NAKIVO > Blog > Microsoft 365

Investigación y respuesta ante amenazas en la seguridad de Office 365

Actualizado: mayo 6, 2024

Written by: NAKIVO Team

Con el riesgo cada vez mayor de ciberdelitos, las empresas de todo el mundo luchan por salvaguardar su activo más preciado: sus datos. Por suerte, Microsoft Defender para Office 365 proporciona a los administradores y analistas de TI funciones de investigación y respuesta ante amenazas, que les permiten proteger de forma proactiva a sus usuarios y datos.

Gracias a estas funciones de seguridad integradas en Office 365, podrá obtener información valiosa sobre las amenazas más comunes, recopilar datos prácticos y planificar acciones de respuesta eficaces. Su equipo de seguridad puede identificar, supervisar y rechazar fácilmente las actividades maliciosas antes de que causen daños irreparables a su organización.

En este artículo se desglosan las distintas herramientas incluidas en la investigación y respuesta ante amenazas de Microsoft. Siga leyendo para obtener una visión general de las diferentes funciones y cómo se combinan para crear un escudo infalible contra los ataques basados en archivos y correo electrónico.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

¿Qué es la investigación y respuesta ante amenazas de Office 365?

Investigación y respuesta ante amenazas de Office 365 es un término general que hace referencia a un conjunto de capacidades de Microsoft Defender para Office 365 plan 2. Estas herramientas ayudan a los administradores y analistas informáticos a supervisar y recopilar información sobre posibles amenazas. A continuación, los equipos de seguridad pueden utilizar las acciones de respuesta disponibles en el portal de Microsoft 365 Defender para abordar los riesgos en SharePoint Online, OneDrive para la Empresa, Exchange Online y Microsoft Teams.

Con estas funciones de seguridad de Office 365, puede recopilar datos de varias fuentes, como incidentes de seguridad anteriores, actividad de los usuarios, autenticación, correos electrónicos y equipos comprometidos. El flujo de trabajo de investigación y respuesta a amenazas incluye lo siguiente:

  • Explorer (Detecciones en tiempo real en MS Defender para Office 365 Plan 1)
  • Incidentes (también conocidos como investigaciones)
  • Formación en simulación de ataques
  • Investigación y respuesta automatizadas

Es importante mencionar que todas estas funciones proporcionan la protección necesaria mediante la recopilación de datos de los rastreadores de amenazas incorporados en Microsoft Defender, por lo que vamos a echarles un vistazo más de cerca en primer lugar.

Rastreadores de amenazas

Los rastreadores de amenazas son una colección de widgets informativos, gráficos y tablas que proporcionan supervisión de Office 365. Muestran detalles útiles sobre las ciberamenazas que pueden afectar a su organización. Las páginas del rastreador contienen cifras actualizadas periódicamente sobre tendencias de riesgos como el malware y los esquemas de phishing para indicar qué problemas son actualmente los más peligrosos para su organización. Además, encontrará una columna Acciones que le redirige al Explorador de amenazas, donde podrá consultar información más detallada.

Nota:

  • Los rastreadores de amenazas se incluyen en el Plan 2 de Microsoft Defender para Office 365 y para utilizarlos se necesita un permiso de administrador global, administrador de seguridad o lector de seguridad.
  • Para acceder a los rastreadores de amenazas de su organización, vaya a https://security.microsoft.com/, haga clic en Colaboración en correo electrónico & y, a continuación, en Rastreador de amenazas. También puede ir directamente a https://security.microsoft.com/threattrackerv2.

Hay cuatro funciones diferentes en los rastreadores de amenazas: Rastreadores destacados, Rastreadores de tendencias, Consultas rastreadas y Consultas guardadas.

Rastreadores destacados

Este widget muestra amenazas nuevas o existentes de diversa gravedad y si existen o no en su entorno de Microsoft 365. Si lo hacen, también puede ver enlaces a artículos útiles que detallan el problema y cómo puede afectar a la seguridad de Office 365 en su organización.

