Información de suplantación en Defender para Office 365
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
La suplantación es cuando el remitente de un mensaje de correo electrónico es similar a la dirección de correo electrónico de un remitente real o esperado. Los atacantes suelen usar direcciones de correo electrónico del remitente suplantadas en phishing u otros tipos de ataques para obtener la confianza del destinatario. Hay dos tipos básicos de suplantación:
- Suplantación de dominio: contiene diferencias sutiles en el dominio. Por ejemplo, lila@ćóntoso.com suplanta lila@contoso.com.
- Suplantación de usuario: contiene diferencias sutiles en el alias de correo electrónico. Por ejemplo, rnichell@contoso.com suplanta michelle@contoso.coma .
La suplantación de dominio es diferente de la suplantación de dominio, ya que el dominio suplantado suele ser un dominio real registrado, pero con la intención de engañar. Los mensajes de los remitentes del dominio suplantado pueden pasar comprobaciones de autenticación de correo electrónico normales que, de lo contrario, identificarían los mensajes como intentos de suplantación (SPF, DKIM y DMARC).
La protección contra suplantación forma parte de la configuración de la directiva contra suplantación de identidad exclusiva de Microsoft Defender para Office 365. Para obtener más información sobre esta configuración, consulte Configuración de suplantación en directivas contra suplantación de identidad en Microsoft Defender para Office 365.
Los administradores pueden usar la información de suplantación en el portal de Microsoft Defender para identificar rápidamente los mensajes de remitentes suplantados o dominios de remitente que se especifican en la protección de suplantación en las directivas contra suplantación de identidad.
¿Qué necesita saber antes de empezar?
Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Anti-phishing , use https://security.microsoft.com/antiphishing. Para ir directamente a la página Información de suplantación , use https://security.microsoft.com/impersonationinsight.
Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:
Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell: Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (administrar) o Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (lectura).
Email & permisos de colaboración en el portal de Microsoft Defender: pertenencia a cualquiera de los siguientes grupos de roles:
- Administración de organizaciones
- Administrador de seguridad
- Lector de seguridad
- Lector global
Microsoft Entra permisos: la pertenencia a los roles Administrador* global, Administrador de seguridad, Lector de seguridad o Lector global proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.
Importante
* Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Puede habilitar y configurar la protección contra suplantación en las directivas contra suplantación de identidad en Microsoft Defender para Office 365. La protección contra suplantación no está habilitada de forma predeterminada. Para obtener más información, consulte Configuración de directivas contra suplantación de identidad en Microsoft Defender para Office 365 y Uso del portal de Microsoft Defender para asignar directivas de seguridad preestablecidas estrictas y Standard a los usuarios.
Para obtener más información sobre los requisitos de licencia, consulte Términos de licencia.
Abra la información de suplantación en el portal de Microsoft Defender
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Directivas de amenazas> de reglas >Anti-phishing en la sección Directivas. O bien, para ir directamente a la página Anti-phishing , use https://security.microsoft.com/antiphishing.
En la página Anti-phishing , la información de suplantación tiene el siguiente aspecto:
La información tiene dos modos:
- Modo de información: si la protección contra suplantación está habilitada y configurada en cualquier directiva contra suplantación de identidad (phishing), la información muestra el número de mensajes detectados de dominios suplantados y usuarios suplantados (remitentes) durante los últimos siete días. El número que se muestra es el total de todos los intentos de suplantación detectados de todas las directivas anti-phishing.
- Modo What if: si la protección contra suplantación no está habilitada y configurada en ninguna directiva anti-phishing activa, la información muestra cuántos mensajes se habrían detectado mediante la protección de suplantación en los últimos siete días.
Para ver información sobre las detecciones de suplantación, seleccione Ver suplantaciones en la información de suplantación para ir a la página Información de suplantación .
Ver información sobre las detecciones de suplantación de dominio
La página Información de suplantación de https://security.microsoft.com/impersonationinsight está disponible al seleccionar Ver suplantaciones en la información de suplantación en la página Anti-phishing .
En la página Información de suplantación , compruebe que la pestaña Dominios está seleccionada.
Para ordenar las entradas, haga clic en un encabezado de columna disponible. Las columnas siguientes están disponibles:*:
- Dominio del remitente: dominio que suplanta, que es el dominio que se usó para enviar el mensaje de correo electrónico.
