Protección contra amenazas

Nota

¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.

Se aplica a

Esta es una guía de inicio rápido que divide la configuración de Defender para Office 365 en fragmentos. Si no está familiarizado con las características de protección contra amenazas en Office 365, no esté seguro de dónde empezar o si aprende mejor si lo hace, use esta guía como lista de comprobación y punto de partida.

Importante

La configuración recomendada inicial se incluye para cada tipo de directiva; sin embargo, hay muchas opciones disponibles y puede ajustar la configuración para satisfacer las necesidades específicas de su organización. Espere aproximadamente 30 minutos para que las directivas o los cambios funcionen a través del centro de datos.

Para omitir la configuración manual de la mayoría de las directivas de Defender para Office 365, puede usar directivas de seguridad preestablecidas en el nivel Estándar o Estricto. Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.

Requisitos

Suscripciones

Las características de protección contra amenazas se incluyen en todas las suscripciones de Microsoft o Office 365; sin embargo, algunas suscripciones tienen características avanzadas. En la tabla siguiente se enumeran las características de protección incluidas en este artículo junto con los requisitos mínimos de suscripción.

Sugerencia

Tenga en cuenta que más allá de las instrucciones para activar la auditoría, los pasos inician el antimalware, la suplantación de identidad (phishing) y el correo no deseado, que se marcan como parte de Office 365 Exchange Online Protection (EOP). Esto puede parecer extraño en un artículo de Defender para Office 365, hasta que recuerde (Defender para Office 365) contiene y se basa en EOP.

Tipo de protección Requisitos de suscripción
Registro de auditoría (con fines de informes) Exchange Online
Protección antimalware Exchange Online Protection (EOP)
Protección contra phishing EOP
Protección contra correo no deseado EOP
Protección contra direcciones URL y archivos malintencionados en el correo electrónico y documentos Office (vínculos Caja fuerte y datos adjuntos de Caja fuerte) Microsoft Defender para Office 365

Roles y permisos

Para configurar directivas de Defender para Office 365, se le debe asignar un rol adecuado. Eche un vistazo a la tabla siguiente para ver los roles que pueden realizar estas acciones.

Rol o grupo de roles Dónde obtener más información
administrador global Acerca de los roles de administración de Microsoft 365
Administrador de seguridad Azure AD roles integrados
Administración de la organización en Exchange Online Permisos de Exchange Online

Para más información, consulte Permisos en el portal de Microsoft 365 Defender.

Activar el registro de auditoría para informes e investigaciones

Parte 1: Protección contra malware en EOP

Para obtener más información sobre la configuración recomendada para el antimalware, consulte Configuración de directivas antimalware de EOP.

  1. Abra la página Antimalware en el portal de Microsoft 365 Defender en https://security.microsoft.com/antimalwarev2.

  2. En la página Antimalware, haga clic en el nombre para seleccionar la directiva denominada Predeterminada (predeterminada).

  3. En el control flotante de detalles de la directiva que se abre, haga clic en Editar configuración de protección y, a continuación, configure las siguientes opciones:

    • Sección configuración de protección :
      • Habilitar el filtro de datos adjuntos comunes: seleccione (activar). Haga clic en Personalizar tipos de archivo para agregar más tipos de archivo.
      • Habilitar la purga automática de cero horas para malware: compruebe que esta configuración está seleccionada. Para obtener más información sobre ZAP para malware, consulte Purga automática de cero horas (ZAP) para malware.
    • Directiva de cuarentena: deje seleccionado el valor predeterminado AdminOnlyAccessPolicy. Las directivas de cuarentena definen qué pueden hacer los usuarios en los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para más información, vea Directivas de cuarentena.
    • Sección de notificación : compruebe que no se ha seleccionado ninguna de las opciones de notificación.

    Cuando haya terminado, haga clic en Guardar.

  4. De nuevo en el control flotante de detalles de la directiva, haga clic en Cerrar.

Para obtener instrucciones detalladas para configurar directivas antimalware, consulte Configurar directivas antimalware en EOP.

