Directivas de alerta en el Centro de seguridad y cumplimientoAlert policies in the security and compliance center

Puede usar las herramientas de directiva de alerta y panel de alertas en los centros de seguridad y cumplimiento de Microsoft 365 para crear directivas de alerta y, a continuación, ver las alertas generadas cuando los usuarios realizan actividades que coinciden con las condiciones de una directiva de alerta.You can use the alert policy and alert dashboard tools in the Microsoft 365 security and compliance centers to create alert policies and then view the alerts generated when users perform activities that match the conditions of an alert policy. Hay varias directivas de alerta predeterminadas que le ayudan a supervisar actividades como asignar privilegios de administrador en Exchange Online, ataques de malware, campañas de suplantación de identidad (phishing) y niveles inusuales de eliminaciones de archivos y uso compartido externo.There are several default alert policies that help you monitor activities such as assigning admin privileges in Exchange Online, malware attacks, phishing campaigns, and unusual levels of file deletions and external sharing.

Las directivas de alerta le permiten clasificar las alertas que desencadena una directiva, aplicar la directiva a todos los usuarios de la organización, establecer un nivel de umbral para cuando se desencadena una alerta y decidir si se van a recibir notificaciones por correo electrónico cuando se desencadenan alertas.Alert policies let you categorize the alerts that are triggered by a policy, apply the policy to all users in your organization, set a threshold level for when an alert is triggered, and decide whether to receive email notifications when alerts are triggered. También hay una página Ver alertas en el centro de seguridad y cumplimiento donde puede ver y filtrar alertas, establecer un estado de alerta para ayudarle a administrar alertas y, a continuación, descartar alertas después de haber resuelto o resuelto el incidente subyacente.There's also a View alerts page in the security and compliance center where you can view and filter alerts, set an alert status to help you manage alerts, and then dismiss alerts after you've addressed or resolved the underlying incident.

Nota

Las directivas de alerta están disponibles para organizaciones con una suscripción Microsoft 365 Enterprise, Office 365 Enterprise o Office 365 US Government E1/F1/G1, E3/F3/G3 o E5/G5.Alert policies are available for organizations with a Microsoft 365 Enterprise, Office 365 Enterprise, or Office 365 US Government E1/F1/G1, E3/F3/G3, or E5/G5 subscription. La funcionalidad avanzada solo está disponible para organizaciones con una suscripción A5/G5, o para organizaciones que tienen una suscripción E1/F1/G1 o E3/F3/G3 y Microsoft Defender para Office 365 P2 o Cumplimiento de Microsoft 365 E5 o una suscripción de complemento E5 eDiscovery and Audit.Advanced functionality is only available for organizations with an E5/G5 subscription, or for organizations that have an E1/F1/G1 or E3/F3/G3 subscription and a Microsoft Defender for Office 365 P2 or a Microsoft 365 E5 Compliance or an E5 eDiscovery and Audit add-on subscription. La funcionalidad que requiere una suscripción de E5/G5 o complemento se resalta en este tema.The functionality that requires an E5/G5 or add-on subscription is highlighted in this topic. Tenga en cuenta también que las directivas de alerta están disponibles en Office 365 GCC, GCC entornos gubernamentales de Estados Unidos de Alta y DoD.Also note that alert policies are available in Office 365 GCC, GCC High, and DoD US government environments.

Cómo funcionan las directivas de alertasHow alert policies work

Este es un resumen rápido de cómo funcionan las directivas de alertas y las alertas que se desencadenan cuando la actividad de usuario o administrador coincide con las condiciones de una directiva de alerta.Here's a quick overview of how alert policies work and the alerts that are triggers when user or admin activity matches the conditions of an alert policy.

Información general sobre cómo funcionan las directivas de alertas

  1. Un administrador de la organización crea, configura y activa una directiva de alerta mediante la página Directivas de alerta del Centro de seguridad y cumplimiento.An admin in your organization creates, configures, and turns on an alert policy by using the Alert policies page in the security and compliance center. También puede crear directivas de alerta mediante el cmdlet New-ProtectionAlert en PowerShell del Centro de & seguridad.You can also create alert policies by using the New-ProtectionAlert cmdlet in Security & Compliance Center PowerShell.

    Para crear directivas de alerta, debe tener asignado el rol Administrar alertas o el rol Configuración de la organización en el centro de seguridad y cumplimiento.To create alert policies, you have to be assigned the Manage Alerts role or the Organization Configuration role in the security and compliance center.

    Nota

    La directiva tarda hasta 24 horas después de crear o actualizar una directiva de alertas.It takes up to 24 hours after creating or updating an alert policy before alerts can be triggered by the policy. Esto se debe a que la directiva debe sincronizarse con el motor de detección de alertas.This is because the policy has to be synced to the alert detection engine.

  2. Un usuario realiza una actividad que coincide con las condiciones de una directiva de alerta.A user performs an activity that matches the conditions of an alert policy. En el caso de ataques de malware, los mensajes de correo electrónico infectados enviados a los usuarios de la organización desencadenan una alerta.In the case of malware attacks, infected email messages sent to users in your organization trigger an alert.

  3. Microsoft 365 genera una alerta que se muestra en la página Ver alertas del Centro de seguridad & cumplimiento.Microsoft 365 generates an alert that's displayed on the View alerts page in the Security & Compliance Center. Además, si las notificaciones por correo electrónico están habilitadas para la directiva de alerta, Microsoft envía una notificación a una lista de destinatarios.Also, if email notifications are enabled for the alert policy, Microsoft sends a notification to a list of recipients. Las alertas que un administrador u otros usuarios pueden ver en la página Ver alertas viene determinada por los roles asignados al usuario.The alerts that an admin or other users can see that on the View alerts page is determined by the roles assigned to the user. Para obtener más información, vea RBAC permissions required to view alerts.For more information, see RBAC permissions required to view alerts.

  4. Un administrador administra alertas en el Centro de seguridad y cumplimiento.An admin manages alerts in the security and compliance center. La administración de alertas consiste en asignar un estado de alerta para ayudar a realizar un seguimiento y administrar cualquier investigación.Managing alerts consists of assigning an alert status to help track and manage any investigation.

Configuración de directiva de alertaAlert policy settings

Una directiva de alerta consta de un conjunto de reglas y condiciones que definen la actividad de usuario o administrador que genera una alerta, una lista de usuarios que desencadenan la alerta si realizan la actividad y un umbral que define cuántas veces debe producirse la actividad antes de que se desencadene una alerta.An alert policy consists of a set of rules and conditions that define the user or admin activity that generates an alert, a list of users who trigger the alert if they perform the activity, and a threshold that defines how many times the activity has to occur before an alert is triggered. También categoriza la directiva y le asigna un nivel de gravedad.You also categorize the policy and assign it a severity level. Estas dos opciones le ayudan a administrar las directivas de alerta (y las alertas que se desencadenan cuando se cumplen las condiciones de la directiva) porque puede filtrar esta configuración al administrar directivas y ver alertas en el Centro de seguridad y cumplimiento.These two settings help you manage alert policies (and the alerts that are triggered when the policy conditions are matched) because you can filter on these settings when managing policies and viewing alerts in the security and compliance center. Por ejemplo, puede ver alertas que coincidan con las condiciones de la misma categoría o ver alertas con el mismo nivel de gravedad.For example, you can view alerts that match the conditions from the same category or view alerts with the same severity level.

Para ver y crear directivas de alerta, vaya a https://protection.office.com y, a continuación, seleccione Directivas de > alertas de alerta.To view and create alert policies, go to https://protection.office.com and then select Alerts > Alert policies.

En el Centro de seguridad y cumplimiento, seleccione Alertas y, a continuación, seleccione Directivas de alerta para ver y crear directivas de alertas

Una directiva de alertas consta de las siguientes opciones de configuración y condiciones.An alert policy consists of the following settings and conditions.

