Acerca del Explorador de amenazas y las detecciones en tiempo real en Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Las organizaciones de Microsoft 365 que Microsoft Defender para Office 365 incluyen en su suscripción o compran como complemento tienen Explorador (también conocido como Explorador de amenazas) o detecciones en tiempo real. Estas características son herramientas de informes eficaces casi en tiempo real que ayudan a los equipos de Operaciones de seguridad (SecOps) a investigar y responder a las amenazas.

En función de la suscripción, el Explorador de amenazas o las detecciones en tiempo real están disponibles en la sección Email & colaboración del portal de Microsoft Defender en https://security.microsoft.com:

El Explorador de amenazas contiene la misma información y funcionalidades que las detecciones en tiempo real, pero con las siguientes características adicionales:

  • Más vistas.
  • Más opciones de filtrado de propiedades, incluida la opción para guardar consultas.
  • Más acciones.

Para obtener más información sobre las diferencias entre Defender para Office 365 Plan 1 y Plan 2, consulte la hoja de referencia rápida del plan 1 frente al plan 2 de Defender para Office 365.

En el resto de este artículo se explican las vistas y características que están disponibles en el Explorador de amenazas y las detecciones en tiempo real.

Permisos y licencias para el Explorador de amenazas y las detecciones en tiempo real

Para usar el Explorador o las detecciones en tiempo real, debe tener asignados permisos. Tiene las siguientes opciones:

  • Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell:
    • Acceso de lectura para el correo electrónico y los encabezados de mensaje de Teams: operaciones de seguridad/Datos sin procesar (colaboración de & de correo electrónico)/Email & metadatos de colaboración (lectura).
    • Vista previa y descarga de mensajes de correo electrónico: operaciones de seguridad/Datos sin procesar (colaboración & correo electrónico)/Email & contenido de colaboración (lectura)..
    • Corregir correo electrónico malintencionado: operaciones de seguridad/Datos de seguridad/Email & acciones avanzadas de colaboración (administrar).
  • Email & permisos de colaboración en el portal de Microsoft Defender:
    • Acceso total: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad . Se requieren más permisos para realizar todas las acciones disponibles:
      • Vista previa y descarga de mensajes: requiere el rol De vista previa , que solo se asigna a los grupos de roles Investigador de datos o Administrador de exhibición de documentos electrónicos de forma predeterminada. O bien, puede crear un nuevo grupo de roles con el rol De vista previa asignado y agregar los usuarios al grupo de roles personalizado.
      • Mover mensajes y eliminar mensajes de buzones: requiere el rol Buscar y purgar , que solo se asigna a los grupos de roles Investigador de datos o Administración de la organización de forma predeterminada. O bien, puede crear un nuevo grupo de roles con el rol Buscar y purgar asignado y agregar los usuarios al grupo de roles personalizado.
    • Acceso de solo lectura: pertenencia al grupo de roles Lector de seguridad .
  • Microsoft Entra permisos: la pertenencia a estos roles proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365:
    • Acceso completo: pertenencia a los roles administrador* global o administrador de seguridad .

    • Busque reglas de flujo de correo de Exchange (reglas de transporte) por nombre en Explorador de amenazas: Pertenencia a los roles Administrador de seguridad o Lector de seguridad .

    • Acceso de solo lectura: pertenencia a los roles Lector global o Lector de seguridad .

      Importante

      * Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Sugerencia

Las notificaciones de correo no deseado del usuario final y los mensajes generados por el sistema no se pueden usar en el Explorador de amenazas. Estos tipos de mensajes están disponibles si hay una regla de flujo de correo (también conocida como regla de transporte) que se va a invalidar.

Las entradas de registro de auditoría se generan cuando los administradores obtienen una vista previa o descargan mensajes de correo electrónico. Puede buscar la actividad AdminMailAccess en el registro de auditoría de administración por usuario. Para obtener instrucciones, consulte Auditoría de nueva búsqueda.

Para usar el Explorador de amenazas o las detecciones en tiempo real, debe tener asignada una licencia para Defender para Office 365 (incluida en la suscripción o una licencia de complemento).

El Explorador de amenazas o las detecciones en tiempo real contienen datos para los usuarios con licencias de Defender para Office 365 asignadas.

Elementos del Explorador de amenazas y detecciones en tiempo real

El Explorador de amenazas y las detecciones en tiempo real contienen los siguientes elementos:

  • Vistas: pestañas en la parte superior de la página que organizan las detecciones por amenaza. La vista afecta al resto de los datos y opciones de la página.

    En la tabla siguiente se enumeran las vistas disponibles en el Explorador de amenazas y las detecciones en tiempo real:

    Vista Amenaza
    Explorador
    En tiempo real
    Detecciones
    Descripción
    Todo el correo electrónico Vista predeterminada del Explorador de amenazas. Información sobre todos los mensajes de correo electrónico enviados por usuarios externos a su organización o correo electrónico enviado entre usuarios internos de la organización.
    Malware Vista predeterminada para detecciones en tiempo real. Información sobre los mensajes de correo electrónico que contienen malware.
    Suplantación de identidad Información sobre los mensajes de correo electrónico que contienen amenazas de suplantación de identidad (phishing).
    Campañas Información sobre el correo electrónico malintencionado que Defender para Office 365 plan 2 identificado como parte de una campaña coordinada de phishing o malware.
    Malware de contenido Información sobre los archivos malintencionados detectados por las siguientes características:
    Clics de URL Información sobre los clics del usuario en las direcciones URL de los mensajes de correo electrónico, los mensajes de Teams, los archivos de SharePoint y los archivos de OneDrive.

    Estas vistas se describen en detalle en este artículo, incluidas las diferencias entre el Explorador de amenazas y las detecciones en tiempo real.

  • Filtros de fecha y hora: de forma predeterminada, la vista se filtra por ayer y por hoy. Para cambiar el filtro de fechas, seleccione el intervalo de fechas y, a continuación, seleccione Los valores fecha de inicio y fecha de finalización hasta hace 30 días.

    Captura de pantalla del filtro de fecha usado en el Explorador de amenazas y detecciones en tiempo real en el portal de Defender.

  • Filtros de propiedades (consultas): filtre los resultados en la vista por las propiedades de mensaje, archivo o amenaza disponibles. Las propiedades filtrables disponibles dependen de la vista. Algunas propiedades están disponibles en muchas vistas, mientras que otras propiedades están limitadas a una vista específica.

    Los filtros de propiedades disponibles para cada vista se enumeran en este artículo, incluidas las diferencias entre el Explorador de amenazas y las detecciones en tiempo real.

    Para obtener instrucciones para crear filtros de propiedades, consulte Filtros de propiedades en el Explorador de amenazas y Detecciones en tiempo real.

    El Explorador de amenazas permite guardar consultas para su uso posterior, como se describe en la sección Consultas guardadas en el Explorador de amenazas .

  • Gráficos: cada vista contiene una representación visual agregada de los datos filtrados o sin filtrar. Puede usar tablas dinámicas disponibles para organizar el gráfico de diferentes maneras.

    A menudo, puede usar Exportar datos de gráficos para exportar datos de gráfico filtrados o sin filtrar a un archivo CSV.

    Los gráficos y las tablas dinámicas disponibles se describen en detalle en este artículo, incluidas las diferencias entre el Explorador de amenazas y las detecciones en tiempo real.

    Sugerencia

    Para quitar el gráfico de la página (que maximiza el tamaño del área de detalles), use cualquiera de los métodos siguientes:

    • Seleccione Vistade listade vistas> de gráficos en la parte superior de la página.
    • Seleccione Mostrar vista de lista entre el gráfico y el área de detalles.
  • Área de detalles: el área de detalles de una vista normalmente muestra una tabla que contiene los datos filtrados o sin filtrar. Puede usar las vistas disponibles (pestañas) para organizar los datos en el área de detalles de diferentes maneras. Por ejemplo, una vista podría contener gráficos, mapas o tablas diferentes.

    Si el área de detalles contiene una tabla, a menudo puede usar Exportar para exportar de forma selectiva hasta 200 000 resultados filtrados o sin filtrar a un archivo CSV.

    Sugerencia

    En el control flotante Exportar , puede seleccionar algunas o todas las propiedades disponibles para exportar. Las selecciones se guardan por usuario. Las selecciones en el modo de exploración Incognito o InPrivate se guardan hasta que se cierra el explorador web.

Captura de pantalla de la página principal del Explorador de amenazas que muestra los datos del informe en tiempo real en el portal de Defender para Office 365.

Vista de correo electrónico en el Explorador de amenazas

En la vista Todo el correo electrónico del Explorador de amenazas se muestra información sobre todos los mensajes de correo electrónico enviados por usuarios externos a su organización y el correo electrónico enviado entre los usuarios internos de la organización. La vista muestra correo electrónico malintencionado y no malintencionado. Por ejemplo:

  • Email identificado phishing o malware.
  • Email identifica como correo no deseado o masivo.
  • Email identificado sin amenazas.

Esta vista es la predeterminada en el Explorador de amenazas. Para abrir la vista Todo el correo electrónico en la página Explorador en el portal de Defender en https://security.microsoft.com, vaya a Email & pestañaDe todos los correos electrónicosdel Explorador> de colaboración>. O bien, vaya directamente a la página Explorador mediante https://security.microsoft.com/threatexplorerv3y, a continuación, compruebe que la pestaña Todo el correo electrónico está seleccionada.

Captura de pantalla de la vista Todo el correo electrónico en el Explorador de amenazas que muestra el gráfico, las tablas dinámicas disponibles para el gráfico y las vistas de la tabla de detalles.

Propiedades filtrables en la vista Todo el correo electrónico en el Explorador de amenazas

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

Las propiedades filtrables que están disponibles en el cuadro de acción Entrega de la vista Todo el correo electrónico se describen en la tabla siguiente:

Propiedad Tipo
Basic
Dirección del remitente Texto. Separe varios valores por comas.
Recipientes Texto. Separe varios valores por comas.
Dominio del remitente Texto. Separe varios valores por comas.
Dominio del destinatario Texto. Separe varios valores por comas.
Asunto Texto. Separe varios valores por comas.
Nombre para mostrar del remitente Texto. Separe varios valores por comas.
Correo del remitente desde la dirección Texto. Separe varios valores por comas.
Correo del remitente desde el dominio Texto. Separe varios valores por comas.
Ruta de acceso de devolución Texto. Separe varios valores por comas.
Dominio de ruta de acceso de retorno Texto. Separe varios valores por comas.
Familia de malware Texto. Separe varios valores por comas.
Etiquetas Texto. Separe varios valores por comas.

Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
Dominio suplantado Texto. Separe varios valores por comas.
Usuario suplantado Texto. Separe varios valores por comas.
Regla de transporte de Exchange Texto. Separe varios valores por comas.
Regla de prevención de pérdida de datos Texto. Separe varios valores por comas.
Contexto Seleccione uno o varios valores:
  • Evaluation
  • Protección de cuenta prioritaria
Connector Texto. Separe varios valores por comas.
Acción de entrega Seleccione uno o varios valores:
  • Bloqueado: Email mensajes que se pusieron en cuarentena, que no se entregaron correctamente o que se quitaron.
  • Entregado: Email entrega a la Bandeja de entrada del usuario u otra carpeta donde el usuario puede acceder al mensaje.
  • Entregado a correo no deseado: Email entregado a la carpeta de Email no deseado del usuario o a la carpeta Elementos eliminados donde el usuario puede acceder al mensaje.
  • Reemplazado: datos adjuntos de mensajes que se reemplazaron por entrega dinámica en directivas de datos adjuntos seguros.
Acción adicional Seleccione uno o varios valores:
Directionality Seleccione uno o varios valores:
  • Entrantes
  • Intra-irg
  • Salida
Tecnología de detección Seleccione uno o varios valores:
  • Filtro avanzado: señales basadas en el aprendizaje automático.
  • Protección contra el malware
  • Masivo
  • Campaña
  • Reputación del dominio
  • Detonación de archivos: Los datos adjuntos seguros detectaron un archivo adjunto malintencionado durante el análisis de detonación.
  • Reputación de detonación de archivos: archivos adjuntos detectados anteriormente por detonaciones de datos adjuntos seguros en otras organizaciones de Microsoft 365.
  • Reputación de archivo: el mensaje contiene un archivo que se identificó anteriormente como malintencionado en otras organizaciones de Microsoft 365.
  • Coincidencia de huellas digitales: el mensaje es muy similar a un mensaje malintencionado detectado anteriormente.
  • Filtro general
  • Marca de suplantación: suplantación de remitente de marcas conocidas.
  • Dominio de suplantación: suplantación de dominios de remitente que posee o especifica para la protección en las directivas contra suplantación de identidad
  • Suplantación de usuarios
  • Reputación de la P.I.
  • Suplantación de inteligencia de buzones: detecciones de suplantación de inteligencia de buzones de correo en directivas anti phishing.
  • Detección de análisis mixto: varios filtros contribuyeron al veredicto del mensaje.
  • spoof DMARC: el mensaje produjo un error en la autenticación de DMARC.
  • Suplantación de dominio externo: suplantación de dirección de correo electrónico del remitente mediante un dominio externo a su organización.
  • Suplantación de identidad entre organizaciones: suplantación de dirección de correo electrónico del remitente mediante un dominio interno de la organización.
  • Reputación de detonación de direcciones URL: direcciones URL detectadas anteriormente por detonaciones de vínculos seguros en otras organizaciones de Microsoft 365.
  • Reputación malintencionada de direcciones URL: el mensaje contiene una dirección URL que se identificó anteriormente como malintencionada en otras organizaciones de Microsoft 365.
Ubicación de entrega original Seleccione uno o varios valores:
  • carpeta Elementos eliminados
  • Cayó
  • Failed
  • Bandeja de entrada o carpeta
  • Carpeta de correo no deseado
  • Local/externo
  • Cuarentena
  • Desconocido
Ubicación de entrega más reciente¹ Los mismos valores que la ubicación de entrega original
Nivel de confianza de phish Seleccione uno o varios valores:
  • Alto
  • Normal
Invalidación principal Seleccione uno o varios valores:
  • Permitido por la directiva de la organización
  • Permitido por la directiva de usuario
  • Bloqueado por la directiva de la organización
  • Bloqueado por la directiva de usuario
  • Ninguna
Origen de invalidación principal Los mensajes pueden tener varias invalidaciones de permitir o bloquear como se identifica en Invalidar origen. La invalidación que en última instancia permitió o bloqueó el mensaje se identifica en Origen de invalidación principal.
Seleccione uno o varios valores:
  • Filtro de terceros
  • Administración viaje en el tiempo iniciado (ZAP)
  • Bloque de directiva antimalware por tipo de archivo
  • Configuración de directivas antispam
  • Directiva de conexión
  • Regla de transporte de Exchange
  • Modo exclusivo (invalidación de usuario)
  • Filtrado omitido debido a la organización local
  • Filtro de región IP de la directiva
  • Filtro de idioma de la directiva
  • Simulación de suplantación de identidad
  • Versión de cuarentena
  • Buzón de SecOps
  • Lista de direcciones del remitente (invalidación de Administración)
  • Lista de direcciones del remitente (invalidación de usuario)
  • Lista de dominios del remitente (invalidación de Administración)
  • Lista de dominios del remitente (invalidación de usuario)
  • Bloque de archivos de lista de permitidos o bloqueados de inquilinos
  • Bloque de direcciones de correo electrónico de remitente de lista de permitidos o bloqueados de inquilinos
  • Bloque de suplantación de identidad de lista de permitidos o bloqueados de inquilinos
  • Bloque de direcciones URL de lista de permitidos o bloqueados de inquilinos
  • Lista de contactos de confianza (invalidación de usuario)
  • Dominio de confianza (invalidación de usuario)
  • Destinatario de confianza (invalidación de usuario)
  • Solo remitentes de confianza (invalidación de usuario)
Invalidar origen Los mismos valores que el origen de invalidación principal
Tipo de directiva Seleccione uno o varios valores:
  • directiva antimalware
  • Directiva contra phishing
  • Regla de transporte de Exchange (regla de flujo de correo), Directiva de filtro de contenido hospedado (directiva antispam), Directiva de filtro de correo no deseado de salida hospedada (directiva de correo no deseado saliente), Directiva de datos adjuntos seguros
  • Desconocido
Acción de directiva Seleccione uno o varios valores:
  • Agregar encabezado x
  • Mensaje CCO
  • Eliminar mensaje
  • Modificar asunto
  • Mover a la carpeta de Email no deseado
  • No se ha realizado ninguna acción
  • Mensaje de redireccionamiento
  • Enviar a cuarentena
Tipo de amenaza Seleccione uno o varios valores:
  • Malware
  • Suplantación de identidad
  • Correo no deseado
Mensaje reenviado Seleccione uno o varios valores:
  • True
  • False
Lista de distribución Texto. Separe varios valores por comas.
tamaño de Email Entero. Separe varios valores por comas.
Avanzadas
Id. de mensaje de Internet Texto. Separe varios valores por comas.

Disponible en el campo Encabezado de id. de mensaje en el encabezado del mensaje. Un valor de ejemplo es <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenga en cuenta los corchetes angulares).
Identificador de mensaje de red Texto. Separe varios valores por comas.

Valor GUID que está disponible en el campo de encabezado X-MS-Exchange-Organization-Network-Message-Id del encabezado del mensaje.
IP del remitente Texto. Separe varios valores por comas.
Datos adjuntos SHA256 Texto. Separe varios valores por comas.
Id. de clúster Texto. Separe varios valores por comas.
Identificador de alerta Texto. Separe varios valores por comas.
Identificador de directiva de alerta Texto. Separe varios valores por comas.
Identificador de campaña Texto. Separe varios valores por comas.
Señal de dirección URL de ZAP Texto. Separe varios valores por comas.
Urls
Recuento de direcciones URL Entero. Separe varios valores por comas.
Dominio de dirección URL² Texto. Separe varios valores por comas.
Dominio url y ruta de acceso² Texto. Separe varios valores por comas.
URL² Texto. Separe varios valores por comas.
Ruta de acceso url² Texto. Separe varios valores por comas.
Origen de la dirección URL Seleccione uno o varios valores:
  • Adjuntos
  • Datos adjuntos en la nube
  • cuerpo Email
  • encabezado Email
  • Código QR
  • Asunto
  • Desconocido
Haga clic en veredicto Seleccione uno o varios valores:
  • Permitido: se permitió al usuario abrir la dirección URL.
  • Bloqueo invalidado: el usuario no pudo abrir directamente la dirección URL, pero superó el bloque para abrir la dirección URL.
  • Bloqueado: se ha bloqueado al usuario para que no abra la dirección URL.
  • Error: Al usuario se le presentó la página de error o se produjo un error al capturar el veredicto.
  • Error: se produjo una excepción desconocida al capturar el veredicto. Es posible que el usuario haya abierto la dirección URL.
  • Ninguno: no se puede capturar el veredicto de la dirección URL. Es posible que el usuario haya abierto la dirección URL.
  • Veredicto pendiente: se presentó al usuario la página pendiente de detonación.
  • Veredicto pendiente omitido: el usuario se presentó con la página de detonación, pero superó el mensaje para abrir la dirección URL.
Amenaza de dirección URL Seleccione uno o varios valores:
  • Malware
  • Suplantación de identidad
  • Correo no deseado
Archivo
Recuento de datos adjuntos Entero. Separe varios valores por comas.
Nombres de archivos adjuntos Texto. Separe varios valores por comas.
Tipo de archivo Texto. Separe varios valores por comas.
Extensión de archivo Texto. Separe varios valores por comas.
Tamaño de archivo Entero. Separe varios valores por comas.
Autenticación
SPF Seleccione uno o varios valores:
  • Fallar
  • Neutral
  • Ninguna
  • Pasar
  • Error permanente
  • Soft fail
  • Error temporal
DKIM Seleccione uno o varios valores:
  • Error
  • Fallar
  • Ignore
  • Ninguna
  • Pasar
  • Test
  • Timeout
  • Desconocido
DMARC Seleccione uno o varios valores:
  • Mejor pase de adivinación
  • Fallar
  • Ninguna
  • Pasar
  • Error permanente
  • Paso del selector
  • Error temporal
  • Desconocido
Compuesto Seleccione uno o varios valores:
  • Fallar
  • Ninguna
  • Pasar
  • Paso suave

Sugerencia

¹ La ubicación de entrega más reciente no incluye acciones del usuario final en los mensajes. Por ejemplo, si el usuario eliminó el mensaje o movió el mensaje a un archivo o archivo PST.

Hay escenarios en los que la ubicación / de entrega originalUbicación de entrega más reciente o la acción Entrega tienen el valor Desconocido. Por ejemplo:

  • Se entregó el mensaje (la acción Entrega es Entregado), pero una regla bandeja de entrada movió el mensaje a una carpeta predeterminada distinta de la carpeta Bandeja de entrada o Correo no deseado Email (por ejemplo, la carpeta Borrador o Archivo).
  • ZAP intentó mover el mensaje después de la entrega, pero no se encontró el mensaje (por ejemplo, el usuario movió o eliminó el mensaje).

² De forma predeterminada, una búsqueda de direcciones URL se asigna a http, a menos que se especifique explícitamente otro valor. Por ejemplo:

  • La búsqueda con y sin el http:// prefijo en url, dominio de dirección URL y dominio y ruta de acceso de dirección URL debe mostrar los mismos resultados.
  • Busque el prefijo en la https://dirección URL. Cuando no se especifica ningún valor, se asume el http:// prefijo.
  • / al principio y al final de la ruta de acceso url, se omiten los campos Dominio url, Dominio url y Ruta de acceso .
  • / al final del campo URL se omite.

Dinámicas para el gráfico en la vista Todo el correo electrónico en el Explorador de amenazas

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Tabla dinámica del gráfico de acciones de entrega en la vista Todo el correo electrónico en el Explorador de amenazas

Aunque esta tabla dinámica no se ve seleccionada de forma predeterminada, la acción Entrega es la dinámica de gráfico predeterminada en la vista Todo el correo electrónico .

El pivote de la acción Entrega organiza el gráfico por las acciones realizadas en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Todo el correo electrónico del Explorador de amenazas mediante la dinámica de acciones Entrega.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada acción de entrega.

Tabla dinámica del gráfico de dominio del remitente en la vista Todo el correo electrónico en el Explorador de amenazas

La dinámica de dominio remitente organiza el gráfico por los dominios de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Todo el correo electrónico del Explorador de amenazas mediante la tabla dinámica dominio remitente.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio remitente.

Dinámica del gráfico IP del remitente en la vista Todo el correo electrónico en el Explorador de amenazas

La dinámica ip del remitente organiza el gráfico por las direcciones IP de origen de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Todo el correo electrónico del Explorador de amenazas mediante la tabla dinámica ip del remitente.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección IP del remitente.

Tabla dinámica del gráfico de tecnología de detección en la vista Todo el correo electrónico en el Explorador de amenazas

El pivote de tecnología de detección organiza el gráfico por la característica que identificó los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Todo el correo electrónico del Explorador de amenazas mediante la dinámica Tecnología de detección.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Tabla dinámica del gráfico de direcciones URL completas en la vista Todo el correo electrónico en el Explorador de amenazas

La tabla dinámica de direcciones URL completas organiza el gráfico por las direcciones URL completas en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Todo el correo electrónico en el Explorador de amenazas mediante la tabla dinámica dirección URL completa.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección URL completa.

