Página de la entidad Email en Microsoft Defender para Office 365
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
Las organizaciones de Microsoft 365 que Microsoft Defender para Office 365 incluyen en su suscripción o compran como complemento tienen la página de entidad Email. La página de entidad Email del portal de Microsoft Defender contiene información muy detallada sobre un mensaje de correo electrónico y las entidades relacionadas.
En este artículo se explica la información y las acciones de la página de entidad Email.
Permisos y licencias para la página de entidad Email
Para usar la página de entidad Email, debe tener asignados permisos. Los permisos y las licencias son los mismos que el Explorador de amenazas (Explorador) y las detecciones en tiempo real. Para obtener más información, consulte Permisos y licencias para el Explorador de amenazas y detecciones en tiempo real.
Dónde encontrar la página de entidad Email
No hay vínculos directos a la página de entidad Email desde los niveles superiores del portal de Defender. En su lugar, la acción Abrir entidad de correo electrónico está disponible en la parte superior del control flotante de detalles de correo electrónico en muchas características Defender para Office 365. Este control flotante de detalles de correo electrónico se conoce como panel de resumen de Email y contiene un subconjunto resumido de la información en la página de entidad Email. El panel de resumen de correo electrónico es idéntico entre Defender para Office 365 características. Para obtener más información, consulte la sección Del panel de resumen de Email más adelante en este artículo.
El panel de resumen Email con la acción Abrir entidad de correo electrónico está disponible en las siguientes ubicaciones:
En la página Búsqueda avanzada de https://security.microsoft.com/v2/advanced-hunting: en la pestaña Resultados de una consulta relacionada con el correo electrónico, haga clic en el valor NetworkMessageId de una entrada de la tabla.
*En la página Alertas de https://security.microsoft.com/alerts: para las alertas con el valor de origen de detecciónMDO o el valor de Nombres de producto Microsoft Defender para Office 365, seleccione la entrada haciendo clic en el valor Nombre de alerta. En la página de detalles de la alerta que se abre, seleccione el mensaje en la sección Lista de mensajes .
Desde el informe de estado de protección contra amenazas en https://security.microsoft.com/reports/TPSEmailPhishReportATP:
- Seleccione Ver datos Email > Phish y cualquiera de las selecciones de desglose de gráficos disponibles. En la tabla de detalles debajo del gráfico, seleccione la entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto a la primera columna.
- Seleccione Ver datos Email > Malware y cualquiera de las selecciones de desglose de gráficos disponibles. En la tabla de detalles debajo del gráfico, seleccione la entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto a la primera columna.
- Seleccione Ver datos Email > Spam y cualquiera de las selecciones de desglose de gráficos disponibles. En la tabla de detalles debajo del gráfico, seleccione la entrada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto a la primera columna.
Desde la página Explorador en https://security.microsoft.com/threatexplorerv3 (Explorador de amenazas) o desde la página Detecciones en tiempo real en https://security.microsoft.com/realtimereportsv3. Utilice uno de los métodos siguientes:
- En el Explorador de amenazas, compruebe que la vista Todo el correo electrónico está seleccionada>, compruebe que la pestaña Email (vista) del área de detalles está seleccionada>, haga clic en el valor Asunto de una entrada.
- En Explorador de amenazas o Detecciones en tiempo real, seleccione la vista >Malware para comprobar que la pestaña Email (vista) del área de detalles está seleccionada>, haga clic en el valor Asunto de una entrada.
- En Explorador de amenazas o Detecciones en tiempo real, seleccione la vista >Phish para comprobar que la pestaña Email (vista) del área de detalles está seleccionada>, haga clic en el valor Asunto de una entrada.
En la página Incidentes de https://security.microsoft.com/incidents: Para incidentes con el valor De los nombres de productoMicrosoft Defender para Office 365, seleccione el incidente haciendo clic en el valor Nombre del incidente. En la página de detalles del incidente que se abre, seleccione la pestaña Evidencia y respuestas (vista). En la pestaña Todas las pruebas y el valor Tipo de entidadEmail o la pestaña Correos electrónicos, seleccione la entrada haciendo clic en cualquier lugar de la fila que no sea la casilla.
En la página Cuarentena de https://security.microsoft.com/quarantine: compruebe que la pestaña Email está seleccionada>, seleccione una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla.
Desde la página Envíos en https://security.microsoft.com/reportsubmission:
- Seleccione la pestaña >Correos electrónicos para seleccionar una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla.
- Seleccione la pestaña >Usuario notificado seleccione una entrada haciendo clic en cualquier lugar de la fila que no sea la casilla.
¿Qué hay en la página de entidad de Email?
El panel de detalles del lado izquierdo de la página contiene secciones contraíbles con detalles sobre el mensaje. Estas secciones permanecen constantes mientras esté en la página. Las secciones disponibles son:
Sección Etiquetas . Muestra las etiquetas de usuario (incluida la cuenta de prioridad) asignadas a remitentes o destinatarios. Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario en Microsoft Defender para Office 365.
