compatibilidad con el plan 2 de Microsoft Defender para Office 365 para Microsoft Teams

Artículo
04/26/2024
Se aplica a:

✅ Microsoft Defender for Office 365 Plan 2

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Con el aumento del uso de herramientas de colaboración como Microsoft Teams, también ha aumentado la posibilidad de ataques malintencionados mediante mensajes de chat. Microsoft Defender para Office 365 ya proporciona tiempo de protección contra clics para direcciones URL y archivos en mensajes de Teams a través de vínculos seguros para Microsoft Teams y datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams.

En Microsoft 365 E5 y Defender para Office 365 Plan 2, hemos ampliado la protección de Teams con un conjunto de funcionalidades diseñadas para interrumpir la cadena de ataques:

Notificar mensajes sospechosos de Teams: los usuarios pueden notificar mensajes malintencionados de Teams. En función de la configuración de mensajes notificada en la organización, los mensajes notificados van al buzón de informes especificado, a Microsoft o a ambos. Para obtener más información, consulte Configuración notificada por el usuario en Teams.
Protección automática de hora cero (ZAP) para Teams: ZAP es una característica de protección de correo electrónico existente que detecta y neutraliza los mensajes de spam, suplantación de identidad y malware después de la entrega moviendo los mensajes a la carpeta o cuarentena de correo no deseado Email.

ZAP para Teams pone en cuarentena los mensajes en chats o canales de Teams que se detectan como malware o suplantación de identidad de alta confianza. Para obtener más información, consulte Purga automática de cero horas (ZAP) en Microsoft Teams.

Las instrucciones para configurar ZAP para la protección de Teams se encuentran en la sección siguiente.
Mensajes de Teams en cuarentena: al igual que con los mensajes de correo electrónico que se identifican como malware o phishing de alta confianza, solo los administradores pueden administrar los mensajes de Teams que zap pone en cuarentena para Teams de forma predeterminada. Para obtener más información, consulte Administración de mensajes de Teams en cuarentena.
El panel de entidades de mensajes de Teams es un único lugar para almacenar todos los metadatos de mensajes de Teams para la revisión inmediata de SecOps. Las amenazas procedentes de chats de Teams, chats de grupo, chats de reuniones y otros canales se pueden encontrar en un solo lugar tan pronto como se evalúen. Para obtener más información, vea El panel de entidades de mensajes de Teams en Microsoft Defender para Office 365 plan 2.
Entrenamiento de simulación de ataque usar mensajes de Teams: para asegurarse de que los usuarios sean resistentes a los ataques de phishing en Microsoft Teams, los administradores pueden configurar simulaciones de suplantación de identidad mediante mensajes de Teams en lugar de mensajes de correo electrónico. Para obtener más información, consulte Microsoft Teams en Entrenamiento de simulación de ataque.

Configuración de ZAP para la protección de Teams en Defender para Office 365 Plan 2

En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Configuración>Email & colaboración>Protección de Microsoft Teams. O bien, para ir directamente a la página de protección de Microsoft Teams , use https://security.microsoft.com/securitysettings/teamsProtectionPolicy.
En la página Protección de Microsoft Teams, compruebe el botón de alternancia en la sección Purga automática de hora cero (ZAP):
- Activar ZAP para Teams: compruebe que el botón de alternancia está activado .
- Desactivar ZAP para Teams: deslice el botón de alternancia a Desactivado .
Cuando el botón de alternancia esté activado , use la configuración restante de la página para personalizar ZAP para la protección de Teams:
- Sección Directivas de cuarentena : puede seleccionar la directiva de cuarentena existente que se usará para los mensajes que zap pone en cuarentena para la protección de Teams como malware o phishing de alta confianza. Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.
  
  Nota:
  
  Las notificaciones de cuarentena se deshabilitan en la directiva denominada AdminOnlyAccessPolicy. Para notificar a los destinatarios que tienen mensajes en cuarentena como malware o suplantación de identidad de alta confianza, cree o use una directiva de cuarentena existente en la que las notificaciones de cuarentena estén activadas. Para obtener instrucciones, consulte Create directivas de cuarentena en el portal de Microsoft Defender.
- Excluir estos participantes : especifique los usuarios, grupos o dominios que se excluirán de ZAP para la protección de Teams. Las exclusiones son importantes para los destinatarios del mensaje, no para los remitentes de mensajes. Para obtener más información, consulte Purga automática de cero horas (ZAP) en Microsoft Teams.
  
  Puede usar una excepción solo una vez, pero la excepción puede contener varios valores:
  - Varios valores de la misma excepción usan lógica OR (por ejemplo, <recipient1> o <recipient2>). Si el destinatario coincide con cualquiera de los valores especificados, zap para la protección de Teams no se aplica a ellos.
  - Los distintos tipos de excepciones usan lógica OR (por ejemplo, <recipient1> o <miembro de group1> o <miembro de domain1>). Si el destinatario coincide con cualquiera de los valores de excepción especificados, zap para la protección de Teams no se aplica a ellos.
Cuando haya terminado en la página protección de Microsoft Teams , seleccione Guardar.

