Búsqueda de amenazas en el Explorador de amenazas y detecciones en tiempo real en Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Las organizaciones de Microsoft 365 que Microsoft Defender para Office 365 incluyen en su suscripción o compran como complemento tienen Explorador (también conocido como Explorador de amenazas) o detecciones en tiempo real. Estas características son herramientas eficaces casi en tiempo real para ayudar a los equipos de Operaciones de seguridad (SecOps) a investigar y responder a las amenazas. Para obtener más información, consulte Acerca del Explorador de amenazas y Detecciones en tiempo real en Microsoft Defender para Office 365.

El Explorador de amenazas o las detecciones en tiempo real le permiten realizar las siguientes acciones:

  • Ver el malware detectado por características de seguridad de Microsoft 365.
  • Vea la dirección URL de phishing y haga clic en datos de veredicto.
  • Inicie un proceso de investigación y respuesta automatizado (solo explorador de amenazas).
  • Investigue el correo electrónico malintencionado.
  • Y mucho más.

Vea este breve vídeo para aprender a buscar e investigar amenazas basadas en el correo electrónico y la colaboración mediante Defender para Office 365.

Sugerencia

La búsqueda avanzada en Microsoft Defender XDR admite un generador de consultas fácil de usar que no usa el Lenguaje de consulta Kusto (KQL). Para obtener más información, consulte Compilación de consultas mediante el modo guiado.

La siguiente información está disponible en este artículo:

Sugerencia

Para escenarios de correo electrónico mediante el Explorador de amenazas y las detecciones en tiempo real, consulte los artículos siguientes:

Si busca ataques basados en direcciones URL malintencionadas incrustadas en códigos QR, el código QR del valor de filtro de origen de la dirección URL en las vistas Todo el correo electrónico, Malware y Phish en el Explorador de amenazas o detecciones en tiempo real le permite buscar mensajes de correo electrónico con direcciones URL extraídas de códigos QR.

¿Qué necesita saber antes de empezar?

Explorador de amenazas y tutorial de detecciones en tiempo real

El Explorador de amenazas o las detecciones en tiempo real están disponibles en la sección de colaboración Email & del portal de Microsoft Defender en https://security.microsoft.com:

El Explorador de amenazas contiene la misma información y funcionalidades que las detecciones en tiempo real, pero con las siguientes características adicionales:

  • Más vistas.
  • Más opciones de filtrado de propiedades, incluida la opción para guardar consultas.
  • Acciones de búsqueda y corrección de amenazas.

Para obtener más información sobre las diferencias entre Defender para Office 365 Plan 1 y Plan 2, consulte la hoja de referencia rápida del plan 1 frente al plan 2 de Defender para Office 365.

Use las pestañas (vistas) de la parte superior de la página para iniciar la investigación.

Las vistas disponibles en el Explorador de amenazas y las detecciones en tiempo real se describen en la tabla siguiente:

View Amenaza
Explorador		 En tiempo real
Detecciones		 Descripción
Todo el correo electrónico Vista predeterminada del Explorador de amenazas. Información sobre todos los mensajes de correo electrónico enviados por usuarios externos a su organización o correo electrónico enviado entre usuarios internos de la organización.
Malware Vista predeterminada para detecciones en tiempo real. Información sobre los mensajes de correo electrónico que contienen malware.
Suplantación de identidad Información sobre los mensajes de correo electrónico que contienen amenazas de suplantación de identidad (phishing).
Campañas Información sobre el correo electrónico malintencionado que Defender para Office 365 plan 2 identificado como parte de una campaña coordinada de phishing o malware.
Malware de contenido Información sobre los archivos malintencionados detectados por las siguientes características:
Clics de URL Información sobre los clics del usuario en las direcciones URL de los mensajes de correo electrónico, los mensajes de Teams, los archivos de SharePoint y los archivos de OneDrive.

Use el filtro de fecha y hora y las propiedades de filtro disponibles en la vista para refinar los resultados:

Sugerencia

Recuerde seleccionar Actualizar después de crear o actualizar el filtro. Los filtros afectan a la información del gráfico y al área de detalles de la vista.