Sección de detalles de detección :
Amenazas originales
Ubicación de entrega original:
- carpeta Elementos eliminados
- Cayó
- Error en la entrega
- Carpeta Bandeja de entrada
- Carpeta de correo no deseado
- Externa
- Cuarentena
- Desconocido
Amenazas más recientes
Ubicación de entrega más reciente: ubicación del mensaje después de las acciones del sistema en el mensaje (por ejemplo, ZAP) o acciones de administrador en el mensaje (por ejemplo, Mover a elementos eliminados). No se muestran las acciones del usuario en el mensaje (por ejemplo, eliminar o archivar el mensaje), por lo que este valor no garantiza la ubicación actual del mensaje.
Sugerencia
Hay escenarios en los que la ubicación / de entrega originalUbicación de entrega más reciente o la acción Entrega tienen el valor Desconocido. Por ejemplo:
- Se entregó el mensaje (la acción Entrega es Entregado), pero una regla bandeja de entrada movió el mensaje a una carpeta predeterminada distinta de la carpeta Bandeja de entrada o Correo no deseado Email (por ejemplo, la carpeta Borrador o Archivo).
- ZAP intentó mover el mensaje después de la entrega, pero no se encontró el mensaje (por ejemplo, el usuario movió o eliminó el mensaje).
Tecnología de detección:
- Filtro avanzado: señales de suplantación de identidad basadas en el aprendizaje automático.
- Campaña: mensajes identificados como parte de una campaña.
- Detonación de archivos: Los datos adjuntos seguros detectaron un archivo adjunto malintencionado durante el análisis de detonación.
- Reputación de detonación de archivos: archivos adjuntos detectados anteriormente por detonaciones de datos adjuntos seguros en otras organizaciones de Microsoft 365.
- Reputación de archivo: el mensaje contiene un archivo que se identificó anteriormente como malintencionado en otras organizaciones de Microsoft 365.
- Coincidencia de huellas digitales: el mensaje es muy similar a un mensaje malintencionado detectado anteriormente.
- Filtro general: señales de suplantación de identidad basadas en reglas de analista.
- Marca de suplantación: suplantación de remitente de marcas conocidas.
- Dominio de suplantación: suplantación de dominios de remitente que posee o especifica para la protección en las directivas contra suplantación de identidad (phishing).
- Usuario de suplantación: suplantación de remitentes protegidos que especificó en directivas contra suplantación de identidad (phishing ) o que aprendió a través de la inteligencia del buzón.
- Suplantación de inteligencia de buzones: detecciones de suplantación de inteligencia de buzones de correo en directivas anti phishing.
- Detección de análisis mixto: varios filtros contribuyeron al veredicto del mensaje.
- Spoof DMARC: el mensaje produjo un error en la autenticación de DMARC.
- Suplantación de dominio externo: suplantación de dirección de correo electrónico del remitente mediante un dominio externo a su organización.
- Suplantación de identidad entre organizaciones: suplantación de dirección de correo electrónico del remitente mediante un dominio interno de la organización.
- Detonación de direcciones URL: Vínculos seguros detectó una dirección URL malintencionada en el mensaje durante el análisis de detonación.
- Reputación de detonación de direcciones URL: direcciones URL detectadas anteriormente por detonaciones de vínculos seguros en otras organizaciones de Microsoft 365.
- Reputación malintencionada de direcciones URL: el mensaje contiene una dirección URL que se identificó anteriormente como malintencionada en otras organizaciones de Microsoft 365.
Acción de entrega:
- Entregado
- Tirados
- Bloqueado
Invalidación principal: origen
- Valores de invalidación principal:
- Permitido por la directiva de la organización
- Permitido por la directiva de usuario
- Bloqueado por la directiva de la organización
- Bloqueado por la directiva de usuario
- Ninguna
- Valores para el origen de invalidación principal:
- Filtro de terceros
- Administración viaje en el tiempo iniciado (ZAP)
- Bloque de directiva antimalware por tipo de archivo
- Configuración de directivas antispam
- Directiva de conexión
- Regla de transporte de Exchange
- Modo exclusivo (invalidación de usuario)
- Filtrado omitido debido a la organización local
- Filtro de región IP de la directiva
- Filtro de idioma de la directiva
- Simulación de suplantación de identidad
- Versión de cuarentena
- Buzón de SecOps
- Lista de direcciones del remitente (invalidación de Administración)
- Lista de direcciones del remitente (invalidación de usuario)
- Lista de dominios del remitente (invalidación de Administración)
- Lista de dominios del remitente (invalidación de usuario)
- Bloque de archivos de lista de permitidos o bloqueados de inquilinos
- Bloque de direcciones de correo electrónico de remitente de lista de permitidos o bloqueados de inquilinos
- Bloque de suplantación de identidad de lista de permitidos o bloqueados de inquilinos
- Bloque de direcciones URL de lista de permitidos o bloqueados de inquilinos
- Lista de contactos de confianza (invalidación de usuario)
- Dominio de confianza (invalidación de usuario)
- Destinatario de confianza (invalidación de usuario)
- Solo remitentes de confianza (invalidación de usuario)
- Valores de invalidación principal:
Email sección de detalles:
-
Direccionalidad:
- Entrantes
- Intra-irg
- Salida
- Destinatario (Para)*
- Remitente*
- Hora de recepción
- Id*. de mensaje de Internet: disponible en el campo Encabezado de id. de mensaje en el encabezado del mensaje. Un valor de ejemplo es
<08f1e0f6806a47b4ac103961109ae6ef@server.domain>
(tenga en cuenta los corchetes angulares). - Id*. de mensaje de red: un valor GUID que está disponible en el campo de encabezado X-MS-Exchange-Organization-Network-Message-Id del encabezado del mensaje.