Parte 2: Protección contra suplantación de identidad en EOP y Defender para Office 365

La protección contra suplantación de identidad está disponible en suscripciones que incluyen EOP. La protección contra suplantación de identidad avanzada está disponible en Defender para Office 365.

Para obtener más información sobre la configuración recomendada para las directivas contra suplantación de identidad (phishing), consulte Configuración de directivas contra suplantación de identidad (EOP) y Configuración de directivas anti phishing en Microsoft Defender para Office 365.

En el procedimiento siguiente se describe cómo configurar la directiva de anti phishing predeterminada. Configuración que solo están disponibles en Defender para Office 365 están claramente marcadas.

  1. Abra la página Anti-phishing en el portal de Microsoft 365 Defender en https://security.microsoft.com/antiphishing.

  2. En la página Anti-phishing , seleccione la directiva denominada Office365 AntiPhish Default (Predeterminado) haciendo clic en el nombre.

  3. En el control flotante de detalles de la directiva que aparece, configure los siguientes valores:

    • Sección Umbral de suplantación de identidad (phishing) & protección: haga clic en Editar configuración de protección y configure las siguientes opciones en el control flotante que se abre:

      • Umbral *de correo electrónico de suplantación de identidad: seleccione 2 : agresivo (estándar) o 3: más agresivo (estricto).
      • Sección * Suplantación: Configure los valores siguientes:
        • Seleccione Habilitar la protección de los usuarios, haga clic en el vínculo Administrar (nn) remitentes que aparece y, a continuación, agregue remitentes internos y externos para protegerse de la suplantación, como los miembros del consejo de la organización, el director general, el director financiero y otros líderes sénior.
        • Seleccione Habilitar dominios para proteger y, a continuación, configure los siguientes valores que aparecen:
          • Seleccione Incluir dominios de mi propiedad para proteger a los remitentes internos de los dominios aceptados (visibles haciendo clic en Ver mis dominios) de la suplantación.
          • Para proteger a los remitentes en otros dominios, seleccione Incluir dominios personalizados, haga clic en el vínculo Administrar (nn) dominios personalizados que aparece y, a continuación, agregue otros dominios para protegerlos de la suplantación.
      • Sección * Agregar remitentes y dominios de confianza: haga clic en Administrar (nn) remitentes y dominios de confianza para configurar excepciones de dominio de remitente y remitente para la protección de suplantación si es necesario.
      • Configuración de inteligencia de * buzones de correo: compruebe que habilitar la inteligencia de buzones y habilitar la inteligencia para la protección de suplantación está seleccionado.
      • Sección de suplantación de identidad : compruebe que la opción Habilitar inteligencia de suplantación está seleccionada.

      Cuando haya terminado, haga clic en Guardar.

    • Sección Acciones : haga clic en Editar acciones y configure los siguientes valores en el control flotante que se abre:

      • Sección Acciones del mensaje : Configure las siguientes opciones:
        • Si el mensaje se detecta como un usuario* suplantado: seleccione Poner en cuarentena el mensaje. Aparece un cuadro Aplicar directiva de cuarentena donde se selecciona la directiva de cuarentena que se aplica a los mensajes que están en cuarentena por la protección de suplantación de usuario.
        • Si el mensaje se detecta como un dominio* suplantado: seleccione Poner en cuarentena el mensaje. Aparece un cuadro Aplicar directiva de cuarentena donde se selecciona la directiva de cuarentena que se aplica a los mensajes que están en cuarentena por la protección de suplantación de dominio.
        • Si la inteligencia del buzón detecta un usuario* suplantado: seleccione Mover mensaje a las carpetas de correo no deseado (Estándar) de los destinatarios o Poner en cuarentena el mensaje (Estricto). Si selecciona Poner en cuarentena el mensaje, aparece un cuadro Aplicar directiva de cuarentena donde selecciona la directiva de cuarentena que se aplica a los mensajes que están en cuarentena por la protección de inteligencia del buzón de correo.
        • Si el mensaje se detecta como suplantación: seleccione Mover mensaje a las carpetas de correo no deseado (Estándar) de los destinatarios o Poner en cuarentena el mensaje (Estricto). Si selecciona Poner en cuarentena el mensaje, aparece un cuadro Aplicar directiva de cuarentena donde selecciona la directiva de cuarentena que se aplica a los mensajes que están en cuarentena mediante la protección de inteligencia contra suplantación de identidad.
      • Sugerencias de seguridad & sección indicadores : Configure los siguientes valores:
        • Mostrar el primer consejo de seguridad de contacto: seleccione (activar).
        • Mostrar consejo de seguridad *de suplantación de usuario: seleccione (activar).
        • Mostrar consejo de seguridad* de suplantación de dominio: seleccione (activar).
        • Mostrar caracteres inusuales de suplantación de usuario consejo de seguridad*: seleccionar (activar).
        • Mostrar (?) para remitentes no autenticados para la suplantación de identidad: seleccione (activar).
        • Mostrar etiqueta "via": seleccione (activar).

