Investigación y respuesta de amenazas
Importante
El Portal de Microsoft 365 Defender mejorado ya está disponible. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el portal de Microsoft 365 Defender. Ver las novedades.
Aplicación
Las capacidades de investigación y respuesta de amenazas en Microsoft Defender para Office 365 los analistas de seguridad y los administradores protegen los Microsoft 365 de su organización para los usuarios empresariales mediante:
- Facilitar la identificación, supervisión y comprender los ciberataques
- Ayudar a solucionar rápidamente las amenazas en Exchange Online, SharePoint Online, OneDrive para la Empresa y Microsoft Teams
- Proporcionar información y conocimientos para ayudar a las operaciones de seguridad a evitar ataques cibernéticos contra su organización
- Usar la investigación automatizada y la respuesta en Office 365 amenazas críticas basadas en correo electrónico
Las capacidades de investigación y respuesta de amenazas proporcionan información sobre las amenazas y las acciones de respuesta relacionadas que están disponibles en el portal Microsoft 365 Defender amenazas. Estos conocimientos pueden ayudar al equipo de seguridad de su organización a proteger a los usuarios de ataques basados en archivos o correo electrónico. Las funcionalidades ayudan a supervisar las señales y recopilar datos de varios orígenes, como la actividad del usuario, la autenticación, el correo electrónico, los equipos en peligro y los incidentes de seguridad. Los responsables de la toma de decisiones empresariales y el equipo de operaciones de seguridad pueden usar esta información para comprender y responder a las amenazas contra su organización y proteger su propiedad intelectual.
Familiarizarse con las herramientas de investigación y respuesta de amenazas
Las capacidades de investigación y respuesta de amenazas se incluyen en el portal de Microsoft 365 Defender, como un conjunto de herramientas y flujos de trabajo de respuesta, incluidos los siguientes:
Explorador
Usa el Explorador (y detecciones en tiempo real) para analizar amenazas, ver el volumen de ataques a lo largo del tiempo y analizar datos por familias de amenazas, infraestructura de atacantes y mucho más. Explorer (también conocido como Explorador de amenazas) es el punto de partida del flujo de trabajo de investigación de cualquier analista de seguridad.
Para ver y usar este informe, en el portal de Microsoft 365 Defender, vaya a Email & collaboration > Explorer.
Incidentes
Use la lista Incidentes (esto también se denomina Investigaciones) para ver una lista de incidentes de seguridad piloto. Los incidentes se usan para realizar un seguimiento de amenazas, como mensajes de correo electrónico sospechosos, y para llevar a cabo una investigación y corrección adicionales.
Para ver la lista de incidentes actuales de su organización, en el portal de Microsoft 365 Defender, vaya a Incidentes& > alertas incidentes.
Aprendizaje de simulación de ataque
Usa el entrenamiento de simulación de ataques para configurar y ejecutar ciberataques realistas en tu organización e identificar personas vulnerables antes de que un ataque cibernético real afecte a tu empresa. Para obtener más información, vea Simulate a phishing attack.
Para ver y usar esta característica en el portal de Microsoft 365 Defender, vaya a Correo electrónico & formación de simulación > de ataques de colaboración.
Investigación y respuesta de amenazas
Use las capacidades de investigación y respuesta automatizadas (AIR) para ahorrar tiempo y esfuerzo correlacionando contenido, dispositivos y personas en riesgo de amenazas en su organización. Los procesos de AIR pueden comenzar cuando se desencadenan determinadas alertas o cuando se inician por el equipo de operaciones de seguridad. Para obtener más información, vea investigación automatizada y respuesta en Office 365.
Widgets de inteligencia de amenazas
Como parte de la oferta del Plan 2 de Microsoft Defender para Office 365, los analistas de seguridad pueden revisar detalles sobre una amenaza conocida. Esto es útil para determinar si hay medidas o pasos preventivos adicionales que se pueden tomar para mantener a los usuarios seguros.
¿Cómo se obtienen estas capacidades?
Microsoft 365 capacidades de investigación y respuesta de amenazas se incluyen en Microsoft Defender para Office 365 Plan 2, que se incluye en Enterprise E5 o como complemento de determinadas suscripciones. Para obtener más información, vea Defender for Office 365 Plan 1 y Plan 2.
Permisos y roles necesarios
Microsoft Defender para Office 365 usa control de acceso basado en roles. Los permisos se asignan a través de determinados roles Azure Active Directory, el Centro de administración de Microsoft 365 o el portal Microsoft 365 Defender usuario.
Sugerencia
Aunque algunos roles, como el administrador de seguridad, se pueden asignar en el portal de Microsoft 365 Defender, considere la posibilidad de usar el Centro de administración de Microsoft 365 o Azure Active Directory en su lugar. Para obtener información sobre roles, grupos de roles y permisos, vea los siguientes recursos:
| Actividad | Roles y permisos |
|---|---|
| Use el panel De & de administración de vulnerabilidades (o el nuevo panel de seguridad) Ver información sobre amenazas recientes o actuales |
Uno de los siguientes:
Estos roles se pueden asignar en Azure Active Directory ( https://portal.azure.com ) o en el Centro de administración de Microsoft 365 ( https://admin.microsoft.com ). |
| Usar el Explorador (y detecciones en tiempo real) para analizar amenazas | Uno de los siguientes:
Estos roles se pueden asignar en Azure Active Directory ( https://portal.azure.com ) o en el Centro de administración de Microsoft 365 ( https://admin.microsoft.com ). |
| Ver incidentes (también denominados Investigaciones) Agregar mensajes de correo electrónico a un incidente |
Uno de los siguientes:
Estos roles se pueden asignar en Azure Active Directory ( https://portal.azure.com ) o en el Centro de administración de Microsoft 365 ( https://admin.microsoft.com ). |
| Desencadenar acciones de correo electrónico en un incidente Buscar y eliminar mensajes de correo electrónico sospechosos |
Uno de los siguientes:
Los roles Administrador global y Administrador de seguridad se pueden asignar en Azure Active Directory ( ) o en el Centro de administración de Microsoft 365 https://portal.azure.com ( https://admin.microsoft.com ). El rol Buscar y purgar debe asignarse en los roles de colaboración de correo & en el portal de Microsoft 36 Defender ( https://security.microsoft.com ). |
| Integrar Microsoft Defender para Office 365 Plan 2 con Microsoft Defender para endpoint Integrar Microsoft Defender para Office 365 Plan 2 con un servidor SIEM |
El rol Administrador global o administrador de seguridad asignado Azure Active Directory ( ) o el Centro de administración de Microsoft 365 ( https://portal.azure.com https://admin.microsoft.com ). --- más --- Un rol adecuado asignado en aplicaciones adicionales (como Centro de seguridad de Microsoft Defender o el servidor SIEM). |
Pasos siguientes
- Más información sobre los rastreadores de amenazas: nuevos y notables
- Buscar e investigar el correo electrónico malintencionado que se entregó (Office 365 de amenazas y respuesta)
- Integrar Office 365 investigación y respuesta de amenazas con Microsoft Defender para endpoint
- Simular un ataque de suplantación de identidad