Su equipo de seguridad debe comprobar regularmente los rastreadores destacados, ya que sólo se publican durante un par de semanas y luego se sustituyen por elementos más recientes. De este modo, la lista se mantiene actualizada para que pueda mantenerse informado sobre los riesgos más relevantes.

Seguidores de tendencias

Los rastreadores de tendencias destacan las últimas amenazas enviadas al correo electrónico de su organización durante la última semana. Los administradores obtienen mejores conocimientos al ver evaluaciones dinámicas de las tendencias de malware a nivel de inquilino e identificar el comportamiento de las familias de malware.

Consultas rastreadas

Consultas rastreadas es otra herramienta de supervisión de Office 365 que evalúa periódicamente la actividad en su entorno de Microsoft aprovechando las consultas guardadas. Se trata de un proceso automático que proporciona información reciente sobre actividades sospechosas para ayudar a garantizar la protección frente a amenazas de Office 365.

Consultas guardadas

Las búsquedas habituales del Explorador o las consultas del rastreador de Noteworthy que sueles realizar pueden almacenarse como Consultas guardadas. De este modo, no tendrá que crear una nueva búsqueda cada vez y podrá acceder fácilmente a las consultas guardadas anteriormente.

Explorador de amenazas y detecciones en tiempo real

En Microsoft Defender para Office 365, el Explorador, también conocido como Explorador de amenazas, permite a los expertos en seguridad analizar las posibles amenazas dirigidas a su organización y supervisar el volumen de ataques a lo largo del tiempo. Con esta función, puede consultar informes exhaustivos y recomendaciones de políticas para saber cómo responder eficazmente a los riesgos que intentan infiltrarse en su organización.

Nota:

  • Explorer está incluido en el plan 2 de Microsoft Defender para Office 365, mientras que el plan 1 ofrece detecciones en tiempo real.
  • Para acceder a cualquiera de estas herramientas, vaya a Security & Compliance Center y, a continuación, a Threat management.

El Explorador de amenazas proporciona información importante sobre las amenazas, como datos históricos básicos, métodos habituales de distribución y los posibles daños que podrían causar. Los analistas pueden utilizar esta herramienta como punto de partida de su investigación para examinar los datos por infraestructura del atacante, familias de amenazas y otros parámetros.

Comprobar el malware detectado

Puede utilizar Explorer para ver el malware descubierto en el correo electrónico de su organización. El informe puede filtrarse por diferentes tecnologías de Microsoft 365.

Ver la URL de phishing y hacer clic en los datos del veredicto

Los intentos de phishing a través de URL en mensajes de correo electrónico también se muestran en Threat Explorer. Este informe incluye una lista de URL permitidas, bloqueadas y anuladas clasificadas en dos tablas:

  • URL superiores: Los atacantes a veces añaden URL buenas junto a los enlaces malos para confundir al destinatario. Esta lista contiene principalmente URL legítimas encontradas en los mensajes que filtraste y están ordenadas por el número total de correos electrónicos.
  • Top clics: Estas son las URL envueltas en enlaces seguros que se abrieron y están ordenadas por recuento total de clics. Lo más probable es que los enlaces que aparecen aquí sean maliciosos y, junto a cada URL, encontrará el recuento de veredictos de clics de Enlaces seguros.

Nota: Cuando configure el filtro de suplantación de identidad de Office 365, debe configurar Vínculos seguros y sus directivas para identificar en qué URL se hizo clic y beneficiarse de la protección de la hora del clic y el registro de los veredictos de los clics.

Los valores del veredicto de clic mostrados en el Explorador le ayudan a comprender la acción que se llevó a cabo una vez seleccionada una URL:

  • Permitido: El usuario ha podido navegar hasta la URL.
  • Bloqueado: El usuario no ha podido navegar a la URL.
  • Veredicto pendiente: La página de detonación pendiente se mostró cuando el usuario hizo clic en la URL.
  • Error: La página de error se presentó al usuario ya que se produjo un error al intentar capturar el veredicto.
  • Fallo: Se ha producido una excepción desconocida al intentar capturar el veredicto. Es posible que el usuario haya hecho clic a través de la URL.
  • Ninguna: No se pudo capturar el veredicto. Es posible que el usuario haya hecho clic a través de la URL.
  • Bloqueado anulado: El usuario anuló el bloqueo y navegó a la URL.
  • Veredicto pendiente anulado: Se mostró la página de detonación pero el usuario anuló el mensaje para acceder a la URL.

Revisar los mensajes de correo electrónico comunicados por los usuarios

Este informe muestra los datos relativos a los mensajes que los usuarios de su organización reportaron como basura, no basura o phishing. Para obtener mejores resultados, se recomienda configurar la protección antispam para Office 365.

Encontrar e investigar correos electrónicos maliciosos enviados

Las detecciones en tiempo real y Threat Explorer ofrecen al personal de seguridad la posibilidad de investigar actividades hostiles que podrían poner en peligro su organización. Las acciones disponibles son:

  • Localización e identificación de la dirección IP de un remitente de correo electrónico malicioso
  • Buscar y borrar mensajes
  • Inicio de un incidente para llevar a cabo una investigación
  • Compruebe la acción de entrega y la ubicación
  • Ver la cronología de su correo electrónico

Ver archivos maliciosos detectados en SharePoint Online, OneDrive y Microsoft Teams

Los informes del Explorador muestran información sobre los archivos identificados como maliciosos por Safe Attachments para OneDrive, Microsoft Teams y SharePoint Online. Los administradores también pueden ver estos archivos en cuarentena.

Comprobar el informe de estado de la protección frente a amenazas

Este widget muestra el estado de la seguridad de Office 365. Además del recuento de mensajes de correo electrónico con contenido malicioso, también puede encontrar:

  • Archivos o URL bloqueados
  • Purga automática de cero horas (ZAP)
  • Enlaces seguros
  • Fijaciones seguras
  • Funciones de protección contra la suplantación de identidad en las políticas antiphishing

Esta información le permite analizar las tendencias de seguridad para que pueda determinar si es necesario ajustar sus políticas.

Simulación de ataque

Configure y ejecute ciberataques realistas pero benignos en su organización para poner a prueba sus políticas de seguridad e identificar vulnerabilidades antes de que se produzca un ataque real. Estas simulaciones forman parte de la protección frente a amenazas de Office 365, ya que ayudan a formar a sus empleados para que permanezcan alerta frente a esquemas de ingeniería social como los ataques de phishing.

Nota: Puede acceder a esta función accediendo al portal de Microsoft 365 Defender > Correo electrónico & colaboración > Formación en simulación de ataques. O vaya directamente a la página de formación sobre simulación de ataques.

El entrenamiento de simulación de ataque tiene un flujo de trabajo específico que consiste en una serie de pasos que debe completar antes de lanzar el ataque simulado.

Elige una técnica de ingeniería social

En primer lugar, debe elegir uno de los esquemas de ingeniería social disponibles:

  • Enlace a malware: Ejecuta un código arbitrario desde un archivo alojado en un servicio de intercambio de archivos de confianza y, a continuación, envía un mensaje que contiene un enlace a este archivo malicioso. Si el usuario abre el archivo, el dispositivo está en peligro.
  • Recogida de credenciales: Los usuarios son redirigidos a lo que parece un sitio web conocido donde pueden introducir su nombre de usuario y contraseña.
  • Enlace en archivo adjunto: Se añade una URL a un archivo adjunto de correo electrónico y se comporta de forma similar a la recogida de credenciales.
  • Adjunto malicioso: Se añade un archivo adjunto malicioso a un mensaje. Si se abre el archivo adjunto, se compromete el dispositivo del objetivo.
  • Drive-by URL: Una URL redirige al usuario a un sitio web conocido que instala código malicioso en segundo plano. Es posible que la protección de puntos finales de Office 365 no sea capaz de disuadir este tipo de amenazas y, en consecuencia, el dispositivo se infecte.

Elija un nombre y describa la simulación

El siguiente paso es introducir un nombre único y descriptivo para la simulación que está creando. La descripción detallada es opcional.

Seleccione una carga útil

En esta página, debe elegir la carga útil que se presentará a los usuarios en la simulación. Puede ser un mensaje de correo electrónico o una página web. Puede elegir entre el catálogo integrado que contiene las cargas útiles disponibles. También es posible crear una carga útil personalizada que se adapte mejor a su organización.

Usuarios objetivo

Aquí selecciona los usuarios de su empresa que recibirán la formación de simulación de ataque. Puede incluir a todos los usuarios o elegir objetivos y grupos específicos.

Asignar formación

Microsoft recomienda que asigne formación a cada simulación que cree, ya que es menos probable que los empleados que pasen por ella sean presa de un ataque similar. Puede ver los cursos y módulos sugeridos y elegir los que mejor se adapten a sus necesidades en función de los resultados del usuario.

Seleccione la notificación al usuario final

Esta pestaña te permite configurar tus ajustes de notificación. Puede añadir una notificación de refuerzo positivo si elige Notificaciones de usuario final personalizadas para animar a sus usuarios una vez que hayan terminado la formación.

Investigación y Respuesta Automatizadas (AIR)

En la seguridad de Office 365, las funciones de investigación y respuesta automatizadas (AIR) activan alertas automáticas cuando una amenaza conocida se dirige a su organización. Esto reduce el trabajo manual y permite a su equipo de seguridad actuar con mayor eficacia revisando, priorizando y respondiendo en consecuencia.

Una investigación automatizada puede iniciarse por un archivo adjunto sospechoso que llegue en un mensaje de correo electrónico o por un analista que utilice Threat Explorer. AIR recopila datos relacionados con el correo electrónico en cuestión, como destinatarios, archivos y URL. Los administradores y el personal de seguridad pueden revisar los resultados de la investigación y comprobar las recomendaciones para aprobar o rechazar las medidas correctoras.

AIR puede activarse por una de las siguientes alertas:

  • Se ha hecho clic en una URL posiblemente maliciosa
  • Un usuario ha denunciado un correo electrónico como phishing o malware
  • Se ha eliminado un mensaje de correo electrónico que contenía malware o una URL de phishing tras su entrega.
  • Se ha detectado un patrón sospechoso de envío de correo electrónico
  • Un usuario tiene restringido el envío de mensajes

Conclusión

La investigación de amenazas de Office 365 ofrece varias funciones que ayudan a proteger sus datos. Con Microsoft Defender para Office 365 plan 2, puede emplear funciones avanzadas como rastreadores de amenazas y explorador de amenazas. También puede impartir formación sobre simulación de ataques para mantener a sus usuarios alerta y a salvo de posibles ciberataques. Además, puede configurar la investigación y respuesta automatizadas (AIR) para descargar a su equipo de seguridad y que pueda centrarse en amenazas de mayor prioridad.

Dicho esto, la única forma de garantizar la protección completa de un entorno de Office 365 es desplegando una solución moderna de protección de datos como NAKIVO Backup & Replication. La solución ofrece potentes funciones de backup y recuperación para Exchange Online, Teams, OneDrive para la Empresa y SharePoint Online.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Artículos recomendados

Picture
Los Diferentes Métodos para Hacer Backup de Unidades NAS
Picture
Prácticas recomendadas de recuperación ante desastres de AWS
Picture
Únase a NAKIVO en VMware Explore 2023 Barcelona