Abordar las cuentas de usuario en peligro con una investigación y respuesta automatizadas

 Sugerencia

¿Sabía que puede probar las características de Microsoft 365 Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft 365 Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Se aplica a

Microsoft Defender para Office 365 Plan 2 incluye eficaces funcionalidades de investigación y respuesta automatizadas (AIR). Estas funcionalidades pueden ahorrar mucho tiempo y esfuerzo al equipo de operaciones de seguridad frente a amenazas. Microsoft sigue mejorando las funcionalidades de seguridad. Recientemente, las funcionalidades de AIR se han mejorado para incluir un cuaderno de estrategias de seguridad de usuario en peligro (actualmente en versión preliminar). Lea este artículo para obtener más información sobre el cuaderno de estrategias de seguridad de usuario en peligro. Y vea la entrada de blog Acelerar el tiempo para detectar y responder al riesgo del usuario y limitar el ámbito de vulneración con Microsoft Defender para Office 365 para obtener más detalles.

El cuaderno de estrategias de seguridad de usuario en peligro permite al equipo de seguridad de su organización:

  • Acelerar la detección de cuentas de usuario en peligro;
  • Limitar el ámbito de una infracción cuando una cuenta está en peligro; Y
  • Responda a los usuarios en peligro de forma más eficaz y eficaz.

Alertas de usuario en peligro

Cuando una cuenta de usuario está en peligro, se producen comportamientos atípicos o anómalo. Por ejemplo, los mensajes de phishing y correo no deseado se pueden enviar internamente desde una cuenta de usuario de confianza. Defender para Office 365 puede detectar estas anomalías en los patrones de correo electrónico y la actividad de colaboración dentro de Office 365. Cuando esto sucede, se desencadenan alertas y comienza el proceso de mitigación de amenazas.

Por ejemplo, esta es una alerta que se desencadenó debido al envío de correo electrónico sospechoso:

Este es un ejemplo de una alerta que se desencadenó cuando se alcanzó un límite de envío para un usuario:

Alerta desencadenada por el envío del límite alcanzado.

Investigación y respuesta a un usuario en peligro

Cuando una cuenta de usuario está en peligro, se desencadenan alertas. Y, en algunos casos, esa cuenta de usuario se bloquea e impide el envío de más mensajes de correo electrónico hasta que el equipo de operaciones de seguridad de la organización resuelva el problema. En otros casos, comienza una investigación automatizada que puede dar lugar a acciones recomendadas que el equipo de seguridad debe realizar.

 Importante

Debe tener los permisos adecuados para realizar las siguientes tareas. Consulte Permisos necesarios para usar las funcionalidades de AIR.

Vea este breve vídeo para aprender a detectar y responder a los riesgos del usuario en Microsoft Defender para Office 365 mediante la investigación y respuesta automatizadas (AIR) y las alertas de usuario en peligro.

Visualización e investigación de usuarios restringidos

Tiene algunas opciones para navegar a una lista de usuarios restringidos. Por ejemplo, en el portal de Microsoft 365 Defender, puede ir a Email & colaboración>Revisar>usuarios restringidos. En el procedimiento siguiente se describe la navegación mediante el panel Alertas , que es una buena manera de ver varios tipos de alertas que podrían haberse desencadenado.

  1. Abra el portal de Microsoft 365 Defender en https://security.microsoft.com y vaya aAlertas de alertas &> de incidentes. O bien, para ir directamente a la página Alertas , use https://security.microsoft.com/alerts.
  2. En la página Alertas , filtre los resultados por período de tiempo y la directiva denominada Usuario restringido al envío de correo electrónico.
  3. Si selecciona la entrada haciendo clic en el nombre, se abrirá una página Usuario restringido al envío de correo electrónico con detalles adicionales para revisar. Junto al botón Administrar alerta, puede hacer clic en el icono Más opciones.Más opciones y, a continuación, seleccione Ver detalles de usuario restringido para ir a la página Usuarios restringidos, donde puede liberar al usuario restringido.
La página Usuario restringido al envío de correo electrónico

Ver detalles sobre las investigaciones automatizadas

Cuando se ha iniciado una investigación automatizada, puede ver sus detalles y resultados en el Centro de acciones en el portal de Microsoft 365 Defender.

Para más información, consulte Visualización de los detalles de una investigación.

Tenga en cuenta los siguientes puntos

  • Manténgase al tanto de las alertas. Como sabe, cuanto más tiempo no se detecte un riesgo, mayor será el potencial de impacto y costo generalizados para su organización, clientes y asociados. La detección temprana y la respuesta oportuna son fundamentales para mitigar las amenazas y, especialmente, cuando la cuenta de un usuario está en peligro.
  • Automation ayuda, pero no reemplaza, al equipo de operaciones de seguridad. Las funcionalidades automatizadas de investigación y respuesta pueden detectar un usuario en peligro al principio, pero es probable que el equipo de operaciones de seguridad tenga que participar y realizar alguna investigación y corrección. ¿Necesitas ayuda con esto? Consulte Revisar y aprobar acciones.
  • No confíe en una alerta de inicio de sesión sospechosa como único indicador. Cuando una cuenta de usuario está en peligro, es posible que desencadene o no una alerta de inicio de sesión sospechosa. A veces es la serie de actividades que se producen después de que una cuenta está en peligro lo que desencadena una alerta. ¿Desea obtener más información sobre las alertas? Consulte Directivas de alerta.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.