- Id. de clúster
- Language
*La acción Copiar en el Portapapeles está disponible para copiar el valor.
-
Direccionalidad:
Las pestañas (vistas) de la parte superior de la página le permiten investigar el correo electrónico de forma eficaz. Estas vistas se describen en las subsecciones siguientes.
Timeline view
La vista Escala de tiempo muestra los eventos de entrega y posterior a la entrega que se produjeron en el mensaje.
La siguiente información de eventos de mensaje está disponible en la vista. Seleccione un encabezado de columna para ordenar por esa columna. Para agregar o quitar columnas, seleccione Personalizar columnas. De forma predeterminada, se seleccionan todas las columnas disponibles.
- Escala de tiempo (fecha y hora del evento)
- Origen: por ejemplo: Sistema, **Administración o Usuario.
- Tipos de eventos
- Resultado
- Amenazas
- Detalles
Si no ha ocurrido nada en el mensaje después de la entrega, es probable que el mensaje tenga solo una fila en la vista Escala de tiempo con el valor Tipos de eventoEntrega original. Por ejemplo:
- El valor de Resultado es Bandeja de entrada carpeta - Entregado.
- El valor de Resultado es Carpeta de correo no deseado: entregado a correo no deseado
- El valor de Resultado es Cuarentena: bloqueado.
Las acciones posteriores al mensaje por parte de usuarios, administradores o Microsoft 365 agregan más filas a la vista. Por ejemplo:
- El valor De los tipos de evento es ZAP y el valor resultado es Mensaje movido a Cuarentena por ZAP.
- El valor de Tipos de evento es Quarantine Release y el valor Result es Message (Mensaje) se liberó correctamente de Cuarentena.
Use el cuadro Buscar para buscar información en la página. Escriba texto en el cuadro y, a continuación, presione la tecla ENTRAR.
Use Exportar para exportar los datos de la vista a un archivo CSV. El nombre de archivo predeterminado es : Microsoft Defender.csv y la ubicación predeterminada es la carpeta Descargas . Si ya existe un archivo con ese nombre, el nombre de archivo se anexa con un número (por ejemplo, - Microsoft Defender(1).csv).
Vista de análisis
La vista Análisis contiene información que le ayuda a analizar el mensaje en profundidad. La siguiente información está disponible en esta vista:
Sección de detalles de detección de amenazas: información sobre las amenazas detectadas en el mensaje:
- Amenazas: la amenaza principal se indica mediante la amenaza principal.
- Nivel de confianza: los valores son Alto, Medio o Bajo.
- Protección de la cuenta de prioridad: los valores son Sí o No. Para obtener más información, consulte Configuración y revisión de la protección de cuentas de prioridad en Microsoft Defender para Office 365.
Email sección de detalles de detección: información sobre las características de protección o las invalidaciones que afectaron al mensaje:
Todas las invalidaciones: toda la configuración de organización o usuario que tenía la posibilidad de modificar la ubicación de entrega prevista del mensaje. Por ejemplo, si el mensaje coincidía con una regla de flujo de correo y una entrada de bloque en la lista de permitidos o bloques de inquilinos, ambas opciones se enumeran aquí. El valor de la propiedad Invalidación principal: origen identifica la configuración que realmente afectó a la entrega del mensaje.
Invalidación principal: origen: muestra la configuración de la organización o el usuario que modificó la ubicación de entrega prevista del mensaje (permitido en lugar de bloqueado o bloqueado en lugar de permitido). Por ejemplo:
- Una regla de flujo de correo bloqueó el mensaje.
- El mensaje se permitió debido a una entrada en la lista de remitentes seguros del usuario.
Reglas de transporte de Exchange (reglas de flujo de correo): si el mensaje se vio afectado por las reglas de flujo de correo, se muestran los nombres de regla y las vales guid. Las acciones realizadas en los mensajes por las reglas de flujo de correo se producen antes de los veredictos de spam y phishing.
