Protección contra amenazasProtect against threats

  • 10 minutos para leer

Esta es una guía de inicio rápido que rompe la configuración de la protección contra amenazas avanzada en fragmentos.Here's a quick-start guide that breaks the configuration of Advanced Threat Protection into chunks. Si no está familiarizado con las características de protección contra amenazas de Office 365, pero no sabe dónde empezar, o si desea obtener mejores resultados, use esta guía como una lista de comprobación y un punto de partida.If you're new to threat protection features in Office 365, not sure where to begin, or if you learn best by doing, use this guidance as a checklist and a starting point.

Importante

Se incluye la configuración recomendada inicial para cada tipo de directiva; sin embargo, hay muchas opciones disponibles y puede ajustar la configuración para satisfacer las necesidades específicas de su organización.Initial recommended settings are included for each kind of policy; however, many options are available, and you can adjust your settings to meet your specific organization's needs. Espere unos 30 minutos para que las directivas o los cambios funcionen a través del centro de proceso de trabajo.Allow approximately 30 minutes for your policies or changes to work their way through your datacenter.

RequirementsRequirements

SuscripcionesSubscriptions

Las características de protección contra amenazas se incluyen en todas las suscripciones de Microsoft u Office 365; sin embargo, algunas suscripciones tienen características avanzadas.Threat protection features are included in all Microsoft or Office 365 subscriptions; however, some subscriptions have advanced features. En la tabla siguiente se enumeran las características de protección que se incluyen en este artículo junto con los requisitos mínimos de suscripción.The table below lists the protection features included in this article together with the minimum subscription requirements.

Sugerencia

Tenga en cuenta que, aparte de las instrucciones para activar la auditoría, los pasos inician anti-malware, anti-phishing y anti-spam, que están marcados como parte de Office 365 Exchange Online Protection (EOP).Notice that, beyond the directions to turn on auditing, steps start anti-malware, anti-phishing, and anti-spam, which are marked as part of Office 365 Exchange Online Protection (EOP). Esto puede parecer extraño en un artículo de protección contra amenazas avanzada, hasta que se recuerde que la protección contra amenazas avanzada (ATP) contiene y se basa en EOP.This can seem odd in an Advanced Threat Protection article, until you remember Advanced Threat Protection (ATP) contains, and builds on, EOP.

Tipo de protecciónProtection type Requisito de suscripciónSubscription requirement
Registro de auditoría (para fines de informes)Audit logging (for reporting purposes) Exchange OnlineExchange Online
Protección antimalwareAnti-malware protection Exchange Online Protection (EOP)Exchange Online Protection (EOP)
Protección contra phishingAnti-phishing protection EOPEOP
Protección contra correo no deseadoAnti-spam protection EOPEOP
Purgado automático de cero horas (para correo electrónico)Zero-hour auto purge (for email) EOPEOP
Protección frente a direcciones URL y archivos malintencionados en correo electrónico y documentos de Office (vínculos seguros y datos adjuntos seguros)Protection from malicious URLs and files in email and Office documents (safe links and safe attachments) Office 365 Advanced Threat Protection (ATP)Office 365 Advanced Threat Protection (ATP)
Activar ATP para cargas de trabajo de SharePoint, OneDrive y Microsoft TeamsTurn on ATP for SharePoint, OneDrive, and Microsoft Teams workloads ATPATP
Protección contra suplantación de identidad avanzadaAdvanced anti-phishing protection ATPATP

Roles y permisosRoles and permissions

Para configurar las directivas de ATP, debe tener asignado un rol apropiado en el centro de seguridad & cumplimiento.To configure ATP policies, you must be assigned an appropriate role in the Security & Compliance Center. Eche un vistazo a la tabla siguiente para obtener las funciones que pueden realizar estas acciones.Take a look at the table below for roles that can do these actions.

Rol o grupo de rolesRole or role group Dónde obtener más informaciónWhere to learn more
administrador globalglobal administrator Acerca de los roles de administración de Microsoft 365About Microsoft 365 admin roles
Administrador de seguridadSecurity Administrator Permisos de roles de administrador en Azure Active DirectoryAdministrator role permissions in Azure Active Directory
Administración de la organización en Exchange OnlineExchange Online Organization Management Permisos de Exchange OnlinePermissions in Exchange Online
yand
Exchange Online PowerShellExchange Online PowerShell

Para obtener más información, consulte permisos en el & centro de seguridad y cumplimiento.To learn more, see Permissions in the Security & Compliance Center.