  • Actividad que realiza el seguimiento de la alerta: se crea una directiva para realizar un seguimiento de una actividad o, en algunos casos, algunas actividades relacionadas, como compartir un archivo con un usuario externo al compartirlo, asignar permisos de acceso o crear un vínculo anónimo.Activity the alert is tracking - You create a policy to track an activity or in some cases a few related activities, such a sharing a file with an external user by sharing it, assigning access permissions, or creating an anonymous link. Cuando un usuario realiza la actividad definida por la directiva, se desencadena una alerta en función de la configuración del umbral de alerta.When a user performs the activity defined by the policy, an alert is triggered based on the alert threshold settings.

    Nota

    Las actividades que se pueden realizar dependen del plan de administración Office 365 Enterprise organización o Office 365 del Gobierno de Estados Unidos.The activities that you can track depend on your organization's Office 365 Enterprise or Office 365 US Government plan. En general, las actividades relacionadas con campañas de malware y ataques de suplantación de identidad requieren una suscripción E5/G5 o una suscripción A1/F1/G1 o E3/F3/G3 con una suscripción de complemento de Defender for Office 365 Plan 2.In general, activities related to malware campaigns and phishing attacks require an E5/G5 subscription or an E1/F1/G1 or E3/F3/G3 subscription with an Defender for Office 365 Plan 2 add-on subscription.

  • Condiciones de actividad: para la mayoría de las actividades, puede definir condiciones adicionales que deben cumplirse para desencadenar una alerta.Activity conditions - For most activities, you can define additional conditions that must be met to trigger an alert. Entre las condiciones comunes se incluyen las direcciones IP (de modo que se desencadena una alerta cuando el usuario realiza la actividad en un equipo con una dirección IP específica o dentro de un intervalo de direcciones IP), si se desencadena una alerta si un usuario o usuarios específicos realizan esa actividad y si la actividad se realiza en un nombre de archivo o dirección URL específicos.Common conditions include IP addresses (so that an alert is triggered when the user performs the activity on a computer with a specific IP address or within an IP address range), whether an alert is triggered if a specific user or users perform that activity, and whether the activity is performed on a specific file name or URL. También puede configurar una condición que desencadena una alerta cuando cualquier usuario de la organización realiza la actividad.You can also configure a condition that triggers an alert when the activity is performed by any user in your organization. Las condiciones disponibles dependen de la actividad seleccionada.The available conditions are dependent on the selected activity.

  • Cuando se desencadena la alerta: puede configurar una configuración que defina la frecuencia con la que puede producirse una actividad antes de que se desencadene una alerta.When the alert is triggered - You can configure a setting that defines how often an activity can occur before an alert is triggered. Esto le permite configurar una directiva para generar una alerta cada vez que una actividad coincide con las condiciones de la directiva, cuando se supera un umbral determinado o cuando la aparición de la actividad que la alerta está rastreando se vuelve inusual para su organización.This allows you to set up a policy to generate an alert every time an activity matches the policy conditions, when a certain threshold is exceeded, or when the occurrence of the activity the alert is tracking becomes unusual for your organization.

    Configurar cómo se desencadenan las alertas, en función del momento en que se produce la actividad, un umbral o una actividad inusual para la organización

    Si selecciona la configuración en función de la actividad inusual, Microsoft establece un valor de línea base que define la frecuencia normal de la actividad seleccionada.If you select the setting based on unusual activity, Microsoft establishes a baseline value that defines the normal frequency for the selected activity. Se tarda hasta siete días en establecer esta línea base, durante la cual no se generarán alertas.It takes up to seven days to establish this baseline, during which alerts won't be generated. Una vez establecida la línea base, se desencadena una alerta cuando la frecuencia de la actividad rastreada por la directiva de alerta supera en gran parte el valor de línea base.After the baseline is established, an alert is triggered when the frequency of the activity tracked by the alert policy greatly exceeds the baseline value. Para las actividades relacionadas con la auditoría (como las actividades de archivos y carpetas), puede establecer una línea base basada en un único usuario o en función de todos los usuarios de la organización; para actividades relacionadas con malware, puede establecer una línea base basada en una única familia de malware, un solo destinatario o todos los mensajes de la organización.For auditing-related activities (such as file and folder activities), you can establish a baseline based on a single user or based on all users in your organization; for malware-related activities, you can establish a baseline based on a single malware family, a single recipient, or all messages in your organization.

    Nota

    La capacidad de configurar directivas de alerta basadas en un umbral o en una actividad inusual requiere una suscripción E5/G5 o una suscripción E1/F1/G1 o E3/F3/G3 con Microsoft Defender para Office 365 P2, Cumplimiento de Microsoft 365 E5 o una suscripción de complemento de exhibición de documentos electrónicos y auditoría Microsoft 365.The ability to configure alert policies based on a threshold or based on unusual activity requires an E5/G5 subscription, or an E1/F1/G1 or E3/F3/G3 subscription with a Microsoft Defender for Office 365 P2, Microsoft 365 E5 Compliance, or Microsoft 365 eDiscovery and Audit add-on subscription. Las organizaciones con una suscripción A1/F1/G1 y E3/F3/G3 solo pueden crear directivas de alerta donde se desencadene una alerta cada vez que se produzca una actividad.Organizations with an E1/F1/G1 and E3/F3/G3 subscription can only create alert policies where an alert is triggered every time that an activity occurs.

  • Categoría de alerta: para ayudar con el seguimiento y la administración de las alertas generadas por una directiva, puede asignar una de las siguientes categorías a una directiva.Alert category - To help with tracking and managing the alerts generated by a policy, you can assign one of the following categories to a policy.

    • Prevención de pérdida de datosData loss prevention

    • Información de gobiernoInformation governance

    • Flujo de correoMail flow

    • PermisosPermissions

    • Administración de amenazasThreat management

    • OtrosOthers

    Cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta generada se etiqueta con la categoría definida en esta configuración.When an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the category defined in this setting. Esto le permite realizar un seguimiento y administrar alertas que tienen la misma configuración de categoría en la página Ver alertas en el centro de seguridad y cumplimiento, ya que puede ordenar y filtrar alertas en función de la categoría.This allows you to track and manage alerts that have the same category setting on the View alerts page in the security and compliance center because you can sort and filter alerts based on category.

  • Gravedad de alerta: de forma similar a la categoría de alerta, se asigna un atributo de gravedad (Low, Medium, High o Informational) a las directivas de alerta.Alert severity - Similar to the alert category, you assign a severity attribute (Low, Medium, High, or Informational) to alert policies. Al igual que la categoría de alerta, cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta generada se etiqueta con el mismo nivel de gravedad que se establece para la directiva de alerta.Like the alert category, when an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the same severity level that's set for the alert policy. De nuevo, esto le permite realizar un seguimiento y administrar alertas que tienen la misma configuración de gravedad en la página Ver alertas.Again, this allows you to track and manage alerts that have the same severity setting on the View alerts page. Por ejemplo, puede filtrar la lista de alertas para que solo se muestren alertas con una gravedad alta. For example, you can filter the list of alerts so that only alerts with a High severity are displayed.

    Sugerencia

    Al configurar una directiva de alerta, considere la posibilidad de asignar una mayor gravedad a actividades que puedan tener consecuencias muy negativas, como la detección de malware después de la entrega a los usuarios, la visualización de datos confidenciales o clasificados, el uso compartido de datos con usuarios externos u otras actividades que puedan provocar pérdida de datos o amenazas de seguridad.When setting up an alert policy, consider assigning a higher severity to activities that can result in severely negative consequences, such as detection of malware after delivery to users, viewing of sensitive or classified data, sharing data with external users, or other activities that can result in data loss or security threats. Esto puede ayudarle a priorizar las alertas y las acciones que lleve a cabo para investigar y resolver las causas subyacentes.This can help you prioritize alerts and the actions you take to investigate and resolve the underlying causes.