Puede pensar en refinar el foco en el Explorador de amenazas o en las detecciones en tiempo real como capas para facilitar la reanudación de los pasos:

  • La primera capa es la vista que está usando.
  • El segundo más adelante son los filtros que se usan en esa vista.

Por ejemplo, puede volver a rastrear los pasos que ha realizado para encontrar una amenaza registrando sus decisiones como esta: Para encontrar el problema en el Explorador de amenazas, usé la vista Malware y usé un foco de filtro Destinatario .

Además, asegúrese de probar las opciones de visualización. Las distintas audiencias (por ejemplo, la administración) pueden reaccionar mejor o peor a diferentes presentaciones de los mismos datos.

Por ejemplo, en el Explorador de amenazas, la vista Todo el correo electrónico, las vistas origen Email y Campañas (pestañas) están disponibles en el área de detalles de la parte inferior de la página:

  • Para algunas audiencias, el mapa del mundo de la pestaña de origen de Email podría hacer un mejor trabajo al mostrar lo extendidas que son las amenazas detectadas.

    Captura de pantalla del mapa del mundo en la vista de origen Email en el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas.

  • Otros podrían encontrar la información detallada en la tabla de la pestaña Campañas más útil para transmitir la información.

    Captura de pantalla de la tabla de detalles de la pestaña Campaña en la vista Todo el correo electrónico del Explorador de amenazas.

Puede usar esta información para los resultados siguientes:

  • Para mostrar la necesidad de seguridad y protección.
  • Para demostrar más adelante la eficacia de las acciones.

Email investigación

En las vistas Todo el correo electrónico, Malware o Phish del Explorador de amenazas o Detecciones en tiempo real, los resultados del mensaje de correo electrónico se muestran en una tabla de la pestaña Email (vista) del área de detalles debajo del gráfico.

Cuando vea un mensaje de correo electrónico sospechoso, haga clic en el valor Asunto de una entrada de la tabla. El control flotante de detalles que se abre contiene la entidad Abrir correo electrónico en la parte superior del control flotante.

Captura de pantalla de las acciones disponibles en el control flotante detalles del correo electrónico después de seleccionar un valor asunto en la pestaña Email del área de detalles en la vista Todo el correo electrónico.

La página de entidad Email reúne todo lo que necesita saber sobre el mensaje y su contenido para que pueda determinar si el mensaje es una amenaza. Para obtener más información, consulte introducción a Email página de entidades.

Email corrección

Después de determinar que un mensaje de correo electrónico es una amenaza, el siguiente paso es corregir la amenaza. Corrija la amenaza en el Explorador de amenazas o en las detecciones en tiempo real mediante Acción.

Realizar acción está disponible en las vistas Todo el correo electrónico, Malware o Phish del Explorador de amenazas o Detecciones en tiempo real en la pestaña Email (vista) del área de detalles debajo del gráfico:

  • Seleccione una o varias entradas de la tabla seleccionando la casilla situada junto a la primera columna. Tomar medidas está disponible directamente en la pestaña.

    Captura de pantalla de la vista Email (pestaña) de la tabla de detalles con un mensaje seleccionado y Acción activa.

    Sugerencia

    Realizar acción reemplaza la lista desplegable Acciones de mensaje.

    Si selecciona 100 entradas o menos, puede realizar varias acciones en los mensajes en el Asistente para realizar acciones .

    Si selecciona entre 101 y 200 000 entradas, solo estarán disponibles las siguientes acciones en el Asistente para realizar acciones :

    • Explorador de amenazas: Se puede mover al buzón y proponer corrección , pero son mutuamente excluyentes (puede seleccionar una u otra).
    • Detecciones en tiempo real: solo se puede enviar a Microsoft para revisarlas y crear las entradas de permitir o bloquear correspondientes en la lista Permitir o bloquear inquilinos.

  • Haga clic en el valor Asunto de una entrada de la tabla. El control flotante de detalles que se abre contiene Acción en la parte superior del control flotante.

    Las acciones disponibles en la pestaña de detalles después de seleccionar un valor asunto en la pestaña Email del área de detalles de la vista Todo el correo electrónico.