- Recuento de mensajes: el número de mensajes que han suplantado el dominio del remitente en los últimos siete días.
- Tipo de suplantación: este valor muestra la ubicación detectada de la suplantación (por ejemplo, Dominio en la dirección).
- Dominios suplantados: dominio protegido por la protección de suplantación de dominio, que debe ser similar al dominio del dominio remitente.
- Tipo de dominio: este valor es Dominio de empresa para dominios aceptados o Dominio personalizado para dominios personalizados.
- Directiva: la directiva contra suplantación de identidad que detectó el dominio suplantado.
-
Permitido suplantar: uno de los siguientes valores:
- Sí: el dominio se configuró como dominio de confianza (una excepción para la protección contra suplantación) en la directiva contra suplantación de identidad que detectó el mensaje. Se detectaron mensajes del dominio suplantado, pero permitidos.
- No: el dominio se configuró para la protección de suplantación en la directiva contra suplantación de identidad que detectó el mensaje. La acción para las detecciones de suplantación de dominio en la directiva contra suplantación de identidad se realiza en el mensaje.
* Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:
- Desplácese horizontalmente en el explorador web.
- Acote el ancho de las columnas adecuadas.
- Alejar en el explorador web.
Para cambiar la lista de detecciones de suplantación de dominio de espaciado normal a compacto, seleccione Cambiar espaciado de lista a compacto o normal y, a continuación, seleccione Lista compacta.
Use el cuadro Buscar y una lista de valores separados por comas para buscar detecciones de suplantación de dominio específicas.
Use Exportar para exportar la lista de detecciones de suplantación de dominio a un archivo CSV.
Ver detalles sobre una detección de suplantación de dominio
En la pestaña Dominios de la página Información de suplantación de https://security.microsoft.com/impersonationinsight?type=Domain, seleccione una de las detecciones de suplantación haciendo clic en cualquier lugar de la fila que no sea la casilla.
La siguiente información está disponible en el control flotante de detalles:
¿Por qué hemos captado esto?
¿Qué necesitas hacer?
Resumen del dominio: dominio que se detectó como suplantación.
Datos de Whois: contiene información sobre el dominio:
- Ubicación del remitente
- Fecha de creación del dominio
- Fecha de expiración del dominio
- Registrante
Investigación del Explorador: seleccione el vínculo para abrir el Explorador de amenazas o detecciones en tiempo real para obtener más detalles sobre el remitente.
Email del remitente: en esta sección se muestra la siguiente información sobre mensajes similares de remitentes en el dominio:
- Date
- Destinatario
- Asunto
- Sender
- IP del remitente
- Acción de entrega
Sugerencia
Para ver detalles sobre otras entradas de suplantación de dominio sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.
Para evitar que los remitentes de un dominio detectado se identifiquen como suplantación de dominio, consulte la siguiente subsección.
Eximir a los remitentes de un dominio detectado de futuras comprobaciones de suplantación de dominio
En la pestaña Dominios de la página Información de suplantación de https://security.microsoft.com/impersonationinsight?type=Domain, siga estos pasos para excluir que los remitentes de un dominio detectado se identifiquen como suplantación de dominio:
Seleccione la entrada de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla.
En el control flotante de detalles que se abre, use la directiva Seleccionar suplantación para modificar y Agregar a la configuración de la lista de suplantación permitida en la parte superior del control flotante. Esta configuración funciona conjuntamente para agregar el dominio a la lista Remitentes y dominios de confianza de la directiva que identificó incorrectamente el mensaje como suplantación de dominio:
Seleccione la directiva contra suplantación de identidad (phishing) en la lista desplegable. La directiva contra suplantación de identidad (phishing) responsable de detectar el mensaje se muestra en el valor Directiva de la pestaña Dominio .
Deslice el botón de alternancia a activado para agregar el dominio a la lista Remitentes y dominios de confianza de la directiva seleccionada.
Para quitar el dominio de la lista Remitentes y dominios de confianza , deslice el botón de alternancia hacia atrás.
Cuando haya terminado en el control flotante de detalles, seleccione Cerrar.