      Cuando haya terminado, haga clic en Guardar.

    *Esta configuración solo está disponible en Defender para Office 365.

  4. Haga clic en Guardar y, a continuación, en Cerrar.

Para obtener instrucciones detalladas sobre cómo configurar directivas de anti phishing, consulte Configurar directivas contra suplantación de identidad en EOP y Configurar directivas contra suplantación de identidad en Microsoft Defender para Office 365.

Parte 3: Protección contra correo no deseado en EOP

Para obtener más información sobre la configuración recomendada para la protección contra correo no deseado, consulte Configuración de directivas contra correo no deseado de EOP.

  1. Abra la página Directivas contra correo no deseado en el portal de Microsoft 365 Defender en https://security.microsoft.com/antispam.

  2. En la página Directivas contra correo no deseado , seleccione la directiva denominada Directiva de entrada antispam (predeterminada) de la lista haciendo clic en el nombre.

  3. En el control flotante de detalles de la directiva que aparece, configure los siguientes valores:

    • Umbral de correo electrónico masivo & sección de propiedades de correo no deseado : haga clic en Editar umbral y propiedades de correo no deseado. En el control flotante que aparece, configure los siguientes valores:

      • Umbral de correo electrónico masivo: establezca este valor en 5 (Estricto) o 6 (Estándar).
      • Deje otras opciones en sus valores predeterminados (Desactivado o Ninguno).

      Cuando haya terminado, haga clic en Guardar.

    • Sección Acciones : haga clic en Editar acciones. En el control flotante que aparece, configure los siguientes valores:

      • Sección Acciones del mensaje :

        • Correo no deseado: compruebe que la carpeta Mover mensaje a correo no deseado está seleccionada (Estándar) o seleccione Mensaje de cuarentena (estricto).
        • Correo no deseado de alta confianza: seleccione Mensaje de cuarentena.
        • Phishing: seleccione Mensaje de cuarentena.
        • Suplantación de identidad de alta confianza: compruebe que los mensajes de cuarentena están seleccionados.
        • Masivo: compruebe que la opción Mover mensaje a la carpeta Correo no deseado está seleccionada (Estándar) o seleccione Mensaje de cuarentena (Estricto).

        Para cada acción en la que seleccione Mensaje de cuarentena, aparece un cuadro Seleccionar directiva de cuarentena donde selecciona la directiva de cuarentena que se aplica a los mensajes que están en cuarentena por la protección contra correo no deseado.

      • Conservar el correo no deseado en cuarentena durante estos muchos días: compruebe el valor 30 días.

      • Habilitar sugerencias de seguridad de correo no deseado: compruebe que esta configuración está seleccionada (activada).

      • Habilitar la purga automática de cero horas (ZAP): compruebe que esta configuración está seleccionada (activada).

      Cuando haya terminado, haga clic en Guardar.