  • Notificaciones de correo electrónico: puede configurar la directiva para que las notificaciones de correo electrónico se envíen (o no se envíen) a una lista de usuarios cuando se desencadene una alerta.Email notifications - You can set up the policy so that email notifications are sent (or not sent) to a list of users when an alert is triggered. También puede establecer un límite de notificación diario para que, una vez alcanzado el número máximo de notificaciones, no se envíen más notificaciones para la alerta durante ese día.You can also set a daily notification limit so that once the maximum number of notifications has been reached, no more notifications are sent for the alert during that day. Además de las notificaciones por correo electrónico, usted u otros administradores pueden ver las alertas que desencadena una directiva en la página Ver alertas.In addition to email notifications, you or other administrators can view the alerts that are triggered by a policy on the View alerts page. Considere la posibilidad de habilitar las notificaciones de correo electrónico para directivas de alerta de una categoría específica o que tengan una configuración de gravedad mayor.Consider enabling email notifications for alert policies of a specific category or that have a higher severity setting.

Directivas de alerta predeterminadasDefault alert policies

Microsoft proporciona directivas de alerta integradas que ayudan a identificar Exchange de permisos de administrador, actividad de malware, posibles amenazas externas e internas y riesgos de gobierno de la información.Microsoft provides built-in alert policies that help identify Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. En la página Directivas de alerta, los nombres de estas directivas integradas están en negrita y el tipo de directiva se define como System.On the Alert policies page, the names of these built-in policies are in bold and the policy type is defined as System. Estas directivas están activadas de forma predeterminada.These policies are turned on by default. Puedes desactivar estas directivas (o volver a activar), configurar una lista de destinatarios a los que enviar notificaciones por correo electrónico y establecer un límite de notificación diario.You can turn off these policies (or back on again), set up a list of recipients to send email notifications to, and set a daily notification limit. La otra configuración de estas directivas no se puede editar.The other settings for these policies can't be edited.

En la tabla siguiente se enumeran y describen las directivas de alerta predeterminadas disponibles y la categoría a la que se asigna cada directiva.The following table lists and describes the available default alert policies and the category each policy is assigned to. La categoría se usa para determinar qué alertas puede ver un usuario en la página Ver alertas.The category is used to determine which alerts a user can view on the View alerts page. Para obtener más información, vea RBAC permissions required to view alerts.For more information, see RBAC permissions required to view alerts.

En la tabla también se indica Office 365 Enterprise y Office 365 plan del Gobierno de Estados Unidos necesario para cada uno de ellos.The table also indicates the Office 365 Enterprise and Office 365 US Government plan required for each one. Algunas directivas de alerta predeterminadas están disponibles si su organización tiene la suscripción de complemento adecuada además de una suscripción E1/F1/G1 o E3/F3/G3.Some default alert policies are available if your organization has the appropriate add-on subscription in addition to an E1/F1/G1 or E3/F3/G3 subscription.

Directiva de alerta predeterminadaDefault alert policy DescripciónDescription CategoríaCategory Enterprise suscripciónEnterprise subscription
Se detectó un clic de dirección URL potencialmente malintencionadoA potentially malicious URL click was detected Genera una alerta cuando un usuario protegido por Caja fuerte vínculos de la organización hace clic en un vínculo malintencionado.Generates an alert when a user protected by Safe Links in your organization clicks a malicious link. Este evento se desencadena cuando Microsoft Defender identifica los cambios de veredicto de url para Office 365 o cuando los usuarios invalidan las páginas de vínculos de Caja fuerte (según la directiva de vínculos de Microsoft 365 para empresas de Caja fuerte de la organización).This event is triggered when URL verdict changes are identified by Microsoft Defender for Office 365 or when users override the Safe Links pages (based on your organization's Microsoft 365 for business Safe Links policy). Esta directiva de alerta tiene una configuración de gravedad alta.This alert policy has a High severity setting. Para los clientes de Defender Office 365 P2, E5, G5, esta alerta desencadena automáticamente la investigación automatizada y la respuesta en Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Para obtener más información sobre los eventos que desencadenan esta alerta, vea Configurar Caja fuerte de vínculos.For more information on events that trigger this alert, see Set up Safe Links policies. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Resultado de envío de administrador completadoAdmin Submission result completed Genera una alerta cuando un envío de administrador completa el nuevo análisis de la entidad enviada.Generates an alert when an Admin Submission completes the rescan of the submitted entity. Se activará una alerta cada vez que se represente un resultado de nuevo análisis desde un envío de administrador.An alert will be triggered every time a rescan result is rendered from an Admin Submission. Estas alertas están diseñadas para recordarle que revise los resultados de envíos anteriores, envíe mensajes notificadospor el usuario para obtener los últimos veredictos de comprobación de directivas y volver a examinar, y le ayudarán a determinar si las directivas de filtrado de su organización están teniendo el impacto previsto.These alerts are meant to remind you to review the results of previous submissions, submit user reported messages to get the latest policy check and rescan verdicts, and help you determine if the filtering policies in your organization are having the intended impact. Esta directiva tiene una configuración de gravedad informativo.This policy has a Informational severity setting. Administración de amenazasThreat management E1/F1, E3/F3 o E5E1/F1, E3/F3, or E5
Investigación manual de correo electrónico desencadenada por el administradorAdmin triggered manual investigation of email Genera una alerta cuando un administrador desencadena la investigación manual de un correo electrónico desde el Explorador de amenazas.Generates an alert when an admin triggers the manual investigation of an email from Threat Explorer. Para obtener más información, vea Ejemplo: un administrador de seguridad desencadena una investigación desde el Explorador de amenazas.For more information, see Example: A security administrator triggers an investigation from Threat Explorer. Esta alerta notifica a la organización que se inició la investigación.This alert notifies your organization that the investigation was started. La alerta proporciona información sobre quién la desencadenó e incluye un vínculo a la investigación.The alert provides information about who triggered it and includes a link to the investigation. Esta directiva tiene una configuración de gravedad informativo.This policy has an Informational severity setting. Administración de amenazasThreat management E5/G5 o Microsoft Defender para una Office 365 de complemento P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Creación de una regla de reenvío o redirecciónCreation of forwarding/redirect rule Genera una alerta cuando alguien de la organización crea una regla de bandeja de entrada para su buzón que reenvía o redirige mensajes a otra cuenta de correo electrónico.Generates an alert when someone in your organization creates an inbox rule for their mailbox that forwards or redirects messages to another email account. Esta directiva solo realiza un seguimiento de las reglas de bandeja de entrada que se crean Outlook en la Web (anteriormente conocidas como Outlook Web App) o Exchange Online PowerShell.This policy only tracks inbox rules that are created using Outlook on the web (formerly known as Outlook Web App) or Exchange Online PowerShell. Esta directiva tiene una configuración de gravedad informativo.This policy has a Informational severity setting. Para obtener más información acerca del uso de reglas de bandeja de entrada para reenviar y redirigir el correo electrónico en Outlook en la Web, vea Usar reglas en Outlook en la Web para reenviar automáticamente mensajes a otra cuenta.For more information about using inbox rules to forward and redirect email in Outlook on the web, see Use rules in Outlook on the web to automatically forward messages to another account. Administración de amenazasThreat management E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Búsqueda de exhibición de documentos electrónicos iniciada o exportadaeDiscovery search started or exported Genera una alerta cuando alguien usa la herramienta de búsqueda de contenido en el Centro de seguridad y cumplimiento.Generates an alert when someone uses the Content search tool in the Security and compliance center. Cuando se realizan las siguientes actividades de búsqueda de contenido, se desencadena una alerta:An alert is triggered when the following content search activities are performed:

* Se inicia una búsqueda de contenido* A content search is started
* Los resultados de una búsqueda de contenido se exportan* The results of a content search are exported
* Se exporta un informe de búsqueda de contenido* A content search report is exported

