Investigar el correo electrónico malintencionado que se entregó en Office 365Investigate malicious email that was delivered in Office 365

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica aApplies to

Microsoft Defender para Office 365 le permite investigar actividades que ponen en riesgo a los usuarios de su organización y tomar medidas para proteger su organización.Microsoft Defender for Office 365 enables you to investigate activities that put people in your organization at risk, and to take action to protect your organization. Por ejemplo, si forma parte del equipo de seguridad de su organización, puede buscar e investigar mensajes de correo electrónico sospechosos que se entregaron.For example, if you are part of your organization's security team, you can find and investigate suspicious email messages that were delivered. Para ello, use el Explorador de amenazas (o detecciones entiempo real).You can do this by using Threat Explorer (or real-time detections).

Nota

Vaya al artículo de corrección aquí.Jump to the remediation article here.

Antes de empezarBefore you begin

Asegúrese de que se cumplen los siguientes requisitos:Make sure that the following requirements are met:

Permisos de función de vista previaPreview role permissions

Para realizar determinadas acciones, como ver encabezados de mensaje o descargar contenido de mensajes de correo electrónico, debe tener un nuevo rol denominado Vista previa agregado a otro grupo de roles adecuado.To perform certain actions, such as viewing message headers or downloading email message content, you must have a new role called Preview added to another appropriate role group. En la tabla siguiente se aclaran los roles y permisos necesarios.The following table clarifies required roles and permissions.


ActividadActivity Grupo de funcionesRole group ¿Se necesita un rol de vista previa?Preview role needed?
Usar el Explorador de amenazas (y detecciones en tiempo real) para analizar amenazasUse Threat Explorer (and real-time detections) to analyze threats Administrador globalGlobal Administrator

Administrador de seguridadSecurity Administrator

Lector de seguridadSecurity Reader

NoNo
Usar el Explorador de amenazas (y detecciones en tiempo real) para ver encabezados de mensajes de correo electrónico, así como obtener una vista previa y descargar mensajes de correo electrónico en cuarentenaUse Threat Explorer (and real-time detections) to view headers for email messages as well as preview and download quarantined email messages Administrador globalGlobal Administrator

Administrador de seguridadSecurity Administrator

Lector de seguridadSecurity Reader

NoNo
Usar el Explorador de amenazas para ver encabezados, obtener una vista previa del correo electrónico (solo en la página de entidad de correo electrónico) y descargar mensajes de correo electrónico entregados a buzones de correoUse Threat Explorer to view headers, preview email (only in the email entity page) and download email messages delivered to mailboxes Administrador globalGlobal Administrator

Administrador de seguridadSecurity Administrator

Lector de seguridadSecurity Reader

PreviewPreview

Yes

Nota

La vista previa es un rol y no un grupo de funciones; el rol Vista previa debe agregarse a un grupo de roles existente para Office 365 (en https://protection.office.com ).Preview is a role and not a role group; the Preview role must be added to an existing role group for Office 365 (at https://protection.office.com). Vaya a Permisos y, a continuación, edite un grupo de roles existente o agregue un nuevo grupo de funciones con el rol Vista previa asignado.Go to Permissions, and then either edit an existing role group or add a new role group with the Preview role assigned. El rol Administrador global se asigna al Centro de administración de Microsoft 365 ( ), y los roles Administrador de seguridad y Lector de seguridad se asignan en el Centro de https://admin.microsoft.com seguridad & cumplimiento ( https://protection.office.com ).The Global Administrator role is assigned the Microsoft 365 admin center (https://admin.microsoft.com), and the Security Administrator and Security Reader roles are assigned in the Security & Compliance Center (https://protection.office.com). Para obtener más información sobre roles y permisos, vea Permisos en el Centro de seguridad & cumplimiento.To learn more about roles and permissions, see Permissions in the Security & Compliance Center.