Tabla dinámica del gráfico de dominios url en la vista Todo el correo electrónico en el Explorador de amenazas

La dinámica de dominio de dirección URL organiza el gráfico por los dominios de las direcciones URL de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Todo el correo electrónico en el Explorador de amenazas mediante la dinámica de dominio de dirección URL.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL.

Tabla dinámica de dominio y ruta de acceso de la dirección URL en la vista Todo el correo electrónico en el Explorador de amenazas

El dominio de dirección URL y la dinámica de rutas de acceso organizan el gráfico por los dominios y rutas de acceso de las direcciones URL de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Todo el correo electrónico en el Explorador de amenazas mediante el dominio de dirección URL y la dinámica de ruta de acceso.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio y ruta de acceso de dirección URL.

Vistas del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

Las vistas (pestañas) disponibles en el área de detalles de la vista Todo el correo electrónico se describen en las subsecciones siguientes.

Email vista del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

Email es la vista predeterminada del área de detalles de la vista Todo el correo electrónico.

La vista Email muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (*):

  • Fecha*
  • Asunto*
  • Destinatario*
  • Dominio del destinatario
  • Etiquetas*
  • Dirección del remitente*
  • Nombre para mostrar del remitente
  • Dominio del remitente*
  • IP del remitente
  • Correo del remitente desde la dirección
  • Correo del remitente desde el dominio
  • Acciones adicionales*
  • Acción de entrega
  • Ubicación de entrega más reciente*
  • Ubicación de entrega original*
  • El sistema invalida el origen
  • Invalidaciones del sistema
  • Identificador de alerta
  • Identificador de mensaje de Internet
  • Identificador de mensaje de red
  • Idioma del correo
  • Regla de transporte de Exchange
  • Connector
  • Context
  • Regla de prevención de pérdida de datos
  • Tipo de amenaza*
  • Tecnología de detección
  • Recuento de datos adjuntos
  • Recuento de direcciones URL
  • tamaño de Email

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

  • Desplácese horizontalmente en el explorador web.
  • Acote el ancho de las columnas adecuadas.
  • Quite las columnas de la vista.
  • Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Al seleccionar una o varias entradas de la lista seleccionando la casilla situada junto a la primera columna, la acción Tomar está disponible. Para obtener información, vea Búsqueda de amenazas: Email corrección.

Captura de pantalla de la vista Email (pestaña) de la tabla de detalles con un mensaje seleccionado y Acción activa.

En el valor Asunto de la entrada, la acción Abrir en nueva ventana está disponible. Esta acción abre el mensaje en la página de entidad Email.

Al hacer clic en los valores Asunto o Destinatario en una entrada, se abren los controles flotantes de detalles. Estos controles flotantes se describen en las subsecciones siguientes.

Email detalles de la vista Email del área de detalles en la vista Todo el correo electrónico

Al seleccionar el valor Asunto de una entrada de la tabla, se abre un control flotante de detalles de correo electrónico. Este control flotante de detalles se conoce como panel de resumen de Email y contiene información de resumen estandarizada que también está disponible en la página de entidad Email para el mensaje.

Para obtener más información sobre la información del panel de resumen de Email, vea El panel de resumen de Email en Defender.

Las siguientes acciones están disponibles en la parte superior del panel de resumen de Email para el Explorador de amenazas y las detecciones en tiempo real:

  • Abrir entidad de correo electrónico
  • Ver encabezado
  • Tomar medidas: para obtener información, vea Búsqueda de amenazas: Email corrección.
  • Más opciones:
    • Email versión preliminar¹ ²
    • Descargar correo electrónico¹ ² ³
    • Vista en el Explorador
    • Go hunt

¹ Las acciones Email vista previa y Descargar correo electrónico requieren el rol Vista previa en Email & permisos de colaboración. De forma predeterminada, este rol se asigna a los grupos de roles Investigador de datos y Administrador de exhibición de documentos electrónicos. De forma predeterminada, los miembros de los grupos de roles Administración de la organización o Administradores de seguridad no pueden realizar estas acciones. Para permitir estas acciones para los miembros de esos grupos, tiene las siguientes opciones:

  • Agregue los usuarios a los grupos de roles Investigador de datos o Administrador de exhibición de documentos electrónicos.
  • Cree un nuevo grupo de roles con el rol Buscar y purgar asignado y agregue los usuarios al grupo de roles personalizado.

² Puede obtener una vista previa o descargar mensajes de correo electrónico que están disponibles en buzones de Microsoft 365. Algunos ejemplos de cuándo los mensajes ya no están disponibles en los buzones son:

  • El mensaje se quitó antes de que se produjese un error de entrega o entrega.
  • El mensaje se eliminó temporalmente (se eliminó de la carpeta Elementos eliminados, que mueve el mensaje a la carpeta Elementos recuperables\Eliminaciones).
  • ZAP ha movido el mensaje a cuarentena.

³ El correo electrónico de descarga no está disponible para los mensajes que se pusieron en cuarentena. En su lugar, descargue una copia protegida con contraseña del mensaje de la cuarentena.

La búsqueda de Go solo está disponible en el Explorador de amenazas. No está disponible en detecciones en tiempo real.

Detalles del destinatario de la vista Email del área de detalles en la vista Todo el correo electrónico

Al seleccionar una entrada haciendo clic en el valor Destinatario , se abre un control flotante de detalles con la siguiente información:

Sugerencia

Para ver detalles sobre otros destinatarios sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.

  • Sección de resumen :

    • Rol: si el destinatario tiene asignado algún rol de administrador.
    • Directivas:
      • Si el usuario tiene permiso para ver información de archivo.
      • Si el usuario tiene permiso para ver información de retención.
      • Si el usuario está cubierto por la prevención de pérdida de datos (DLP).
      • Si el usuario está cubierto por la administración de dispositivos móviles en https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.
  • Email sección: tabla que muestra la siguiente información relacionada para los mensajes enviados al destinatario:

    • Date
    • Asunto
    • Destinatario

    Seleccione Ver todo el correo electrónico para abrir el Explorador de amenazas en una nueva pestaña filtrada por el destinatario.

  • Sección alertas recientes : tabla que muestra la siguiente información relacionada para las alertas recientes relacionadas:

    • Gravedad
    • Directiva de alerta
    • Categoría
    • Actividades

    Si hay más de tres alertas recientes, seleccione Ver todas las alertas recientes para verlas todas.

    • Sección actividad reciente : muestra los resultados resumidos de una búsqueda de registro de auditoría para el destinatario:

      • Date
      • Dirección IP
      • Actividad
      • Elemento

      Si el destinatario tiene más de tres entradas de registro de auditoría, seleccione Ver toda la actividad reciente para ver todas ellas.

    Sugerencia

    Los miembros del grupo de roles Administradores de seguridad de Email & permisos de colaboración no pueden expandir la sección Actividad reciente. Debe ser miembro de un grupo de roles en Exchange Online permisos que tengan asignados los roles Registros de auditoría, Analista de Information Protection o Investigador Information Protection. De forma predeterminada, esos roles se asignan a los grupos de roles Administración de registros, Administración de cumplimiento, Information Protection, Analistas de Information Protection, Investigadores Information Protection y Administración de la organización. Puede agregar los miembros de administradores de seguridad a esos grupos de roles o puede crear un nuevo grupo de roles con el rol Registros de auditoría asignado.

Captura de pantalla del control flotante detalles del destinatario después de seleccionar un valor de destinatario en la pestaña Email del área de detalles en la vista Todo el correo electrónico.

Vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista de clics de dirección URL muestra un gráfico que se puede organizar mediante tablas dinámicas. El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Los gráficos dinámicos se describen en las subsecciones siguientes.

Captura de pantalla del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas con la pestaña Url clicks (Clics de dirección URL) seleccionada y en la que se muestran las tablas dinámicas disponibles sin ninguna tabla dinámica seleccionada.

Sugerencia

En el Explorador de amenazas, cada dinámica de la vista de clics de dirección URL tiene una acción Ver todos los clics que abre la vista de clics de dirección URL en una nueva pestaña.

Pivote de dominio de dirección URL para la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

Aunque esta tabla dinámica de gráficos no parece estar seleccionada, el dominio url es la dinámica de gráfico predeterminada en la vista de clics de dirección URL .

La dinámica de dominio de dirección URL muestra los distintos dominios en direcciones URL en los mensajes de correo electrónico para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas con la pestaña Url clicks (Clics de dirección URL) y la dinámica de dominio url seleccionada.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL.

Haga clic en la tabla dinámica de veredicto de la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas.

La tabla dinámica Click verdict (Hacer clic en veredicto ) muestra los diferentes veredictos para las direcciones URL en las que se ha hecho clic en los mensajes de correo electrónico para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas con la pestaña Clics de dirección URL y la tabla dinámica Click verdict (Hacer clic en veredicto) seleccionada.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada veredicto de clic.

Tabla dinámica de direcciones URL de la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La tabla dinámica de direcciones URL muestra las distintas direcciones URL en las que se ha hecho clic en los mensajes de correo electrónico para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas con la pestaña Url clicks (Url clicks) y la dirección URL dinámica seleccionada.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección URL.

Dominio url y dinámica de ruta de acceso para la vista de clics de dirección URL para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

El dominio de dirección URL y la dinámica de rutas de acceso muestran los diferentes dominios y rutas de acceso de archivo de las direcciones URL en las que se ha hecho clic en los mensajes de correo electrónico para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas con la pestaña Clics de dirección URL y la tabla dinámica dominio y ruta de acceso de la dirección URL seleccionada.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL y la ruta de acceso del archivo.

Vista de direcciones URL principales para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista Direcciones URL superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

  • URL
  • Mensajes bloqueados
  • Mensajes no deseados
  • Mensajes entregados
Detalles de direcciones URL principales de la vista Todo el correo electrónico

Al seleccionar una entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles con la siguiente información:

Sugerencia

Para ver detalles sobre otras direcciones URL sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.

  • Las siguientes acciones están disponibles en la parte superior del control flotante:
    • Página Abrir dirección URL

    • Enviar para el análisis:

      • Informe limpio
      • Informar de suplantación de identidad
      • Informar de malware
    • Indicador de administración:

      • Agregar indicador
      • Administrar en la lista de bloques de inquilinos

      Al seleccionar cualquiera de estas opciones, se le llevará a la página Envíos del portal de Defender.

    • Más:

      • Vista en el Explorador
      • Ir a buscar
  • Original URL
  • Sección de detección :
    • Veredicto de inteligencia sobre amenazas
    • x alertas activas e incidentes: gráfico de barras horizontal que muestra el número de alertas de alta, media, baja e información relacionadas con este vínculo.
    • Vínculo a Ver todos los incidentes & alertas en la página URL.
  • Sección detalles del dominio :
    • Nombre de dominio y un vínculo a la página Ver dominio.
    • Registrante
    • Registrado en
    • Actualizado en
    • Expira en
  • Sección de información de contacto del solicitante de registro :
    • Registrador
    • País o región
    • Dirección de correo
    • Correo electrónico
    • Teléfono
    • Más información: Un vínculo a Abrir en Whois.
  • Sección prevalencia de direcciones URL (últimos 30 días): contiene el número de dispositivos, Email y clics. Seleccione cada valor para ver la lista completa.
  • Dispositivos: muestra los dispositivos afectados:
    • Fecha (primera y última)

    • Devices

      Si hay más de dos dispositivos implicados, seleccione Ver todos los dispositivos para verlos todos.

Captura de pantalla del control flotante de detalles después de seleccionar una entrada en la pestaña Direcciones URL principales en la vista Todo el correo electrónico del Explorador de amenazas.