Las alertas también se desencadenan cuando las actividades de búsqueda de contenido anteriores se realizan en asociación con un caso de exhibición de documentos electrónicos.Alerts are also triggered when the previous content search activities are performed in association with an eDiscovery case. Esta directiva tiene una configuración de gravedad informativo.This policy has a Informational severity setting. Para obtener más información acerca de las actividades de búsqueda de contenido, vea Buscar actividades de exhibición de documentos electrónicos en el registro de auditoría.For more information about content search activities, see Search for eDiscovery activities in the audit log.
Administración de amenazasThreat management E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Elevación de Exchange privilegio de administradorElevation of Exchange admin privilege Genera una alerta cuando alguien tiene asignados permisos administrativos en su Exchange Online organización.Generates an alert when someone is assigned administrative permissions in your Exchange Online organization. Por ejemplo, cuando se agrega un usuario al grupo de roles Administración de la organización en Exchange Online.For example, when a user is added to the Organization Management role group in Exchange Online. Esta directiva tiene una configuración de gravedad baja.This policy has a Low severity setting. PermisosPermissions E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Mensajes de correo electrónico que contienen malware quitados después de la entregaEmail messages containing malware removed after delivery Genera una alerta cuando los mensajes que contienen malware se entregan a los buzones de la organización.Generates an alert when any messages containing malware are delivered to mailboxes in your organization. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de correo Exchange Online mediante la purga automática de hora cero.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Esta directiva tiene una configuración de gravedad informativo y desencadena automáticamente la investigación y respuesta automatizadas en Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Administración de amenazasThreat management E5/G5 o Microsoft Defender para una Office 365 de complemento P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Mensajes de correo electrónico que contienen direcciones URL de cebo quitados después de la entregaEmail messages containing phish URLs removed after delivery Genera una alerta cuando los mensajes que contienen phish se entregan a los buzones de la organización.Generates an alert when any messages containing phish are delivered to mailboxes in your organization. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de correo Exchange Online mediante la purga automática de hora cero.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Esta directiva tiene una configuración de gravedad informativo y desencadena automáticamente la investigación y respuesta automatizadas en Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Correo electrónico notificado por el usuario como malware o ceboEmail reported by user as malware or phish Genera una alerta cuando los usuarios de la organización informan de mensajes como correo electrónico de suplantación de identidad mediante el complemento Mensaje de informe.Generates an alert when users in your organization report messages as phishing email using the Report Message add-in. Esta directiva tiene una configuración de gravedad baja.This policy has an Low severity setting. Para obtener más información acerca de este complemento, vea Use the Report Message add-in.For more information about this add-in, see Use the Report Message add-in. Para los clientes de Defender Office 365 P2, E5, G5, esta alerta desencadena automáticamente la investigación automatizada y la respuesta en Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Administración de amenazasThreat management E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Límite de envío de correo electrónico superadoEmail sending limit exceeded Genera una alerta cuando alguien de la organización ha enviado más correo del permitido por la directiva de correo no deseado saliente.Generates an alert when someone in your organization has sent more mail than is allowed by the outbound spam policy. Esto suele indicar que el usuario envía demasiado correo electrónico o que la cuenta puede estar en peligro.This is usually an indication the user is sending too much email or that the account may be compromised. Esta directiva tiene una configuración de gravedad media.This policy has a Medium severity setting. Si obtiene una alerta generada por esta directiva de alerta, es buena idea comprobar si la cuenta de usuario está en peligro.If you get an alert generated by this alert policy, it's a good idea to check whether the user account is compromised. Administración de amenazasThreat management E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Formulario bloqueado debido a un posible intento de suplantación de identidadForm blocked due to potential phishing attempt Genera una alerta cuando se ha restringido a alguien de la organización el uso compartido de formularios y la recopilación de respuestas mediante Microsoft Forms debido al comportamiento de intento de suplantación de identidad (phishing) repetido detectado.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Administración de amenazasThreat management E1, E3/F3 o E5E1, E3/F3, or E5
Formulario marcado y confirmado como suplantación de identidadForm flagged and confirmed as phishing Genera una alerta cuando microsoft ha identificado un formulario creado en Microsoft Forms desde dentro de su organización como posible suplantación de identidad mediante el uso indebido de informes y confirmado como suplantación de identidad por Parte de Microsoft.Generates an alert when a form created in Microsoft Forms from within your organization has been identified as potential phishing through Report Abuse and confirmed as phishing by Microsoft. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Administración de amenazasThreat management E1, E3/F3 o E5E1, E3/F3, or E5
Los mensajes se han retrasadoMessages have been delayed Genera una alerta cuando Microsoft no puede entregar mensajes de correo electrónico a su organización local o a un servidor asociado mediante un conector.Generates an alert when Microsoft can't deliver email messages to your on-premises organization or a partner server by using a connector. Cuando esto sucede, el mensaje se pone en cola en Office 365.When this happens, the message is queued in Office 365. Esta alerta se desencadena cuando hay 2.000 mensajes o más que se han puesto en cola durante más de una hora.This alert is triggered when there are 2,000 messages or more that have been queued for more than an hour. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Flujo de correoMail flow E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Campaña de malware detectada después de la entregaMalware campaign detected after delivery Genera una alerta cuando un número inusualmente grande de mensajes que contienen malware se entregan a los buzones de la organización.Generates an alert when an unusually large number of messages containing malware are delivered to mailboxes in your organization. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones de correo.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Administración de amenazasThreat management E5/G5 o Microsoft Defender para una Office 365 de complemento P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Campaña de malware detectada y bloqueadaMalware campaign detected and blocked Genera una alerta cuando alguien ha intentado enviar un número inusualmente grande de mensajes de correo electrónico que contienen un determinado tipo de malware a los usuarios de la organización.Generates an alert when someone has attempted to send an unusually large number of email messages containing a certain type of malware to users in your organization. Si se produce este evento, Microsoft bloquea los mensajes infectados y no se entregan a los buzones.If this event occurs, the infected messages are blocked by Microsoft and not delivered to mailboxes. Esta directiva tiene una configuración de gravedad baja.This policy has a Low severity setting. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Campaña de malware detectada en SharePoint y OneDriveMalware campaign detected in SharePoint and OneDrive Genera una alerta cuando se detecta un volumen inusualmente alto de malware o virus en archivos ubicados en SharePoint sitios o OneDrive cuentas de la organización.Generates an alert when an unusually high volume of malware or viruses is detected in files located in SharePoint sites or OneDrive accounts in your organization. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Malware no zapped porque ZAP está deshabilitadoMalware not zapped because ZAP is disabled Genera una alerta cuando Microsoft detecta la entrega de un mensaje de malware a un buzón porque Zero-Hour la purga automática de mensajes de suplantación de identidad está deshabilitada.Generates an alert when Microsoft detects delivery of a malware message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Esta directiva tiene una configuración de gravedad informativo.This policy has an Informational severity setting. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Phish delivered because a user's Junk Mail folder is disabledPhish delivered because a user's Junk Mail folder is disabled Genera una alerta cuando Microsoft detecta que la carpeta correo no deseado de un usuario está deshabilitada, lo que permite la entrega de un mensaje de suplantación de identidad de elevada confianza en un buzón.Generates an alert when Microsoft detects a user’s Junk Mail folder is disabled, allowing delivery of a high confidence phishing message to a mailbox. Esta directiva tiene una configuración de gravedad informativo.This policy has an Informational severity setting. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P1 o P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Phish delivered due to an ETR overridePhish delivered due to an ETR override Genera una alerta cuando Microsoft detecta una regla de Exchange de transporte (ETR) que permitía la entrega de un mensaje de suplantación de identidad de elevada confianza en un buzón.Generates an alert when Microsoft detects an Exchange Transport Rule (ETR) that allowed delivery of a high confidence phishing message to a mailbox. Esta directiva tiene una configuración de gravedad informativo.This policy has an Informational severity setting. Para obtener más información sobre Exchange de transporte (reglas de flujo de correo), vea Reglas de flujo de correo (reglas de transporte) en Exchange Online.For more information about Exchange Transport Rules (Mail flow rules), see Mail flow rules (transport rules) in Exchange Online. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P1 o P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Phish delivered due to an IP allow policyPhish delivered due to an IP allow policy Genera una alerta cuando Microsoft detecta una directiva de direcciones IP permitidas que permitía la entrega de un mensaje de suplantación de identidad de elevada confianza a un buzón.Generates an alert when Microsoft detects an IP allow policy that allowed delivery of a high confidence phishing message to a mailbox. Esta directiva tiene una configuración de gravedad informativo.This policy has an Informational severity setting. Para obtener más información acerca de la directiva de ip allow (filtrado de conexiones), vea Configure the default connection filter policy - Office 365.For more information about the IP allow policy (connection filtering), see Configure the default connection filter policy - Office 365. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P1 o P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Phish no zapped porque ZAP está deshabilitadoPhish not zapped because ZAP is disabled Genera una alerta cuando Microsoft detecta la entrega de un mensaje de suplantación de identidad de elevada confianza a un buzón porque Zero-Hour la purga automática de mensajes de suplantación de identidad está deshabilitada.Generates an alert when Microsoft detects delivery of a high confidence phishing message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Esta directiva tiene una configuración de gravedad informativo.This policy has an Informational severity setting. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Phish delivered due to tenant or user override1Phish delivered due to tenant or user override1 Genera una alerta cuando Microsoft detecta un administrador o una invalidación de usuario que permite la entrega de un mensaje de suplantación de identidad a un buzón.Generates an alert when Microsoft detects an admin or user override allowed the delivery of a phishing message to a mailbox. Algunos ejemplos de invalidaciones incluyen una regla de flujo de correo o bandeja de entrada que permite mensajes de un remitente o dominio específico, o una directiva contra correo no deseado que permite mensajes de remitentes o dominios específicos.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Actividad de reenvío de correo electrónico sospechosoSuspicious email forwarding activity Genera una alerta cuando alguien de la organización ha enviado automáticamente correo electrónico a una cuenta externa sospechosa.Generates an alert when someone in your organization has autoforwarded email to a suspicious external account. Se trata de una advertencia anticipada para el comportamiento que puede indicar que la cuenta está en peligro, pero no lo suficientemente grave como para restringir al usuario.This is an early warning for behavior that may indicate the account is compromised, but not severe enough to restrict the user. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Aunque es poco común, una alerta generada por esta directiva puede ser una anomalía.Although it's rare, an alert generated by this policy may be an anomaly. Es una buena idea comprobar si la cuenta de usuario está en peligro.It's a good idea to check whether the user account is compromised. Administración de amenazasThreat management E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Patrones de envío de correo electrónico sospechosos detectadosSuspicious email sending patterns detected Genera una alerta cuando alguien de la organización ha enviado correo electrónico sospechoso y corre el riesgo de que se le restringa el envío de correo electrónico.Generates an alert when someone in your organization has sent suspicious email and is at risk of being restricted from sending email. Se trata de una advertencia anticipada para el comportamiento que puede indicar que la cuenta está en peligro, pero no lo suficientemente grave como para restringir al usuario.This is an early warning for behavior that may indicate that the account is compromised, but not severe enough to restrict the user. Esta directiva tiene una configuración de gravedad media.This policy has a Medium severity setting. Aunque es poco común, una alerta generada por esta directiva puede ser una anomalía.Although it's rare, an alert generated by this policy may be an anomaly. Sin embargo, es una buena idea comprobar si la cuenta de usuario está en peligro.However, it's a good idea to check whether the user account is compromised. Administración de amenazasThreat management E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Inquilino restringido para enviar correo electrónicoTenant restricted from sending email Genera una alerta cuando la mayor parte del tráfico de correo electrónico de su organización se ha detectado como sospechoso y Microsoft ha restringido a su organización el envío de correo electrónico.Generates an alert when most of the email traffic from your organization has been detected as suspicious and Microsoft has restricted your organization from sending email. Investigue las cuentas de usuario y administrador potencialmente comprometidas, los nuevos conectores o las retransmisiones abiertas y, a continuación, póngase en contacto con el Soporte técnico de Microsoft para desbloquear su organización.Investigate any potentially compromised user and admin accounts, new connectors, or open relays, and then contact Microsoft Support to unblock your organization. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Para obtener más información sobre por qué se bloquean las organizaciones, vea Corregir problemas de entrega de correo electrónico para el código de error 5.7.7xx en Exchange Online.For more information about why organizations are blocked, see Fix email delivery issues for error code 5.7.7xx in Exchange Online. Administración de amenazasThreat management E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Actividad de archivo de usuario externo inusualUnusual external user file activity Genera una alerta cuando se realiza un número inusualmente grande de actividades en archivos de SharePoint o OneDrive usuarios externos a la organización.Generates an alert when an unusually large number of activities are performed on files in SharePoint or OneDrive by users outside of your organization. Esto incluye actividades como el acceso a archivos, la descarga de archivos y la eliminación de archivos.This includes activities such as accessing files, downloading files, and deleting files. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Información de gobiernoInformation governance E5/G5, Microsoft Defender para Office 365 P2 o Microsoft 365 E5 de complementoE5/G5, Microsoft Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Volumen inusual de uso compartido de archivos externosUnusual volume of external file sharing Genera una alerta cuando un número inusualmente grande de archivos SharePoint o OneDrive se comparten con usuarios externos a la organización.Generates an alert when an unusually large number of files in SharePoint or OneDrive are shared with users outside of your organization. Esta directiva tiene una configuración de gravedad media.This policy has a Medium severity setting. Información de gobiernoInformation governance E5/G5, Defender para Office 365 P2 o Microsoft 365 E5 de complementoE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Volumen inusual de eliminación de archivosUnusual volume of file deletion Genera una alerta cuando se elimina un número inusualmente grande de archivos SharePoint o OneDrive en un período de tiempo corto.Generates an alert when an unusually large number of files are deleted in SharePoint or OneDrive within a short time frame. Esta directiva tiene una configuración de gravedad media.This policy has a Medium severity setting. Información de gobiernoInformation governance E5/G5, Defender para Office 365 P2 o Microsoft 365 E5 de complementoE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Aumento inusual en el correo electrónico notificado como ceboUnusual increase in email reported as phish Genera una alerta cuando hay un aumento significativo en el número de personas de la organización que usan el complemento Mensaje de informe Outlook para notificar mensajes como correo de suplantación de identidad.Generates an alert when there's a significant increase in the number of people in your organization using the Report Message add-in in Outlook to report messages as phishing mail. Esta directiva tiene una configuración de gravedad media.This policy has a Medium severity setting. Para obtener más información acerca de este complemento, vea Use the Report Message add-in.For more information about this add-in, see Use the Report Message add-in. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Suplantación de identidad de usuario entregada a la bandeja de entrada/carpeta1,2User impersonation phish delivered to inbox/folder1,2 Genera una alerta cuando Microsoft detecta que un administrador o un reemplazo de usuario ha permitido la entrega de un mensaje de suplantación de identidad de usuario en la bandeja de entrada (u otra carpeta accesible para el usuario) de un buzón.Generates an alert when Microsoft detects that an admin or user override has allowed the delivery of a user impersonation phishing message to the inbox (or other user-accessible folder) of a mailbox. Algunos ejemplos de invalidaciones incluyen una regla de flujo de correo o bandeja de entrada que permite mensajes de un remitente o dominio específico, o una directiva contra correo no deseado que permite mensajes de remitentes o dominios específicos.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Esta directiva tiene una configuración de gravedad media.This policy has a Medium severity setting. Administración de amenazasThreat management E5/G5 o Defender para una Office 365 de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
El usuario no puede enviar correo electrónicoUser restricted from sending email Genera una alerta cuando alguien de la organización está restringido a enviar correo saliente.Generates an alert when someone in your organization is restricted from sending outbound mail. Esto suele ocurrir cuando una cuenta está en peligro y el usuario aparece en la página Usuarios restringidos en el Centro de seguridad & cumplimiento.This typically results when an account is compromised, and the user is listed on the Restricted Users page in the Security & Compliance Center. (Para obtener acceso a esta página, vaya a Administración de amenazas > Revisar > usuarios restringidos).(To access this page, go to Threat management > Review > Restricted Users). Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Para obtener más información acerca de los usuarios restringidos, vea Removing a user, domain, or IP address from a block list after sending spam email.For more information about restricted users, see Removing a user, domain, or IP address from a block list after sending spam email. Administración de amenazasThreat management E1/F1/G1, E3/F3/G3 o E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
El usuario no puede compartir formularios y recopilar respuestasUser restricted from sharing forms and collecting responses Genera una alerta cuando se ha restringido a alguien de la organización el uso compartido de formularios y la recopilación de respuestas mediante Microsoft Forms debido al comportamiento de intento de suplantación de identidad (phishing) repetido detectado.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Esta directiva tiene una configuración de gravedad alta.This policy has a High severity setting. Administración de amenazasThreat management E1, E3/F3 o E5E1, E3/F3, or E5