Entendemos que la vista previa y la descarga de correo electrónico son actividades confidenciales, por lo que la auditoría está habilitada para estas.We understand previewing and downloading email are sensitive activities, and so we auditing is enabled for these. Una vez que un administrador realiza estas actividades en correos electrónicos, los registros de auditoría se generan para la misma y se pueden ver en el Centro de seguridad y & cumplimiento de Office 365 ( https://protection.office.com ).Once an admin performs these activities on emails, audit logs are generated for the same and can be seen in the Office 365 Security & Compliance Center (https://protection.office.com). Vaya a Búsqueda de registro de auditoría > de búsqueda y filtre el nombre de administrador en la sección Búsqueda.Go to Search > Audit log search and filter on the admin name in Search section. Los resultados filtrados mostrarán la actividad AdminMailAccess.The filtered results will show activity AdminMailAccess. Seleccione una fila para ver detalles en la sección Más información sobre el correo electrónico descargado o con vista previa.Select a row to view details in the More information section about previewed or downloaded email.

Buscar correo electrónico sospechoso que se entregóFind suspicious email that was delivered

El Explorador de amenazas es un informe eficaz que puede servir para varios propósitos, como buscar y eliminar mensajes, identificar la dirección IP de un remitente de correo electrónico malintencionado o iniciar un incidente para una investigación posterior.Threat Explorer is a powerful report that can serve multiple purposes, such as finding and deleting messages, identifying the IP address of a malicious email sender, or starting an incident for further investigation. El siguiente procedimiento se centra en el uso del Explorador para buscar y eliminar correo electrónico malintencionado de los buzones de correo del destinatario.The following procedure focuses on using Explorer to find and delete malicious email from recipient's mailboxes.

Nota

Actualmente, las búsquedas predeterminadas en el Explorador no incluyen elementos zapped.Default searches in Explorer don't currently include Zapped items. Esto se aplica a todas las vistas, por ejemplo, vistas de malware o phish.This applies to all views, for example malware or phish views. Para incluir elementos zapped, debe agregar un conjunto de acciones de entrega para incluir Removed by ZAP.To include Zapped items you need to add a Delivery action set to include Removed by ZAP. Si incluye todas las opciones, verá todos los resultados de la acción de entrega, incluidos los elementos zapped.If you include all options, you'll see all delivery action results, including Zapped items.

  1. Vaya al Explorador de amenazas: vaya a e inicie sesión con su cuenta laboral o https://protection.office.com educativa para Office 365.Navigate to Threat Explorer: Go to https://protection.office.com and sign in using your work or school account for Office 365. Esto le llevará al Centro de seguridad & cumplimiento.This takes you to the Security & Compliance Center.

  2. En el inicio rápido de navegación izquierdo, elija Explorador de administración de > amenazas.In the left navigation quick-launch, choose Threat management > Explorer.

    Explorador con campos Acción de entrega y Ubicación de entrega.

    Es posible que observe la nueva columna Acciones especiales.You may notice the new Special actions column. Esta característica está dirigida a decirles a los administradores el resultado del procesamiento de un correo electrónico.This feature is aimed at telling admins the outcome of processing an email. Se puede tener acceso a la columna Acciones especiales en el mismo lugar que Acción de entrega y Ubicación de entrega.The Special actions column can be accessed in the same place as Delivery action and Delivery location. Las acciones especiales pueden actualizarse al final de la escala de tiempo de correo electrónico del Explorador de amenazas, que es una nueva característica destinada a mejorar la experiencia de búsqueda para los administradores.Special actions might be updated at the end of Threat Explorer's email timeline, which is a new feature aimed at making the hunting experience better for admins.

  3. Vistas en el Explorador de amenazas: en el menú Ver, elija Todo el correo electrónico.Views in Threat Explorer: In the View menu, choose All email.

    Menú Vista del explorador de amenazas y Correo electrónico: malware, phish, envíos y todas las opciones de correo electrónico, también contenido : malware.

    La vista Malware es actualmente el valor predeterminado y captura correos electrónicos donde se detecta una amenaza de malware.The Malware view is currently the default, and captures emails where a malware threat is detected. La vista Phish funciona de la misma manera, para phishing.The Phish view operates in the same way, for Phish.