Vista de clics superiores para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista Clics superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

  • URL
  • Bloqueado
  • Permitido
  • Bloqueo invalidado
  • Veredicto pendiente
  • Veredicto pendiente omitido
  • Ninguna
  • Página de error
  • Fracaso

Sugerencia

Se seleccionan todas las columnas disponibles. Si selecciona Personalizar columnas, no podrá anular la selección de ninguna columna.

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

  • Desplácese horizontalmente en el explorador web.
  • Acote el ancho de las columnas adecuadas.
  • Alejar en el explorador web.

Al seleccionar una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Los detalles de direcciones URL principales de la vista Todo el correo electrónico.

Vista de usuarios de destino superior para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista Usuarios de destino superior organiza los datos en una tabla de los cinco principales destinatarios a los que se destinaron la mayoría de las amenazas. La tabla contiene la siguiente información:

Sugerencia

Use Exportar para exportar la lista de hasta 3000 usuarios y los intentos correspondientes.

Email vista de origen del área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista de origen Email muestra orígenes de mensajes en un mapa del mundo.

Captura de pantalla del mapa del mundo en la vista de origen Email en el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas.

Vista de campaña para el área de detalles de la vista Todo el correo electrónico en el Explorador de amenazas

La vista Campaña muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible.

La información de la tabla es la misma que se describe en la tabla de detalles de la página Campañas.

Al seleccionar una entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto al nombre, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles de la campaña.

Vista de malware en el Explorador de amenazas y detecciones en tiempo real

La vista Malware del Explorador de amenazas y detecciones en tiempo real muestra información sobre los mensajes de correo electrónico que se encontraron para contener malware. Esta vista es la predeterminada en detecciones en tiempo real.

Para abrir la vista Malware , realice uno de los pasos siguientes:

Captura de pantalla de la vista Malware en el Explorador de amenazas que muestra el gráfico, las tablas dinámicas disponibles para el gráfico y las vistas de la tabla de detalles.

Propiedades filtrables en la vista Malware en el Explorador de amenazas y detecciones en tiempo real

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

Las propiedades filtrables que están disponibles en el cuadro Dirección del remitente de la vista Malware se describen en la tabla siguiente:

Propiedad Tipo Amenaza
Explorador
En tiempo real
Detecciones
Basic
Dirección del remitente Texto. Separe varios valores por comas.
Recipientes Texto. Separe varios valores por comas.
Dominio del remitente Texto. Separe varios valores por comas.
Dominio del destinatario Texto. Separe varios valores por comas.
Asunto Texto. Separe varios valores por comas.
Nombre para mostrar del remitente Texto. Separe varios valores por comas.
Correo del remitente desde la dirección Texto. Separe varios valores por comas.
Correo del remitente desde el dominio Texto. Separe varios valores por comas.
Ruta de acceso de devolución Texto. Separe varios valores por comas.
Dominio de ruta de acceso de retorno Texto. Separe varios valores por comas.
Familia de malware Texto. Separe varios valores por comas.
Etiquetas Texto. Separe varios valores por comas.

Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
Regla de transporte de Exchange Texto. Separe varios valores por comas.
Regla de prevención de pérdida de datos Texto. Separe varios valores por comas.
Contexto Seleccione uno o varios valores:
  • Evaluation
  • Protección de cuenta prioritaria
Connector Texto. Separe varios valores por comas.
Acción de entrega Seleccione uno o varios valores:
Acción adicional Seleccione uno o varios valores:
Directionality Seleccione uno o varios valores:
  • Entrantes
  • Intra-irg
  • Salida
Tecnología de detección Seleccione uno o varios valores:
  • Filtro avanzado: señales basadas en el aprendizaje automático.
  • Protección contra el malware
  • Masivo
  • Campaña
  • Reputación del dominio
  • Detonación de archivos: Los datos adjuntos seguros detectaron un archivo adjunto malintencionado durante el análisis de detonación.
  • Reputación de detonación de archivos: archivos adjuntos detectados anteriormente por detonaciones de datos adjuntos seguros en otras organizaciones de Microsoft 365.
  • Reputación de archivo: el mensaje contiene un archivo que se identificó anteriormente como malintencionado en otras organizaciones de Microsoft 365.
  • Coincidencia de huellas digitales: el mensaje es muy similar a un mensaje malintencionado detectado anteriormente.
  • Filtro general
  • Marca de suplantación: suplantación de remitente de marcas conocidas.
  • Dominio de suplantación: suplantación de dominios de remitente que posee o especifica para la protección en las directivas contra suplantación de identidad
  • Suplantación de usuarios
  • Reputación de la P.I.
  • Suplantación de inteligencia de buzones: detecciones de suplantación de inteligencia de buzones de correo en directivas anti phishing.
  • Detección de análisis mixto: varios filtros contribuyeron al veredicto del mensaje.
  • spoof DMARC: el mensaje produjo un error en la autenticación de DMARC.
  • Suplantación de dominio externo: suplantación de dirección de correo electrónico del remitente mediante un dominio externo a su organización.
  • Suplantación de identidad entre organizaciones: suplantación de dirección de correo electrónico del remitente mediante un dominio interno de la organización.
  • Detonación de direcciones URL: Vínculos seguros detectó una dirección URL malintencionada en el mensaje durante el análisis de detonación.
  • Reputación de detonación de direcciones URL: direcciones URL detectadas anteriormente por detonaciones de vínculos seguros en otras organizaciones de Microsoft 365.
  • Reputación malintencionada de direcciones URL: el mensaje contiene una dirección URL que se identificó anteriormente como malintencionada en otras organizaciones de Microsoft 365.
Ubicación de entrega original Seleccione uno o varios valores:
  • carpeta Elementos eliminados
  • Cayó
  • Failed
  • Bandeja de entrada o carpeta
  • Carpeta de correo no deseado
  • Local/externo
  • Cuarentena
  • Desconocido
Ubicación de entrega más reciente Los mismos valores que la ubicación de entrega original
Invalidación principal Seleccione uno o varios valores:
  • Permitido por la directiva de la organización
  • Permitido por la directiva de usuario
  • Bloqueado por la directiva de la organización
  • Bloqueado por la directiva de usuario
  • Ninguna
Origen de invalidación principal Los mensajes pueden tener varias invalidaciones de permitir o bloquear como se identifica en Invalidar origen. La invalidación que en última instancia permitió o bloqueó el mensaje se identifica en Origen de invalidación principal.
Seleccione uno o varios valores:
  • Filtro de terceros
  • Administración viaje en el tiempo iniciado (ZAP)
  • Bloque de directiva antimalware por tipo de archivo
  • Configuración de directivas antispam
  • Directiva de conexión
  • Regla de transporte de Exchange
  • Modo exclusivo (invalidación de usuario)
  • Filtrado omitido debido a la organización local
  • Filtro de región IP de la directiva
  • Filtro de idioma de la directiva
  • Simulación de suplantación de identidad
  • Versión de cuarentena
  • Buzón de SecOps
  • Lista de direcciones del remitente (invalidación de Administración)
  • Lista de direcciones del remitente (invalidación de usuario)
  • Lista de dominios del remitente (invalidación de Administración)
  • Lista de dominios del remitente (invalidación de usuario)
  • Bloque de archivos de lista de permitidos o bloqueados de inquilinos
  • Bloque de direcciones de correo electrónico de remitente de lista de permitidos o bloqueados de inquilinos
  • Bloque de suplantación de identidad de lista de permitidos o bloqueados de inquilinos
  • Bloque de direcciones URL de lista de permitidos o bloqueados de inquilinos
  • Lista de contactos de confianza (invalidación de usuario)
  • Dominio de confianza (invalidación de usuario)
  • Destinatario de confianza (invalidación de usuario)
  • Solo remitentes de confianza (invalidación de usuario)
Invalidar origen Los mismos valores que el origen de invalidación principal
Tipo de directiva Seleccione uno o varios valores:
  • directiva antimalware
  • Directiva contra phishing
  • Regla de transporte de Exchange (regla de flujo de correo), Directiva de filtro de contenido hospedado (directiva antispam), Directiva de filtro de correo no deseado de salida hospedada (directiva de correo no deseado saliente), Directiva de datos adjuntos seguros
  • Desconocido
Acción de directiva Seleccione uno o varios valores:
  • Agregar encabezado x
  • Mensaje CCO
  • Eliminar mensaje
  • Modificar asunto
  • Mover a la carpeta de Email no deseado
  • No se ha realizado ninguna acción
  • Mensaje de redireccionamiento
  • Enviar a cuarentena
tamaño de Email Entero. Separe varios valores por comas.
Avanzadas
Id. de mensaje de Internet Texto. Separe varios valores por comas.

Disponible en el campo Encabezado de id. de mensaje en el encabezado del mensaje. Un valor de ejemplo es <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenga en cuenta los corchetes angulares).
Identificador de mensaje de red Texto. Separe varios valores por comas.

Valor GUID que está disponible en el campo de encabezado X-MS-Exchange-Organization-Network-Message-Id del encabezado del mensaje.
IP del remitente Texto. Separe varios valores por comas.
Datos adjuntos SHA256 Texto. Separe varios valores por comas.
Id. de clúster Texto. Separe varios valores por comas.
Identificador de alerta Texto. Separe varios valores por comas.
Identificador de directiva de alerta Texto. Separe varios valores por comas.
Identificador de campaña Texto. Separe varios valores por comas.
Señal de dirección URL de ZAP Texto. Separe varios valores por comas.
Urls
Recuento de direcciones URL Entero. Separe varios valores por comas.
Dominio DE DIRECCIÓN URL Texto. Separe varios valores por comas.
Dominio y ruta de acceso url Texto. Separe varios valores por comas.
URL Texto. Separe varios valores por comas.
Ruta de acceso url Texto. Separe varios valores por comas.
Origen de la dirección URL Seleccione uno o varios valores:
  • Adjuntos
  • Datos adjuntos en la nube
  • cuerpo Email
  • encabezado Email
  • Código QR
  • Asunto
  • Desconocido
Haga clic en veredicto Seleccione uno o varios valores:
  • Permitido
  • Bloqueo invalidado
  • Bloqueado
  • Error
  • Fracaso
  • Ninguna
  • Veredicto pendiente
  • Veredicto pendiente omitido
Amenaza de dirección URL Seleccione uno o varios valores:
  • Malware
  • Suplantación de identidad
  • Correo no deseado
Archivo
Recuento de datos adjuntos Entero. Separe varios valores por comas.
Nombres de archivos adjuntos Texto. Separe varios valores por comas.
Tipo de archivo Texto. Separe varios valores por comas.
Extensión de archivo Texto. Separe varios valores por comas.
Tamaño de archivo Entero. Separe varios valores por comas.
Autenticación
SPF Seleccione uno o varios valores:
  • Fallar
  • Neutral
  • Ninguna
  • Pasar
  • Error permanente
  • Soft fail
  • Error temporal
DKIM Seleccione uno o varios valores:
  • Error
  • Fallar
  • Ignore
  • Ninguna
  • Pasar
  • Test
  • Timeout
  • Desconocido
DMARC Seleccione uno o varios valores:
  • Mejor pase de adivinación
  • Fallar
  • Ninguna
  • Pasar
  • Error permanente
  • Paso del selector
  • Error temporal
  • Desconocido
Compuesto Seleccione uno o varios valores:
  • Fallar
  • Ninguna
  • Pasar
  • Paso suave

Dinámicas para el gráfico en la vista Malware en el Explorador de amenazas y detecciones en tiempo real

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Los gráficos dinámicos que están disponibles en la vista Malware en el Explorador de amenazas y las detecciones en tiempo real se enumeran en la tabla siguiente:

Documento principal Amenaza
Explorador
En tiempo real
Detecciones
Familia de malware
Dominio del remitente
IP del remitente
Acción de entrega
Tecnología de detección

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Tabla dinámica del gráfico de familias de malware en la vista Malware en el Explorador de amenazas

Aunque esta tabla dinámica no tiene el aspecto seleccionado de forma predeterminada, la familia malware es la dinámica de gráfico predeterminada en la vista Malware del Explorador de amenazas.