La acción Copiar en el Portapapeles está disponible para copiar el GUID de regla. Para obtener más información acerca de las reglas de flujo de correo, consulte Mail flow rules (transport rules) in Exchange Online.
El vínculo Ir al Centro de administración de Exchange abre la página Reglas del nuevo Centro de administración de Exchange en https://admin.exchange.microsoft.com/#/transportrules.
Conector: si el mensaje se entregó a través de un conector de entrada, se muestra el nombre del conector. Para obtener más información sobre los conectores, consulte Configuración del flujo de correo mediante conectores en Exchange Online.
Nivel de queja masiva (BCL): un valor de BCL más alto indica que es más probable que el mensaje sea correo no deseado. Para obtener más información, vea Nivel de quejas masivas (BCL) en EOP.
Directiva: si un tipo de directiva aparece aquí (por ejemplo, Correo no deseado), seleccione Configurar para abrir la página de directiva relacionada (por ejemplo, la página Directivas contra correo no deseado en https://security.microsoft.com/antispam).
Acción de directiva
Id. de alerta: seleccione el valor id. de alerta para abrir la página de detalles de la alerta (como si encontrara y seleccionara la alerta en la página Alertas en https://security.microsoft.com/alerts). La acción Copiar en el Portapapeles también está disponible para copiar el valor de Id. de alerta.
Tipo de directiva
Tipo de cliente: muestra el tipo de cliente que envió el mensaje (por ejemplo, REST)
tamaño de Email
Reglas de prevención de pérdida de datos
Sección de detalles remitente-destinatario : detalles sobre el remitente del mensaje y cierta información del destinatario:
- Nombre para mostrar del remitente
- Dirección del remitente*
- IP del remitente
- Nombre de dominio del remitente*
- Fecha de creación del dominio: un dominio creado recientemente y otras señales de mensaje pueden identificar el mensaje como sospechoso.
- Propietario del dominio
- Dirección MAIL FROM del remitente*
- Nombre de dominio MAIL FROM del remitente*
- Return-Path
- Dominio de ruta de acceso de retorno
- Ubicación
- Dominio de destinatario*
- Para: muestra los primeros 5000 caracteres de cualquier dirección de correo electrónico en el campo Para del mensaje.
- Cc: muestra los primeros 5000 caracteres de cualquier dirección de correo electrónico en el campo Cc del mensaje.
- Lista de distribución: muestra el grupo de distribución (lista de distribución) si el destinatario recibió el correo electrónico como miembro de la lista. El grupo de distribución de nivel superior se muestra para los grupos de distribución anidados.
- Reenvío: indica si el mensaje se reenvía automáticamente a una dirección de correo electrónico externa. Se muestran el usuario de reenvío y el tipo de reenvío (reglas de flujo de correo, reglas de bandeja de entrada o reenvío SMTP).
*La acción Copiar en el Portapapeles está disponible para copiar el valor.
Sección autenticación : detalles sobre los resultados de la autenticación por correo electrónico :
-
Autenticación de mensajes basada en dominio (DMARC)
-
Pass
: la comprobación de DMARC para el mensaje pasado. -
Fail
: se produjo un error en la comprobación de DMARC del mensaje. -
BestGuessPass
: el registro TXT de DMARC para el dominio no, pero si existiera, la comprobación de DMARC para el mensaje habría pasado. - Ninguno: indica que no existe ningún registro TXT de DMARC para el dominio de envío en DNS.
-
-
Correo identificado por DomainKeys (DKIM): los valores son:
-
Pass
: la comprobación DKIM del mensaje pasado. -
Fail (reason)
: se produjo un error en la comprobación dkim del mensaje. Por ejemplo, el mensaje no se firmó DKIM o no se comprobó la firma DKIM. -
None
: el mensaje no estaba firmado con DKIM. Este resultado podría indicar o no que el dominio tiene un registro DKIM, o que el registro DKIM no se evalúa como un resultado. Este resultado solo indica que este mensaje no se firmó.
-
-
Marco de directivas de remitente (SPF): los valores son:
-
Pass (IP address)
: la comprobación de SPF encontró que el origen del mensaje es válido para el dominio. -
Fail (IP address)
: la comprobación de SPF encontró que el origen del mensaje no es válido para el dominio y la regla de cumplimiento en el registro SPF es-all
(error duro). -
SoftFail (reason)
: la comprobación de SPF encontró que el origen del mensaje no es válido para el dominio y la regla de cumplimiento en el registro SPF es~all
(error temporal). -
Neutral
: la comprobación de SPF encontró que el origen del mensaje no es válido para el dominio y la regla de cumplimiento en el registro SPF es?all
(neutral). -
None
: el dominio no tiene un registro SPF o el registro SPF no se evalúa como un resultado. -
TempError
: la comprobación de SPF encontró un error temporal (por ejemplo, un error DNS). Es posible la misma comprobación sea correcta más tarde. -
PermError
: la comprobación de SPF encontró un error permanente. Por ejemplo, el dominio tiene un registro SPF con formato incorrecto.