    • Sección De remitentes y dominios permitidos y bloqueados : revise o edite los remitentes permitidos y los dominios permitidos, como se describe en Creación de listas de remitentes bloqueados en EOP o Creación de listas de remitentes seguros en EOP.

      Cuando haya terminado, haga clic en Guardar.

  4. Cuando haya terminado, haga clic en Cerrar.

Para obtener instrucciones detalladas para configurar directivas contra correo no deseado, consulte Configurar directivas contra correo no deseado en EOP.

La protección con tiempo de clic frente a direcciones URL y archivos malintencionados está disponible en suscripciones que incluyen Microsoft Defender para Office 365. Se configura a través de Caja fuerte directivas de datos adjuntos y vínculos de Caja fuerte.

directivas de datos adjuntos de Caja fuerte en Microsoft Defender para Office 365

Para obtener más información sobre la configuración recomendada para los datos adjuntos de Caja fuerte, vea . Caja fuerte configuración de datos adjuntos.

  1. Abra la página datos adjuntos de Caja fuerte en el portal de Microsoft 365 Defender en https://security.microsoft.com/safeattachmentv2.

  2. En la página datos adjuntos de Caja fuerte, haga clic en Configuración global y, a continuación, configure las siguientes opciones en el control flotante que aparece:

    • Active Defender para Office 365 para SharePoint, OneDrive y Microsoft Teams: active esta opción (activar).

      Importante

      Antes de activar Caja fuerte Datos adjuntos para SharePoint, OneDrive y Microsoft Teams, compruebe que el registro de auditoría está activado en su organización. Normalmente, esta acción la realiza alguien que tiene asignado el rol Registros de auditoría en Exchange Online. Para obtener más información, vea Activar o desactivar la búsqueda de registros de auditoría.

    • Active Caja fuerte Documentos para clientes de Office: active esta opción (activar). Tenga en cuenta que esta característica solo está disponible y es significativa con los tipos de licencia necesarios. Para obtener más información, consulte Caja fuerte Documentos en Microsoft 365 E5.

    • Permitir a los usuarios hacer clic en la vista protegida incluso si Caja fuerte documentos identificaron el archivo como malintencionado: compruebe que esta configuración está desactivada (Desactivar).

    Cuando haya terminado, haga clic en Guardar.

  3. De nuevo en la página Datos adjuntos de Caja fuerte, haga clic en el icono Crear.

  4. En el Asistente para crear Caja fuerte directivas de datos adjuntos que se abre, configure los siguientes valores:

    • Asigne un nombre a la página de directiva :
      • Nombre: escriba algo único y descriptivo.
      • Descripción: escriba una descripción opcional.
    • Página Usuarios y dominios : dado que esta es la primera directiva y es probable que quiera maximizar la cobertura, considere la posibilidad de escribir los dominios aceptados en el cuadro Dominios . De lo contrario, puede usar los cuadros Usuarios y grupos para un control más pormenorizado. Para especificar excepciones , seleccione Excluir estos usuarios, grupos y dominios y escriba valores.
    • página Configuración:
      • Caja fuerte Respuesta de malware desconocida de datos adjuntos: seleccione Bloquear.
      • Directiva de cuarentena: el valor predeterminado está en blanco, lo que significa que se usa la directiva AdminOnlyAccessPolicy. Las directivas de cuarentena definen qué pueden hacer los usuarios en los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para más información, vea Directivas de cuarentena.
      • Redireccionamiento de datos adjuntos con datos adjuntos detectados : habilite el redireccionamiento: active esta configuración (seleccione) y escriba una dirección de correo electrónico para recibir los mensajes detectados.
      • Aplique la respuesta de detección de datos adjuntos Caja fuerte si el examen no se puede completar (tiempo de espera o errores): compruebe que esta configuración está seleccionada.
  5. Cuando haya terminado, haga clic en Enviary, a continuación, haga clic en Listo.

  6. (Recomendado) Como administrador global o administrador de SharePoint Online, ejecute el cmdlet Set-SPOTenant con el parámetro DisallowInfectedFileDownload establecido $true en en SharePoint PowerShell en línea.

