Acciones de corrección en Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Acciones de corrección

Las características de protección contra amenazas de Microsoft Defender para Office 365 incluyen ciertas acciones de corrección. Estas acciones de corrección pueden incluir:

  • Eliminar temporalmente mensajes de correo electrónico o clústeres
  • Bloquear URL (tiempo de clic)
  • Desactivar el reenvío de correo externo
  • Desactivar la delegación

En Microsoft Defender para Office 365, las acciones de corrección no se toman automáticamente. En su lugar, las acciones de corrección solo se realizan tras la aprobación del equipo de operaciones de seguridad de la organización.

Amenazas y acciones de corrección

Microsoft Defender para Office 365 incluye acciones de corrección para abordar varias amenazas. Las investigaciones automatizadas suelen dar lugar a una o varias acciones de corrección para revisar y aprobar. En algunos casos, una investigación automatizada no da lugar a una acción de corrección específica. Para investigar y realizar las acciones adecuadas, use las instrucciones de la tabla siguiente.

Categoría Amenaza/riesgo Acciones de corrección
Correo electrónico Malware Eliminación temporal de correo electrónico o clúster

Si más de un puñado de mensajes de correo electrónico de un clúster contienen malware, el clúster se considera malintencionado.

Correo electrónico Dirección URL malintencionada
( Vínculos seguros detectó una dirección URL malintencionada).
Eliminación temporal de correo electrónico o clúster
Dirección URL de bloqueo (comprobación con el tiempo de clic)

Email que contiene una dirección URL malintencionada se considera malintencionada.

Correo electrónico Phish Eliminación temporal de correo electrónico o clúster

Si más de un puñado de mensajes de correo electrónico de un clúster contienen intentos de suplantación de identidad (phishing), todo el clúster se considera un intento de suplantación de identidad (phishing).

Correo electrónico Phish zapped
(Email mensajes se entregaron y luego se zapó).
Eliminación temporal de correo electrónico o clúster

Los informes están disponibles para ver los mensajes zapped. Vea si ZAP movió un mensaje y preguntas más frecuentes.

Correo electrónico Correo electrónico de phish perdido notificado por un usuario Investigación automatizada desencadenada por el informe del usuario
Correo electrónico Anomalía de volumen
(Las cantidades recientes de correo electrónico superan los 7-10 días anteriores para los criterios coincidentes).
La investigación automatizada no da lugar a una acción pendiente específica.

La anomalía de volumen no es una amenaza clara, pero es simplemente una indicación de volúmenes de correo electrónico más grandes en los últimos días en comparación con los últimos 7-10 días.

Aunque un gran volumen de correo electrónico puede indicar posibles problemas, se necesita confirmación en términos de veredictos malintencionados o una revisión manual de mensajes de correo electrónico o clústeres. Consulte Buscar correo electrónico sospechoso que se ha entregado.

Correo electrónico No se encontraron amenazas
(El sistema no encontró ninguna amenaza basada en archivos, direcciones URL o análisis de veredictos del clúster de correo electrónico).
La investigación automatizada no da lugar a una acción pendiente específica.

Las amenazas encontradas y zapped una vez completada una investigación no se reflejan en los resultados numéricos de una investigación, pero estas amenazas se pueden ver en el Explorador de amenazas.

Usuario Un usuario ha hecho clic en una dirección URL malintencionada
(Un usuario ha navegado a una página que más adelante se ha detectado como malintencionada o un usuario ha omitido una página de advertencia vínculos seguros para llegar a una página malintencionada).
La investigación automatizada no da lugar a una acción pendiente específica.

Bloquear URL (tiempo de clic)

Use el Explorador de amenazas para ver los datos sobre las direcciones URL y haga clic en veredictos.

Si su organización usa Microsoft Defender para punto de conexión, considere la posibilidad de investigar al usuario para determinar si su cuenta está en peligro.

Usuario Un usuario envía malware/phish La investigación automatizada no da lugar a una acción pendiente específica.

El usuario podría estar informando de malware/phish, o alguien podría estar suplantando al usuario como parte de un ataque. Use el Explorador de amenazas para ver y controlar el correo electrónico que contiene malware o phishing.

Usuario Reenvío de correo
(Las reglas de reenvío de buzones están configuradas, se podría usar chch para la filtración de datos).
Quitar regla de reenvío

Use el informe Mensajes autoforwarded para ver detalles específicos sobre el correo electrónico reenviado.

Usuario Email reglas de delegación
(La cuenta de un usuario tiene delegaciones configuradas).
Eliminación de la regla de delegación

Si su organización usa Microsoft Defender para punto de conexión, considere la posibilidad de investigar al usuario que obtiene el permiso de delegación.

Usuario Filtración de datos
(Un usuario ha infringido las directivas DLP de uso compartido de archivos o correo electrónico
La investigación automatizada no da lugar a una acción pendiente específica.

Introducción al Explorador de actividades.

Usuario Envío de correo electrónico anómalo
(Un usuario envió recientemente más correo electrónico que durante los 7-10 días anteriores).
La investigación automatizada no da lugar a una acción pendiente específica.

El envío de un gran volumen de correo electrónico no es malintencionado por sí mismo; es posible que el usuario acaba de enviar correo electrónico a un gran grupo de destinatarios para un evento. Para investigar, use la información sobre el reenvío de correo electrónico de nuevos usuarios en el EAC y el informe de mensajes salientes en el EAC para determinar lo que está sucediendo y tomar medidas.

Pasos siguientes