Corregir el correo electrónico malintencionado entregado en Office 365
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
La corrección significa tomar una acción prescrita contra una amenaza. El sistema puede limpiar el correo electrónico malintencionado enviado a su organización mediante la purga automática de cero horas (ZAP) o los equipos de seguridad a través de acciones de corrección, como pasar a la bandeja de entrada, pasar a correo no deseado, mover a elementos eliminados, eliminar temporalmente o eliminar de forma rígida. Microsoft Defender para Office 365 Plan 2/E5 permite a los equipos de seguridad corregir las amenazas en la funcionalidad de correo electrónico y colaboración a través de una investigación manual y automatizada.
Lo que necesita saber antes de empezar
Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Los administradores pueden realizar la acción necesaria en los mensajes de correo electrónico, pero el rol Buscar y purgar es necesario para obtener la aprobación de esas acciones. Para asignar el rol Buscar y purgar , tiene las siguientes opciones:
- Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell: operaciones de seguridad, datos de seguridad o Email & acciones avanzadas de colaboración (administrar).
- Email & permisos de colaboración en el portal de Microsoft Defender: pertenencia a los grupos de roles Administración de la organización o Investigador de datos. O bien, puede crear un nuevo grupo de roles con el rol Buscar y purgar asignado y agregar los usuarios al grupo de roles personalizado.
Compruebe que La investigación automatizada está activada en https://security.microsoft.com/securitysettings/endpoints/integration.
Corrección manual y automatizada
La búsqueda manual se produce cuando los equipos de seguridad identifican las amenazas manualmente mediante las funcionalidades de búsqueda y filtrado en el Explorador. La corrección manual del correo electrónico se puede desencadenar a través de cualquier vista de correo electrónico (malware, phish o todo el correo electrónico) después de identificar un conjunto de correos electrónicos que deben corregirse.
Los equipos de seguridad pueden usar el Explorador para seleccionar correos electrónicos de varias maneras:
Elegir correos electrónicos a mano: use filtros en varias vistas. Seleccione hasta 100 correos electrónicos para corregirlos.
Selección de consulta: seleccione una consulta completa con el botón seleccionar todo en la parte superior. La misma consulta también se muestra en los detalles del envío de correo del centro de acciones. Los clientes pueden enviar un máximo de 200 000 correos electrónicos desde el explorador de amenazas.
Selección de consultas con exclusión: en ocasiones, es posible que los equipos de operaciones de seguridad quieran corregir los correos electrónicos seleccionando una consulta completa y excluyendo manualmente determinados correos electrónicos de la consulta. Para ello, un administrador puede usar la casilla Seleccionar todo y desplazarse hacia abajo para excluir los correos electrónicos manualmente. La consulta puede contener un máximo de 200 000 correos electrónicos.
Una vez seleccionados los correos electrónicos a través del Explorador, puede iniciar la corrección realizando acciones directas o mediante la puesta en cola de correos electrónicos para una acción:
Aprobación directa: cuando el personal de seguridad que tiene permisos adecuados selecciona acciones como mover a la bandeja de entrada, mover a elementoseliminados, eliminar temporalmente o eliminar de forma rígida y se siguen los pasos siguientes en la corrección, el proceso de corrección comienza a ejecutar la acción seleccionada.
Nota:
A medida que se inicia la corrección, genera una alerta y una investigación en paralelo. La alerta aparece en la cola de alertas con el nombre "Acción administrativa enviada por un administrador", lo que sugiere que el personal de seguridad tomó la acción de corregir una entidad. Presenta detalles como el nombre de la persona que realizó la acción, el vínculo de apoyo a la investigación, la hora etcetera. Funciona muy bien saber cada vez que se realiza una acción dura como la corrección en las entidades. Todas estas acciones se pueden realizar en la pestañaCentro de acciones & envíos> ->Historial (versión preliminar pública).
Aprobación en dos pasos: los administradores que no tienen los permisos adecuados o que necesitan esperar para ejecutar la acción pueden realizar una acción de "agregar a la corrección". En este caso, los correos electrónicos de destino se agregan a un contenedor de corrección. La aprobación es necesaria antes de que se ejecute la corrección.
Las alertas o los equipos de operaciones de seguridad del Explorador desencadenan acciones automatizadas de investigación y respuesta. Estos pueden incluir acciones de corrección recomendadas que deben ser aprobadas por un equipo de operaciones de seguridad. Estas acciones se incluyen en la pestaña Acción de la investigación automatizada.
Todas las correcciones (aprobaciones directas) creadas en el Explorador, la búsqueda avanzada o la investigación automatizada se muestran en el Centro de acciones dela pestaña Historial delCentro> de acciones & envíos> (https://security.microsoft.com/action-center/history).