Antes de empezar, active el registro de auditoría para los informes y la investigaciónBefore you begin, turn on Audit logging for reporting and investigation

Inicie el registro de auditoría anticipadamente.Start your audit logging early. Necesitará la auditoría para estar activada para algunos de los pasos que se indican a continuación.You'll need auditing to be ON for certain of the steps that follow. El registro de auditoría está disponible en las suscripciones que incluyen Exchange Online.Audit logging is available in subscriptions that include Exchange Online. Para poder ver los datos de los informes de protección contra amenazas, como el Panel de seguridad, los informes de seguridad de correo electrónicoy el Explorador, el registro de auditoría debe estar activado.In order to view data in threat protection reports, such as the Security Dashboard, email security reports, and Explorer, audit logging must be On. Para obtener más información, consulte activar o desactivar la búsqueda de registros de auditoría.To learn more, see Turn audit log search on or off.

Parte 1: protección contra malwarePart 1 - Anti-malware protection

La protección contra malware está disponible en las suscripciones que incluyen EOP.Anti-malware protection is available in subscriptions that include EOP.

  1. En el centro de seguridad & cumplimiento, elija Directiva de Administración de amenazas > Policy > contra malware.In the Security & Compliance Center, choose Threat management > Policy > Anti-malware.

  2. Haga doble clic en la directiva predeterminada y, a continuación, elija configuración.Double-click the Default policy, and then choose settings.

  3. Especifique las siguientes opciones de configuración:Specify the following settings:

    • En la sección respuesta de detección de malware , mantenga el valor predeterminado de no.In the Malware Detection Response section, keep the default setting of No.

    • En la sección filtro de tipos de datos adjuntos comunes , elija activado.In the Common Attachment Types Filter section, choose On.

  4. Haga clic en Guardar.Click Save.

Para obtener más información acerca de las opciones de directiva antimalware, vea Configure anti-malware Policies.To learn more about anti-malware policy options, see Configure anti-malware policies.

Parte 2: protección contra la suplantación de identidadPart 2 - Anti-phishing protection

[Anti-phishing][Anti-phishing]

La protección contra suplantación de identidad (phishing) está disponible en las suscripciones que incluyen EOP.Anti-phishing protection is available in subscriptions that include EOP. La protección contra suplantación de identidad avanzada está disponible en ATP.Advanced anti-phishing protection is available in ATP.

El siguiente procedimiento describe cómo configurar una directiva contra la suplantación de identidad ATP.The following procedure describes how to configure an ATP anti-phishing policy. Los pasos son similares a la configuración de una directiva contra la suplantación de identidad (sin ATP).The steps are similar for configuring an anti-phishing policy (without ATP).

  1. En el centro de seguridad & cumplimiento, elija la Directiva de Administración de amenazas > Policy > ATP anti-phishing.In the Security & Compliance Center, choose Threat management > Policy > ATP anti-phishing.

  2. Haga clic en directiva predeterminada.Click Default policy.

  3. En la sección suplantación , haga clic en Editary, a continuación, especifique las siguientes opciones de configuración:In the Impersonation section, click Edit, and then specify the following settings:

    • En la pestaña Agregar usuarios a proteger , active la protección.On the Add users to protect tab, turn On protection. A continuación, agregue usuarios, como los miembros del Consejo de su organización, su CEO, director financiero y otros líderes senior.Then add users, such as your organization's board members, your CEO, CFO, and other senior leaders. (Puede escribir una dirección de correo electrónico individual o hacer clic en para mostrar una lista).(You can type an individual email address, or click to display a list.)

    • En la pestaña Agregar dominios para proteger , Active incluir automáticamente los dominios que posea.On the Add domains to protect tab, turn on Automatically include the domains I own. Si tiene dominios personalizados, agréguelos ahora.If you have custom domains, add them now.

    • En la ficha acciones , seleccione poner en cuarentena el mensaje para las opciones usuario suplantado y dominio suplantado .On the Actions tab, select Quarantine the message for both the impersonated user and impersonated domain options. Además, active las sugerencias de seguridad de suplantación.Also, turn on impersonation safety tips.