El pivote de la familia malware organiza el gráfico por la familia de malware detectada en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Malware del Explorador de amenazas mediante la dinámica de la familia Malware.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada familia de malware.

Pivote del gráfico de dominio del remitente en la vista Malware en el Explorador de amenazas

La dinámica de dominio remitente organiza el gráfico por el dominio remitente de los mensajes que se encontraron que contienen malware para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Malware del Explorador de amenazas mediante la tabla dinámica del dominio remitente.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio remitente.

Pivote del gráfico IP del remitente en la vista Malware en el Explorador de amenazas

La dinámica ip del remitente organiza el gráfico por la dirección IP de origen de los mensajes que se encontraron que contienen malware para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Malware del Explorador de amenazas mediante la tabla dinámica ip del remitente.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección IP de origen.

Tabla dinámica del gráfico de acciones de entrega en la vista Malware en el Explorador de amenazas y detecciones en tiempo real

Aunque esta tabla dinámica no tiene el aspecto seleccionado de forma predeterminada, la acción Entrega es la dinámica de gráfico predeterminada en la vista Malware en detecciones en tiempo real.

El pivote de acción Entrega organiza el gráfico según lo que ha ocurrido con los mensajes que se encontraron que contienen malware para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Malware del Explorador de amenazas mediante la tabla dinámica de acciones entrega.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada acción de entrega.

Pivote del gráfico de tecnología de detección en la vista Malware en el Explorador de amenazas y detecciones en tiempo real

El pivote de tecnología de detección organiza el gráfico por la característica que identificó malware en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Malware del Explorador de amenazas mediante la dinámica tecnología de detección.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Vistas del área de detalles de la vista Malware en el Explorador de amenazas y detecciones en tiempo real

Las vistas (pestañas) disponibles en el área de detalles de la vista Malware se enumeran en la tabla siguiente y se describen en las subsecciones siguientes.

Vista Amenaza
Explorador
En tiempo real
Detecciones
Correo electrónico
Principales familias de malware
Usuarios de destino superior
origen de Email
Campaña

Email vista del área de detalles de la vista Malware en el Explorador de amenazas y detecciones en tiempo real

Email es la vista predeterminada del área de detalles de la vista Malware en el Explorador de amenazas y detecciones en tiempo real.

La vista Email muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran.

En la tabla siguiente se muestran las columnas que están disponibles en el Explorador de amenazas y las detecciones en tiempo real. Los valores predeterminados se marcan con un asterisco (*).

Column Amenaza
Explorador
En tiempo real
Detecciones
Fecha*
Asunto*
Destinatario*
Dominio del destinatario
Etiquetas*
Dirección del remitente*
Nombre para mostrar del remitente
Dominio del remitente*
IP del remitente
Correo del remitente desde la dirección
Correo del remitente desde el dominio
Acciones adicionales*
Acción de entrega
Ubicación de entrega más reciente*
Ubicación de entrega original*
El sistema invalida el origen
Invalidaciones del sistema
Identificador de alerta
Identificador de mensaje de Internet
Identificador de mensaje de red
Idioma del correo
Regla de transporte de Exchange
Connector
Context
Regla de prevención de pérdida de datos
Tipo de amenaza*
Tecnología de detección
Recuento de datos adjuntos
Recuento de direcciones URL
tamaño de Email

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

  • Desplácese horizontalmente en el explorador web.
  • Acote el ancho de las columnas adecuadas.
  • Quite las columnas de la vista.
  • Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Al seleccionar una o varias entradas de la lista seleccionando la casilla situada junto a la primera columna, la acción Tomar está disponible. Para obtener información, vea Búsqueda de amenazas: Email corrección.

Captura de pantalla de la vista Email (pestaña) de la tabla de detalles con un mensaje seleccionado y Acción activa.

Al hacer clic en los valores Asunto o Destinatario en una entrada, se abren los controles flotantes de detalles. Estos controles flotantes se describen en las subsecciones siguientes.

Email detalles de la vista Email del área de detalles en la vista Malware

Al seleccionar el valor Asunto de una entrada de la tabla, se abre un control flotante de detalles de correo electrónico. Este control flotante de detalles se conoce como panel de resumen de Email y contiene información de resumen estandarizada que también está disponible en la página de entidad Email para el mensaje.

Para obtener más información sobre la información del panel de resumen de Email, consulte Los paneles de resumen de Email.

Las acciones disponibles en la parte superior del panel de resumen de Email para el Explorador de amenazas y las detecciones en tiempo real se describen en la Email detalles de la vista Email del área de detalles de la vista Todo el correo electrónico.

Detalles del destinatario de la vista Email del área de detalles en la vista Malware

Al seleccionar una entrada haciendo clic en el valor Destinatario , se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles del destinatario de la vista Email del área de detalles en la vista Todo el correo electrónico.

Vista principales de familias de malware para el área de detalles de la vista Malware en el Explorador de amenazas

La vista Principales familias de malware del área de detalles organiza los datos en una tabla de las principales familias de malware. La tabla muestra:

  • Columna principales de familias de malware : nombre de la familia de malware.

    Si selecciona un nombre de familia de malware, se abre un control flotante de detalles que contiene la siguiente información:

    • Email sección: tabla que muestra la siguiente información relacionada para los mensajes que contienen el archivo de malware:

      • Date
      • Asunto
      • Destinatario

      Seleccione Ver todo el correo electrónico para abrir el Explorador de amenazas en una nueva pestaña filtrada por el nombre de la familia de malware.

    • Sección de detalles técnicos

    Captura de pantalla del control flotante de detalles después de seleccionar una familia de malware en la pestaña Principales familias de malware del área de detalles en la vista Malware del Explorador de amenazas.

  • Número de intentos: si selecciona el número de intentos, el Explorador de amenazas se abre en una nueva pestaña filtrada por el nombre de la familia de malware.

Vista de usuarios de destino superior para el área de detalles de la vista Malware en el Explorador de amenazas

La vista Usuarios de destino superior organiza los datos en una tabla de los cinco principales destinatarios a los que se ha dirigido el malware. La tabla muestra:

Sugerencia

Use Exportar para exportar la lista de hasta 3000 usuarios y los intentos correspondientes.

Email vista de origen del área de detalles de la vista Malware en el Explorador de amenazas

La vista de origen Email muestra orígenes de mensajes en un mapa del mundo.

Vista de campaña para el área de detalles de la vista Malware en el Explorador de amenazas

La vista Campaña muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible.

La tabla de detalles es idéntica a la tabla de detalles de la página Campañas.

Al seleccionar una entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto al nombre, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles de la campaña.

Vista phish en el Explorador de amenazas y detecciones en tiempo real

La vista Phish del Explorador de amenazas y detecciones en tiempo real muestra información sobre los mensajes de correo electrónico que se identificaron como suplantación de identidad (phishing).

Para abrir la vista Phish , realice uno de los pasos siguientes:

Captura de pantalla de la vista Phish en el Explorador de amenazas que muestra el gráfico, las tablas dinámicas disponibles para el gráfico y las vistas de la tabla de detalles.

Propiedades filtrables en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

Las propiedades filtrables que están disponibles en el cuadro Dirección del remitente de la vista Malware se describen en la tabla siguiente:

Propiedad Tipo Amenaza
Explorador
En tiempo real
Detecciones
Basic
Dirección del remitente Texto. Separe varios valores por comas.
Recipientes Texto. Separe varios valores por comas.
Dominio del remitente Texto. Separe varios valores por comas.
Dominio del destinatario Texto. Separe varios valores por comas.
Asunto Texto. Separe varios valores por comas.
Nombre para mostrar del remitente Texto. Separe varios valores por comas.
Correo del remitente desde la dirección Texto. Separe varios valores por comas.
Correo del remitente desde el dominio Texto. Separe varios valores por comas.
Ruta de acceso de devolución Texto. Separe varios valores por comas.
Dominio de ruta de acceso de retorno Texto. Separe varios valores por comas.
Etiquetas Texto. Separe varios valores por comas.

Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
Dominio suplantado Texto. Separe varios valores por comas.
Usuario suplantado Texto. Separe varios valores por comas.
Regla de transporte de Exchange Texto. Separe varios valores por comas.
Regla de prevención de pérdida de datos Texto. Separe varios valores por comas.
Contexto Seleccione uno o varios valores:
  • Evaluation
  • Protección de cuenta prioritaria
Connector Texto. Separe varios valores por comas.
Acción de entrega Seleccione uno o varios valores:
Acción adicional Seleccione uno o varios valores:
  • Corrección automatizada
  • Entrega dinámica
  • Corrección manual
  • Ninguna
  • Versión de cuarentena
  • Reprocesado
  • ZAP
Directionality Seleccione uno o varios valores:
  • Entrantes
  • Intra-irg
  • Salida
Tecnología de detección Seleccione uno o varios valores:
  • Filtro avanzado
  • Protección contra el malware
  • Masivo
  • Campaña
  • Reputación del dominio
  • Detonación de archivos
  • Reputación de detonación de archivos
  • Reputación de los archivos
  • Coincidencia de huella digital
  • Filtro general
  • Suplantación de marca
  • Dominio de suplantación
  • Suplantación de usuarios
  • Reputación de la P.I.
  • Suplantación de inteligencia de buzón
  • Detección de análisis mixto
  • spoof DMARC
  • Suplantación de seguridad de dominio externo
  • Suplantación de seguridad para la organización
  • Detonación de URL
  • Reputación de detonación de URL
  • Reputación malintencionada de URL
Ubicación de entrega original Seleccione uno o varios valores:
  • carpeta Elementos eliminados
  • Cayó
  • Failed
  • Bandeja de entrada o carpeta
  • Carpeta de correo no deseado
  • Local/externo
  • Cuarentena
  • Desconocido
Ubicación de entrega más reciente Los mismos valores que la ubicación de entrega original
Nivel de confianza de phish Seleccione uno o varios valores:
  • Alto
  • Normal
Invalidación principal Seleccione uno o varios valores:
  • Permitido por la directiva de la organización
  • Permitido por la directiva de usuario
  • Bloqueado por la directiva de la organización
  • Bloqueado por la directiva de usuario
  • Ninguna
Origen de invalidación principal Los mensajes pueden tener varias invalidaciones de permitir o bloquear como se identifica en Invalidar origen. La invalidación que en última instancia permitió o bloqueó el mensaje se identifica en Origen de invalidación principal.
Seleccione uno o varios valores:
  • Filtro de terceros
  • Administración viaje en el tiempo iniciado (ZAP)
  • Bloque de directiva antimalware por tipo de archivo
  • Configuración de directivas antispam
  • Directiva de conexión
  • Regla de transporte de Exchange
  • Modo exclusivo (invalidación de usuario)
  • Filtrado omitido debido a la organización local
  • Filtro de región IP de la directiva
  • Filtro de idioma de la directiva
  • Simulación de suplantación de identidad
  • Versión de cuarentena
  • Buzón de SecOps
  • Lista de direcciones del remitente (invalidación de Administración)
  • Lista de direcciones del remitente (invalidación de usuario)
  • Lista de dominios del remitente (invalidación de Administración)
  • Lista de dominios del remitente (invalidación de usuario)
  • Bloque de archivos de lista de permitidos o bloqueados de inquilinos
  • Bloque de direcciones de correo electrónico de remitente de lista de permitidos o bloqueados de inquilinos
  • Bloque de suplantación de identidad de lista de permitidos o bloqueados de inquilinos
  • Bloque de direcciones URL de lista de permitidos o bloqueados de inquilinos
  • Lista de contactos de confianza (invalidación de usuario)
  • Dominio de confianza (invalidación de usuario)
  • Destinatario de confianza (invalidación de usuario)
  • Solo remitentes de confianza (invalidación de usuario)
Invalidar origen Los mismos valores que el origen de invalidación principal
Tipo de directiva Seleccione uno o varios valores:
  • directiva antimalware
  • Directiva contra phishing
  • Regla de transporte de Exchange (regla de flujo de correo), Directiva de filtro de contenido hospedado (directiva antispam), Directiva de filtro de correo no deseado de salida hospedada (directiva de correo no deseado saliente), Directiva de datos adjuntos seguros
  • Desconocido
Acción de directiva Seleccione uno o varios valores:
  • Agregar encabezado x
  • Mensaje CCO
  • Eliminar mensaje
  • Modificar asunto
  • Mover a la carpeta de Email no deseado
  • No se ha realizado ninguna acción
  • Mensaje de redireccionamiento
  • Enviar a cuarentena
tamaño de Email Entero. Separe varios valores por comas.
Avanzadas
Id. de mensaje de Internet Texto. Separe varios valores por comas.