Al seleccionar Tomar acción , se abre el Asistente para realizar acciones en un control flotante. Las acciones disponibles en el Asistente para realizar acciones en el Explorador de amenazas (Defender para Office 365 plan 2) y las detecciones en tiempo real (Defender para Office 365 plan 1) se enumeran en la tabla siguiente:

Acción Amenaza
Explorador		 En tiempo real
Detections
Mover a la carpeta de buzón ✔¹
Enviar a Microsoft para su revisión
  Permitir o bloquear entradas en la lista de permitidos o bloques de inquilinos³
Inicio de una investigación automatizada
Propuesta de corrección ²

¹ Esta acción requiere el rol Búsqueda y Purgar en Email & permisos de colaboración. De forma predeterminada, este rol solo se asigna a los grupos de roles Investigador de datos y Administración de la organización . Puede agregar usuarios a esos grupos de roles, o puede crear un nuevo grupo de roles con el rol Búsqueda y Purga asignado, y agregar los usuarios al grupo de roles personalizado.

² Aunque esta acción podría aparecer disponible en detecciones en tiempo real, no está disponible en Defender para Office 365 plan 1.

³ Esta acción está disponible en Enviar a Microsoft para su revisión.

El Asistente para realizar acciones se describe en la lista siguiente:

  1. En la página Elegir acciones de respuesta , realice las siguientes selecciones:

    • Mostrar todas las acciones de respuesta: esta opción solo está disponible en el Explorador de amenazas.

      De forma predeterminada, algunas acciones no están disponibles o están atenuadas en función de la ubicación de entrega más reciente del mensaje. Para mostrar todas las acciones de respuesta disponibles, deslice el botón de alternancia a Activado.

    • Email sección acciones de mensaje:

      Puede seleccionar varias acciones si seleccionó 100 o menos mensajes en la pestaña Email (vista) del área de detalles de las vistas Todo el correo electrónico, Malware o Phish cuando seleccionó Realizar acción.

      También puede seleccionar varias acciones si seleccionó Tomar acción en el control flotante de detalles después de hacer clic en el valor Asunto de una entrada.

      Seleccione una o varias de las opciones disponibles:

    • Mover a la carpeta de buzón: seleccione uno de los valores disponibles que aparecen:

      • Correo no deseado: mueva el mensaje a la carpeta de Email no deseado.
      • Bandeja de entrada: mueva el mensaje a la Bandeja de entrada.
      • Elementos eliminados: mueva el mensaje a la carpeta Elementos eliminados.
      • Elementos eliminados temporalmente: elimine el mensaje de la carpeta Elementos eliminados (vaya a la carpeta Elementos recuperables\Eliminaciones). El usuario y los administradores pueden recuperar el mensaje.
      • Elementos eliminados de forma rígida: purga el mensaje eliminado. Los administradores pueden recuperar elementos eliminados de forma rígida mediante la recuperación de elementos únicos. Para obtener más información sobre los elementos eliminados de forma rígida y los eliminados temporalmente, consulte Elementos eliminados temporalmente y eliminados de forma rígida.

    • Enviar a Microsoft para su revisión: seleccione uno de los valores disponibles que aparecen:

      • He confirmado que está limpio: seleccione este valor si está seguro de que el mensaje está limpio. Aparecen las siguientes opciones:

        • Permitir mensajes como este: si selecciona este valor, las entradas permitidas se agregan a la lista de permitidos o bloques de inquilinos para el remitente y las direcciones URL o datos adjuntos relacionados del mensaje. También aparecen las siguientes opciones:
          • Quitar entrada después: el valor predeterminado es 1 día, pero también puede seleccionar 7 días, 30 días o una fecha específica que sea inferior a 30 días.
          • Permitir nota de entrada: escriba una nota opcional que contenga información adicional.

      • Aparece limpio o parece sospechoso: seleccione uno de estos valores si no está seguro y quiere un veredicto de Microsoft.

      • He confirmado que es una amenaza: seleccione este valor si está seguro de que el elemento es malintencionado y, a continuación, seleccione uno de los siguientes valores en la sección Elegir una categoría que aparece:

        • Suplantación de identidad
        • Malware
        • Correo no deseado

        Después de seleccionar uno de esos valores, se abre un control flotante Seleccionar entidades para bloquear , donde puede seleccionar una o varias entidades asociadas con el mensaje (dirección del remitente, dominio del remitente, direcciones URL o archivos adjuntos) para agregar como entradas de bloque a la lista Permitir o bloquear inquilinos.