Nota

1 Hemos quitado temporalmente esta directiva de alerta predeterminada en función de los comentarios de los clientes.1 We've temporarily removed this default alert policy based on customer feedback. Estamos trabajando para mejorarlo y lo reemplazaremos por una nueva versión en un futuro próximo.We're working to improve it, and will replace it with a new version in the near future. Hasta entonces, puede crear una directiva de alerta personalizada para reemplazar esta funcionalidad mediante la siguiente configuración:Until then, you can create a custom alert policy to replace this functionality by using the following settings:
  * La actividad es el correo electrónico de suplantación de identidad detectado en el momento de la entrega  * Activity is Phish email detected at time of delivery
  * El correo no es ZAP'd  * Mail is not ZAP'd
  * La dirección del correo es Entrante  * Mail direction is Inbound
  * El estado de entrega de correo es Entregado  * Mail delivery status is Delivered
  * La tecnología de detección es retención de URL malintencionada, detonación de url, filtro de phish avanzado, filtro de phishing general, suplantación de dominio, suplantación de usuario y suplantación de marca  * Detection technology is Malicious URL retention, URL detonation, Advanced phish filter, General phish filter, Domain impersonation, User impersonation, and Brand impersonation

   Para obtener más información acerca de la suplantación de identidad en Office 365, vea Configurar directivas contra la suplantación de identidad y contra la suplantación de identidad.   For more information about anti-phishing in Office 365, see Set up anti-phishing and anti-phishing policies.

2 Para volver a crear esta directiva de alerta, siga las instrucciones de la nota al pie anterior, pero elija Suplantación de usuario como la única tecnología de detección.2 To recreate this alert policy, follow the guidance in the previous footnote, but choose User impersonation as the only Detection technology.

La actividad inusual supervisada por algunas de las directivas integradas se basa en el mismo proceso que la configuración del umbral de alerta que se describió anteriormente.The unusual activity monitored by some of the built-in policies is based on the same process as the alert threshold setting that was previously described. Microsoft establece un valor de línea base que define la frecuencia normal de la actividad "habitual".Microsoft establishes a baseline value that defines the normal frequency for "usual" activity. A continuación, las alertas se desencadenan cuando la frecuencia de las actividades seguidas por la directiva de alerta integrada supera en gran parte el valor de línea base.Alerts are then triggered when the frequency of activities tracked by the built-in alert policy greatly exceeds the baseline value.

Visualización de alertasViewing alerts

Cuando una actividad realizada por los usuarios de la organización coincide con la configuración de una directiva de alerta, se genera una alerta y se muestra en la página Ver alertas en el centro de seguridad y cumplimiento.When an activity performed by users in your organization matches the settings of an alert policy, an alert is generated and displayed on the View alerts page in the security and compliance center. Según la configuración de una directiva de alerta, también se envía una notificación por correo electrónico a una lista de usuarios especificados cuando se desencadena una alerta.Depending on the settings of an alert policy, an email notification is also sent to a list of specified users when an alert is triggered. Para cada alerta, el panel de la página Ver alertas muestra el nombre de la directiva de alerta correspondiente, la gravedad y la categoría de la alerta (definida en la directiva de alerta) y el número de veces que se ha producido una actividad que ha generado la alerta.For each alert, the dashboard on the View alerts page displays the name of the corresponding alert policy, the severity and category for the alert (defined in the alert policy), and the number of times an activity has occurred that resulted in the alert being generated. Este valor se basa en la configuración de umbral de la directiva de alerta.This value is based on the threshold setting of the alert policy. El panel también muestra el estado de cada alerta.The dashboard also shows the status for each alert. Para obtener más información acerca del uso de la propiedad status para administrar alertas, vea Managing alerts.For more information about using the status property to manage alerts, see Managing alerts.

Para ver alertas, vaya a https://protection.office.com y, a continuación, seleccione > Alertas Ver alertas.To view alerts, go to https://protection.office.com and then select Alerts > View alerts.

En seguridad y cumplimiento, seleccione Alertas y, a continuación, seleccione Ver alertas para ver alertas

Puede usar los siguientes filtros para ver un subconjunto de todas las alertas en la página Ver alertas.You can use the following filters to view a subset of all the alerts on the View alerts page.

  • Estado.Status. Use este filtro para mostrar las alertas que tienen asignado un estado determinado.Use this filter to show alerts that are assigned a particular status. El estado predeterminado es Active.The default status is Active. Usted u otros administradores pueden cambiar el valor de estado.You or other administrators can change the status value.

  • Directiva.Policy. Use este filtro para mostrar alertas que coincidan con la configuración de una o más directivas de alerta.Use this filter to show alerts that match the setting of one or more alert policies. O puede mostrar todas las alertas de todas las directivas de alerta.Or you can display all alerts for all alert policies.

  • Intervalo de tiempo.Time range. Use este filtro para mostrar las alertas que se generaron dentro de un intervalo de fecha y hora específico.Use this filter to show alerts that were generated within a specific date and time range.

  • Gravedad.Severity. Use este filtro para mostrar alertas que tienen asignada una gravedad específica.Use this filter to show alerts that are assigned a specific severity.

  • Categoría.Category. Use este filtro para mostrar alertas de una o más categorías de alertas.Use this filter to show alerts from one or more alert categories.

  • Etiquetas.Tags. Use este filtro para mostrar alertas de una o varias etiquetas de usuario.Use this filter to show alerts from one or more user tags. Las etiquetas se reflejan en función de buzones etiquetados o usuarios que aparecen en las alertas.Tags are reflected based on tagged mailboxes or users that appear in the alerts. Consulta Etiquetas de usuario en Office ATP 356 para obtener más información.See User tags in Office 356 ATP to learn more.

  • Source.Source. Use este filtro para mostrar las alertas desencadenadas por las directivas de alerta en el centro de seguridad y cumplimiento o las alertas desencadenadas por Office 365 Cloud App Security directivas, o ambas.Use this filter to show alerts triggered by alert policies in the security and compliance center or alerts triggered by Office 365 Cloud App Security policies, or both. Para obtener más información acerca Office 365 Cloud App Security alertas, vea Ver Cloud App Security alertas .For more information about Office 365 Cloud App Security alerts, see Viewing Cloud App Security alerts.

Importante

El filtrado y ordenación por etiquetas de usuario se encuentra actualmente en versión preliminar pública.Filtering and sorting by user tags is currently in public preview. Puede modificarse considerablemente antes de su lanzamiento comercial.It may be substantially modified before it's commercially released. Microsoft no ofrece garantías, explícitas o implícitas, con respecto a la información proporcionada al respecto.Microsoft makes no warranties, express or implied, with respect to the information provided about it.

Agregación de alertasAlert aggregation

Cuando se producen varios eventos que coinciden con las condiciones de una directiva de alertas con un breve período de tiempo, se agregan a una alerta existente mediante un proceso denominado agregación de alertas.When multiple events that match the conditions of an alert policy occur with a short period of time, they are added to an existing alert by a process called alert aggregation. Cuando un evento desencadena una alerta, la alerta se genera y se muestra en la página Ver alertas y se envía una notificación.When an event triggers an alert, the alert is generated and displayed on the View alerts page and a notification is sent. Si se produce el mismo evento dentro del intervalo de agregación, Microsoft 365 agrega detalles sobre el nuevo evento a la alerta existente en lugar de desencadenar una nueva alerta.If the same event occurs within the aggregation interval, then Microsoft 365 adds details about the new event to the existing alert instead of triggering a new alert. El objetivo de la agregación de alertas es ayudar a reducir la "fatiga" de alertas y permitir que te enfoques y tomes medidas en menos alertas para el mismo evento.The goal of alert aggregation is to help reduce alert "fatigue" and let you focus and take action on fewer alerts for the same event.

La longitud del intervalo de agregación depende de la Office 365 o Microsoft 365 suscripción.The length of the aggregation interval depends on your Office 365 or Microsoft 365 subscription.