    • En la pestaña inteligencia de buzones de correo, asegúrese de que la inteligencia de buzones está activada y active la protección de representación basada en inteligencia de buzones de correo.On the Mailbox intelligence tab, make sure mailbox intelligence is turned on and turn on mailbox intelligence-based impersonation protection. En la lista si el correo electrónico se envía por un usuario suplantado , elija poner en cuarentena el mensaje.In the If email is sent by an impersonated user list, choose Quarantine the message.

    • En la ficha Agregar remitentes y dominios de confianza, especifique los remitentes o dominios de confianza que desee agregar.On the Add trusted senders and domains tab, specify any trusted senders or domains that you want to add.

    • Guardar en la pestaña revisar la configuración una vez que hayas revisado la configuración.Save on the Review your settings tab after you've reviewed your settings.

  4. En la sección suplantación , haga clic en Editary, a continuación, especifique las siguientes opciones de configuración:In the Spoof section, click Edit, and then specify the following settings:

    • En la pestaña configuración de filtro de suplantación de identidad , asegúrese de que está activada la protección contra la suplantación de identidad.On the Spoofing filter settings tab, make sure anti-spoofing protection is turned on.

    • En la ficha acciones , elija poner en cuarentena el mensaje.On the Actions tab, choose Quarantine the message.

    • Guardar en la pestaña revisar la configuración una vez que haya revisado los cambios.Save on the Review your settings tab after you have reviewed your changes. (Si no realizó ningún cambio, Cancelar).(If you didn't make any changes, Cancel.)

  5. Cierre la página Configuración de directiva predeterminada.Close the default policy settings page.

Para obtener más información sobre las opciones de la Directiva antiphishing, consulte Configure ATP anti-phishing Policies.To learn more about your anti-phishing policy options, see Configure ATP anti-phishing policies.

Parte 3: protección contra correo no deseadoPart 3 - Anti-spam protection

La protección contra correo no deseado está disponible en las suscripciones que incluyen EOP.Anti-spam protection is available in subscriptions that include EOP.

  1. En el centro de seguridad & cumplimiento, Threat managementelija > Policy > anti-spamde la Directiva de administración de amenazas.In the Security & Compliance Center, choose Threat management > Policy > Anti-spam.

  2. En la pestaña personalizado , active la configuración personalizada.On the Custom tab, turn on Custom settings.

  3. Expanda directiva predeterminada de filtro de correo no deseado, haga clic en Editar Directivay especifique la siguiente configuración:Expand Default spam filter policy, click Edit policy, and then specify the following settings:

    • En la sección correo electrónico no deseado y acciones en masa , establezca el umbral en un valor de 5 o 6.In the Spam and bulk actions section, set the threshold to a value of 5 or 6.

    • En la sección listas de permitidos , revise (o edite) los remitentes y dominios permitidos.In the Allow lists section, review (and/or edit) your allowed senders and domains.

  4. Haga clic en Guardar.Click Save.

Para obtener más información sobre las opciones de la Directiva contra correo no deseado, vea configurar directivas contra correo no deseado en EOP.To learn more about your anti-spam policy options, see Configure anti-spam policies in EOP.

Parte 4: protección frente a direcciones URL y archivos malintencionados (vínculos seguros y datos adjuntos seguros)Part 4 - Protection from malicious URLs and files (Safe Links and Safe Attachments)

La protección de tiempo de clic de direcciones URL y archivos malintencionados está disponible en las suscripciones que incluyen Office 365 ATP (ATP).Time-of-click protection from malicious URLs and files is available in subscriptions that include Office 365 ATP (ATP). Se configura mediante las directivas de datos adjuntos seguros de ATP y vínculos seguros de ATP .It's set up through ATP Safe Attachments and ATP Safe Links policies.

Directivas de datos adjuntos seguros de ATPATP Safe Attachments policies

Para configurar los datos adjuntos seguros de ATP, debe definir al menos una directiva de datos adjuntos seguros ATP.To set up ATP Safe Attachments, you must define at least one ATP Safe Attachments policy.