        Después de seleccionar los elementos que se van a bloquear, seleccione Agregar para bloquear la regla para cerrar el control flotante Seleccionar entidades para bloquear . O bien, no seleccione ningún elemento y, a continuación, seleccione Cancelar.

        En la página Elegir acciones de respuesta , seleccione una opción de expiración para las entradas de bloque:

        • Expirar en: seleccione una fecha para que expiren las entradas de bloque.
        • Nunca expirar

        Se muestra el número de entidades bloqueadas (por ejemplo, 4/4 entidades que se van a bloquear). Seleccione Editar para volver a abrir la regla Agregar para bloquear y realizar cambios.

    • Iniciar una investigación automatizada: solo explorador de amenazas. Seleccione uno de los siguientes valores que aparecen:

      • Investigación del correo electrónico
      • Investigar destinatario
      • Investigar remitente: este valor solo se aplica a los remitentes de la organización.
      • Ponerse en contacto con los destinatarios

    • Proponer corrección: seleccione uno de los siguientes valores que aparecen:

      • Create nuevo: este valor desencadena una acción pendiente de correo electrónico de eliminación temporal que debe ser aprobada por un administrador en el Centro de acciones. Este resultado se conoce como aprobación en dos pasos.

      • Agregar a existente: use este valor para aplicar acciones a este mensaje de correo electrónico desde una corrección existente. En el cuadro Enviar correo electrónico a las siguientes correcciones , seleccione la corrección existente.

        Sugerencia

        El personal de SecOps que no tiene suficientes permsissions puede usar esta opción para crear una corrección, pero alguien con permisos debe aprobar la acción en el Centro de acciones.

    Cuando haya terminado en la página Elegir acciones de respuesta , seleccione Siguiente.

  2. En la página Elegir entidades de destino , configure las siguientes opciones:

    • Nombre y descripción: escriba un nombre descriptivo único y una descripción opcional para realizar un seguimiento e identificar la acción seleccionada.

    El resto de la página es una tabla que enumera los recursos afectados. La tabla está organizada por las columnas siguientes:

    • Recurso afectado: los recursos afectados de la página anterior. Por ejemplo:
      • Dirección de correo electrónico del destinatario
      • Inquilino completo
    • Acción: las acciones seleccionadas para los recursos de la página anterior. Por ejemplo:
      • Valores de Enviar a Microsoft para su revisión:
        • Informe como limpio
        • Report
        • Informe como malware, Informe como correo no deseado o Informe como suplantación de identidad (phishing)
        • Bloquear remitente
        • Bloquear dominio de remitente
        • Dirección URL de bloque
        • Bloquear datos adjuntos
      • Valores de Iniciar investigación automatizada:
        • Investigación del correo electrónico
        • Investigar destinatario
        • Investigar remitente
        • Ponerse en contacto con los destinatarios
      • Valores de la corrección Propose:
        • Create nueva corrección
        • Adición a la corrección existente
    • Entidad de destino: por ejemplo:
      • Valor del identificador de mensaje de red del mensaje de correo electrónico.
      • Dirección de correo electrónico del remitente bloqueada.
      • Dominio de remitente bloqueado.
      • Dirección URL bloqueada.
      • Datos adjuntos bloqueados.
    • Expira en: los valores solo existen para las entradas de permitir o bloquear en la lista de inquilinos o de bloques permitidos. Por ejemplo:
      • Nunca expire para las entradas de bloque.
      • Fecha de expiración de las entradas de permitir o bloquear.
    • Ámbito: normalmente, este valor se MDO.

    En esta fase, también puede deshacer algunas acciones. Por ejemplo, si solo desea crear una entrada de bloque en la lista de inquilinos permitidos o bloqueados sin enviar la entidad a Microsoft, puede hacerlo aquí.

    Cuando haya terminado en la página Elegir entidades de destino , seleccione Siguiente.