Disponible en el campo Encabezado de id. de mensaje en el encabezado del mensaje. Un valor de ejemplo es <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenga en cuenta los corchetes angulares).
Identificador de mensaje de red Texto. Separe varios valores por comas.

Valor GUID que está disponible en el campo de encabezado X-MS-Exchange-Organization-Network-Message-Id del encabezado del mensaje.
IP del remitente Texto. Separe varios valores por comas.
Datos adjuntos SHA256 Texto. Separe varios valores por comas.
Id. de clúster Texto. Separe varios valores por comas.
Identificador de alerta Texto. Separe varios valores por comas.
Identificador de directiva de alerta Texto. Separe varios valores por comas.
Identificador de campaña Texto. Separe varios valores por comas.
Señal de dirección URL de ZAP Texto. Separe varios valores por comas.
Urls
Recuento de direcciones URL Entero. Separe varios valores por comas.
Dominio DE DIRECCIÓN URL Texto. Separe varios valores por comas.
Dominio y ruta de acceso url Texto. Separe varios valores por comas.
URL Texto. Separe varios valores por comas.
Ruta de acceso url Texto. Separe varios valores por comas.
Origen de la dirección URL Seleccione uno o varios valores:
  • Adjuntos
  • Datos adjuntos en la nube
  • cuerpo Email
  • encabezado Email
  • Código QR
  • Asunto
  • Desconocido
Haga clic en veredicto Seleccione uno o varios valores:
  • Permitido
  • Bloqueo invalidado
  • Bloqueado
  • Error
  • Fracaso
  • Ninguna
  • Veredicto pendiente
  • Veredicto pendiente omitido
Amenaza de dirección URL Seleccione uno o varios valores:
  • Malware
  • Suplantación de identidad
  • Correo no deseado
Archivo
Recuento de datos adjuntos Entero. Separe varios valores por comas.
Nombres de archivos adjuntos Texto. Separe varios valores por comas.
Tipo de archivo Texto. Separe varios valores por comas.
Extensión de archivo Texto. Separe varios valores por comas.
Tamaño de archivo Entero. Separe varios valores por comas.
Autenticación
SPF Seleccione uno o varios valores:
  • Fallar
  • Neutral
  • Ninguna
  • Pasar
  • Error permanente
  • Soft fail
  • Error temporal
DKIM Seleccione uno o varios valores:
  • Error
  • Fallar
  • Ignore
  • Ninguna
  • Pasar
  • Test
  • Timeout
  • Desconocido
DMARC Seleccione uno o varios valores:
  • Mejor pase de adivinación
  • Fallar
  • Ninguna
  • Pasar
  • Error permanente
  • Paso del selector
  • Error temporal
  • Desconocido
Compuesto Seleccione uno o varios valores:
  • Fallar
  • Ninguna
  • Pasar
  • Paso suave

Dinámicas para el gráfico en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Los gráficos dinámicos que están disponibles en la vista Phish en el Explorador de amenazas y las detecciones en tiempo real se enumeran en la tabla siguiente:

Documento principal Amenaza
Explorador
En tiempo real
Detecciones
Dominio del remitente
IP del remitente
Acción de entrega
Tecnología de detección
Dirección URL completa
Dominio DE DIRECCIÓN URL
Dominio y ruta de acceso url

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Dinámica del gráfico de dominio del remitente en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

Aunque esta tabla dinámica no tiene el aspecto seleccionado de forma predeterminada, dominio remitente es el gráfico dinámico predeterminado en la vista Phish en detecciones en tiempo real.

La dinámica de dominio remitente organiza el gráfico por los dominios de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Phish en el Explorador de amenazas mediante la tabla dinámica del dominio remitente.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio remitente.

Pivote del gráfico IP del remitente en la vista Phish en el Explorador de amenazas

La dinámica ip del remitente organiza el gráfico por las direcciones IP de origen de los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Phish del Explorador de amenazas mediante la tabla dinámica ip del remitente.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección IP de origen.

Tabla dinámica del gráfico de acciones de entrega en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

Aunque esta tabla dinámica no se ve seleccionada de forma predeterminada, la acción Entrega es la dinámica de gráfico predeterminada en la vista Phish del Explorador de amenazas.

El pivote de la acción Entrega organiza el gráfico por las acciones realizadas en los mensajes para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Phish del Explorador de amenazas mediante la tabla dinámica de acciones Entrega.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada acción de entrega.

Pivote del gráfico de tecnología de detección en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

El pivote de tecnología de detección organiza el gráfico por la característica que identificó los mensajes de suplantación de identidad para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Phish del Explorador de amenazas mediante el pivote Tecnología de detección.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Tabla dinámica de gráficos de direcciones URL completas en la vista Phish en el Explorador de amenazas

La tabla dinámica de direcciones URL completas organiza el gráfico por las direcciones URL completas en los mensajes de suplantación de identidad para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Phish del Explorador de amenazas mediante la tabla dinámica de direcciones URL completas.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dirección URL completa.

Tabla dinámica del gráfico de dominio de direcciones URL en la vista Phish en el Explorador de amenazas y detecciones en tiempo real

La dinámica de dominio de dirección URL organiza el gráfico por los dominios de las direcciones URL de los mensajes de suplantación de identidad para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Phish del Explorador de amenazas mediante la dinámica de dominio de dirección URL.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL.

Dinámica del gráfico de rutas de acceso y dominio de url en la vista Phish del Explorador de amenazas

El dominio de dirección URL y la dinámica de rutas de acceso organizan el gráfico por los dominios y rutas de acceso de las direcciones URL en los mensajes de suplantación de identidad para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Phish del Explorador de amenazas mediante el dominio de dirección URL y la dinámica de rutas de acceso.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio y ruta de acceso de dirección URL.

Vistas del área de detalles de la vista Phish en el Explorador de amenazas

Las vistas disponibles (pestañas) en el área de detalles de la vista Phish se enumeran en la tabla siguiente y se describen en las subsecciones siguientes.

Vista Amenaza
Explorador
En tiempo real
Detecciones
Correo electrónico
Clics de URL
Direcciones URL principales
Clics superiores
Usuarios de destino superior
origen de Email
Campaña

Email vista del área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real

Email es la vista predeterminada del área de detalles de la vista Phish en el Explorador de amenazas y las detecciones en tiempo real.

La vista Email muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran.

En la tabla siguiente se muestran las columnas que están disponibles en el Explorador de amenazas y las detecciones en tiempo real. Los valores predeterminados se marcan con un asterisco (*).

Column Amenaza
Explorador
En tiempo real
Detecciones
Fecha*
Asunto*
Destinatario*
Dominio del destinatario
Etiquetas*
Dirección del remitente*
Nombre para mostrar del remitente
Dominio del remitente*
IP del remitente
Correo del remitente desde la dirección
Correo del remitente desde el dominio
Acciones adicionales*
Acción de entrega
Ubicación de entrega más reciente*
Ubicación de entrega original*
El sistema invalida el origen
Invalidaciones del sistema
Identificador de alerta
Identificador de mensaje de Internet
Identificador de mensaje de red
Idioma del correo
Regla de transporte de Exchange
Connector
Nivel de confianza de phish
Context
Regla de prevención de pérdida de datos
Tipo de amenaza*
Tecnología de detección
Recuento de datos adjuntos
Recuento de direcciones URL
tamaño de Email

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

  • Desplácese horizontalmente en el explorador web.
  • Acote el ancho de las columnas adecuadas.
  • Quite las columnas de la vista.
  • Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Al seleccionar una o varias entradas de la lista seleccionando la casilla situada junto a la primera columna, la acción Tomar está disponible. Para obtener información, vea Búsqueda de amenazas: Email corrección.

Captura de pantalla de la vista Email (pestaña) de la tabla de detalles con un mensaje seleccionado y Acción activa.

Al hacer clic en los valores Asunto o Destinatario en una entrada, se abren los controles flotantes de detalles. Estos controles flotantes se describen en las subsecciones siguientes.

Email detalles de la vista Email del área de detalles en la vista Phish

Al seleccionar el valor Asunto de una entrada de la tabla, se abre un control flotante de detalles de correo electrónico. Este control flotante de detalles se conoce como panel de resumen de Email y contiene información de resumen estandarizada que también está disponible en la página de entidad Email para el mensaje.

Para obtener más información sobre la información del panel de resumen de Email, consulte El panel de resumen de Email en Defender para Office 365 características.

Las acciones disponibles en la parte superior del panel de resumen de Email para el Explorador de amenazas y las detecciones en tiempo real se describen en la Email detalles de la vista Email del área de detalles de la vista Todo el correo electrónico.

Detalles del destinatario de la vista Email del área de detalles en la vista Phish

Al seleccionar una entrada haciendo clic en el valor Destinatario , se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles del destinatario de la vista Email del área de detalles en la vista Todo el correo electrónico.

Vista de clics de dirección URL para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real

La vista de clics de dirección URL muestra un gráfico que se puede organizar mediante tablas dinámicas. El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

En la tabla siguiente se describen los gráficos dinámicos que están disponibles en la vista Malware del Explorador de amenazas y las detecciones en tiempo real:

Documento principal Amenaza
Explorador
En tiempo real
Detecciones
Dominio DE DIRECCIÓN URL
Haga clic en veredicto
URL
Dominio y ruta de acceso url

Los mismos gráficos dinámicos están disponibles y se describen para la vista Todo el correo electrónico en el Explorador de amenazas:

Captura de pantalla del área de detalles de la vista Phish en el Explorador de amenazas con la pestaña Url clicks (Clics de dirección URL) seleccionada y en la que se muestran las tablas dinámicas disponibles sin ninguna tabla dinámica seleccionada.

Sugerencia

En el Explorador de amenazas, cada dinámica de la vista de clics de dirección URL tiene una acción Ver todos los clics que abre la vista de clics de dirección URL en el Explorador de amenazas en una nueva pestaña. Esta acción no está disponible en las detecciones en tiempo real, ya que la vista de clics de dirección URL no está disponible en las detecciones en tiempo real.

Vista de direcciones URL principales para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real

La vista Direcciones URL superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

  • URL
  • Mensajes bloqueados
  • Mensajes no deseados
  • Mensajes entregados
Detalles de direcciones URL principales de la vista Phish

Al seleccionar una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Los detalles de direcciones URL principales de la vista Todo el correo electrónico.

Sugerencia

La acción De búsqueda de Go solo está disponible en el Explorador de amenazas. No está disponible en detecciones en tiempo real.