    Sin embargo, todas las vistas de correo electrónico enumeran todos los correos recibidos por la organización, independientemente de si se detectaron o no amenazas.However, All email view lists every mail received by the organization, whether threats were detected or not. Como puede imaginar, se trata de una gran cantidad de datos, por lo que esta vista muestra un marcador de posición que pide que se aplique un filtro.As you can imagine, this is a lot of data, which is why this view shows a placeholder that asks a filter be applied. (Esta vista solo está disponible para los clientes de Defender para Office 365 P2).(This view is only available for Defender for Office 365 P2 customers.)

    La vista Envíos muestra todos los correos enviados por el administrador o el usuario que se han notificado a Microsoft.Submissions view shows up all mails submitted by admin or user that were reported to Microsoft.

  4. Buscar y filtrar en el Explorador de amenazas: los filtros aparecen en la parte superior de la página en la barra de búsqueda para ayudar a los administradores en sus investigaciones.Search and filter in Threat Explorer: Filters appear at the top of the page in the search bar to help admins in their investigations. Observe que se pueden aplicar varios filtros al mismo tiempo y se agregan varios valores separados por comas a un filtro para restringir la búsqueda.Notice that multiple filters can be applied at the same time, and multiple comma-separated values added to a filter to narrow down the search. Recuerde:Remember:

    • Los filtros coinciden exactamente en la mayoría de las condiciones de filtro.Filters do exact matching on most filter conditions.
    • El filtro de asunto usa una consulta CONTAINS.Subject filter uses a CONTAINS query.
    • Los filtros de dirección URL funcionan con o sin protocolos (por ejemplo.URL filters work with or without protocols (ex. https).https).
    • El dominio de dirección URL, la ruta de acceso url y los filtros de dominio y ruta de acceso url no requieren un protocolo para filtrar.URL domain, URL path, and URL domain and path filters don't require a protocol to filter.
    • Debe hacer clic en el icono Actualizar cada vez que cambie los valores de filtro para obtener resultados relevantes.You must click the Refresh icon every time you change the filter values to get relevant results.
  5. Filtros avanzados: con estos filtros, puede crear consultas complejas y filtrar el conjunto de datos.Advanced filters: With these filters, you can build complex queries and filter your data set. Al hacer clic en Filtros avanzados, se abre un control desplegable con opciones.Clicking on Advanced Filters opens a flyout with options.

    El filtrado avanzado es una gran adición a las capacidades de búsqueda.Advanced filtering is a great addition to search capabilities. Se ha introducido un filtro BOOLEAN NOT en el dominio Recipient, Sender y Sender para permitir que los administradores investiguen excluyendo valores.A boolean NOT filter has been introduced on Recipient, Sender and Sender domain to allow admins to investigate by excluding values. Esta opción aparece en el parámetro selection No contiene ninguno de.This option appears under selection parameter Contains none of. NOT permitirá a los administradores excluir buzones de alerta, buzones de respuesta predeterminados de sus investigaciones y resulta útil para los casos en los que los administradores buscan un asunto específico (subject="Attention") donde el destinatario puede establecerse en ninguno de defaultMail @ contoso.com.NOT will let admins exclude alert mailboxes, default reply mailboxes from their investigations, and is useful for cases where admins search for a specific subject (subject="Attention") where the Recipient can be set to none of defaultMail@contoso.com. Se trata de una búsqueda de valor exacto.This is an exact value search.

    El filtro Destinatarios: "No contiene ninguno de" Avanzado.

    El filtrado por horas ayudará al equipo de seguridad de su organización a profundizar rápidamente.Filtering by hours will help your organization's security team drill down quickly. La duración de tiempo permitida más corta es de 30 minutos.The shortest allowed time duration is 30 minutes. Si puede restringir la acción sospechosa por período de tiempo (por ejemplo, ocurrió hace 3 horas), esto limitará el contexto y ayudará a identificar el problema.If you can narrow the suspicious action by time-frame (e.g. it happened 3 hours ago), this will limit the context and help pinpoint the problem.