  1. En el centro de seguridad & cumplimiento, seleccione Directiva de Administración de amenazas: > Policy > datos adjuntos seguros ATP.In the Security & Compliance Center, choose Threat management > Policy > ATP safe attachments.

  2. Seleccione la opción Activar ATP para SharePoint, OneDrive y Microsoft Teams.Select the option Turn on ATP for SharePoint, OneDrive, and Microsoft Teams.

  3. En la sección proteger archivos adjuntos de correo electrónico , haga clic en el signo más ( + ).In the Protect email attachments section, click the plus sign (+).

  4. Especifique las siguientes opciones de configuración:Specify the following settings:

    • En el cuadro nombre , escriba Block malware .In the Name box, type Block malware.

    • En la sección respuesta, elija bloquear.In the response section, choose Block.

    • En la sección redirigir datos adjuntos , seleccione la opción Habilitar redirección.In the Redirect attachment section, select the option Enable redirect. Especifique la dirección de correo electrónico del administrador o operador de seguridad de la organización, que va a revisar los archivos detectados.Specify the email address for your organization's security administrator or operator, who will review detected files.

    • En la sección aplicado a , elija el dominio del destinatario es.In the Applied to section, choose The recipient domain is. A continuación, seleccione su dominio, elija Agregary, después, haga clic en Aceptar.Then, select your domain, choose Add, and then OK.

  5. Guardar.Save.

  6. (Paso adicional recomendado) Como administrador global o administrador de SharePoint Online, ejecute el cmdlet set-SPOTenant con el parámetro DisallowInfectedFileDownload establecido en true para su entorno de Microsoft 365.(Recommended additional step) As a global administrator or a SharePoint Online administrator, run the Set-SPOTenant cmdlet with the DisallowInfectedFileDownload parameter set to true for your Microsoft 365 environment. (Esto impide que los usuarios abran, muevan, copien o compartan archivos que se detectan como malintencionados.)(This prevents people from opening, moving, copying, or sharing files that are detected as malicious.)

Para obtener más información, consulte configurar las directivas de datos adjuntos seguros de office 365 ATP y activar Office 365 ATP para SharePoint, OneDrive y Microsoft Teams.To learn more, see Set up Office 365 ATP Safe Attachments policies and Turn on Office 365 ATP for SharePoint, OneDrive, and Microsoft Teams.

Para configurar vínculos seguros ATP, revise y edite su directiva predeterminada y agregue una directiva para usuarios específicos.To set up ATP Safe Links, review and edit your default policy, and add a policy for specific users.

  1. En el centro de seguridad & cumplimiento, seleccione Directiva de Administración de amenazasde > Policy > ATP Safe links.In the Security & Compliance Center, choose Threat management > Policy > ATP Safe Links.

  2. Haga doble clic en la directiva predeterminada .Double-click the Default policy.

  3. En la sección usar vínculos seguros en , seleccione la opción Microsoft 365 apps for Enterprise, Office para iOS y Androidy, a continuación, haga clic en Guardar.In the Use safe links in section, select the option Microsoft 365 Apps for enterprise, Office for iOS and Android, and then click Save.

  4. En la sección directivas que se aplican a destinatarios específicos , haga clic en el signo más ( + ).In the Policies that apply to specific recipients section, click the plus sign (+).

  5. Especifique las siguientes opciones de configuración:Specify the following settings:

    • En el cuadro nombre , escriba un nombre, como Safe Links .In the Name box, type a name, such as Safe Links.

    • En la sección seleccionar la acción , elija activado.In the Select the action section, choose On.

    • Seleccione estas opciones:Select these options:

      • Usar datos adjuntos seguros para analizar contenido descargableUse safe attachments to scan downloadable content

      • Aplicar vínculos seguros a los mensajes de correo electrónico enviados dentro de la organizaciónApply safe links to email messages sent within the organization

      • No permitir que los usuarios hagan clic en los vínculos seguros a la dirección URL originalDo not let users click through safe links to original URL

    • En la sección aplicado a , elija el dominio del destinatario es.In the Applied to section, choose The recipient domain is. A continuación, seleccione su dominio, elija Agregary, después, haga clic en Aceptar.Then, select your domain, choose Add, and then OK.