  3. En la página Revisar y enviar , revise las selecciones anteriores.

    Seleccione Exportar para exportar los recursos afectados a un archivo CSV. De forma predeterminada, el nombre de archivo se ve afectado assets.csv ubicado en la carpeta Descargas .

    Seleccione Atrás para volver atrás y cambiar las selecciones.

    Cuando haya terminado en la página Revisar y enviar , seleccione Enviar.

Sugerencia

Las acciones pueden tardar tiempo en aparecer en las páginas relacionadas, pero la velocidad de la corrección no se ve afectada.

La experiencia de búsqueda de amenazas mediante el Explorador de amenazas y las detecciones en tiempo real

El Explorador de amenazas o las detecciones en tiempo real ayudan al equipo de operaciones de seguridad a investigar y responder a las amenazas de forma eficaz. En las subsecciones siguientes se explica cómo el Explorador de amenazas y las detecciones en tiempo real pueden ayudarle a encontrar amenazas.

Búsqueda de amenazas de alertas

La página Alertas está disponible en el portal de Defender en Incidentes & alertas>alertas o directamente en https://security.microsoft.com/alerts.

Muchas alertas con el valor de origen de detecciónMDO tienen la acción Ver mensajes en el Explorador disponible en la parte superior del control flotante de detalles de la alerta.

El control flotante detalles de la alerta se abre al hacer clic en cualquier lugar de la alerta que no sea la casilla situada junto a la primera columna. Por ejemplo:

  • Se detectó un clic de dirección URL potencialmente malintencionado
  • Administración resultado del envío completado
  • Email mensajes que contienen direcciones URL malintencionadas eliminadas después de la entrega
  • Mensajes de correo electrónico quitados después de la entrega
  • Mensajes que contienen entidad malintencionada que no se quitan después de la entrega
  • Phish no zapped porque ZAP está deshabilitado

Captura de pantalla de las acciones disponibles en el control flotante de detalles de alerta de una alerta con el valor de origen Detecciones MDO de la página Alertas del portal de Defender.

Al seleccionar Ver mensajes en el Explorador , se abre el Explorador de amenazas en la vista Todo el correo electrónico con el filtro de propiedades Id. de alerta seleccionado para la alerta. El valor id. de alerta es un valor GUID único para la alerta (por ejemplo, 89e00cdc-4312-7774-6000-08dc33a24419).

Id. de alerta es una propiedad filtrable en las siguientes vistas del Explorador de amenazas y detecciones en tiempo real:

En esas vistas, id. de alerta está disponible como una columna seleccionable en el área de detalles debajo del gráfico en las pestañas siguientes (vistas):

En el control flotante de detalles de correo electrónico que se abre al hacer clic en un valor de Asunto de una de las entradas, el vínculo Id. de alerta está disponible en la sección Email detalles del control flotante. Al seleccionar el vínculo Id. de alerta , se abre la página Ver alertas en https://security.microsoft.com/viewalertsv2 con la alerta seleccionada y el control flotante de detalles abierto para la alerta.

Captura de pantalla del control flotante Detalles de la alerta en la página Ver alertas después de seleccionar un identificador de alerta en el control flotante de detalles de correo electrónico de una entrada en la pestaña Email de las vistas Todo el correo electrónico, Malware o Phish en el Explorador de amenazas o detecciones en tiempo real.

Etiquetas en el Explorador de amenazas

En Defender para Office 365 plan 2, si usa etiquetas de usuario para marcar cuentas de destino de alto valor (por ejemplo, la etiqueta de cuenta de prioridad), puede usar esas etiquetas como filtros. Este método muestra los intentos de suplantación de identidad dirigidos a cuentas de destino de alto valor durante un período de tiempo específico. Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.

Las etiquetas de usuario están disponibles en las siguientes ubicaciones en el Explorador de amenazas:

Información sobre amenazas para mensajes de correo electrónico

Las acciones de entrega previa y posterior a la entrega en los mensajes de correo electrónico se consolidan en un único registro, independientemente de los distintos eventos posteriores a la entrega que afectaron al mensaje. Por ejemplo:

El control flotante de detalles del correo electrónico de la pestaña Email (vista) de las vistas Todo el correo electrónico, Malware o Phish muestra las amenazas asociadas y las tecnologías de detección correspondientes asociadas al mensaje de correo electrónico. Un mensaje puede tener cero, una o varias amenazas.