-
- Autenticación compuesta: SPF, DKIM, DMARC y otra información determina si el remitente del mensaje (la dirección De) es auténtico. Para obtener más información, consulte Autenticación compuesta.
-
Autenticación de mensajes basada en dominio (DMARC)
Sección entidades relacionadas : información sobre los datos adjuntos y las direcciones URL del mensaje:
- Entidad: la selección de datos adjuntos o direcciones URL le lleva a la vista Datos adjuntos o a la vista URL de la página de entidad de Email para el mensaje.
- Recuento total
- Amenazas encontradas: los valores son Sí o No.
Área de detalles del mensaje:
- Pestaña de encabezado de correo electrónico de texto sin formato: contiene todo el encabezado del mensaje en texto sin formato. Seleccione Copiar encabezado de mensaje para copiar el encabezado del mensaje. Seleccione Analizador de encabezados de mensajes de Microsoft para abrir el Analizador de encabezados de mensajes en https://mha.azurewebsites.net/pages/mha.html. Pegue el encabezado del mensaje copiado en la página y, a continuación, seleccione Analizar encabezados para obtener más información sobre los encabezados y valores del mensaje.
- Pestaña Para : muestra los primeros 5000 caracteres de cualquier dirección de correo electrónico en el campo Para del mensaje.
- Pestaña Cc : muestra los primeros 5000 caracteres de cualquier dirección de correo electrónico en el campo Cc del mensaje.
Vista De datos adjuntos
La vista Datos adjuntos muestra información sobre todos los archivos adjuntos del mensaje y los resultados de examen de esos datos adjuntos.
La siguiente información de datos adjuntos está disponible en esta vista. Seleccione un encabezado de columna para ordenar por esa columna. Para agregar o quitar columnas, seleccione Personalizar columnas. De forma predeterminada, se seleccionan todas las columnas disponibles.
- Nombre de archivo adjunto: si hace clic en el valor del nombre de archivo
- Tipo de archivo
- Tamaño del archivo
- Extensión de archivo
- Amenaza
- Familia de malware
- Datos adjuntos SHA256: la acción Copiar en el Portapapeles está disponible para copiar el valor SHA256.
- Detalles
Use el cuadro Buscar para buscar información en la página. Escriba texto en el cuadro y, a continuación, presione la tecla ENTRAR.
Use Exportar para exportar los datos de la vista a un archivo CSV. El nombre de archivo predeterminado es : Microsoft Defender.csv y la ubicación predeterminada es la carpeta Descargas . Si ya existe un archivo con ese nombre, el nombre de archivo se anexa con un número (por ejemplo, - Microsoft Defender(1).csv).
Detalles de datos adjuntos
Si selecciona una entrada en la vista Datos adjuntos haciendo clic en el valor De archivo adjunto , se abre un control flotante de detalles que contiene la siguiente información:
Pestaña Análisis profundo : la información está disponible en esta pestaña si los datos adjuntos seguros examinan (detonan) los datos adjuntos. Puede identificar estos mensajes en el Explorador de amenazas mediante la tecnología de detección del filtro de consultas con el valor Detonación de archivos.
Sección de la cadena de detonación : la detonación de datos adjuntos seguros de un solo archivo puede desencadenar varias detonaciones. La cadena de detonación realiza un seguimiento de la ruta de las detonaciones, incluido el archivo malintencionado original que causó el veredicto, y todos los demás archivos afectados por la detonación. Es posible que estos archivos adjuntos no estén directamente presentes en el correo electrónico. Pero, incluir el análisis es importante para determinar por qué se encontró que el archivo era malintencionado.
Si no hay información de la cadena de detonación disponible, se muestra el valor No detonación tree . De lo contrario, puede seleccionar Exportar para descargar la información de la cadena de detonación en un archivo CSV. El nombre de archivo predeterminado es Detonación chain.csv y la ubicación predeterminada es la carpeta Descargas . Si ya existe un archivo con ese nombre, el nombre de archivo se anexa con un número (por ejemplo, Cadena de detonación(1).csv). El archivo CSV contiene la siguiente información:
- Superior: el archivo de nivel superior.
- Level1: el archivo de siguiente nivel.
- Nivel 2: el siguiente archivo de nivel.
- y así sucesivamente.
La cadena de detonación y el archivo CSV podrían mostrar solo el elemento de nivel superior si no se encontró que ninguna de las entidades vinculadas a él era problemática o se detonó.
Sección resumen : si no hay información de resumen de detonación disponible, se muestra el valor Sin resumen de detonación . De lo contrario, está disponible la siguiente información de resumen de detonación:
- Tiempo de análisis
- Veredicto: el veredicto sobre los datos adjuntos en sí.
- Más información: Tamaño del archivo en bytes.
- Indicadores de peligro
Sección Capturas de pantalla: muestra las capturas de pantalla que se capturaron durante la detonación. No se capturan capturas de pantalla para archivos contenedor como ZIP o RAR que contienen otros archivos.