    La opción de filtrado por horas para restringir la cantidad de equipos de seguridad de datos tiene que procesarse y cuya duración más corta es de 30 minutos.

  6. Campos en el Explorador de amenazas: el Explorador de amenazas expone mucha más información de correo relacionada con la seguridad, como Acción de entrega, Ubicación de entrega , Acción especial , Direccionalidad, Invalidaciones y amenaza de dirección URL. Fields in Threat Explorer: Threat Explorer exposes a lot more security-related mail information such as Delivery action, Delivery location, Special action, Directionality, Overrides, and URL threat. También permite que el equipo de seguridad de la organización investigue con mayor certeza.It also allows your organization's security team to investigate with a higher certainty.

    La acción de entrega es la acción realizada en un correo electrónico debido a las directivas o detecciones existentes.Delivery action is the action taken on an email due to existing policies or detections. Estas son las posibles acciones que un correo electrónico puede realizar:Here are the possible actions an email can take:

    • Entregado: el correo electrónico se entregó a la bandeja de entrada o carpeta de un usuario y el usuario puede acceder directamente a él.Delivered – email was delivered to inbox or folder of a user and the user can directly access it.
    • Correo no deseado (entregado a la correo no deseado): el correo electrónico se envió a la carpeta de correo no deseado del usuario o a la carpeta eliminada y el usuario tiene acceso a los mensajes de correo electrónico en su carpeta Correo no deseado o Eliminado.Junked (Delivered to junk)– email was sent to either user's junk folder or deleted folder, and the user has access to email messages in their Junk or Deleted folder.
    • Bloqueado: cualquier mensaje de correo electrónico que se ponga en cuarentena, que falle o que se haya descartado.Blocked – any email messages that are quarantined, that failed, or were dropped. (Esto es completamente inaccesible para el usuario).(This is completely inaccessible by the user.)
    • Reemplazado: cualquier correo electrónico en el que los datos adjuntos malintencionados se reemplazan por archivos .txt que den como que los datos adjuntos son malintencionadosReplaced – any email where malicious attachments are replaced by .txt files that state the attachment was malicious

    Ubicación de entrega: el filtro ubicación de entrega está disponible para ayudar a los administradores a comprender dónde terminó el correo malintencionado sospechoso y qué acciones se llevaron a cabo en él.Delivery location: The Delivery location filter is available in order to help admins understand where suspected malicious mail ended-up and what actions were taken on it. Los datos resultantes se pueden exportar a hoja de cálculo.The resulting data can be exported to spreadsheet. Las ubicaciones de entrega posibles son:Possible delivery locations are:

    • Bandeja de entrada o carpeta: el correo electrónico está en la Bandeja de entrada o en una carpeta específica, según las reglas de correo electrónico.Inbox or folder – The email is in the Inbox or a specific folder, according to your email rules.
    • Local o externo: el buzón no existe en la nube, pero es local.On-prem or external – The mailbox doesn't exist in the Cloud but is on-premises.
    • Carpeta de correo no deseado: el correo electrónico está en la carpeta de correo no deseado de un usuario.Junk folder – The email is in a user's Junk mail folder.
    • Carpeta Elementos eliminados: el correo electrónico se encuentra en la carpeta Elementos eliminados de un usuario.Deleted items folder – The email is in a user's Deleted items folder.
    • Cuarentena: el correo electrónico en cuarentena y no en el buzón de un usuario.Quarantine – The email in quarantine, and not in a user's mailbox.
    • Error: el correo electrónico no pudo llegar al buzón.Failed – The email failed to reach the mailbox.
    • Eliminado: el correo electrónico se perdió en algún lugar del flujo de correo.Dropped – The email was lost somewhere in the mail flow.