Suscripción Subscription Intervalo de agregaciónAggregation interval
Office 365 o Microsoft 365 E5/G5Office 365 or Microsoft 365 E5/G5 1 minuto1 minute
Defender para Office 365 Plan 2Defender for Office 365 Plan 2 1 minuto1 minute
Complemento de cumplimiento E5 o complemento de detección y auditoría de E5E5 Compliance add-on or E5 Discovery and Audit add-on 1 minuto1 minute
Office 365 o Microsoft 365 E1/F1/G1 o E3/F3/G3Office 365 or Microsoft 365 E1/F1/G1 or E3/F3/G3 15 minutos15 minutes
Defender para Office 365 plan 1 o Exchange Online ProtectionDefender for Office 365 Plan 1 or Exchange Online Protection 15 minutos15 minutes

Cuando se producen eventos que coinciden con la misma directiva de alerta en el intervalo de agregación, se agregan detalles sobre el evento posterior a la alerta original.When events that match the same alert policy occur within the aggregation interval, details about the subsequent event are added to the original alert. Para todos los eventos, la información sobre los eventos agregados se muestra en el campo de detalles y el número de veces que se produjo un evento con el intervalo de agregación se muestra en el campo de recuento de actividad o éxito.For all events, information about aggregated events is displayed in the details field and the number of times an event occurred with the aggregation interval is displayed in the activity/hit count field. Puede ver más información sobre todas las instancias de eventos agregados mediante la visualización de la lista de actividades.You can view more information about all aggregated events instances by viewing the activity list.

La siguiente captura de pantalla muestra una alerta con cuatro eventos agregados.The following screenshot shows an alert with four aggregated events. La lista de actividades contiene información sobre los cuatro mensajes de correo electrónico relevantes para la alerta.The activity list contains information about the four email messages relevant to the alert.

Ejemplo de agregación de alertas

Tenga en cuenta lo siguiente acerca de la agregación de alertas:Keep the following things in mind about alert aggregation:

  • Las alertas desencadenadas por el clic en Una dirección URL potencialmente malintencionada se detectaron no se agregan a la directiva de alerta predeterminada.Alerts triggered by the A potentially malicious URL click was detected default alert policy are not aggregated. Esto se debe a que las alertas desencadenadas por esta directiva son únicas para cada usuario y mensaje de correo electrónico.This is because alerts triggered by this policy are unique to each user and email message.

  • En este momento, la propiedad de alerta Recuento de accesos no indica el número de eventos agregados para todas las directivas de alerta.At this time, the Hit count alert property doesn't indicate the number of aggregated events for all alert policies. Para las alertas desencadenadas por estas directivas de alerta, puede ver los eventos agregados haciendo clic en Ver lista de mensajes o Ver actividad en la alerta.For alerts triggered by these alert policies, you can view the aggregated events by clicking View message list or View activity on the alert. Estamos trabajando para que el número de eventos agregados enumerados en la propiedad de alerta Recuento de impactos esté disponible para todas las directivas de alerta.We're working to make the number of aggregated events listed in the Hit count alert property available for all alert policies.

Permisos RBAC necesarios para ver alertasRBAC permissions required to view alerts

Los permisos de control de acceso basado en roles (RBAC) asignados a los usuarios de la organización determinan qué alertas puede ver un usuario en la página Ver alertas.The Role Based Access Control (RBAC) permissions assigned to users in your organization determine which alerts a user can see on the View alerts page. ¿Cómo se logra esto?How is this accomplished? Los roles de administración asignados a los usuarios (en función de su pertenencia a grupos de roles en el Centro de seguridad & cumplimiento) determinan qué categorías de alertas puede ver un usuario en la página Ver alertas.The management roles assigned to users (based on their membership in role groups in the Security & Compliance Center) determine which alert categories a user can see on the View alerts page. Estos son algunos ejemplos:Here are some examples:

  • Los miembros del grupo de roles Administración de registros solo pueden ver las alertas generadas por las directivas de alerta a las que se asigna la categoría Gobierno de información.Members of the Records Management role group can view only the alerts that are generated by alert policies that are assigned the Information governance category.

  • Los miembros del grupo de roles Administrador de cumplimiento no pueden ver las alertas generadas por las directivas de alerta a las que se asigna la categoría Administración de amenazas.Members of the Compliance Administrator role group can't view alerts that are generated by alert policies that are assigned the Threat management category.

  • Los miembros del grupo de roles administrador de exhibición de documentos electrónicos no pueden ver ninguna alerta porque ninguno de los roles asignados proporciona permiso para ver alertas de cualquier categoría de alerta.Members of the eDiscovery Manager role group can't view any alerts because none of the assigned roles provide permission to view alerts from any alert category.

Este diseño (basado en permisos RBAC) le permite determinar qué alertas pueden ver (y administrar) los usuarios en roles de trabajo específicos de la organización.This design (based on RBAC permissions) lets you determine which alerts can be viewed (and managed) by users in specific job roles in your organization.

En la tabla siguiente se enumeran los roles necesarios para ver alertas de las seis categorías de alertas diferentes.The following table lists the roles that are required to view alerts from the six different alert categories. La primera columna de las tablas enumera todos los roles del Centro de seguridad & cumplimiento.The first column in the tables lists all roles in the Security & Compliance Center. Una marca de verificación indica que un usuario que tiene asignado ese rol puede ver alertas de la categoría de alerta correspondiente que aparece en la fila superior.A check mark indicates that a user who is assigned that role can view alerts from the corresponding alert category listed in the top row.

Para ver a qué categoría está asignada una directiva de alerta predeterminada, vea la tabla en Directivas de alerta predeterminadas.To see which category a default alert policy is assigned to, see the table in Default alert policies.

FunciónRole Información de gobiernoInformation governance Prevención de pérdida de datosData loss prevention Flujo de correoMail flow PermisosPermissions Administración de amenazasThreat management OtrosOthers
Registros de auditoríaAudit Logs
Administración de casosCase Management
Administrador de cumplimientoCompliance Administrator Marca de verificación Marca de verificación Marca de verificación Marca de verificación
Búsqueda de cumplimientoCompliance Search
Administración de dispositivosDevice Management
Administración de disposiciónDisposition Management
Administración de cumplimiento de DLPDLP Compliance Management Marca de verificación
ExportarExport
HoldHold
Administrar alertasManage Alerts Marca de verificación
Configuración de la organizaciónOrganization Configuration Marca de verificación
Versión preliminarPreview
Administración de registrosRecord Management Marca de verificación
Administración de retenciónRetention Management Marca de verificación
RevisarReview
Descifrado de RMSRMS Decrypt
Administración de rolesRole Management Marca de verificación
Buscar y purgarSearch And Purge
Administrador de seguridadSecurity Administrator Marca de verificación Marca de verificación Marca de verificación Marca de verificación
Lector de seguridadSecurity Reader Marca de verificación Marca de verificación Marca de verificación Marca de verificación
Vista Service AssuranceService Assurance View
Administrador de revisión de supervisiónSupervisory Review Administrator
Registros de auditoría de solo vistaView-Only Audit Logs
View-Only administración de dispositivosView-Only Device Management
View-Only de cumplimiento dlpView-Only DLP Compliance Management Marca de verificación
View-Only administrar alertasView-Only Manage Alerts Marca de verificación
Destinatarios con permiso de vistaView-Only Recipients Marca de verificación
View-Only administración de registrosView-Only Record Management Marca de verificación
View-Only administración de retenciónView-Only Retention Management Marca de verificación

Sugerencia

Para ver los roles asignados a cada uno de los grupos de roles predeterminados, ejecute los siguientes comandos en PowerShell del Centro de seguridad & cumplimiento:To view the roles that are assigned to each of the default role groups, run the following commands in Security & Compliance Center PowerShell:

$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,"-----------------------"; Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}

También puede ver los roles asignados a un grupo de roles en el Centro de & cumplimiento.You can also view the roles assigned to a role group in the Security & Compliance Center. Vaya a la página Permisos y seleccione un grupo de roles.Go to the Permissions page, and select a role group. Los roles asignados se enumeran en la página desplegable.The assigned roles are listed on the flyout page.