    • $true bloquea todas las acciones (excepto Eliminar) para los archivos detectados. Los usuarios no pueden abrir, mover, copiar ni compartir los archivos detectados.
    • $false bloquea todas las acciones excepto Eliminar y Descargar. Las personas pueden optar por aceptar el riesgo y descargar un archivo detectado.
  7. Espere hasta 30 minutos para que los cambios se extiendan a todos los centros de datos Microsoft 365.

Para obtener instrucciones detalladas para configurar las directivas de datos adjuntos de Caja fuerte y la configuración global de Caja fuerte Datos adjuntos, consulte los temas siguientes:

Para obtener más información sobre la configuración recomendada para los vínculos de Caja fuerte, consulte configuración de vínculos de Caja fuerte.

  1. Abra la página Vínculos de Caja fuerte en el portal de Microsoft 365 Defender en https://security.microsoft.com/safelinksv2.

  2. En la página Vínculos Caja fuerte, haga clic en Configuración global y, a continuación, configure las siguientes opciones en el control flotante que aparece:

    • Configuración que se aplican al contenido de la sección de aplicaciones Office 365 admitidas:
      • Usar vínculos Caja fuerte en aplicaciones de Office 365: compruebe que esta configuración está activada (activar).
      • No realice un seguimiento cuando los usuarios hagan clic en vínculos protegidos en Office 365 aplicaciones: desactive esta configuración (Desactivar).
      • No permita que los usuarios hagan clic en la dirección URL original en Office 365 aplicaciones: compruebe que esta configuración está activada (activar).

    Cuando haya terminado, haga clic en Guardar.

  3. De nuevo en la página Vínculos Caja fuerte, haga clic en El icono Crear.

  4. En el Asistente para crear directivas de vínculos Caja fuerte que se abre, configure los siguientes valores:

    • Asigne un nombre a la página de directiva :
      • Nombre: escriba algo único y descriptivo.
      • Descripción: escriba una descripción opcional.
    • Página Usuarios y dominios : dado que esta es la primera directiva y es probable que quiera maximizar la cobertura, considere la posibilidad de escribir los dominios aceptados en el cuadro Dominios . De lo contrario, puede usar los cuadros Usuarios y grupos para un control más pormenorizado. Para especificar excepciones , seleccione Excluir estos usuarios, grupos y dominios y escriba valores.
    • Url & página configuración de protección :
      • Acción en direcciones URL potencialmente malintencionadas en la sección Correos electrónicos :
        • Activado: Caja fuerte Vínculos comprueba una lista de vínculos malintencionados conocidos cuando los usuarios hacen clic en vínculos en el correo electrónico: seleccione su configuración (activar).
        • Aplicar Caja fuerte Vínculos a mensajes de correo electrónico enviados dentro de la organización: seleccione esta opción (activar).
        • Aplicar el examen de direcciones URL en tiempo real en busca de vínculos sospechosos y vínculos que apunten a archivos: seleccione esta opción (activar).
        • Espere a que se complete el examen de direcciones URL antes de entregar el mensaje: seleccione esta opción (activar).
        • No vuelva a escribir direcciones URL, realice comprobaciones solo a través de Caja fuerte API de vínculos: compruebe que esta configuración no está seleccionada (desactivar).
      • No vuelva a escribir las siguientes direcciones URL en el correo electrónico: no tenemos ninguna recomendación específica para esta configuración. Para obtener más información, consulte las listas "No volver a escribir las siguientes direcciones URL" en Caja fuerte Directivas de vínculos.
      • Acción para direcciones URL potencialmente malintencionadas en Microsoft Teams sección:
        • *Activado: Caja fuerte Vínculos comprueba una lista de vínculos malintencionados conocidos cuando los usuarios hacen clic en vínculos en Microsoft Teams: seleccione esta opción (activar).
      • Haga clic en la sección configuración de protección :
        • Realizar un seguimiento de los clics del usuario: compruebe que esta configuración está seleccionada (activada).
        • Permitir que los usuarios haga clic en la dirección URL original: desactive esta configuración (no seleccionada).
        • Mostrar la personalización de marca de la organización en las páginas de notificación y advertencia: seleccionar esta configuración (activarla) solo es significativa después de haber seguido las instrucciones de Personalización del tema de Microsoft 365 para que la organización cargue el logotipo de la empresa.
    • Página de notificación :
      • ¿Cómo desea notificar a los usuarios? sección: opcionalmente, puede seleccionar Usar texto de notificación personalizado para escribir el texto de notificación personalizado que se va a usar. También puede seleccionar Usar Traductor de Microsoft para la localización automática para traducir el texto de notificación personalizado al idioma del usuario. De lo contrario, deje seleccionado Usar el texto de notificación predeterminado .
  5. Cuando haya terminado, haga clic en Enviary, a continuación, haga clic en Listo.

Para obtener instrucciones detalladas sobre cómo configurar directivas de vínculos de Caja fuerte y opciones globales para vínculos de Caja fuerte, consulte los temas siguientes:

Ahora configure alertas para los archivos detectados en SharePoint Online o OneDrive para la Empresa

Para recibir una notificación cuando un archivo de SharePoint Online o OneDrive para la Empresa se haya identificado como malintencionado, puede configurar una alerta como se describe en esta sección.

  1. En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya a Correo electrónico & directivas de & directivas > de alerta de colaboración>.

  2. En la página Directiva de alertas , haga clic en Nueva directiva de alerta.

  3. Se abre el Asistente para nueva directiva de alertas . En la página Nombre , configure los siguientes valores:

    • Nombre: escriba un nombre único y descriptivo. Por ejemplo, podría escribir Archivos malintencionados en Bibliotecas.
    • Descripción: escriba una descripción opcional.
    • Gravedad: seleccione Baja, Media o Alta.
    • Categoría: seleccione Administración de amenazas.

    Cuando haya terminado, haga clic en Siguiente.

  4. En la página Crear configuración de alerta , configure los siguientes valores:

    • ¿En qué quiere alertar? sección: La actividad es > Malware detectado en el archivo.
    • Cómo desea que se desencadene la alerta : compruebe cada vez que una actividad coincida con la regla seleccionada.

    Cuando haya terminado, haga clic en Siguiente.

  5. En la página Establecer los destinatarios , configure los siguientes valores:

    • Enviar notificaciones por correo electrónico: compruebe que esta configuración está seleccionada.
    • Destinatarios de correo electrónico: seleccione uno o varios administradores globales, administradores de seguridad o lectores de seguridad que deben recibir una notificación cuando se detecte un archivo malintencionado.
    • Límite diario de notificaciones: compruebe que no hay ningún límite seleccionado.

    Cuando haya terminado, haga clic en Siguiente.

  6. En la página Revisar la configuración, revise la configuración, compruebe que sí, activarla de inmediato está seleccionada y, a continuación, haga clic en Finalizar.

Para más información sobre las directivas de alertas, consulte Directivas de alerta en el portal de cumplimiento de Microsoft Purview.

Tareas posteriores a la instalación y pasos siguientes

Después de configurar las características de protección contra amenazas, asegúrese de supervisar cómo funcionan esas características. Revise y revise las directivas para que hagan lo que necesita. Además, busque nuevas características y actualizaciones de servicio que puedan agregar valor.

Qué hacer Recursos para obtener más información
Vea cómo funcionan las características de protección contra amenazas para su organización mediante la visualización de informes Informes de seguridad de correo electrónico

Informes para Microsoft Defender para Office 365

Explorador de amenazas

Revise y revise periódicamente las directivas de protección contra amenazas según sea necesario. Puntuación de seguridad

Microsoft 365 características de investigación y respuesta de amenazas

Inspección de nuevas características y actualizaciones del servicio Opciones de versión estándar y de destino

Centro de mensajes

Plan de desarrollo de Microsoft 365

Descripciones del servicio