Ver información sobre las detecciones de suplantación de usuario
La página Información de suplantación de https://security.microsoft.com/impersonationinsight está disponible al seleccionar Ver suplantaciones en la información de suplantación en la página Anti-phishing .
En la página Información de suplantación , seleccione la pestaña Usuarios .
Para ordenar las entradas, haga clic en un encabezado de columna disponible. Las columnas siguientes están disponibles:*:
- Remitente: dirección de correo electrónico del remitente que suplanta que envió el mensaje de correo electrónico.
- Recuento de mensajes: el número de mensajes del remitente que suplanta en los últimos siete días.
- Tipo de suplantación: por ejemplo, Usuario en nombre para mostrar.
- Usuarios suplantados: nombre para mostrar y dirección de correo electrónico del remitente protegido por la protección de suplantación, que es similar a la dirección de correo electrónico del remitente.
- Tipo de usuario: el tipo de protección aplicado (por ejemplo, Usuario protegido o Inteligencia de buzones).
- Directiva: la directiva contra suplantación de identidad que detectó al remitente suplantado.
-
Permitido suplantar: uno de los siguientes valores:
- Sí: el remitente se configuró como usuario de confianza (una excepción para la protección contra suplantación) en la directiva contra suplantación de identidad (phishing) que detectó el mensaje. Se detectaron mensajes del remitente suplantado, pero permitidos.
- No: el remitente se configuró para la protección de suplantación en la directiva contra suplantación de identidad que detectó el mensaje. La acción para las detecciones de suplantación de usuario en la directiva contra suplantación de identidad se realiza en el mensaje.
* Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:
- Desplácese horizontalmente en el explorador web.
- Acote el ancho de las columnas adecuadas.
- Alejar en el explorador web.
Para cambiar la lista de detecciones de suplantación de usuario de espaciado normal a compacto, seleccione Cambiar espaciado de lista a compacta o normal y, a continuación, seleccione Lista compacta.
Use el cuadro Buscar y una lista de valores separados por comas para buscar detecciones de suplantación de usuario específicas.
Use Exportar para exportar la lista de detecciones de suplantación de usuario a un archivo CSV.
Ver detalles sobre una detección de suplantación de usuario
En la pestaña Usuarios de la página Información de suplantación de https://security.microsoft.com/impersonationinsight?type=User, seleccione una de las detecciones de suplantación haciendo clic en cualquier lugar de la fila que no sea la casilla.
La siguiente información está disponible en el control flotante de detalles:
¿Por qué hemos captado esto?
¿Qué necesitas hacer?
Resumen del remitente: remitente que se detectó como suplantación.
Investigación del Explorador: seleccione el vínculo para abrir el Explorador de amenazas o detecciones en tiempo real para obtener más detalles sobre el remitente.
Email del remitente: en esta sección se muestra la siguiente información sobre mensajes similares del remitente:
- Date
- Destinatario
- Asunto
- Sender
- IP del remitente
- Acción de entrega
Sugerencia
Para ver detalles sobre otras entradas de suplantación de usuario sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.
Para evitar que un remitente detectado se identifique como suplantación de usuario, consulte la subsección siguiente.
Eximir a un remitente detectado de futuras comprobaciones de suplantación de usuario
En la pestaña Usuarios de la página Información de suplantación de https://security.microsoft.com/impersonationinsight?type=User, siga estos pasos para excluir a los remitentes detectados de que se identifiquen como suplantación de usuario:
Seleccione la entrada de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla.
En el control flotante de detalles que se abre, use la directiva Seleccionar suplantación para modificar y Agregar a la configuración de la lista de suplantación permitida en la parte superior del control flotante. Esta configuración funciona conjuntamente para agregar el remitente a la lista Remitentes y dominios de confianza en la directiva que identificó incorrectamente el mensaje como suplantación de usuario:
Seleccione la directiva contra suplantación de identidad (phishing) en la lista desplegable. La directiva contra suplantación de identidad (phishing) responsable de detectar el mensaje se muestra en el valor Directiva de la pestaña Dominio .
Deslice el botón de alternancia a activado para agregar el remitente a la lista Remitentes y dominios de confianza de la directiva seleccionada.
Para quitar el remitente de la lista Remitentes y dominios de confianza, deslice el botón de alternancia hacia atrás.
Cuando haya terminado en el control flotante de detalles, seleccione Cerrar.