Protección contra malware en EOP

• Se aplica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

En organizaciones de Microsoft 365 con buzones de correo de Exchange Online u organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, EOP protege automáticamente los mensajes de correo electrónico entrantes contra el malware. Algunas de las categorías principales de malware son:

• Virus que infectan otros programas y datos, y se propagan a través de su equipo o red en busca de programas para infectar.
• Spyware que recopila su información personal, como la información de inicio de sesión y los datos personales, y la envía de vuelta a su autor.
• Ransomware que cifra los datos y exige el pago para descifrarlos. El software antimalware no le ayuda a descifrar archivos cifrados, pero puede detectar la carga útil de malware asociada con el ransomware.

EOP ofrece protección contra malware multicapa diseñada para detectar todo el malware conocido en Windows, Linux y Mac que viaja dentro o fuera de su organización. Las opciones siguientes ayudan a proporcionar protección antimalware:

• Defensas en capas contra malware: varios motores de detección antimalware ayudan a protegerse contra amenazas conocidas y desconocidas. Dichos motores incluyen potente detección heurística que ofrece protección aún durante las primeras etapas de un ataque de malware. Se ha comprobado que este método multimotor brinda mucha más protección que el uso de un solo motor de antimalware.
• Respuesta a amenazas en tiempo real: durante algunos brotes, el equipo antimalware podría tener suficiente información sobre un virus u otra forma de malware para escribir reglas de directiva sofisticadas que detecten la amenaza, incluso antes de que una definición esté disponible en cualquiera de los motores de examen utilizados por el servicio. Esas reglas se publican en la red global cada 2 horas a fin de proporcionar a la organización una capa adicional de protección contra ataques.
• Implementación rápida de definiciones antimalware: el equipo antimalware mantiene relaciones estrechas con los asociados que desarrollan motores antimalware. Como resultado, el servicio puede recibir e integrar definiciones y revisiones de malware antes de que se lancen al público. Nuestra conexión con esos socios a menudo también nos permite desarrollar nuestras propias soluciones. El servicio busca definiciones actualizadas en todos los motores de antimalware cada hora.

En EOP, los mensajes que contienen malware en los datos adjuntos se ponen^* en cuarentena. Las directivas de cuarentena controlan si los destinatarios pueden ver o interactuar con los mensajes en cuarentena. De forma predeterminada, los mensajes que se pusieron en cuarentena debido a malware solo pueden ser vistos y publicados por los administradores. Los usuarios no pueden liberar sus propios mensajes de malware en cuarentena, independientemente de la configuración disponible que configuren los administradores. Para más información, consulte los siguientes artículos:

^* El filtrado de malware se omite en los buzones de SecOps que se identifican en la directiva de entrega avanzada. Para obtener más información, consulte Configuración de la directiva de entrega avanzada para simulaciones de suplantación de identidad de terceros y entrega de correo electrónico a buzones de SecOps.

• Anatomía de una directiva de cuarentena
• Administre los mensajes y archivos en cuarentena como administrador en EOP.

Las directivas antimalware también contienen un filtro de datos adjuntos comunes. Los mensajes que contienen los tipos de archivo especificados se identifican automáticamente como malware. Para obtener más información, consulte la sección Filtro de datos adjuntos comunes en las directivas antimalware más adelante en este artículo.

Para obtener más información sobre la protección contra malware, consulte las Preguntas más frecuentes sobre la protección contra malware.

Para configurar la directiva antimalware predeterminada y para crear, modificar y quitar directivas antimalware personalizadas, consulte Configuración de directivas antimalware. En las directivas de seguridad preestablecidas Estándar y Estricta, la configuración de la directiva antimalware ya está configurada y no se puede modificar como se describe en Configuración de directivas antimalware de EOP.

Sugerencia

Si no está de acuerdo con el veredicto de malware, puede notificar los datos adjuntos del mensaje a Microsoft como un falso positivo (datos adjuntos buenos marcados como incorrectos) o un falso negativo (se permiten datos adjuntos incorrectos). Para obtener más información, consulte Cómo informar de un correo electrónico o archivo sospechoso a Microsoft?

Directivas antimalware

Las directivas antimalware controlan la configuración configurable y las opciones de notificación para las detecciones de malware. La configuración importante de las directivas antimalware se describe en las siguientes subsecciones.

Filtros de destinatarios en directivas antimalware

Los filtros de destinatario usan condiciones y excepciones para identificar los destinatarios internos a los que se aplica la directiva. Se requiere al menos una condición en las directivas personalizadas. Las condiciones y excepciones no están disponibles en la directiva predeterminada (la directiva predeterminada se aplica a todos los destinatarios). Puede usar los siguientes filtros de destinatario para condiciones y excepciones:

• Usuarios: uno o varios buzones de correo, usuarios de correo o contactos de correo de la organización.
• Grupos:
  • Miembros de los grupos de distribución especificados o grupos de seguridad habilitados para correo (no se admiten grupos de distribución dinámicos).
  • Los Grupos de Microsoft 365 especificados.
• Dominios: uno o varios de los dominios aceptados configurados en Microsoft 365. La dirección de correo electrónico principal del destinatario está en el dominio especificado.