  6. Guardar.Save.

Para obtener más información, consulte Configurar directivas de vínculos seguros de ATP de Office 365.To learn more, see Set up Office 365 ATP Safe Links policies.

Parte 5: activar ATP para cargas de trabajo de SharePoint, OneDrive y Microsoft TeamsPart 5 - Turn on ATP for SharePoint, OneDrive, and Microsoft Teams workloads

Se crean cargas de trabajo como SharePoint, OneDrive y Microsoft Teams para la colaboración.Workloads like SharePoint, OneDrive, and Teams are built for collaboration. El uso de ATP ayuda a bloquear y detectar archivos que se identifican como malintencionados en los sitios de grupo y las bibliotecas de documentos.Using ATP helps with blocking and detection of files that are identified as malicious in team sites and document libraries. Puede leer más sobre cómo funciona aquí.You can read more about how that works here.

Importante

Antes de comenzar este procedimiento, asegúrese de que el registro de auditoría ya esté activado en su entorno de Microsoft 365.Before you begin this procedure, make sure that audit logging is already turned on for your Microsoft 365 environment. Normalmente lo hace alguien que tiene el rol registros de auditoría asignado en Exchange Online.This is typically done by someone who has the Audit Logs role assigned in Exchange Online. Para obtener más información, consulte activar o desactivar la búsqueda de registros de auditoría.For more information, see Turn audit log search on or off!

  1. Vaya a https://protection.office.com e inicie sesión con su cuenta profesional o educativa.Go to https://protection.office.com, and sign in with your work or school account.

  2. En el centro de navegación de la & de seguridad, en el panel de navegación izquierdo, en Administración de amenazas, elija Policy > datos adjuntos segurosde directiva.In the Security & Compliance Center, in the left navigation pane, under Threat management, choose Policy > Safe Attachments.

    En el centro de seguridad & cumplimiento, elija Directiva de administración de amenazas. >

  3. Seleccione Activar ATP para SharePoint, OneDrive y Microsoft Teams.Select Turn on ATP for SharePoint, OneDrive, and Microsoft Teams.

    Activar la protección contra amenazas avanzada para SharePoint Online, OneDrive para la empresa y Microsoft Teams

  4. Guardar.Save.

  5. Revise (y, según corresponda, Edit) las directivas de datos adjuntos seguros de su organización y las directivas de vínculos a pruebade errores.Review (and, as appropriate, edit) your organization's Safe Attachments policies and Safe Links policies.

  6. Recomenda Como administrador global o administrador de SharePoint Online, ejecute el cmdlet set-SPOTenant con el parámetro DisallowInfectedFileDownload establecido en $true .(Recommended) As a global administrator or a SharePoint Online administrator, run the Set-SPOTenant cmdlet with the DisallowInfectedFileDownload parameter set to $true.

    • $true bloquea todas las acciones (excepto eliminar) para los archivos detectados.$true blocks all actions (except Delete) for detected files. Los usuarios no pueden abrir, mover, copiar o compartir los archivos detectados.People cannot open, move, copy, or share detected files.
    • $false bloquea todas las acciones excepto eliminar y descargar.$false blocks all actions except Delete and Download. Los usuarios pueden elegir entre aceptar el riesgo y descargar un archivo detectado.People can choose to accept the risk and download a detected file.

    Sugerencia

    Para obtener más información sobre el uso de PowerShell con Microsoft 365, consulte Manage microsoft 365 with PowerShell.To learn more about using PowerShell with Microsoft 365, see Manage Microsoft 365 with PowerShell.

  7. Espere hasta 30 minutos para que los cambios se extiendan a todos los centros de recursos de Microsoft 365.Allow up to 30 minutes for your changes to spread to all Microsoft 365 datacenters.

Ahora configurar alertas para los archivos detectadosNow set up alerts for detected files

Para recibir una notificación cuando se identificó un archivo en SharePoint Online, OneDrive para la empresa o Microsoft Teams como malintencionado, puede configurar una alerta.To receive notification when a file in SharePoint Online, OneDrive for Business, or Microsoft Teams has been identified as malicious, you can set up an alert.

  1. En el centro de seguridad & cumplimiento, elija alertas > Administrar alertas.In the Security & Compliance Center, choose Alerts > Manage alerts.