Vista de clics superiores para el área de detalles de la vista Phish en el Explorador de amenazas y detecciones en tiempo real

La vista Clics superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

  • URL
  • Bloqueado
  • Permitido
  • Bloqueo invalidado
  • Veredicto pendiente
  • Veredicto pendiente omitido
  • Ninguna
  • Página de error
  • Fracaso

Sugerencia

Se seleccionan todas las columnas disponibles. Si selecciona Personalizar columnas, no podrá anular la selección de ninguna columna.

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

  • Desplácese horizontalmente en el explorador web.
  • Acote el ancho de las columnas adecuadas.
  • Alejar en el explorador web.

Al seleccionar una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Los detalles de direcciones URL principales de la vista Todo el correo electrónico.

Vista de usuarios de destino superior para el área de detalles de la vista Phish en el Explorador de amenazas

La vista Usuarios de destino superior organiza los datos en una tabla de los cinco principales destinatarios a los que se destinaron los intentos de suplantación de identidad (phishing). La tabla muestra:

Sugerencia

Use Exportar para exportar la lista de hasta 3000 usuarios y los intentos correspondientes.

Email vista de origen para el área de detalles de la vista Phish en el Explorador de amenazas

La vista de origen Email muestra orígenes de mensajes en un mapa del mundo.

Vista de campaña para el área de detalles de la vista Phish en el Explorador de amenazas

La vista Campaña muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible.

La información de la tabla es la misma que se describe en la tabla de detalles de la página Campañas.

Al seleccionar una entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto al nombre, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Detalles de la campaña.

Vista campañas en el Explorador de amenazas

La vista Campañas del Explorador de amenazas muestra información sobre las amenazas que se identificaron como ataques de phishing y malware coordinados, ya sea específicos de su organización o de otras organizaciones de Microsoft 365.

Para abrir la vista Campañas en la página Explorador del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaCampañasdel Explorador> de colaboración>. O bien, vaya directamente a la página Explorador mediante https://security.microsoft.com/threatexplorerv3y, a continuación, seleccione la pestaña Campañas.

Toda la información y las acciones disponibles son idénticas a la información y las acciones de la página Campañas en https://security.microsoft.com/campaignsv3. Para obtener más información, consulte la página Campañas en el portal de Microsoft Defender.

Captura de pantalla de la vista Campañas en el Explorador de amenazas que muestra el gráfico, las tablas dinámicas disponibles para el gráfico y las vistas de la tabla de detalles.

Vista de malware de contenido en el Explorador de amenazas y detecciones en tiempo real

La vista Malware de contenido del Explorador de amenazas y detecciones en tiempo real muestra información sobre los archivos identificados como malware por:

Para abrir la vista Malware de contenido , realice uno de los pasos siguientes:

Captura de pantalla de la vista de malware cotent en el Explorador de amenazas que muestra el gráfico, las tablas dinámicas disponibles para el gráfico y las vistas de la tabla de detalles.

Propiedades filtrables en la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

Las propiedades filtrables que están disponibles en el cuadro Nombre de archivo de la vista Malware de contenido del Explorador de amenazas y detecciones en tiempo real se describen en la tabla siguiente:

Propiedad Tipo Amenaza
Explorador
En tiempo real
Detecciones
Archivo
Nombre de archivo Texto. Separe varios valores por comas.
Carga de trabajo Seleccione uno o varios valores:
  • OneDrive
  • SharePoint
  • Teams
Site Texto. Separe varios valores por comas.
Propietario del archivo Texto. Separe varios valores por comas.
Última modificación Texto. Separe varios valores por comas.
SHA256 Entero. Separe varios valores por comas.

Para buscar el valor hash SHA256 de un archivo en Windows, ejecute el siguiente comando en un símbolo del sistema: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
Familia de malware Texto. Separe varios valores por comas.
Tecnología de detección Seleccione uno o varios valores:
  • Filtro avanzado
  • Protección contra el malware
  • Masivo
  • Campaña
  • Reputación del dominio
  • Detonación de archivos
  • Reputación de detonación de archivos
  • Reputación de los archivos
  • Coincidencia de huella digital
  • Filtro general
  • Suplantación de marca
  • Dominio de suplantación
  • Suplantación de usuarios
  • Reputación de la P.I.
  • Suplantación de inteligencia de buzón
  • Detección de análisis mixto
  • spoof DMARC
  • Suplantación de seguridad de dominio externo
  • Suplantación de seguridad para la organización
  • Detonación de URL
  • Reputación de detonación de URL
  • Reputación malintencionada de URL
Tipo de amenaza Seleccione uno o varios valores:
  • Bloquear
  • Malware
  • Suplantación de identidad
  • Correo no deseado

Dinámicas para el gráfico en la vista Malware de contenido en el Explorador de amenazas y Detecciones en tiempo real

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Los gráficos dinámicos que están disponibles en la vista Malware de contenido del Explorador de amenazas y las detecciones en tiempo real se enumeran en la tabla siguiente:

Documento principal Amenaza
Explorador
En tiempo real
Detecciones
Familia de malware
Tecnología de detección
Carga de trabajo

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Tabla dinámica del gráfico de familias de malware en la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

Aunque esta tabla dinámica no tiene el aspecto seleccionado de forma predeterminada, la familia malware es la dinámica de gráfico predeterminada en la vista Malware de contenido del Explorador de amenazas y detecciones en tiempo real.

El pivote de la familia malware organiza el gráfico por el malware identificado en los archivos de SharePoint, OneDrive y Microsoft Teams mediante el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Malware de contenido en el Explorador de amenazas mediante la tabla dinámica de la familia Malware.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada familia de malware.

Pivote del gráfico de tecnología de detección en la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

El pivote de tecnología de detección organiza el gráfico por la característica que identificó malware en archivos de SharePoint, OneDrive y Microsoft Teams para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Malware de contenido en el Explorador de amenazas mediante la tabla dinámica Tecnología de detección.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Tabla dinámica del gráfico de cargas de trabajo en la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

La tabla dinámica Carga de trabajo organiza el gráfico por donde se identificó el malware (SharePoint, OneDrive o Microsoft Teams) para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista Malware del Explorador de amenazas mediante la tabla dinámica Carga de trabajo.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada carga de trabajo.

Vistas del área de detalles de la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

En el Explorador de amenazas y detecciones en tiempo real, el área de detalles de la vista Malware de contenido contiene solo una vista (pestaña) denominada Documentos. Esta vista se describe en la subsección siguiente.

Vista de documento para el área de detalles de la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real

El documento es el valor predeterminado y solo la vista del área de detalles en la vista Malware de contenido .

La vista Documento muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (*):

  • Fecha*
  • Nombre*
  • Carga de trabajo*
  • Amenaza*
  • Tecnología de detección*
  • Última modificación del usuario*
  • Propietario del archivo*
  • Tamaño (bytes)*
  • Hora de última modificación
  • Ruta de acceso del sitio
  • Ruta de acceso de archivo
  • Id. de documento
  • SHA256
  • Fecha detectada
  • Familia de malware
  • Context

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

  • Desplácese horizontalmente en el explorador web.
  • Acote el ancho de las columnas adecuadas.
  • Quite las columnas de la vista.
  • Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Al seleccionar un valor de nombre de archivo en la columna Nombre , se abre un control flotante de detalles. El control flotante contiene la siguiente información:

  • Sección de resumen :

    • Filename
    • Ruta de acceso del sitio
    • Ruta de acceso de archivo
    • Id. de documento
    • SHA256
    • Última fecha de modificación
    • Última modificación
    • Amenaza
    • Tecnología de detección
  • Sección de detalles :

    • Fecha detectada
    • Detectado por
    • Nombre de malware
    • Última modificación
    • Tamaño del archivo
    • Propietario del archivo
  • Email sección de lista: tabla que muestra la siguiente información relacionada para los mensajes que contienen el archivo de malware:

    • Date
    • Asunto
    • Destinatario

    Seleccione Ver todo el correo electrónico para abrir el Explorador de amenazas en una nueva pestaña filtrada por el nombre de la familia de malware.

  • Actividad reciente: muestra los resultados resumidos de una búsqueda de registro de auditoría para el destinatario:

    • Date
    • Dirección IP
    • Actividad
    • Elemento

    Si el destinatario tiene más de tres entradas de registro de auditoría, seleccione Ver toda la actividad reciente para ver todas ellas.

    Sugerencia

    Los miembros del grupo de roles Administradores de seguridad de Email & permisos de colaboración no pueden expandir la sección Actividad reciente. Debe ser miembro de un grupo de roles en Exchange Online permisos que tengan asignados los roles Registros de auditoría, Analista de Information Protection o Investigador Information Protection. De forma predeterminada, esos roles se asignan a los grupos de roles Administración de registros, Administración de cumplimiento, Information Protection, Analistas de Information Protection, Investigadores Information Protection y Administración de la organización. Puede agregar los miembros de administradores de seguridad a esos grupos de roles o puede crear un nuevo grupo de roles con el rol Registros de auditoría asignado.

Captura de pantalla del control flotante de detalles de la vista Documento para el área de detalles de la vista Malware de contenido en el Explorador de amenazas y detecciones en tiempo real.

Vista de clics de dirección URL en el Explorador de amenazas

La vista de clics de dirección URL en el Explorador de amenazas muestra todos los clics del usuario en las direcciones URL en el correo electrónico, en los archivos de Office admitidos en SharePoint y OneDrive, y en Microsoft Teams.

Para abrir la vista de clics de dirección URL en la página Explorador del portal de Defender en https://security.microsoft.com, vaya a Email & pestañaClics en la dirección URLdel Explorador> de colaboración>. O bien, vaya directamente a la página Explorador mediante https://security.microsoft.com/threatexplorerv3y, a continuación, seleccione la pestaña Url clicks (Url clicks).

Captura de pantalla de la vista de clics de dirección URL en el Explorador de amenazas que muestra el gráfico, las tablas dinámicas disponibles para el gráfico y las vistas de la tabla de detalles.

Propiedades filtrables en la vista de clics de dirección URL en el Explorador de amenazas

De forma predeterminada, no se aplica ningún filtro de propiedad a los datos. Los pasos para crear filtros (consultas) se describen en la sección Filtros en el Explorador de amenazas y Detecciones en tiempo real más adelante en este artículo.

En la tabla siguiente se describen las propiedades filtrables que están disponibles en el cuadro Destinatarios de la vista Url clicks del Explorador de amenazas:

Propiedad Tipo
Basic
Recipientes Texto. Separe varios valores por comas.
Etiquetas Texto. Separe varios valores por comas.

Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
Identificador de mensaje de red Texto. Separe varios valores por comas.

Valor GUID que está disponible en el campo de encabezado X-MS-Exchange-Organization-Network-Message-Id del encabezado del mensaje.
URL Texto. Separe varios valores por comas.
Acción de clic Seleccione uno o varios valores:
  • Permitido
  • Página Bloquear
  • Invalidación de página de bloque
  • Página de error
  • Fracaso
  • Ninguna
  • Página de detonación pendiente
  • Invalidación de página de detonación pendiente
Tipo de amenaza Seleccione uno o varios valores:
  • Permitir
  • Bloquear
  • Malware
  • Suplantación de identidad
  • Correo no deseado
Tecnología de detección Seleccione uno o varios valores:
  • Detonación de URL
  • Reputación de detonación de URL
  • Reputación malintencionada de URL
Haga clic en Id. Texto. Separe varios valores por comas.
IP de cliente Texto. Separe varios valores por comas.

Dinámicas para el gráfico en la vista de clics de dirección URL en el Explorador de amenazas

El gráfico tiene una vista predeterminada, pero puede seleccionar un valor en Seleccionar tabla dinámica para el gráfico de histograma para cambiar la forma en que se organizan y muestran los datos del gráfico filtrados o sin filtrar.