Puede usar una condición o una excepción solo una vez, pero la condición o la excepción pueden contener varios valores:

• Varios valores de la misma condición o excepción usan lógica OR (por ejemplo, <recipient1> o <recipient2>):

  • Condiciones: si el destinatario coincide con cualquiera de los valores especificados, se le aplica la directiva.
  • Excepciones: si el destinatario coincide con cualquiera de los valores especificados, la directiva no se aplica a ellos.

• Los distintos tipos de excepciones usan lógica OR (por ejemplo, <recipient1> o <miembro de group1> o <miembro de domain1>). Si el destinatario coincide con cualquiera de los valores de excepción especificados, la directiva no se aplica a ellos.

• Los distintos tipos de condiciones usan lógica AND. El destinatario debe coincidir con todas las condiciones especificadas para que la directiva se aplique a ellos. Por ejemplo, configure una condición con los siguientes valores:

  • Usuarios: romain@contoso.com
  • Grupos: Ejecutivos

  La política se aplica soloromain@contoso.com si también es miembro del grupo Ejecutivos. De lo contrario, la directiva no se aplica a él.

Filtro de datos adjuntos comunes en directivas antimalware

Hay ciertos tipos de archivos que realmente no debe enviar por correo electrónico (por ejemplo, archivos ejecutables). ¿Por qué molestarse en examinar estos tipos de archivos en busca de malware cuando debe bloquearlos todos, de todos modos? Ahí es donde entra en acción el filtro de datos adjuntos comunes. Los tipos de archivo que especifique se identifican automáticamente como malware.

Se usa una lista de tipos de archivo predeterminados en la directiva antimalware predeterminada, en las directivas antimalware personalizadas que cree y en las directivas antimalware en las directivas de seguridad preestablecidas Estándar y Estricta.

En el portal de Microsoft Defender, puede seleccionar entre una lista de tipos de archivo adicionales o agregar sus propios valores al crear o modificar directivas antimalware en el portal de Microsoft Defender.

• Tipos de archivo predeterminados: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Tipos de archivo adicionales que se seleccionarán en el portal de Defender: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Cuando el filtro de datos adjuntos comunes detecta archivos, puede elegir Rechazar el mensaje con un informe de no entrega (NDR) o Poner en cuarentena el mensaje.

Coincidencia de tipos verdaderos en el filtro de datos adjuntos comunes

El filtro de datos adjuntos comunes usa la mejor coincidencia de tipo true de esfuerzo para detectar el tipo de archivo, independientemente de la extensión de nombre de archivo. La coincidencia de tipos verdaderos usa características de archivo para determinar el tipo de archivo real (por ejemplo, bytes iniciales y finales en el archivo). Por ejemplo, si se cambia el nombre de un exe archivo con una txt extensión de nombre de archivo, el filtro de datos adjuntos comunes detecta el archivo como un exe archivo.

La coincidencia de tipos verdaderos en el filtro de datos adjuntos comunes admite los siguientes tipos de archivo:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Si se produce un error en la coincidencia de tipos true o no se admite para el tipo de archivo, se usa la coincidencia de extensiones sencilla.

Purga automática de cero horas (ZAP) en directivas antimalware

ZAP para malware pone en cuarentena los mensajes que se encuentran para contener malware después de que se hayan entregado a Exchange Online buzones. De forma predeterminada, ZAP para malware está activado y se recomienda que lo deje activado. Para obtener más información, vea Purga automática de cero horas (ZAP) para malware.

Directivas de cuarentena en directivas antimalware

Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. De forma predeterminada, los destinatarios no reciben notificaciones para los mensajes que se pusieron en cuarentena como malware y los usuarios no pueden liberar sus propios mensajes de malware en cuarentena, independientemente de la configuración disponible que configuren los administradores. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Administración notificaciones en directivas antimalware

Puede especificar un destinatario adicional (un administrador) para recibir notificaciones de malware detectado en mensajes de remitentes internos o externos. Puede personalizar el texto De dirección, asunto y mensaje para las notificaciones internas y externas.

Esta configuración no está configurada en la directiva antimalware predeterminada de forma predeterminada, ni en las directivas de seguridad preestablecidas Estándar o Estricta.

Sugerencia

Las notificaciones de administrador solo se envían para datos adjuntos que se clasifican como malware.

La directiva de cuarentena que se asigna a la directiva antimalware determina si los destinatarios reciben notificaciones por correo electrónico para los mensajes que se pusieron en cuarentena como malware.

Prioridad de las directivas antimalware

Si están activadas, las directivas de seguridad preestablecidas Estándar y Estricta se aplican antes que las directivas antimalware personalizadas o la directiva predeterminada (Strict siempre es la primera). Si crea varias directivas de antimalware personalizadas, puede especificar el orden en que se aplican. El procesamiento de directivas se detiene después de aplicar la primera directiva (la directiva de mayor prioridad para ese destinatario).

Para obtener más información sobre el orden de precedencia y cómo se evalúan varias directivas, consulte Orden y prioridad de la protección por correo electrónico y Orden de precedencia para las directivas de seguridad preestablecidas y otras directivas.

Directiva antimalware predeterminada

Cada organización tiene una directiva antimalware integrada denominada Default que tiene las siguientes propiedades:

• La directiva es la directiva predeterminada (la propiedad IsDefault tiene el valor True), y no puede eliminar esta directiva predeterminada.
• La directiva se aplica automáticamente a todos los destinatarios de la organización y no se puede desactivar.
• La directiva siempre se aplica en último lugar (el valor De prioridad es Menor y no se puede cambiar).