Si no hay capturas de pantalla de detonación disponibles, se muestra el valor Sin capturas de pantalla para mostrar . De lo contrario, seleccione el vínculo para ver la captura de pantalla.
Sección de detalles del comportamiento : muestra los eventos exactos que tuvieron lugar durante la detonación y las observaciones problemáticas o benignas que contienen direcciones URL, direcciones IP, dominios y archivos que se encontraron durante la detonación. Es posible que no haya detalles de comportamiento para los archivos de contenedor, como ZIP o RAR, que contengan otros archivos.
Si no hay información de detalles de comportamiento disponible, se muestra el valor Sin comportamientos de detonación . De lo contrario, puede seleccionar Exportar para descargar la información de detalles del comportamiento en un archivo CSV. El nombre de archivo predeterminado es Comportamiento details.csv y la ubicación predeterminada es la carpeta Descargas . Si ya existe un archivo con ese nombre, el nombre de archivo se anexa con un número (por ejemplo, Detalles del comportamiento(1).csv). El archivo CSV contiene la siguiente información:
- Time
- Comportamiento
- Behavior (propiedad)
- Proceso (PID)
- Operación
- Target
- Detalles
- Resultado
Pestaña Información de archivo: la sección Detalles del archivo contiene la siguiente información:
- Nombre de archivo
- SHA256
- Tamaño de archivo (en bytes)
Cuando haya terminado en el control flotante de detalles del archivo, seleccione Cerrar.
Bloquear datos adjuntos de la vista Datos adjuntos
Si selecciona una entrada en la vista Datos adjuntos activando la casilla situada junto al nombre de archivo, la acción Bloquear estará disponible. Esta acción agrega el archivo como una entrada de bloque en la lista de permitidos o bloqueados de inquilinos. Al seleccionar Bloquear se inicia el Asistente para realizar acciones :
En la página Elegir acciones , configure una de las siguientes opciones en la sección Bloquear archivo :
- No expire nunca en: este es el valor predeterminado.
- Nunca expirar desactivado: deslice el botón de alternancia a desactivado y, a continuación, seleccione una fecha en el cuadro Quitar en .
Cuando haya terminado en la página Elegir acciones , seleccione Siguiente.
En la página Elegir entidades de destino , compruebe que el archivo que desea bloquear está seleccionado y, a continuación, seleccione Siguiente.
En la página Revisar y enviar , configure los siguientes valores:
- Nombre de corrección: escriba un nombre único para realizar un seguimiento del estado en el Centro de acciones.
- Descripción: escriba una descripción opcional.
Cuando haya terminado en la página Revisar y enviar , seleccione Enviar.
Vista url
La vista URL muestra información sobre todas las direcciones URL del mensaje y los resultados de examen de esas direcciones URL.
La siguiente información de datos adjuntos está disponible en esta vista. Seleccione un encabezado de columna para ordenar por esa columna. Para agregar o quitar columnas, seleccione Personalizar columnas. De forma predeterminada, se seleccionan todas las columnas disponibles.
- URL
- Amenaza
- Source
- Detalles
Use el cuadro Buscar para buscar información en la página. Escriba texto en el cuadro y, a continuación, presione la tecla ENTRAR.
Use Exportar para exportar los datos de la vista a un archivo CSV. El nombre de archivo predeterminado es : Microsoft Defender.csv y la ubicación predeterminada es la carpeta Descargas . Si ya existe un archivo con ese nombre, el nombre de archivo se anexa con un número (por ejemplo, - Microsoft Defender(1).csv).
Detalles de la dirección URL
Si selecciona una entrada en la vista URL haciendo clic en el valor de dirección URL , se abre un control flotante de detalles que contiene la siguiente información:
Pestaña Análisis profundo : la información está disponible en esta pestaña si vínculos seguros examinan (detonan) la dirección URL. Puede identificar estos mensajes en el Explorador de amenazas mediante la tecnología de detección de filtros de consulta con la detonación de url de valor.
Sección de la cadena de detonación : la detonación de vínculos seguros de una sola dirección URL puede desencadenar varias detonaciones. La cadena de detonación realiza un seguimiento de la ruta de las detonaciones, incluida la dirección URL malintencionada original que causó el veredicto y todas las demás direcciones URL afectadas por la detonación. Es posible que estas direcciones URL no estén directamente presentes en el correo electrónico. Sin embargo, incluir el análisis es importante para determinar por qué se encontró que la dirección URL era malintencionada.
Si no hay información de la cadena de detonación disponible, se muestra el valor No detonación tree . De lo contrario, puede seleccionar Exportar para descargar la información de la cadena de detonación en un archivo CSV. El nombre de archivo predeterminado es Detonación chain.csv y la ubicación predeterminada es la carpeta Descargas . Si ya existe un archivo con ese nombre, el nombre de archivo se anexa con un número (por ejemplo, Cadena de detonación(1).csv). El archivo CSV contiene la siguiente información:
- Superior: el archivo de nivel superior.
