo de entidad. La pestaña Entidades ahora incluye una opción Ir a buscar, además de la opción Abrir en el Explorador. Ahora puede usar explorer o búsqueda avanzada para buscar entidades y amenazas, y filtrar los resultados.
Pestaña Acciones La pestaña Acciones actualizada ahora incluye una pestaña Acciones pendientes y una pestaña Historial de acciones. Las acciones se pueden aprobar (o rechazar) en un panel lateral que se abre al seleccionar una acción pendiente.
Ficha Evidencia Una nueva pestaña Evidencia muestra los resultados clave de la entidad relacionados con las acciones. Las acciones relacionadas con cada elemento de evidencia se pueden aprobar (o rechazar) en un panel lateral que se abre al seleccionar una acción pendiente.
Centro de actividades El Centro de acciones actualizado ( ) reúne acciones pendientes y completadas en https://security.microsoft.com/action-center correo electrónico, dispositivos e identidades. Para obtener más información, consulte Centro de acciones. (Para obtener más información, vea The Action center.)
Página Incidentes La página Incidentes ahora correlaciona varias investigaciones para proporcionar una mejor vista consolidada de las investigaciones. (Obtenga más información sobre incidentes.)

Siguientes pasos