    Direccionalidad: esta opción permite al equipo de operaciones de seguridad filtrar por la "dirección" de la que proviene o va el correo.Directionality: This option allows your security operations team to filter by the 'direction' a mail comes from, or is going. Los valores de direccionalidad son Entrantes, Salientes e Intra-org (correspondientes a correo que entra en la organización desde fuera, se envía fuera de la organización o se envía internamente a su organización, respectivamente).Directionality values are Inbound, Outbound, and Intra-org (corresponding to mail coming into your org from outside, being sent out of your org, or being sent internally to your org, respectively). Esta información puede ayudar a los equipos de operaciones de seguridad a detectar la suplantación y la suplantación, ya que existe un error de coincidencia entre el valor de direccionalidad (por ejemplo.This information can help security operations teams spot spoofing and impersonation, because a mismatch between the Directionality value (ex. Entrante) y el dominio del remitente (que parece ser un dominio interno) será evidente.Inbound), and the domain of the sender (which appears to be an internal domain) will be evident! El valor de direccionalidad es independiente y puede diferir del seguimiento de mensajes.The Directionality value is separate, and can differ from, the Message Trace. Los resultados se pueden exportar a una hoja de cálculo.Results can be exported to spreadsheet.

    Invalidaciones: este filtro toma la información que aparece en la pestaña detalles del correo y la usa para exponer dónde se han invalidado las directivas de usuario o organizativas para permitir y bloquear correos.Overrides: This filter takes information that appears on the mail's details tab and uses it to expose where organizational, or user policies, for allowing and blocking mails have been overridden. Lo más importante de este filtro es que ayuda al equipo de seguridad de la organización a ver cuántos correos electrónicos sospechosos se entregaron debido a la configuración.The most important thing about this filter is that it helps your organization's security team see how many suspicious emails were delivered due to configuration. Esto les da la oportunidad de modificar los bloques y los permite según sea necesario.This gives them an opportunity to modify allows and blocks as needed. Este conjunto de resultados de este filtro se puede exportar a la hoja de cálculo.This result set of this filter can be exported to spreadsheet.


    Invalidaciones del Explorador de amenazasThreat Explorer Overrides Qué significanWhat they mean
    Permitido por la directiva de organizaciónAllowed by Org Policy El correo se permitió en el buzón según lo indicado por la directiva de la organización.Mail was allowed into the mailbox as directed by the organization policy.
    Directiva de organización bloqueadaBlocked by Org policy El correo se bloqueó para que no se entregara al buzón según lo indicado por la directiva de la organización.Mail was blocked from delivery to the mailbox as directed by the organization policy.
    Extensión de archivo bloqueada por la directiva de organizaciónFile extension blocked by Org Policy El archivo se bloqueó para que no se entregara al buzón según lo indicado por la directiva de la organización.File was blocked from delivery to the mailbox as directed by the organization policy.
    Permitido por la directiva de usuarioAllowed by User Policy El correo se permitió en el buzón según lo indicado por la directiva de usuario.Mail was allowed into the mailbox as directed by the user policy.
    Bloqueado por la directiva de usuarioBlocked by User Policy El correo se bloqueó para que no se entregara al buzón según lo indicado por la directiva de usuario.Mail was blocked from delivery to the mailbox as directed by the user policy.

    Amenaza de dirección URL: el campo Amenaza de dirección URL se ha incluido en la pestaña detalles de un correo electrónico para indicar la amenaza presentada por una dirección URL.URL threat: The URL threat field has been included on the details tab of an email to indicate the threat presented by a URL. Las amenazas presentadas por una dirección URL pueden incluir Malware, Phish o Spam, y una dirección URL sin amenaza dirá None en la sección amenazas.Threats presented by a URL can include Malware, Phish, or Spam, and a URL with no threat will say None in the threats section.