Acciones manuales pendientes de aprobación mediante el proceso de aprobación en dos pasos (1. Agregue a la corrección un miembro del equipo de operaciones de seguridad, 2. La revisión y aprobación de otro miembro del equipo de operaciones de seguridad) están visibles en la pestañaPendiente delCentro> de acciones & Envíos> (https://security.microsoft.com/action-center/pending). Después de la aprobación, están visibles en la pestañaHistorial delCentro> de acciones & envíos> (https://security.microsoft.com/action-center/history).
El Centro de acciones unificadas muestra las acciones de corrección de los últimos 30 días. Las acciones realizadas a través del Explorador se enumeran por el nombre que el equipo de operaciones de seguridad proporcionó cuando se creó la corrección, así como el identificador de aprobación, el identificador de investigación. Las acciones realizadas a través de investigaciones automatizadas tienen títulos que comienzan con la alerta relacionada que desencadenó la investigación, como el clúster de correo electrónico de Zap.
Abra cualquier elemento de corrección para ver detalles sobre él, incluido su nombre de corrección, identificador de aprobación, identificador de investigación, fecha de creación, descripción, estado, origen de acción, tipo de acción, decidido por, estado. También se abre un panel lateral con detalles de acción, detalles del clúster de correo electrónico, alertas y detalles de incidentes.
Abra la página Investigación , lo que abre una investigación de administrador que contiene menos detalles y pestañas. Muestra detalles como: alerta relacionada, entidad seleccionada para la corrección, acción realizada, estado de corrección, recuento de entidades, registros, aprobador de la acción. Esta investigación realiza un seguimiento de la investigación realizada por el administrador manualmente y contiene detalles de las selecciones realizadas por el administrador, por lo que se denomina investigación de acción de administrador. No es necesario actuar sobre la investigación y alertar a su ya en estado aprobado.
recuento de Email Muestra el número de correos electrónicos enviados a través del Explorador de amenazas. Estos correos electrónicos pueden ser accionables o no accionables.
Registros de acciones Muestra los detalles de los estados de corrección, como correcto, erróneo y ya en destino.
Accionable: Email en las siguientes ubicaciones de buzón en la nube se pueden actuar y mover:
- Bandeja de entrada
- Basura*
- carpeta Elementos eliminados*
- Carpeta Items\Deletions recuperable (elementos eliminados temporalmente)*
- Cuarentena
* No está disponible para los elementos en cuarentena.
No accionable: Email en las siguientes ubicaciones no se puede actuar ni mover en acciones de corrección:
- Carpeta eliminada de forma rígida
- Local/externo
- Error o se ha eliminado
- Unknown
Tipos de acciones de movimiento y eliminación admitidas:
Mover a la carpeta no deseada: mueve los mensajes a la carpeta de Email no deseado del usuario.
Mover a la bandeja de entrada: mueve los mensajes a la carpeta Bandeja de entrada de los usuarios.
Mover a elementos eliminados: mueve los mensajes a la carpeta Elementos eliminados del usuario.
Eliminación temporal: elimine el mensaje de la carpeta Elementos eliminados (vaya a la carpeta Elementos recuperables\Eliminaciones). El usuario y los administradores pueden recuperar el mensaje.
Eliminar copia del remitente: también intente eliminar temporalmente el mensaje de la carpeta Elementos enviados del remitente si el remitente es la organización.
Eliminación rígida: purga el mensaje eliminado. Los administradores pueden recuperar elementos eliminados de forma rígida mediante la recuperación de elementos únicos. Para obtener más información sobre los elementos eliminados de forma rígida y los eliminados temporalmente, consulte Elementos eliminados temporalmente y eliminados de forma rígida.
Los mensajes sospechosos se clasifican como remediables o nomediables. En la mayoría de los casos, los mensajes corregibles y nomediables combinan igual que el total de mensajes enviados. Pero en raras ocasiones esto puede no ser cierto. Esto puede ocurrir debido a retrasos del sistema, tiempos de espera o mensajes expirados. Los mensajes expiran en función del período de retención del Explorador para su organización.
A menos que corrija mensajes antiguos después del período de retención del Explorador de la organización, es recomendable volver a intentar corregir los elementos si ve incoherencias en el número. En el caso de los retrasos del sistema, las actualizaciones de corrección se suelen actualizar en pocas horas.
Si el período de retención de correo electrónico de su organización en el Explorador es de 30 días y va a corregir los correos electrónicos que se vuelven de 29 a 30 días, es posible que los recuentos de envíos de correo no siempre se suman. Es posible que los correos electrónicos ya hayan empezado a salir del período de retención.
Si las correcciones se bloquean en el estado "En curso" durante un tiempo, es probable que se deba a retrasos del sistema. La corrección puede tardar hasta unas horas. Es posible que vea variaciones en los recuentos de envío de correo, ya que es posible que algunos de los correos electrónicos no se hayan incluido en la consulta al principio de la corrección debido a retrasos del sistema. Es una buena idea reintentar la corrección en estos casos.
Nota:
Para obtener mejores resultados, la corrección debe realizarse en lotes de 50 000 o menos.