Uso de Exchange Online PowerShell para configurar ZAP para la protección de Teams

Si prefiere usar Exchange Online PowerShell para configurar ZAP para Microsoft Teams, intervienen los siguientes cmdlets:

La directiva de protección de Teams (cmdlets*-TeamsProtectionPolicy ) activa y desactiva ZAP para Teams y especifica las directivas de cuarentena que se usarán para las detecciones de phishing de alta confianza y malware.
La regla de directiva de protección de Teams (cmdlets*-TeamsProtectionPolicyRule ) identifica la directiva de protección de Teams y especifica las excepciones de ZAP para la protección de Teams (usuarios, grupos o dominios).

Notas:

Solo hay una directiva de protección de Teams en una organización. De forma predeterminada, esa directiva se denomina Directiva de protección de Teams.
El uso del cmdlet New-TeamsProtectionPolicy solo es significativo si no hay ninguna directiva de protección de Teams en la organización (el cmdlet Get-TeamsProtectionPolicy no devuelve nada). Puede ejecutar el cmdlet sin errores, pero no se crean nuevas directivas de protección de Teams si ya existe una.
No se puede quitar una directiva de protección de Teams existente ni una regla de directiva de protección de Teams (no hay ningún cmdlet Remove-TeamsProtectionPolicy ni Remove-TeamsProtectionPolicyRule ).
De forma predeterminada, no hay ninguna regla de directiva de protección de Teams (el cmdlet Get-TeamsProtectionPolicyRule no devuelve nada). La especificación de directivas de cuarentena o excepciones para ZAP para Teams en el portal de Defender crea la regla automáticamente. O bien, puede usar el cmdlet New-TeamsProtectionPolicyRule para crear la regla en PowerShell si aún no existe.

Uso de PowerShell para ver la directiva de protección de Teams y la regla de directiva de protección de Teams

Para ver los valores importantes de la directiva de protección de Teams y la regla de directiva de protección de Teams, ejecute los siguientes comandos:

Get-TeamsProtectionPolicy | Format-List Name,ZapEnabled,HighConfidencePhishQuarantineTag,MalwareQuarantineTag

Get-TeamsProtectionPolicyRule | Format-List Name,TeamsProtectionPolicy,ExceptIfSentTo,ExceptIfSentToMemberOf,ExceptIfRecipientDomainIs

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-TeamsProtectionPolicy y Get-TeamsProtectionPolicyRule.

Uso de PowerShell para modificar la directiva de protección de Teams

Para modificar la directiva de protección de Teams, use la sintaxis siguiente:

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" [-ZapEnabled <$true | $false>] [-HighConfidencePhishQuarantineTag "<QuarantinePolicyName>"] [-MalwareQuarantineTag "<QuarantinePolicyName>"]

En este ejemplo se habilita ZAP para Teams y se cambia la directiva de cuarentena que se usa para las detecciones de suplantación de identidad de alta confianza:

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" -ZapEnabled $true -HighConfidencePhishQuarantineTag AdminOnlyWithNotifications

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-TeamsProtectionPolicy.

Uso de PowerShell para crear la regla de directiva de protección de Teams

De forma predeterminada, no hay ninguna regla de directiva de protección de Teams, porque no hay ninguna excepción predeterminada para ZAP para Teams.

Para crear una nueva regla de directiva de protección de Teams, use la sintaxis siguiente:

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" [-ExceptIfSentTo <UserEmail1,UserEmail2,...UserEmailN>] [-ExceptIfSentToMemberOf <GroupEmail1,GroupEmail2,...GroupEmailN>] [-ExceptIfRecipientDomainIs <Domain1,Domain2,...DomainN>]

Importante

Como se explicó anteriormente en este artículo, varios tipos de excepción (usuarios, grupos y dominios) usan lógica OR, no AND.

En este ejemplo se crea la regla de directiva de protección de Teams con miembros del grupo denominado Investigación excluidos de ZAP para la protección de Teams.

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" -ExceptIfSentToMemberOf research@contoso.onmicrosoft.com

Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-TeamsProtectionPolicyRule.

Uso de PowerShell para modificar la regla de directiva de protección de Teams

Si la regla de directiva de protección de Teams ya existe (el cmdlet Get-TeamsProtectionPolicyRule devuelve la salida), use la sintaxis siguiente para modificar la regla:

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" [-ExceptIfSentTo <UserEmailAddresses | $null>] [-ExceptIfSentToMemberOf <GroupEmailAddresses | $null>] [-ExceptIfRecipientDomainIs <Domains | $null>]

Notas:

Para obtener información sobre la sintaxis para agregar, quitar y reemplazar todos los valores de los parámetros ExceptIfSentTo, ExceptIfSentToMemberOf y ExceptIfRecipientDomainIs , vea las descripciones de parámetros en Set-TeamsProtectionPolicyRule.
Para vaciar los parámetros ExceptIfSentTo, ExceptIfSentToMemberOf o ExceptIfRecipientDomainIs , use el valor $null.

En este ejemplo se modifica la regla de directiva de protección de Teams existente excluyendo a los destinatarios de los dominios research.contoso.com y research.contoso.net de ZAP para la protección de Teams.

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" -ExceptIfRecipientDomainIs research.contoso.com,research.contoso.net

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-TeamsProtectionPolicyRule.