Investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365
Importante
El Portal de Microsoft 365 Defender mejorado ya está disponible. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el portal de Microsoft 365 Defender. Ver las novedades.
Se aplica a
Microsoft Defender para Office 365 incluye potentes capacidades de investigación y respuesta automatizadas (AIR) que pueden ahorrar tiempo y esfuerzo al equipo de operaciones de seguridad. A medida que se desencadenan las alertas, el equipo de operaciones de seguridad debe revisar, priorizar y responder a dichas alertas. Mantenerse al día con el volumen de alertas entrantes puede ser abrumador. Automatizar algunas de estas tareas puede ser de ayuda.
AIR permite que el equipo de operaciones de seguridad funcione de forma más eficaz y eficaz. Las capacidades de AIR incluyen procesos de investigación automatizados en respuesta a amenazas conocidas que existen actualmente. Las acciones de corrección apropiadas esperan su aprobación, lo que permite al equipo de operaciones de seguridad responder eficazmente a las amenazas detectadas. Con AIR, el equipo de operaciones de seguridad puede centrarse en tareas de mayor prioridad sin perder de vista las alertas importantes que se desencadenan.
Este artículo describe:
- El flujo general de AIR;
- Cómo obtener AIR; y
- Los permisos necesarios para configurar o usar las funcionalidades de AIR.
- Cambios que se van a realizar próximamente en el portal de Microsoft 365 Defender web
En este artículo también se incluyen los pasos siguientesy los recursos para obtener más información.
El flujo general de AIR
Se desencadena una alerta y un libro de juegos de seguridad inicia una investigación automatizada, lo que da como resultado resultados y acciones recomendadas. Este es el flujo general de AIR, paso a paso:
- Una investigación automatizada se inicia de una de las siguientes maneras:
- Una alerta se desencadena por algo sospechoso en el correo electrónico (como un mensaje, datos adjuntos, dirección URL o una cuenta de usuario comprometida). Se crea un incidente y comienza una investigación automatizada; o
- Un analista de seguridad inicia una investigación automatizada mientras usa explorer.
- Mientras se ejecuta una investigación automatizada, recopila datos sobre el correo electrónico en cuestión y las entidades relacionadas con ese correo electrónico. Estas entidades pueden incluir archivos, direcciones URL y destinatarios. El ámbito de la investigación puede aumentar a medida que se desencadenan alertas nuevas y relacionadas.
- Durante y después de una investigación automatizada, los detalles y los resultados están disponibles para ver. Los resultados incluyen acciones recomendadas que se pueden realizar para responder y corregir las amenazas encontradas.
- El equipo de operaciones de seguridad revisa los resultados y recomendaciones dela investigación y aprueba o rechaza las acciones de corrección.
- A medida que se aprueban (o rechazan) las acciones de corrección pendientes, se completa la investigación automatizada.
En Microsoft Defender para Office 365, no se realiza ninguna acción de corrección automáticamente. Solo se realizan acciones de corrección tras obtener la aprobación del equipo de seguridad de su organización. Las capacidades de AIR ahorran tiempo al equipo de operaciones de seguridad identificando acciones de corrección y proporcionando los detalles necesarios para tomar una decisión fundamentada.
Durante y después de cada investigación automatizada, el equipo de operaciones de seguridad puede:
- Ver detalles sobre una alerta relacionada con una investigación
- Ver los detalles de resultados de una investigación
- Revisar y aprobar acciones como resultado de una investigación
Sugerencia
Para obtener una introducción más detallada, vea How AIR works.
Cómo obtener AIR
Las funcionalidades de AIR se incluyen en Microsoft Defender para Office 365, siempre que se configuren las directivas y las alertas. ¿Necesita ayuda? Siga las instrucciones de Protección contra amenazas para configurar o configurar las siguientes opciones de protección:
- Registro de auditoría (debe estar activado)
- Protección contra malware
- Protección contra phishing
- Protección contra correo no deseado
- Caja fuerte Vínculos y Caja fuerte datos adjuntos
Además, asegúrese de revisar lasdirectivas de alerta de su organización, especialmente las directivas predeterminadas en la categoría Administración de amenazas.
¿Qué directivas de alerta desencadenan investigaciones automatizadas?
Microsoft 365 proporciona muchas directivas de alerta integradas que ayudan Exchange identificar el uso indebido de permisos de administrador, la actividad de malware, las posibles amenazas externas e internas y los riesgos de gobierno de la información. Varias de las directivas de alerta predeterminadas pueden desencadenar investigaciones automatizadas. En la tabla siguiente se describen las alertas que desencadenan investigaciones automatizadas, su gravedad en el portal de Microsoft 365 Defender y cómo se generan:
| Alerta | Severity | Cómo se genera la alerta |
|---|---|---|
| Se detectó un clic de dirección URL potencialmente malintencionado | Alto | Esta alerta se genera cuando se produce cualquiera de las siguientes situaciones:
Para obtener más información sobre los eventos que desencadenan esta alerta, vea Configurar Caja fuerte de vínculos. |
| Un usuario notifica un mensaje de correo electrónico como malware o phish | Informativo | Esta alerta se genera cuando los usuarios de la organización informan de mensajes como correo electrónico de suplantación de identidad mediante el complemento Report Message o el complemento Report Phishing. |
| Los mensajes de correo electrónico que contienen malware se quitan después de la entrega | Informativo | Esta alerta se genera cuando los mensajes de correo electrónico que contienen malware se entregan a los buzones de la organización. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de correo Exchange Online mediante purga automática de hora cero (ZAP). |
| Los mensajes de correo electrónico que contienen direcciones URL de suplantación de identidad se quitan después de la entrega | Informativo | Esta alerta se genera cuando los mensajes que contienen phish se entregan a los buzones de la organización. Si se produce este evento, Microsoft quita los mensajes infectados de Exchange Online buzones de correo mediante ZAP. |
| Se detectan patrones de envío de correo electrónico sospechosos | Medio | Esta alerta se genera cuando alguien de la organización ha enviado correo electrónico sospechoso y corre el riesgo de que se le restringa el envío de correo electrónico. La alerta es una advertencia anticipada para el comportamiento que puede indicar que la cuenta está en peligro, pero no lo suficientemente grave como para restringir al usuario. Aunque es poco común, una alerta generada por esta directiva puede ser una anomalía. Sin embargo, es una buena idea comprobar si la cuenta de usuario está en peligro. |
| A un usuario se le restringe el envío de correo electrónico | Alto | Esta alerta se genera cuando alguien de la organización tiene restringido el envío de correo saliente. Normalmente, esta alerta se produce cuando una cuenta de correo electrónico está en peligro. Para obtener más información acerca de los usuarios restringidos, vea Remove blocked users from the Restricted Users portal in Microsoft 365. |
Sugerencia
Para obtener más información sobre las directivas de alerta o editar la configuración predeterminada, consulte Directivas de alerta en el Centro de cumplimiento de Microsoft 365.