- Level1: el archivo de siguiente nivel.
- Nivel 2: el siguiente archivo de nivel.
- y así sucesivamente.
La cadena de detonación y el archivo CSV podrían mostrar solo el elemento de nivel superior si no se encontró que ninguna de las entidades vinculadas a él era problemática o se detonó.
Sección resumen : si no hay información de resumen de detonación disponible, se muestra el valor Sin resumen de detonación . De lo contrario, está disponible la siguiente información de resumen de detonación:
- Tiempo de análisis
- Veredicto: el veredicto en la propia dirección URL.
Sección Capturas de pantalla: muestra las capturas de pantalla que se capturaron durante la detonación. No se capturan capturas de pantalla si la dirección URL se abre en un vínculo que descarga directamente un archivo. Sin embargo, verá el archivo descargado en la cadena de detonación.
Si no hay capturas de pantalla de detonación disponibles, se muestra el valor Sin capturas de pantalla para mostrar . De lo contrario, seleccione el vínculo para ver la captura de pantalla.
Sección de detalles del comportamiento : muestra los eventos exactos que tuvieron lugar durante la detonación y las observaciones problemáticas o benignas que contienen direcciones URL, direcciones IP, dominios y archivos que se encontraron durante la detonación.
Si no hay información de detalles de comportamiento disponible, se muestra el valor Sin comportamientos de detonación . De lo contrario, puede seleccionar Exportar para descargar la información de detalles del comportamiento en un archivo CSV. El nombre de archivo predeterminado es Comportamiento details.csv y la ubicación predeterminada es la carpeta Descargas . Si ya existe un archivo con ese nombre, el nombre de archivo se anexa con un número (por ejemplo, Detalles del comportamiento(1).csv). El archivo CSV contiene la siguiente información:
- Time
- Comportamiento
- Behavior (propiedad)
- Proceso (PID)
- Operación
- Target
- Detalles
- Resultado
Pestaña Información de dirección URL : la sección Detalles de la dirección URL contiene la siguiente información:
- URL
- Amenaza
Cuando haya terminado en el control flotante de detalles del archivo, seleccione Cerrar.
Bloquear direcciones URL de la vista de direcciones URL
Si selecciona una entrada en la vista URL seleccionando la casilla situada junto al nombre de archivo, la acción Bloquear estará disponible. Esta acción agrega la dirección URL como una entrada de bloque en la lista de inquilinos permitidos o bloqueados. Al seleccionar Bloquear se inicia el Asistente para realizar acciones :
En la página Elegir acciones , configure una de las opciones siguientes en la sección Bloquear dirección URL :
- No expire nunca en: este es el valor predeterminado.
- Nunca expirar desactivado: deslice el botón de alternancia a desactivado y, a continuación, seleccione una fecha en el cuadro Quitar en .
Cuando haya terminado en la página Elegir acciones , seleccione Siguiente.
En la página Elegir entidades de destino , compruebe que la dirección URL que desea bloquear esté seleccionada y, a continuación, seleccione Siguiente.
En la página Revisar y enviar , configure los siguientes valores:
- Nombre de corrección: escriba un nombre único para realizar un seguimiento del estado en el Centro de acciones.
- Descripción: escriba una descripción opcional.
Cuando haya terminado en la página Revisar y enviar , seleccione Enviar.
Vista de correos electrónicos similares
La vista Correos electrónicos similares muestra otros mensajes de correo electrónico que tienen la misma huella digital del cuerpo del mensaje que este mensaje. Los criterios coincidentes en otros mensajes no se aplican a esta vista (por ejemplo, huellas digitales de datos adjuntos de archivos).
La siguiente información de datos adjuntos está disponible en esta vista. Seleccione un encabezado de columna para ordenar por esa columna. Para agregar o quitar columnas, seleccione Personalizar columnas. De forma predeterminada, se seleccionan todas las columnas disponibles.
- Date
- Asunto
- Destinatario
- Sender
- IP del remitente
- Override
- Acción de entrega
- Ubicación de entrega
Use Filtrar para filtrar las entradas por fecha de inicio y fecha de finalización.
Use el cuadro Buscar para buscar información en la página. Escriba texto en el cuadro y, a continuación, presione la tecla ENTRAR.
Use Exportar para exportar los datos de la vista a un archivo CSV. El nombre de archivo predeterminado es : Microsoft Defender.csv y la ubicación predeterminada es la carpeta Descargas . Si ya existe un archivo con ese nombre, el nombre de archivo se anexa con un número (por ejemplo, - Microsoft Defender(1).csv).
Acciones en la página de entidad Email
Las siguientes acciones están disponibles en la parte superior de la página de entidad Email:
- Realizar acción: para obtener información, vea Búsqueda de amenazas: Asistente para realizar acciones.