  7. Vista escala de tiempo de correo electrónico: es posible que el equipo de operaciones de seguridad necesite profundizar en los detalles del correo electrónico para investigar más.Email timeline view: Your security operations team might need to deep-dive into email details to investigate further. La escala de tiempo de correo electrónico permite a los administradores ver las acciones realizadas en un correo electrónico desde la entrega hasta la posterior a la entrega.The email timeline allows admins to view actions taken on an email from delivery to post-delivery. Para ver una escala de tiempo de correo electrónico, haga clic en el asunto de un mensaje de correo electrónico y, a continuación, haga clic en Escala de tiempo de correo electrónico.To view an email timeline, click on the subject of an email message, and then click Email timeline. (Aparece entre otros encabezados en el panel como Resumen o Detalles). Estos resultados se pueden exportar a una hoja de cálculo.(It appears among other headings on the panel like Summary or Details.) These results can be exported to spreadsheet.

    La escala de tiempo del correo electrónico se abrirá en una tabla que muestra todos los eventos de entrega y posterior a la entrega del correo electrónico.Email timeline will open to a table that shows all delivery and post-delivery events for the email. Si no hay más acciones en el correo electrónico, debería ver un solo evento para la entrega original que indica un resultado, como Blocked, con un veredicto como Phish.If there are no further actions on the email, you should see a single event for the original delivery that states a result, such as Blocked, with a verdict like Phish. Los administradores pueden exportar toda la escala de tiempo del correo electrónico, incluidos todos los detalles de la pestaña y el correo electrónico (por ejemplo, Asunto, Remitente, Destinatario, Red e Id. de mensaje).Admins can export the entire email timeline, including all details on the tab and email (such as, Subject, Sender, Recipient, Network, and Message ID). La escala de tiempo de correo electrónico reduce la aleatorización porque hay menos tiempo dedicado a comprobar diferentes ubicaciones para intentar comprender los eventos que han ocurrido desde que llegó el correo electrónico.The email timeline cuts down on randomization because there is less time spent checking different locations to try to understand events that happened since the email arrived. Cuando se suceden varios eventos al mismo tiempo o cerca de ellos en un correo electrónico, estos eventos se muestran en una vista de escala de tiempo.When multiple events happen at, or close to, the same time on an email, those events show up in a timeline view.

  8. Vista previa o descarga: el Explorador de amenazas proporciona al equipo de operaciones de seguridad los detalles que necesitan para investigar el correo electrónico sospechoso.Preview / download: Threat Explorer gives your security operations team the details they need to investigate suspicious email. El equipo de operaciones de seguridad puede:Your security operations team can either:

Comprobar la acción de entrega y la ubicaciónCheck the delivery action and location

En el Explorador de amenazas (ydetecciones en tiempo real), ahora tiene columnas De acción de entrega y Ubicación de entrega en lugar de la columna Estado de entrega anterior. In Threat Explorer (and real-time detections), you now have Delivery Action and Delivery Location columns instead of the former Delivery Status column. Esto da como resultado una imagen más completa de dónde aterrizan los mensajes de correo electrónico.This results in a more complete picture of where your email messages land. Parte del objetivo de este cambio es facilitar las investigaciones a los equipos de operaciones de seguridad, pero el resultado neto es conocer de un vistazo la ubicación de los mensajes de correo electrónico con problemas.Part of the goal of this change is to make investigations easier for security operations teams, but the net result is knowing the location of problem email messages at a glance.

El estado de entrega ahora se divide en dos columnas:Delivery Status is now broken out into two columns:

  • Acción de entrega: ¿cuál es el estado de este correo electrónico?Delivery action - What is the status of this email?

  • Ubicación de entrega: ¿dónde se enrutó este correo electrónico como resultado?Delivery location - Where was this email routed as a result?

La acción de entrega es la acción realizada en un correo electrónico debido a las directivas o detecciones existentes.Delivery action is the action taken on an email due to existing policies or detections. Estas son las posibles acciones que un correo electrónico puede realizar:Here are the possible actions an email can take:

  • Entregado: el correo electrónico se entregó a la bandeja de entrada o carpeta de un usuario y el usuario puede acceder directamente a él.Delivered – email was delivered to inbox or folder of a user and the user can directly access it.