Administración de alertasManaging alerts

Una vez generadas y mostradas las alertas en la página Ver alertas en el Centro de seguridad y cumplimiento, puede realizar una triaje, investigarlas y resolverlas. After alerts have been generated and displayed on the View alerts page in the security and compliance center, you can triage, investigate, and resolve them. Estas son algunas tareas que puede realizar para administrar alertas.Here are some tasks you can perform to manage alerts.

  • Asignar un estado a las alertas.Assign a status to alerts. Puede asignar uno de los siguientes estados a alertas: Active (el valor predeterminado), Investigating, Resolved o Dismissed.You can assign one of the following statuses to alerts: Active (the default value), Investigating, Resolved, or Dismissed. A continuación, puede filtrar esta configuración para mostrar alertas con la misma configuración de estado.Then, you can filter on this setting to display alerts with the same status setting. Esta configuración de estado puede ayudar a realizar un seguimiento del proceso de administración de alertas.This status setting can help track the process of managing alerts.

  • Ver detalles de alerta.View alert details. Puede seleccionar una alerta para mostrar una página desplegable con detalles sobre la alerta.You can select an alert to display a flyout page with details about the alert. La información detallada depende de la directiva de alerta correspondiente, pero normalmente incluye lo siguiente:The detailed information depends on the corresponding alert policy, but it typically includes the following:

    • Nombre de la operación real que desencadenó la alerta, como un cmdlet o una operación de registro de auditoría.The name of the actual operation that triggered the alert, such as a cmdlet or an audit log operation.

    • Descripción de la actividad que desencadenó la alerta.A description of the activity that triggered the alert.

    • El usuario (o lista de usuarios) que desencadenó la alerta.The user (or list of users) who triggered the alert. Esto se incluye solo para las directivas de alerta configuradas para realizar un seguimiento de un único usuario o una sola actividad.This is included only for alert policies that are set up to track a single user or a single activity.

    • El número de veces que se realizó el seguimiento de la actividad por parte de la alerta.The number of times the activity tracked by the alert was performed. Es posible que este número no coincida con el número real de alertas relacionadas enumeradas en la página Ver alertas porque es posible que se hayan desencadenado más alertas.This number may not match that actual number of related alerts listed on the View alerts page because more alerts may have been triggered.

    • Un vínculo a una lista de actividades que incluye un elemento para cada actividad que se realizó que desencadenó la alerta.A link to an activity list that includes an item for each activity that was performed that triggered the alert. Cada entrada de esta lista identifica cuándo se produjo la actividad, el nombre de la operación real (como "FileDeleted"), el usuario que realizó la actividad, el objeto (como un archivo, un caso de exhibición de documentos electrónicos o un buzón) en el que se realizó la actividad y la dirección IP del equipo del usuario.Each entry in this list identifies when the activity occurred, the name of the actual operation (such as "FileDeleted"), the user who performed the activity, the object (such as a file, an eDiscovery case, or a mailbox) that the activity was performed on, and the IP address of the user's computer. Para las alertas relacionadas con malware, esto se vincula a una lista de mensajes.For malware-related alerts, this links to a message list.

    • Nombre (y vínculo) de la directiva de alerta correspondiente.The name (and link) of the corresponding alert policy.

  • Suprimir notificaciones de correo electrónico.Suppress email notifications. Puedes desactivar (o suprimir) las notificaciones de correo electrónico de la página desplegable de una alerta.You can turn off (or suppress) email notifications from the flyout page for an alert. Al suprimir las notificaciones de correo electrónico, Microsoft no enviará notificaciones cuando se produzcan actividades o eventos que coincidan con las condiciones de la directiva de alertas.When you suppress email notifications, Microsoft won't send notifications when activities or events that match the conditions of the alert policy occur. Pero las alertas se desencadenarán cuando las actividades realizadas por los usuarios coincidan con las condiciones de la directiva de alerta.But alerts will be triggered when activities performed by users match the conditions of the alert policy. También puede desactivar las notificaciones de correo electrónico editando la directiva de alertas.You can also turn off email notifications by editing the alert policy.

  • Resolver alertas.Resolve alerts. Puede marcar una alerta como resuelta en la página desplegable de una alerta (que establece el estado de la alerta en Resuelto).You can mark an alert as resolved on the flyout page for an alert (which sets the status of the alert to Resolved). A menos que cambie el filtro, las alertas resueltas no se mostrarán en la página Ver alertas.Unless you change the filter, resolved alerts aren't displayed on the View alerts page.

Visualización de alertas de Cloud App SecurityViewing Cloud App Security alerts

Las alertas desencadenadas por las directivas de Office 365 Cloud App Security ahora se muestran en la página Ver alertas en el Centro de seguridad y cumplimiento. Alerts that are triggered by Office 365 Cloud App Security policies are now displayed on the View alerts page in the security and compliance center. Esto incluye alertas desencadenadas por directivas de actividad y alertas desencadenadas por directivas de detección de anomalías en Office 365 Cloud App Security.This includes alerts that are triggered by activity policies and alerts that are triggered by anomaly detection policies in Office 365 Cloud App Security. Esto significa que puede ver todas las alertas en el centro de seguridad y cumplimiento.This means you can view all alerts in the security and compliance center. Office 365 Cloud App Security solo está disponible para organizaciones con una suscripción a Office 365 Enterprise E5 u Office 365 US Government G5.Office 365 Cloud App Security is only available for organizations with an Office 365 Enterprise E5 or Office 365 US Government G5 subscription. Para obtener más información, vea Overview of Cloud App Security.For more information, see Overview of Cloud App Security.

Las organizaciones que tienen Microsoft Cloud App Security como parte de una suscripción a Enterprise Mobility + Security E5 o como un servicio independiente también pueden ver alertas de Cloud App Security relacionadas con aplicaciones y servicios de Office 365 en el Centro de seguridad y cumplimiento de &.Organizations that have Microsoft Cloud App Security as part of an Enterprise Mobility + Security E5 subscription or as a standalone service can also view Cloud App Security alerts that are related to Office 365 apps and services in the Security & Compliance Center.

Para mostrar solo alertas de Cloud App Security en el centro de seguridad y cumplimiento, use el filtro Origen y seleccione Cloud App Security.To display only Cloud App Security alerts in the security and compliance center, use the Source filter and select Cloud App Security.

Usar el filtro Origen para mostrar solo alertas de Cloud App Security

De forma similar a una alerta desencadenada por una directiva de alerta en el centro de seguridad y cumplimiento, puede seleccionar una alerta de Cloud App Security para mostrar una página de control desplegable con detalles sobre la alerta.Similar to an alert triggered by an alert policy in the security and compliance center, you can select a Cloud App Security alert to display a flyout page with details about the alert. La alerta incluye un vínculo para ver los detalles y administrar la alerta en el portal de Cloud App Security y un vínculo a la directiva de Cloud App Security correspondiente que desencadenó la alerta.The alert includes a link to view the details and manage the alert in the Cloud App Security portal and a link to the corresponding Cloud App Security policy that triggered the alert. Consulta Supervisar alertas en Cloud App Security.See Monitor alerts in Cloud App Security.

Los detalles de alerta contienen vínculos al portal de Cloud App Security

Importante

Cambiar el estado de una alerta de Cloud App Security en el centro de seguridad y cumplimiento no actualizará el estado de resolución de la misma alerta en el portal de Cloud App Security.Changing the status of a Cloud App Security alert in the security and compliance center won't update the resolution status for the same alert in the Cloud App Security portal. Por ejemplo, si marca el estado de la alerta como Resuelto en el Centro de seguridad y cumplimiento, el estado de la alerta en el portal de Cloud App Security no cambiará.For example, if you mark the status of the alert as Resolved in the security and compliance center, the status of the alert in the Cloud App Security portal is unchanged. Para resolver o descartar una alerta de Cloud App Security, administra la alerta en el portal de Cloud App Security.To resolve or dismiss a Cloud App Security alert, manage the alert in the Cloud App Security portal.