Solo los correos electrónicos que se pueden corregir se actúan durante la corrección. El sistema de correo electrónico Office 365 no puede corregir los correos electrónicos nomediables, ya que no se almacenan en buzones de correo en la nube.
Los administradores pueden realizar acciones en los correos electrónicos en cuarentena si es necesario, pero esos correos electrónicos expiran fuera de cuarentena si no se purgan manualmente. De forma predeterminada, los mensajes de correo electrónico en cuarentena debido a contenido malintencionado no son accesibles para los usuarios, por lo que el personal de seguridad no tiene que realizar ninguna acción para deshacerse de las amenazas en cuarentena. Si los correos electrónicos son locales o externos, se puede ponerse en contacto con el usuario para dirigir el correo electrónico sospechoso. O bien, los administradores pueden usar herramientas de seguridad o servidor de correo electrónico independientes para la eliminación. Estos correos electrónicos se pueden identificar aplicando la ubicación de entrega = filtro externo local en el Explorador. En el caso del correo electrónico con errores o eliminados, o el correo electrónico no accesible para los usuarios, no habrá ningún correo electrónico que mitigar, ya que estos correos no llegan al buzón.
Registros de acciones: muestra los mensajes corregidos, correctos, erróneos, que ya están en destino.
El estado puede ser:
-
Iniciado: se desencadena la corrección.
- En cola: la corrección se pone en cola para mitigar los correos electrónicos.
- En curso: la mitigación está en curso.
- Completado: la mitigación en todos los correos electrónicos correctos se completó correctamente o con algunos errores.
- Error: no se han realizado correctamente las correcciones.
Como solo se pueden actuar en los correos electrónicos correctos, la limpieza de cada correo electrónico se muestra como correcta o errónea. Del total de correos electrónicos que se pueden corregir, se notifican mitigaciones correctas y erróneas.
Correcto: se ha realizado la acción deseada en los correos electrónicos que se pueden corregir. Por ejemplo: un administrador quiere quitar los correos electrónicos de los buzones, por lo que el administrador realiza la acción de eliminar mensajes de correo electrónico temporalmente. Si no se encuentra un correo electrónico correcto en la carpeta original después de realizar la acción, el estado se mostrará como correcto.
Error: error en la acción deseada en los correos electrónicos que se pueden corregir. Por ejemplo: un administrador quiere quitar los correos electrónicos de los buzones, por lo que el administrador realiza la acción de eliminar mensajes de correo electrónico temporalmente. Si todavía se encuentra un correo electrónico correcto en el buzón después de realizar la acción, el estado se mostrará como erróneo.
Ya en destino: la acción deseada ya se ha realizado en el correo electrónico o el correo electrónico ya existe en la ubicación de destino. Por ejemplo: el administrador eliminó temporalmente un correo electrónico a través del Explorador el primer día. A continuación, los correos electrónicos similares aparecen el día 2, que el administrador vuelve a eliminar temporalmente. Al seleccionar estos correos electrónicos, el administrador termina recogiendo algunos correos electrónicos del primer día que ya se han eliminado temporalmente. Ahora que estos correos electrónicos no volverán a actuar, solo se mostrarán como "ya en destino", ya que no se ha realizado ninguna acción sobre ellos tal y como existían en la ubicación de destino.
Nuevo: Se ha agregado una columna Ya en destino en el registro de acciones. Esta característica usa la ubicación de entrega más reciente en el Explorador de amenazas para indicar si el correo ya se ha corregido. Ya en el destino ayuda a los equipos de seguridad a comprender el número total de mensajes que todavía deben abordarse.
-
Iniciado: se desencadena la corrección.
Las acciones solo se pueden realizar en los mensajes de las carpetas Bandeja de entrada, Correo no deseado, Eliminado y Eliminado temporalmente del Explorador de amenazas. Este es un ejemplo de cómo funciona la nueva columna. Se realiza una acción de eliminación temporal en el mensaje presente en la Bandeja de entrada y, a continuación, el mensaje se controla según las directivas. La próxima vez que se realice una eliminación temporal, este mensaje se mostrará en la columna "Ya en destino" señalando que no es necesario volver a abordarlo.
Seleccione cualquier elemento del registro de acciones para mostrar los detalles de la corrección. Si los detalles dicen "correcto" o "no encontrado en el buzón", ese elemento ya se quitó del buzón. A veces hay un error del sistema durante la corrección. En esos casos, es una buena idea volver a intentar la acción de corrección.
En caso de corregir grandes lotes de correo electrónico, exporte los mensajes enviados para la corrección a través del envío de correo y los mensajes que se corrigieron a través de registros de acciones. El límite de exportación se aumenta a 100 000 registros.
Los administradores pueden realizar acciones de corrección, como mover mensajes de correo electrónico a la carpeta Correo no deseado, Bandeja de entrada o Elementos eliminados, y eliminar acciones como eliminación temporal o eliminación rígida de páginas de búsqueda avanzada.
La corrección mitiga las amenazas, aborda los correos electrónicos sospechosos y ayuda a mantener una organización segura.