  • En la sección Detalles de entrega , la propiedad Tecnología de detección muestra la tecnología de detección que identificó la amenaza. La tecnología de detección también está disponible como un gráfico dinámico o una columna en la tabla de detalles para muchas vistas en el Explorador de amenazas y detecciones en tiempo real.

  • La sección Direcciones URL muestra información específica sobre amenazas para las direcciones URL del mensaje. Por ejemplo, Malware, Phish, **Spam o None.

Sugerencia

Es posible que el análisis de veredictos no esté necesariamente vinculado a entidades. Los filtros evalúan el contenido y otros detalles de un mensaje de correo electrónico antes de asignar un veredicto. Por ejemplo, un mensaje de correo electrónico podría clasificarse como phishing o spam, pero ninguna dirección URL del mensaje se marca con un veredicto de suplantación de identidad (phishing) o spam.

Seleccione Abrir entidad de correo electrónico en la parte superior del control flotante para ver detalles exhaustivos sobre el mensaje de correo electrónico. Para obtener más información, consulte la página De entidad Email en Microsoft Defender para Office 365.

Captura de pantalla del control flotante de detalles del correo electrónico después de seleccionar un valor asunto en la pestaña Email del área de detalles de la vista Todo el correo electrónico.

Funcionalidades extendidas en el Explorador de amenazas

En las subsecciones siguientes se describen los filtros que son exclusivos del Explorador de amenazas.

Reglas de flujo de correo de Exchange (reglas de transporte)

Para buscar mensajes que se vieron afectados por las reglas de flujo de correo de Exchange (también conocidas como reglas de transporte), tiene las siguientes opciones en las vistas Todo el correo electrónico, Malware y Phish en el Explorador de amenazas (no en detecciones en tiempo real):

  • La regla de transporte de Exchange es un valor seleccionable para las propiedades filtrables Origen de invalidación principal, Origen de invalidación y Tipo de directiva .
  • La regla de transporte de Exchange es una propiedad filtrable. Escriba un valor de texto parcial para el nombre de la regla.

Para más información, consulte los siguientes vínculos:

La pestaña Email (vista) del área de detalles de las vistas Todo el correo electrónico, Malware y Phish del Explorador de amenazas también tiene regla de transporte de Exchange como columna disponible que no está seleccionada de forma predeterminada. Esta columna muestra el nombre de la regla de transporte. Para más información, consulte los siguientes vínculos:

Sugerencia

Para obtener los permisos necesarios para buscar reglas de flujo de correo por nombre en el Explorador de amenazas, consulte Permisos y licencias para el Explorador de amenazas y las detecciones en tiempo real. No se requieren permisos especiales para ver los nombres de regla en los controles flotantes de detalles de correo electrónico, las tablas de detalles y los resultados exportados.

Conectores entrantes

Los conectores de entrada especifican una configuración específica para los orígenes de correo electrónico para Microsoft 365. Para obtener más información, vea Configurar el flujo del correo mediante conectores en Exchange Online.

Para buscar mensajes que se vieron afectados por los conectores entrantes, puede usar la propiedad filtrable Conector para buscar conectores por nombre en las vistas Todo el correo electrónico, Malware y Phish en el Explorador de amenazas (no en detecciones en tiempo real). Escriba un valor de texto parcial para el nombre del conector. Para más información, consulte los siguientes vínculos:

La pestaña Email (vista) del área de detalles de las vistas Todo el correo electrónico, Malware y Phish del Explorador de amenazas también tiene Conector como una columna disponible que no está seleccionada de forma predeterminada. Esta columna muestra el nombre del conector. Para más información, consulte los siguientes vínculos:

Email escenarios de seguridad en el Explorador de amenazas y detecciones en tiempo real

Para escenarios específicos, consulte los siguientes artículos:

Más formas de usar el Explorador de amenazas y las detecciones en tiempo real

Además de los escenarios descritos en este artículo, tiene más opciones en El Explorador o detecciones en tiempo real. Para más información, consulte los siguientes artículos: