Vistas en el explorador de amenazas y detecciones en tiempo real

Nota

¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.

Se aplica a

Página Explorador de amenazas

El Explorador de amenazas (y el informe de detecciones en tiempo real) es una herramienta eficaz casi en tiempo real para ayudar a los equipos de operaciones de seguridad a investigar y responder a amenazas en el portal de Microsoft 365 Defender. El Explorador (y el informe de detecciones en tiempo real) muestra información sobre sospechas de malware y fish en el correo electrónico y los archivos de Office 365, así como otras amenazas y riesgos de seguridad para su organización.

Al abrir por primera vez el Explorador (o el informe de detecciones en tiempo real), la vista predeterminada muestra las detecciones de malware por correo electrónico de los últimos 7 días. En este informe también pueden mostrarse las detecciones de Microsoft Defender para Office 365, como direcciones URL malintencionadas detectadas por Vínculos seguros y archivos malintencionados detectados por Datos adjuntos seguros. Este informe se puede modificar para mostrar los datos de los últimos 30 días (con una suscripción de pago de Microsoft Defender para Office 365 P2). Las suscripciones de prueba solo incluirán datos de los últimos siete días.

Suscripción Utilidad Días de datos
prueba de Microsoft Defender para Office 365 P1 Detecciones en tiempo real 7
Microsoft Defender para Office 365 P1 pagado Detecciones en tiempo real 30
prueba de pago de Microsoft Defender para Office 365 P1 Defender para Office 365 P2 Explorador de amenazas 7
Microsoft Defender para Office 365 versión de prueba de P2 Explorador de amenazas 7
Microsoft Defender para Office 365 P2 pagado Explorador de amenazas 30

Nota

Pronto ampliaremos la retención de datos del Explorador (y las detecciones en tiempo real) y el límite de búsqueda para los inquilinos de prueba de 7 a 30 días. Este cambio se está realizando como parte del punto de hoja de ruta nº 70544 y se encuentra actualmente en una fase de implementación.

Use el menú Ver para cambiar la información que se muestra. La información sobre herramientas le ayudará a determinar qué vista usar.

Menú Vista del Explorador de amenazas

Una vez que seleccione una vista, puede aplicar filtros y establecer consultas para realizar análisis adicionales. En las secciones siguientes se proporciona una breve introducción a las distintas vistas disponibles en el Explorador (o en las detecciones en tiempo real).

Malware > correo electrónico

Para ver este informe, en explorador (o detecciones en tiempo real), elija Ver > malware de correo electrónico>. En esta vista se muestra información sobre los mensajes de correo electrónico que se identificaron como que contienen malware.

Ver datos sobre el correo electrónico identificado como malware

Haga clic en Remitente para abrir la lista de opciones de visualización. Use esta lista para ver los datos por remitente, destinatarios, dominio del remitente, asunto, tecnología de detección, estado de protección, etc.

Por ejemplo, para ver qué acciones se realizaron en los mensajes de correo electrónico detectados, elija Estado de protección en la lista. Seleccione una opción y, a continuación, haga clic en el botón Actualizar para aplicar ese filtro al informe.

Opciones de estado de protección contra amenazas para el Explorador de amenazas

Debajo del gráfico, vea más detalles sobre mensajes específicos. Al seleccionar un elemento de la lista, se abre un panel flotante, donde puede obtener más información sobre el elemento seleccionado.

El Explorador de amenazas con el control flotante abierto

Correo electrónico > Phish

Para ver este informe, en Explorador (o detecciones en tiempo real), elija Ver > phish de correo electrónico>. En esta vista se muestran los mensajes de correo electrónico identificados como intentos de suplantación de identidad ( phishing).

Ver datos sobre correo electrónico identificados como intentos de suplantación de identidad

Haga clic en Remitente para abrir la lista de opciones de visualización. Use esta lista para ver los datos por remitente, destinatarios, dominio del remitente, dirección IP del remitente, dominio url, veredicto de clics y mucho más.

Por ejemplo, para ver qué acciones se realizaron cuando las personas hicieron clic en las direcciones URL que se identificaron como intentos de suplantación de identidad (phishing), elija Click verdict (Hacer clic en veredicto ) en la lista, seleccione una o varias opciones y, a continuación, haga clic en el botón Actualizar.

Las opciones Click verdict (Hacer clic en veredicto) del informe Phish

Debajo del gráfico, vea más detalles sobre mensajes específicos, clics de dirección URL, direcciones URL y origen del correo electrónico.

Las direcciones URL detectadas como phish en los mensajes de correo electrónico

Al seleccionar un elemento de la lista, como una dirección URL que se detectó, se abre un panel flotante, donde puede obtener más información sobre el elemento que seleccionó.

Detalles sobre una dirección URL detectada

Envíos de > por correo electrónico

Para ver este informe, en explorador (o detecciones en tiempo real), elija Ver > envíos de correo electrónico>. En esta vista se muestra el correo electrónico que los usuarios han notificado como correo no deseado, no como correo no deseado o correo electrónico de phishing.

Mensajes de correo electrónico notificados por los usuarios

Haga clic en Remitente para abrir la lista de opciones de visualización. Use esta lista para ver la información por remitente, destinatarios, tipo de informe (la determinación del usuario de que el correo electrónico era no deseado, no basura o phish) y mucho más.

Por ejemplo, para ver información sobre los mensajes de correo electrónico que se notificaron como intentos de suplantación de identidad (phishing), haga clic en Tipo de informe del remitente>, seleccione Phish y, a continuación, haga clic en el botón Actualizar.

Phish seleccionado para el filtro Tipo de informe.

Debajo del gráfico, vea más detalles sobre mensajes de correo electrónico específicos, como la línea de asunto, la dirección IP del remitente, el usuario que notificó el mensaje como no deseado, no como correo no deseado o phish, etc.

Los mensajes que se notificaron como intentos de suplantación de identidad

Seleccione un elemento de la lista para ver detalles adicionales.

Correo electrónico > todo el correo electrónico

Para ver este informe, en el Explorador, elija Ver > correo electrónico > todo el correo. Esta vista muestra una vista general de la actividad de correo electrónico, incluido el correo electrónico identificado como malintencionado debido a phishing o malware, así como todo el correo no malintencionado (correo electrónico normal, correo no deseado y correo masivo).

Nota

Si recibe un error que lee Demasiados datos para mostrar, agregue un filtro y, si es necesario, limite el intervalo de fechas que está viendo.

Para aplicar un filtro, elija Remitente, seleccione un elemento de la lista y, a continuación, haga clic en el botón Actualizar. En nuestro ejemplo, usamos la tecnología de detección como filtro (hay varias opciones disponibles). Vea información por remitente, dominio del remitente, destinatarios, asunto, nombre de archivo adjunto, familia de malware, estado de protección (acciones realizadas por las características y directivas de protección contra amenazas en Office 365), tecnología de detección (cómo se detectó el malware) y mucho más.

Ver datos sobre el correo electrónico detectado por la tecnología de detección

Debajo del gráfico, vea más detalles sobre mensajes de correo electrónico específicos, como la línea de asunto, el destinatario, el remitente, el estado, etc.

Malware de > de contenido

Para ver este informe, en explorador (o detecciones en tiempo real), elija Ver > malware de contenido>. Esta vista muestra los archivos identificados como malintencionados por Microsoft Defender para Office 365 en SharePoint Online, OneDrive para la Empresa y Microsoft Teams.

Vea información por familia de malware, tecnología de detección (cómo se detectó el malware) y carga de trabajo (OneDrive, SharePoint o Teams).

Ver datos sobre malware detectado

Debajo del gráfico, vea más detalles sobre archivos específicos, como el nombre de archivo adjunto, la carga de trabajo, el tamaño del archivo, quién modificó por última vez el archivo, etc.

Funcionalidades de hacer clic para filtrar

Con el Explorador (y las detecciones en tiempo real), puede aplicar un filtro con un clic. Haga clic en un elemento de la leyenda y ese elemento se convierte en un filtro para el informe. Por ejemplo, supongamos que estamos viendo la vista Malware en el Explorador:

La página Explorador del portal de cumplimiento de & de seguridad

Al hacer clic en Detonación de ATP en este gráfico, se obtiene una vista similar a la siguiente:

Explorador filtrado para mostrar solo Defender para Office 365 resultados de detonación

En esta vista, ahora se examinan los datos de los archivos detonados por Caja fuerte Datos adjuntos. Debajo del gráfico, podemos ver detalles sobre mensajes de correo electrónico específicos que tenían datos adjuntos detectados por Caja fuerte Attachments.

Detalles específicos sobre los mensajes de correo electrónico con datos adjuntos detectados

Al seleccionar uno o varios elementos, se activa el menú Acciones , que ofrece varias opciones entre las que elegir para los elementos seleccionados.

Proceso de selección de un elemento que activa el menú Acciones

La capacidad de filtrar con un clic y navegar a detalles específicos puede ahorrar mucho tiempo en la investigación de amenazas.

Consultas y filtros

Explorer (así como el informe de detecciones en tiempo real) tiene varios filtros eficaces y funcionalidades de consulta que le permiten profundizar en detalles, como los usuarios de destino superior, las principales familias de malware, la tecnología de detección y mucho más. Cada tipo de informe ofrece una variedad de formas de ver y explorar datos.

Importante

No use caracteres comodín, como un asterisco o un signo de interrogación, en la barra de consulta del Explorador (o detecciones en tiempo real). Al buscar mensajes de correo electrónico en el campo Asunto , el Explorador (o las detecciones en tiempo real) realizarán coincidencias parciales y producirán resultados similares a una búsqueda con caracteres comodín.