  2. Elija nueva Directiva de alerta.Choose New alert policy.

  3. Especifique un nombre para la alerta.Specify a name for the alert. Por ejemplo, podría escribir archivos malintencionados en bibliotecas.For example, you could type Malicious Files in Libraries.

  4. Escriba una descripción de la alerta.Type a description for the alert. Por ejemplo, puede escribir notificar a los administradores cuando se detectan archivos malintencionados en SharePoint Online, OneDrive o Microsoft Teams.For example, you could type Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams.

  5. En la sección enviar esta alerta cuando... , establezca:In the Send this alert when... section, set:

    a.a. En la lista actividades , seleccione malware detectado en el archivo.In the Activities list, choose Detected malware in file.

    b.b. Deje el campo usuarios vacío.Leave the Users field empty.

  6. En la sección enviar esta alerta a... , seleccione uno o varios administradores globales, administradores de seguridad o lectores de seguridad que deben recibir una notificación cuando se detecte un archivo malintencionado.In the Send this alert to... section, select one or more global administrators, security administrators, or security readers who should receive notification when a malicious file is detected.

  7. Guardar.Save.

Para obtener más información acerca de las alertas, consulte crear alertas de actividad en el centro de seguridad & cumplimiento.To learn more about alerts, see Create activity alerts in the Security & Compliance Center.

Nota

Cuando haya terminado de configurar, use estos vínculos para iniciar las investigaciones de carga de trabajo:When you're finished configuring, use these links to start workload investigations:

Parte 6: configuración adicional para configurarPart 6 - Additional settings to configure

Además de configurar la protección contra malware, archivos y direcciones URL malintencionadas, suplantación de identidad (phishing) y correo no deseado, le recomendamos que configure la purga automática de cero horas.Along with configuring protection from malware, malicious URLs and files, phishing, and spam, we recommend you configure zero-hour auto purge.

Purgado automático de cero horas para correo electrónico en EOPZero-hour auto purge for email in EOP

La purga automática de cero horas (ZAP) está disponible en las suscripciones que incluyen EOP.Zero-hour auto purge (ZAP) is available in subscriptions that include EOP. Esta protección está activada de forma predeterminada; sin embargo, deben cumplirse las siguientes condiciones para que la protección esté en vigor:This protection is turned on by default; however, the following conditions must be met for protection to be in effect:

Para obtener más información, consulte depuración automática de cero horas-protección contra correo no deseado y malware.To learn more, see Zero-hour auto purge - protection against spam and malware.

Tareas posteriores a la instalación y pasos siguientesPost-setup tasks and next steps

Después de configurar las características de protección contra amenazas, asegúrese de supervisar cómo funcionan estas características.After configuring the threat protection features, make sure to monitor how those features are working! Revise y revise las directivas para que puedan hacer lo que necesite.Review and revise your policies so that they do what you need them to. Además, vea las nuevas características y actualizaciones de servicio que pueden agregar valor.Also, watch for new features and service updates that can add value.

Qué hacerWhat to do Recursos para obtener más informaciónResources to learn more
Ver cómo funcionan las características de protección contra amenazas en su organización al ver los informesSee how threat protection features are working for your organization by viewing reports Panel de seguridadSecurity dashboard
Informes de seguridad de correo electrónicoEmail security reports
Informes para Office 365 ATPReports for Office 365 ATP
Explorador de amenazasThreat Explorer
Revisar y revisar periódicamente las directivas de protección contra amenazas según sea necesarioPeriodically review and revise your threat protection policies as needed Puntuación de seguridadSecure Score
Informes inteligentes y perspectivasSmart reports and insights
Características de respuesta y investigación de amenazas de Microsoft 365Microsoft 365 threat investigation and response features
Vea las nuevas características y actualizaciones de servicioWatch for new features and service updates Opciones de versión estándar y de destinoStandard and Targeted release options
Centro de mensajesMessage Center
Plan de desarrollo de Microsoft 365Microsoft 365 Roadmap
Descripciones de servicioService Descriptions
Obtenga información sobre las configuraciones de seguridad estándar y estricta recomendadas para EOP y ATPLearn the details about recommended Standard and Strict security configurations for EOP and ATP Configuración recomendada para EOP y la seguridad de ATP de Office 365Recommended settings for EOP and Office 365 ATP security