Las tablas dinámicas de gráficos disponibles se describen en las subsecciones siguientes.

Tabla dinámica del gráfico de dominio url en la vista de clics de dirección URL en el Explorador de amenazas

Aunque esta tabla dinámica no se ve seleccionada de forma predeterminada, el dominio URL es la dinámica de gráfico predeterminada en la vista de clics de dirección URL .

La dinámica de dominio de dirección URL organiza el gráfico por los dominios de las direcciones URL en las que los usuarios han hecho clic en el correo electrónico, los archivos de Office o Microsoft Teams para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista de clics de dirección URL en el Explorador de amenazas mediante la dinámica de dominio de dirección URL.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada dominio de dirección URL.

Tabla dinámica del gráfico de cargas de trabajo en la vista de clics de dirección URL en el Explorador de amenazas

La dinámica Carga de trabajo organiza el gráfico según la ubicación de la dirección URL en la que se ha hecho clic (correo electrónico, archivos de Office o Microsoft Teams) para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista de clics de dirección URL en el Explorador de amenazas mediante la tabla dinámica Carga de trabajo.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada carga de trabajo.

Tabla dinámica del gráfico de tecnología de detección en la vista de clics de dirección URL en el Explorador de amenazas

El pivote de tecnología de detección organiza el gráfico por la característica que identificó los clics de dirección URL en el correo electrónico, los archivos de Office o Microsoft Teams para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista de clics de dirección URL en el Explorador de amenazas mediante la dinámica tecnología de detección.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de detección.

Tabla dinámica de tipos de amenazas en la vista de clics de dirección URL en el Explorador de amenazas

La tabla dinámica Tipo de amenaza organiza el gráfico según los resultados de las direcciones URL en las que se ha hecho clic en correo electrónico, archivos de Office o Microsoft Teams para el intervalo de fecha y hora especificado y los filtros de propiedades.

Captura de pantalla del gráfico en la vista de clics de dirección URL en el Explorador de amenazas mediante la tabla dinámica Tipo de amenaza.

Al mantener el puntero sobre un punto de datos del gráfico se muestra el recuento de cada tecnología de tipo de amenaza.

Vistas del área de detalles de la vista de clics de dirección URL en el Explorador de amenazas

Las vistas (pestañas) disponibles en el área de detalles de la vista de clics de dirección URL se describen en las subsecciones siguientes.

Vista de resultados del área de detalles de la vista de clics de dirección URL en el Explorador de amenazas

Los resultados son la vista predeterminada del área de detalles de la vista de clics de dirección URL .

La vista Resultados muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. De forma predeterminada, se seleccionan todas las columnas:

  • Tiempo en el que se hace clic
  • Destinatario
  • Acción de clic de dirección URL
  • URL
  • Tags
  • Identificador de mensaje de red
  • Haga clic en Id.
  • IP de cliente
  • Cadena de direcciones URL
  • Tipo de amenaza
  • Tecnología de detección

Sugerencia

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

  • Desplácese horizontalmente en el explorador web.
  • Acote el ancho de las columnas adecuadas.
  • Quite las columnas de la vista.
  • Alejar en el explorador web.

La configuración de columna personalizada se guarda por usuario. La configuración de columna personalizada en el modo de exploración Incognito o InPrivate se guarda hasta que se cierra el explorador web.

Seleccione una o entradas seleccionando la casilla situada junto a la primera columna de la fila y, a continuación, seleccione Ver todos los correos electrónicos para abrir el Explorador de amenazas en la vista Todo el correo electrónico en una nueva pestaña filtrada por los valores de Id. de mensaje de red de los mensajes seleccionados.

Vista de clics superiores para el área de detalles de la vista de clics de dirección URL en el Explorador de amenazas

La vista Clics superiores muestra una tabla de detalles. Para ordenar las entradas, haga clic en un encabezado de columna disponible:

  • URL
  • Bloqueado
  • Permitido
  • Bloqueo invalidado
  • Veredicto pendiente
  • Veredicto pendiente omitido
  • Ninguna
  • Página de error
  • Fracaso

Sugerencia

Se seleccionan todas las columnas disponibles. Si selecciona Personalizar columnas, no podrá anular la selección de ninguna columna.

Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:

  • Desplácese horizontalmente en el explorador web.
  • Acote el ancho de las columnas adecuadas.
  • Alejar en el explorador web.

Seleccione una entrada seleccionando la casilla situada junto a la primera columna de la fila y, a continuación, seleccione Ver todos los clics para abrir el Explorador de amenazas en una nueva pestaña en la vista De clics de dirección URL .

Al seleccionar una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abre un control flotante de detalles. La información del control flotante es la misma que se describe en Los detalles de direcciones URL principales de la vista Todo el correo electrónico.

Vista de usuarios de destino superior para el área de detalles de la vista de clics de dirección URL en el Explorador de amenazas

La vista Usuarios de destino superior organiza los datos en una tabla de los cinco destinatarios principales que han hecho clic en las direcciones URL. La tabla muestra:

Sugerencia

Use Exportar para exportar la lista de hasta 3000 usuarios y los intentos correspondientes.

Filtros de propiedades en el Explorador de amenazas y detecciones en tiempo real

La sintaxis básica de un filtro o consulta de propiedades es:

Condition = <Filter property><Filter operator><Property value or values>

Varias condiciones usan la sintaxis siguiente:

<Condición1><Y | Condición OR2><><Y | Condición OR3><>... <AND | OR><ConditionN>

Sugerencia

Las búsquedas con caracteres comodín (**** o ?) no se admiten en valores de texto o enteros. La propiedad Subject usa la coincidencia parcial de texto y produce resultados similares a una búsqueda con caracteres comodín.

Los pasos para crear condiciones de consulta o filtro de propiedades son los mismos en todas las vistas del Explorador de amenazas y detecciones en tiempo real:

  1. Identifique la propiedad de filtro mediante las tablas de las secciones de descripción de vista previa anteriores en este artículo.

  2. Seleccione un operador de filtro disponible. Los operadores de filtro disponibles dependen del tipo de propiedad como se describe en la tabla siguiente:

    Operador filter Tipo de propiedad
    Igual a cualquiera de Texto
    Entero
    Valores discretos
    No es igual a ninguno de Texto
    Valores discretos
    Mayor que Entero
    Menos que Entero
  3. Escriba o seleccione uno o varios valores de propiedad. Para valores de texto y enteros, puede escribir varios valores separados por comas.

    Varios valores del valor de propiedad usan el operador lógico OR. Por ejemplo, Dirección>del remitente Igual a cualquiera de>bob@fabrikam.com,cindy@fabrikam.com los medios Dirección>del remitente Igual a cualquiera de>bob@fabrikam.com O cindy@fabrikam.com.

    Después de escribir o seleccionar uno o varios valores de propiedad, la condición de filtro completada aparece debajo de los cuadros de creación del filtro.

    Sugerencia

    Para las propiedades que requieren que seleccione uno o varios valores disponibles, el uso de la propiedad en la condición de filtro con todos los valores seleccionados tiene el mismo resultado que no usar la propiedad en la condición de filtro.

  4. Para agregar otra condición, repita los tres pasos anteriores.

    Las condiciones siguientes a los cuadros de creación de filtros se separan por el operador lógico que se seleccionó en el momento en que creó las segundas condiciones o posteriores. El valor predeterminado es AND, pero también puede seleccionar OR.

    Se usa el mismo operador lógico entre todas las condiciones: todos son AND o todos son OR. Para cambiar los operadores lógicos existentes, seleccione el cuadro operador lógico y, a continuación, seleccione AND o OR.

    Para editar una condición existente, haga doble clic en ella para devolver la propiedad, el operador de filtro y los valores seleccionados a los cuadros correspondientes.

    Para quitar una condición existente, seleccione en la condición .

  5. Para aplicar el filtro al gráfico y a la tabla de detalles, seleccione Actualizar.

    Captura de pantalla de una consulta de ejemplo en el Explorador de amenazas o detecciones en tiempo real que muestra varias condiciones.

Consultas guardadas en el Explorador de amenazas

Sugerencia

Guardar consulta forma parte de los seguimientos de amenazas y no está disponible en las detecciones en tiempo real. Las consultas guardadas y los seguimientos de amenazas solo están disponibles en Defender para Office 365 plan 2.

Guardar consulta no está disponible en la vista Malware de contenido.

La mayoría de las vistas del Explorador de amenazas le permiten guardar filtros (consultas) para su uso posterior. Las consultas guardadas están disponibles en la página Seguimiento de amenazas del portal de Defender en https://security.microsoft.com/threattrackerv2. Para obtener más información sobre los seguimientos de amenazas, vea Seguimientos de amenazas en Microsoft Defender para Office 365 Plan 2.

Para guardar consultas en el Explorador de amenazas, siga estos pasos:

  1. Después de crear el filtro o consulta como se describió anteriormente, seleccione Guardar consulta>Guardar consulta.

  2. En el control flotante Guardar consulta que se abre, configure las siguientes opciones:

    • Nombre de la consulta: escriba un nombre único para la consulta.
    • Seleccione una de las siguientes opciones:
      • Fechas exactas: seleccione una fecha de inicio y una fecha de finalización en los cuadros. La fecha de inicio más antigua que puede seleccionar es 30 días antes de hoy. La fecha de finalización más reciente que puede seleccionar es hoy.
      • Fechas relativas: seleccione el número de días en Mostrar los últimos nn días en que se ejecuta la búsqueda. El valor predeterminado es 7, pero puede seleccionar de 1 a 30.
    • Realizar un seguimiento de la consulta: de forma predeterminada, esta opción no está seleccionada. Esta opción afecta a si la consulta se ejecuta automáticamente:
      • Seguimiento de la consulta no seleccionada: la consulta está disponible para que se ejecute manualmente en el Explorador de amenazas. La consulta se guarda en la pestaña Consultas guardadas de la página Seguimiento de amenazas con el valor de la propiedad Consulta con seguimiento No.
      • Seguimiento de la consulta seleccionada: la consulta se ejecuta periódicamente en segundo plano. La consulta está disponible en la pestaña Consultas guardadas de la página Seguimiento de amenazas con el valor de la propiedad Consulta con seguimiento . Los resultados periódicos de la consulta se muestran en la pestaña Consultas de seguimiento de la página Seguimiento de amenazas .

    Cuando haya terminado en el control flotante Guardar consulta , seleccione Guardar y, a continuación, seleccione Aceptar en el cuadro de diálogo de confirmación.

Captura de pantalla del control flotante Guardar consulta en el Explorador de amenazas en el portal de Defender.

En las pestañas Consulta guardada o Consulta de seguimiento de la página Seguimiento de amenazas del portal de Defender en https://security.microsoft.com/threattrackerv2, puede seleccionar Explorar en la columna Acciones para abrir y usar la consulta en el Explorador de amenazas.

Al abrir la consulta, seleccione Explorar en la página Seguimiento de amenazas , Guardar consulta como y La configuración de consulta guardada ahora está disponible en Guardar consulta en la página Explorador :

  • Si selecciona Guardar consulta como, se abrirá el control flotante Guardar consulta con todos los valores seleccionados anteriormente. Si realiza cambios, seleccione Guardar y, a continuación, seleccione Aceptar en el cuadro de diálogo Correcto , la consulta actualizada se guardará como una nueva consulta en la página Seguimiento de amenazas (es posible que tenga que seleccionar Actualizar para verla).

  • Si selecciona Configuración de consulta guardada, se abre el control flotante Configuración de consulta guardada , donde puede actualizar la fecha y realizar el seguimiento de la configuración de consulta de la consulta existente.

Captura de pantalla de Guardar consulta en el Explorador de amenazas con Guardar consulta como y Configuración de consulta guardada disponible.

Más información