- Email versión preliminar¹ ²
-
Más opciones:
Ir al correo electrónico en cuarentena: solo está disponible si el mensaje se puso en cuarentena. Al seleccionar esta acción, se abre la pestaña Email de la página Cuarentena en https://security.microsoft.com/quarantine, filtrada por el valor de identificador de mensaje único del mensaje. Para obtener más información, consulte Visualización del correo electrónico en cuarentena.
Descargar correo electrónico¹ ²
Sugerencia
El correo electrónico de descarga no está disponible para los mensajes que se pusieron en cuarentena. En su lugar, descargue una copia protegida con contraseña del mensaje de la cuarentena.
¹ Las acciones Email vista previa y Descargar correo electrónico requieren el rol Vista previa. Puede asignar este rol en las siguientes ubicaciones:
- Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell: operaciones de seguridad/Datos sin procesar (colaboración & correo electrónico)/Email & contenido de colaboración (lectura).
- Email & permisos de colaboración en el portal de Microsoft Defender: pertenencia a los grupos de roles Investigador de datos o Administrador de exhibición de documentos electrónicos. O bien, puede crear un nuevo grupo de roles con el rol De vista previa asignado y agregar los usuarios al grupo de roles personalizado.
² Puede obtener una vista previa o descargar mensajes de correo electrónico que están disponibles en buzones de Microsoft 365. Algunos ejemplos de cuándo los mensajes ya no están disponibles en los buzones son:
- El mensaje se quitó antes de que se produjese un error de entrega o entrega.
- El mensaje se eliminó de forma rígida.
- El mensaje tiene una ubicación de entrega local o externa.
- ZAP ha movido el mensaje a cuarentena.
El panel de resumen de Email
El panel de resumen de Email es el control flotante de detalles de correo electrónico que está disponible en muchas características de Exchange Online Protection (EOP) y Defender para Office 365. El panel de resumen de Email contiene información de resumen estandarizada sobre el mensaje de correo electrónico tomado de los detalles completos que están disponibles en la página de entidad Email de Defender para Office 365.
Dónde encontrar el panel de resumen de Email se describe en la sección Where to find the Email entity page (Dónde encontrar la entidad Email) anteriormente en este artículo. En el resto de esta sección se describe la información disponible en el panel de resumen Email de todas las características.
Sugerencia
El panel de resumen de Email está disponible en la página Centro de acciones de https://security.microsoft.com/action-center/ las pestañas Pendiente o Historial. Seleccione una acción con el valor De tipo de entidadEmail haciendo clic en cualquier lugar de la fila que no sea la casilla o el valor id. de investigación. El control flotante de detalles que se abre es el panel de resumen Email, pero la entidad Abrir correo electrónico no está disponible en la parte superior del control flotante.
La siguiente información del mensaje está disponible en la parte superior del panel de resumen de Email:
- El título del control flotante es el valor subject del mensaje.
- Número de datos adjuntos y vínculos en el mensaje (no presentes en todas las características).
- Todas las etiquetas de usuario asignadas a los destinatarios del mensaje (incluida la etiqueta de cuenta Prioridad). Para obtener más información, consulte Etiquetas de usuario en Microsoft Defender para Office 365
- Las acciones que están disponibles en la parte superior del control flotante dependen de dónde haya abierto el panel de resumen de Email. Las acciones disponibles se describen en los artículos de características individuales.
Sugerencia
Para ver detalles sobre otros mensajes sin salir del panel de resumen de Email del mensaje actual, use el elemento Anterior y el elemento Siguiente en la parte superior del control flotante.
Las secciones siguientes están disponibles en el panel de resumen de Email para todas las características (no importa desde dónde se haya abierto el panel de resumen de Email):
Sección de detalles de entrega :
- Amenazas originales
- Amenazas más recientes
- Ubicación original
- Ubicación de entrega más reciente
- Acción de entrega
- Tecnologías de detección
- Invalidación principal: origen
Email sección de detalles:
- Nombre para mostrar del remitente
- Dirección del remitente
- Correo electrónico del remitente desde la dirección
- Enviado en nombre de
- Ruta de acceso de devolución
- IP del remitente
- Ubicación
- Destinatarios
- Hora de recepción
- Directionality
- Identificador de mensaje de red
- Identificador de mensaje de Internet
- Identificador de campaña
- DMARC
- DKIM
- SPF
- Autenticación compuesta
Sección direcciones URL : detalles sobre las direcciones URL del mensaje:
- URL
- Estado de la amenaza
Si el mensaje tiene más de tres direcciones URL, seleccione Ver todas las direcciones URL para ver todas ellas.
Sección De datos adjuntos : Detalles sobre los datos adjuntos de archivos en el mensaje:
- Nombre de datos adjuntos
- Amenaza
- Tecnología de detección/ Familia de malware
Si el mensaje tiene más de tres datos adjuntos, seleccione Ver todos los datos adjuntos para verlos todos.