  • Junked: el correo electrónico se envió a la carpeta de correo no deseado del usuario o a la carpeta eliminada y el usuario tiene acceso a los mensajes de correo electrónico en su carpeta Correo no deseado o Eliminado.Junked – email was sent to either user's junk folder or deleted folder, and the user has access to email messages in their Junk or Deleted folder.

  • Bloqueado: cualquier mensaje de correo electrónico que se ponga en cuarentena, que falle o que se haya descartado.Blocked – any email messages that are quarantined, that failed, or were dropped. (Esto es completamente inaccesible para el usuario).(This is completely inaccessible by the user.)

  • Reemplazado: cualquier correo electrónico en el que los datos adjuntos malintencionados se reemplazan por archivos .txt que den como que los datos adjuntos son malintencionados.Replaced – any email where malicious attachments are replaced by .txt files that state the attachment was malicious.

La ubicación de entrega muestra los resultados de las directivas y detecciones que se ejecutan después de la entrega.Delivery location shows the results of policies and detections that run post-delivery. Está vinculado a una acción de entrega.It's linked to a Delivery Action. Este campo se agregó para proporcionar información sobre la acción realizada cuando se encuentra un correo con problemas.This field was added to give insight into the action taken when a problem mail is found. Estos son los posibles valores de la ubicación de entrega:Here are the possible values of delivery location:

  • Bandeja de entrada o carpeta: el correo electrónico está en la bandeja de entrada o en una carpeta (según las reglas de correo electrónico).Inbox or folder – The email is in the inbox or a folder (according to your email rules).

  • Local o externo: el buzón no existe en la nube, pero es local.On-prem or external – The mailbox doesn't exist on cloud but is on-premises.

  • Carpeta de correo no deseado: el correo electrónico está en la carpeta de correo no deseado de un usuario.Junk folder – The email is in a user's Junk folder.

  • Carpeta Elementos eliminados: el correo electrónico se encuentra en la carpeta Elementos eliminados de un usuario.Deleted items folder – The email is in a user's Deleted items folder.

  • Cuarentena: el correo electrónico en cuarentena y no en el buzón de un usuario.Quarantine – The email in quarantine, and not in a user's mailbox.

  • Error: el correo electrónico no pudo llegar al buzón.Failed – The email failed to reach the mailbox.

  • Eliminado: el correo electrónico se pierde en algún lugar del flujo de correo.Dropped – The email gets lost somewhere in the mail flow.

Ver la escala de tiempo del correo electrónicoView the timeline of your email

La escala de tiempo de correo electrónico es un campo en el Explorador de amenazas que facilita la búsqueda del equipo de operaciones de seguridad.Email Timeline is a field in Threat Explorer that makes hunting easier for your security operations team. Cuando se suceden varios eventos al mismo tiempo o cerca de él en un correo electrónico, estos eventos se muestran en una vista de escala de tiempo.When multiple events happen at or close to the same time on an email, those events show up in a timeline view. Algunos eventos que se suceden después de la entrega al correo electrónico se capturan en la columna Acciones especiales.Some events that happen post-delivery to email are captured in the Special actions column. La combinación de información de la escala de tiempo de un mensaje de correo electrónico con cualquier acción especial que se llevara a cabo después de la entrega proporciona a los administradores información sobre las directivas y el tratamiento de amenazas (por ejemplo, dónde se enrutó el correo y, en algunos casos, cuál era la evaluación final).Combining information from the timeline of an email message with any special actions that were taken post-delivery gives admins insight into policies and threat handling (such as where the mail was routed, and, in some cases, what the final assessment was).

Importante

Vaya a un tema de corrección aquí.Jump to a remediation topic here.

Corregir el correo electrónico malintencionado entregado en Office 365Remediate malicious email delivered in Office 365

Microsoft Defender para Office 365Microsoft Defender for Office 365

Proteger contra amenazas en Office 365Protect against threats in Office 365

Ver informes de Defender para Office 365View reports for Defender for Office 365