Permisos necesarios para usar funcionalidades de AIR
Los permisos se conceden a través de determinados roles, como los que se describen en la tabla siguiente:
| Tarea | Rol(s) obligatorio(s) |
|---|---|
| Configurar características de AIR | Uno de los siguientes roles:
Estos roles se pueden asignar en Azure Active Directory o en el portal Microsoft 365 Defender . |
| Iniciar una investigación automatizada --- o --- Aprobar o rechazar acciones recomendadas |
Uno de los siguientes roles, asignados en Azure Active Directory o en el portal de Microsoft 365 Defender:
|
Licencias necesarias
Las licencias Office 365 plan 2 de Microsoft Defender deben asignarse a:
- Administradores de seguridad (incluidos los administradores globales)
- El equipo de operaciones de seguridad de la organización (incluidos los lectores de seguridad y los que tienen el rol Buscar y purgar)
- Usuarios finales
Los cambios se van a realizar próximamente en el portal Microsoft 365 Defender web
Si ya estás usando funcionalidades de AIR en Microsoft Defender para Office 365, estás a punto de ver algunos cambios en el portal de Microsoft 365 Defender mejorado.
El nuevo y mejorado portal de Microsoft 365 Defender reúne las capacidades de AIR en Microsoft Defender para Office 365 y en Microsoft Defender para endpoint. Con estas actualizaciones y mejoras, su equipo de operaciones de seguridad podrá ver detalles sobre investigaciones automatizadas y acciones de corrección en todos sus correos electrónicos, contenido de colaboración, cuentas de usuario y dispositivos, todo en un mismo sitio.
Sugerencia
El nuevo Microsoft 365 Microsoft 365 Defender web ( https://security.microsoft.com ) reemplaza a los siguientes centros:
- Centro & cumplimiento normativo ( https://protection.office.com )
- Centro de seguridad de Microsoft Defender ( https://securitycenter.windows.com )
Además de cambiar la dirección URL, hay un nuevo aspecto, diseñado para ofrecer a su equipo de seguridad una experiencia más optimizada, con visibilidad de más detecciones de amenazas en un solo lugar.
Qué esperar
En la tabla siguiente se enumeran los cambios y mejoras que se han realizado en AIR en Microsoft Defender para Office 365.
| Item | ¿Qué está cambiando? |
|---|---|
| Página Investigaciones | La página Investigaciones actualizada es más coherente con lo que se ve en Microsoft Defender para endpoint. Verá algunos cambios generales de formato y estilo que se alinean con la nueva vista Investigaciones unificada. Por ejemplo, el gráfico de investigación tiene un formato más unificado. |
| Pestaña Usuarios | La pestaña Usuarios ahora es la pestaña Buzones. Los detalles sobre los usuarios se enumeran en la pestaña Buzón de correo. |
| Pestaña Correo electrónico | Se ha quitado la pestaña Correo electrónico; visite la pestaña Entidades para ver una lista de elementos del clúster de correo electrónico y correo electrónico. |
| Pestaña Entidades | La pestaña Entidades tiene un estilo de pestaña en pestaña que incluye una vista de resumen total y la capacidad de filtrar por tipo de entidad. La pestaña Entidades ahora incluye una opción Ir a buscar, además de la opción Abrir en el Explorador. Ahora puede usar explorer o búsqueda avanzada para buscar entidades y amenazas, y filtrar los resultados. |
| Pestaña Acciones | La pestaña Acciones actualizada ahora incluye una pestaña Acciones pendientes y una pestaña Historial de acciones. Las acciones se pueden aprobar (o rechazar) en un panel lateral que se abre al seleccionar una acción pendiente. |
| Ficha Evidencia | Una nueva pestaña Evidencia muestra los resultados clave de la entidad relacionados con las acciones. Las acciones relacionadas con cada elemento de evidencia se pueden aprobar (o rechazar) en un panel lateral que se abre al seleccionar una acción pendiente. |
| Centro de actividades | El Centro de acciones actualizado ( ) reúne acciones pendientes y completadas en https://security.microsoft.com/action-center correo electrónico, dispositivos e identidades. Para obtener más información, consulte Centro de acciones. (Para obtener más información, vea The Action center.) |
| Página Incidentes | La página Incidentes ahora correlaciona varias investigaciones para proporcionar una mejor vista consolidada de las investigaciones. (Obtenga más información sobre incidentes.) |