Mejora de Exchange Online Protection con Microsoft Defender para Office 365
- 5 minutos
Los servicios de Microsoft 365 ofrecen protección del correo electrónico contra ataques de suplantación de identidad y phishing, spam y malware con Exchange Online Protection (EOP). EOP proporciona seguridad de correo electrónico mediante una combinación de técnicas, entre las que se incluyen:
- Reputación de IP y de URL
- reputación de dominio
- filtrado de correo no deseado
- filtrado de malware
- filtrado de contenido
- filtrado de conexión
- inteligencia contra la suplantación de identidad
Todas las organizaciones de Microsoft 365 incluyen EOP si tienen Exchange Online buzones. EOP también está disponible como un producto independiente para proteger los buzones locales y en entornos híbridos para proteger los buzones de Exchange locales. Para obtener más información, consulte Exchange Online Protection independiente.
Funcionamiento de Exchange Online Protection
En el siguiente gráfico se muestra cómo Exchange Online Protection procesa el correo electrónico entrante:
- Cuando un mensaje entrante llega a EOP, pasa inicialmente a través del filtrado de conexiones, que comprueba la reputación del remitente. EOP detiene la mayoría del correo no deseado en este momento y rechaza el mensaje. Para obtener más información, consulte Configurar filtrado de la conexión.
- A continuación, EOP inspecciona el mensaje en busca de malware. Si EOP encuentra malware en el mensaje o los datos adjuntos, envía el mensaje a la cuarentena. De manera predeterminada, solo los administradores pueden ver e interactuar con mensajes en cuarentena de malware. Sin embargo, los administradores pueden crear y usar directivas de cuarentena para especificar qué pueden hacer los usuarios en los mensajes en cuarentena. Para obtener más información sobre la protección contra malware, consulte protección antimalware en EOP.
- El mensaje continúa a través del filtrado de directivas. EOP lo evalúa con respecto a las reglas de flujo de correo (también conocidas como reglas de transporte) que haya creado. Por ejemplo, una regla puede enviar una notificación a un administrador cuando llega un mensaje de un remitente específico.
- En una organización local con Exchange Enterprise CAL con licencias de servicio, la Prevención de pérdida de datos (DLP) de Microsoft Purview comprueba que en EOP también se produzca en este momento.
- El mensaje pasa por el filtrado de contenido (antispam y contra la suplantación de identidad), que identifica los mensajes dañinos como:
- correo no deseado
- correo no deseado de alta confianza
- suplantación de identidad (phishing)
- suplantación de identidad de alta confianza
- masiva (directivas contra spam)
- suplantación electrónica (configuración de suplantación de identidad en directivas de protección contra suplantación electrónica)
- Puede configurar la acción que se realizará en el mensaje en función de:
- el veredicto de filtrado (cuarentena, mover a la carpeta Correo no deseado, etc.)
- lo que pueden hacer los usuarios con los mensajes en cuarentena mediante directivas de cuarentena.
EOP envía un mensaje que pasa correctamente todas las capas de protección a los destinatarios.
Lectura adicional. Para obtener más información, consulte Configurar directivas contra spam y Configurar directivas contra suplantación de identidad en EOP.
Ampliar la funcionalidad de EOP con Microsoft Defender para Office 365
A medida que los hackers de todo el mundo lanzan ataques cada vez más sofisticados, las organizaciones necesitan herramientas que proporcionen protección adicional. Un ataque típico consta de dos partes:
- Un ataque de día cero (malware con firmas desconocidas).
- Un período de ataque más largo.
Las soluciones tradicionales antivirus/antispam no pueden protegerse contra un ataque de día cero, lo que significa que los atacantes pueden pasar desapercibidos.
Importante
La solución más eficaz para la seguridad del correo electrónico en Microsoft 365 es cuando la protección proporcionada por EOP se amplía habilitando Microsoft Defender para Office 365 en la cuenta empresarial.
Microsoft Defender para Office 365 es una colección de características diseñadas para combatir amenazas dirigidas avanzadas, como:
- ataques de malware de día cero
- ciertos tipos de campañas de suplantación de identidad
- URL maliciosas incrustadas en correos electrónicos y documentos
Las directivas de Microsoft Defender para Office 365 que define una organización determinan el comportamiento y el nivel de protección de las amenazas predefinidas. Las opciones de directiva ofrecen una flexibilidad extrema. Por ejemplo, el equipo de seguridad de una organización puede establecer una protección contra amenazas específica en el nivel de usuario, organización, destinatario y dominio. Es importante revisar las directivas de forma periódica, ya que a diario surgen nuevas amenazas y desafíos.
Entre las características clave de Microsoft Defender para Office 365 se incluyen:
Datos adjuntos seguros. Protege contra datos adjuntos malintencionados de día cero abriendo datos adjuntos sospechosos y desconocidos en un entorno de hipervisor especial y revisando si hay actividad malintencionada. Detecta datos adjuntos malintencionados incluso antes de que estén disponibles las firmas antivirus.
Vínculos seguros. Proporciona protección de tiempo de clic, lo que impide que los usuarios vayan a sitios web malintencionados y caigan en estafas de suplantación de identidad cuando seleccionan vínculos en correos electrónicos y documentos.
Inteligencia contra la suplantación de identidad Detecta cuándo un remitente parece estar enviando correos en nombre de una o varias cuentas de usuario dentro de uno de los dominios de la organización. Le permite revisar todos los remitentes que están suplantando su dominio. Entonces puede decidir permitir que el remitente continúe o bloquearlo. La inteligencia sobre suplantación de identidad está disponible en el portal de Microsoft Defender en la página Configuración contra correo no deseado (directivas de colaboración > Email & & reglas > Directivas > de amenazas Antispam en la sección Directivas**)**
Cuarentena. EOP envía mensajes a la cuarentena que identifica como:
- correo no deseado
- correo masivo
- correo de suplantación de identidad (phishing)
- que contiene malware
- coincidieron con una regla de flujo de correo
De forma predeterminada, Microsoft 365 envía mensajes de suplantación de identidad y mensajes que contienen malware directamente a cuarentena. Los usuarios autorizados pueden revisar, eliminar o administrar los mensajes de correo electrónico enviados a cuarentena.
Directivas de protección contra phishing. Aplica un conjunto de modelos de aprendizaje automático junto con algoritmos de detección de suplantación a los mensajes entrantes. Este proceso proporciona protección contra ataques de productos básicos y de phishing de objetivos definidos. Todos los mensajes están sujetos a un amplio conjunto de modelos de aprendizaje automático que detectan mensajes de phishing. También están sujetos a un conjunto de algoritmos avanzados que se usan para protegerse frente a varios ataques de suplantación de usuarios y dominios. Las características contra suplantación de identidad (phishing) dentro de Microsoft Defender para Office 365 protegen su organización según las directivas que establezcan los administradores globales o de seguridad de Microsoft 365.
En el gráfico siguiente se muestra EOP y las principales características de Microsoft Defender para Office 365 frente a las amenazas que se envían a través del correo electrónico.
Plan 1 y Plan 2 de Microsoft Defender para Office 365
Hay dos planes disponibles para Microsoft Defender para Office 365. En la tabla siguiente se resumen las características de cada plan.
| Defender para Office 365 Plan 1 | Defender para Office 365 Plan 2 |
|---|---|
| Funcionalidades de configuración, protección y detección: - Datos adjuntos seguros - Vínculos seguros - Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams - Protección contra phishing en Microsoft Defender para Office 365 - Detecciones en tiempo real |
Capacidades del Plan 1 de Defender para Office 365 --- además --- Funcionalidades de automatización, investigación, corrección y educación: - Rastreadores de amenazas - Explorador de amenazas - Investigación y respuesta automatizada - Aprendizaje de simulación de ataque - Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender XDR - Investigación de incidentes en Microsoft Defender XDR - Investigar alertas en Microsoft Defender XDR Nota: Microsoft 365 Defender ahora está Microsoft Defender XDR (detección y respuesta extendidas). |
Usar las funciones de investigación y respuesta de amenazas
El Plan 2 de Microsoft Defender para Office 365 incluye las mejores herramientas de investigación y respuesta de amenazas de su clase. Estas características permiten al equipo de seguridad de su organización anticiparse, comprender y evitar ataques malintencionados.
- Rastreadores de amenazas Proporciona la inteligencia más reciente sobre los problemas de ciberseguridad. Por ejemplo, puede ver información sobre el malware más reciente y tomar medidas antes de que se convierta en una amenaza real para su organización. Los rastreadores disponibles incluyen Rastreadores notables, Rastreadores de tendencias, Consultas rastreadas y Consultas guardadas.
- Explorador de amenazas. Proporciona informes en tiempo real que le permiten identificar y analizar amenazas recientes. Puede configurar el Explorador para mostrar datos de períodos personalizados.
- Entrenamiento de simulación de ataque Permite ejecutar escenarios de ataque realistas en su organización para identificar vulnerabilidades. Hay disponibles simulaciones de tipos actuales de ataques. Los escenarios de simulación incluyen ataques de recopilación de credenciales y datos adjuntos de phishing de objetivos definidos, difusión de contraseñas y ataques de contraseñas de fuerza bruta.
Comprobación de conocimientos
Elija la mejor respuesta para cada una de las siguientes preguntas.