Activar Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
En las organizaciones con Microsoft Defender para Office 365, Los datos adjuntos seguros para Office 365 para SharePoint, OneDrive y Microsoft Teams protegen a su organización de compartir involuntariamente archivos malintencionados. Para obtener más información, vea Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams.
Activa o desactiva datos adjuntos seguros para Office 365 para SharePoint, OneDrive y Microsoft Teams en el portal de Microsoft Defender o en Exchange Online PowerShell.
¿Qué necesita saber antes de empezar?
Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Datos adjuntos seguros , use https://security.microsoft.com/safeattachmentv2.
Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.
Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:
Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell:
- Active Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams: Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (administrar).
Email & permisos de colaboración en el portal de Microsoft Defender:
- Active Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad .
Microsoft Entra permisos: la pertenencia a los roles siguientes proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.
- Active Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams: administrador* global o administrador de seguridad.
- Use PowerShell de SharePoint Online para evitar que las personas descarguen archivos malintencionados: administrador* global o administrador de SharePoint.
Importante
* Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Compruebe que el registro de auditoría está habilitado para su organización (está activado de forma predeterminada). Para obtener instrucciones, consulte Activar o desactivar la auditoría.
Espere hasta 30 minutos para que la configuración surta efecto.
Paso 1: Usar el portal de Microsoft Defender para activar datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglas>Directivas de amenazas>Datos adjuntos seguros en la sección Directivas. O bien, para ir directamente a la página Datos adjuntos seguros , use https://security.microsoft.com/safeattachmentv2.
En la página Datos adjuntos seguros , seleccione Configuración global.
En el control flotante Configuración global que se abre, vaya a la sección Proteger archivos en SharePoint, OneDrive y Microsoft Teams .
Mueva el botón Activar Defender para Office 365 para SharePoint, OneDrive y Microsoft Teams a la derecha para activar Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams.
Cuando haya terminado en el control flotante Configuración global , seleccione Guardar.
Use Exchange Online PowerShell para activar datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams
Si prefiere usar PowerShell para activar datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams, conéctese a Exchange Online PowerShell y ejecute el siguiente comando:
Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true
Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-AtpPolicyForO365.
Paso 2: (Recomendado) Usar PowerShell de SharePoint Online para evitar que los usuarios descarguen archivos malintencionados
De forma predeterminada, los usuarios no pueden abrir, mover, copiar ni compartir* archivos malintencionados detectados por datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams. Sin embargo, pueden eliminar y descargar archivos malintencionados.
* Si los usuarios van a Administrar acceso, la opción Compartir sigue estando disponible.
Para evitar que los usuarios descarguen archivos malintencionados, conéctese a PowerShell de SharePoint Online y ejecute el siguiente comando:
Set-SPOTenant -DisallowInfectedFileDownload $true
Notas:
- Esta configuración afecta tanto a los usuarios como a los administradores.
- Personas puede eliminar archivos malintencionados.
Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-SPOTenant.
Paso 3 (recomendado) Uso del portal de Microsoft Defender para crear una directiva de alertas para los archivos detectados
Puede crear una directiva de alertas que notifique a los administradores cuando datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams detecten un archivo malintencionado. Para más información sobre las directivas de alerta, consulte Directivas de alerta en el portal de Microsoft Defender.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglas>Directiva de alertas. Para ir directamente a la página de Directiva de alertas, use https://security.microsoft.com/alertpolicies.
En la página Directiva de alertas, seleccione Nueva directiva de alerta para iniciar el asistente para la nueva directiva de alertas.
En la página Nombre de la alerta, clasifique y elija una página de gravedad , configure los siguientes valores:
- Nombre: escriba un nombre único y descriptivo. Por ejemplo, Archivos malintencionados en bibliotecas.
- Descripción: escriba una descripción opcional. Por ejemplo, notifica a los administradores cuando se detectan archivos malintencionados en SharePoint Online, OneDrive o Microsoft Teams.
- Gravedad: seleccione Baja, Media o Alta en la lista desplegable.
- Categoría: seleccione Administración de amenazas en la lista desplegable.
Cuando haya terminado en el nombre de la alerta, clasifique y elija una página de gravedad , seleccione Siguiente.
En la página Elegir una actividad, condiciones y cuándo desencadenar la alerta , configure los siguientes valores:
- ¿En qué quiere alertar? sección >Actividad es> la sección >Actividades comunes del usuario Seleccione Malware detectado en el archivo en la lista desplegable.
- ¿Cómo desea que se desencadene la alerta? sección: seleccione Cada vez que una actividad coincida con la regla.
Cuando haya terminado en la página Elegir una actividad, condiciones y cuándo desencadenar la alerta , seleccione Siguiente.
En la página Decidir si desea notificar a los usuarios cuando se desencadene esta alerta , configure los siguientes valores:
- Compruebe que está seleccionada la opción Opt-in for email notifications (Participar para notificaciones por correo electrónico ). En el cuadro destinatarios de Email, seleccione uno o varios administradores que deben recibir una notificación cuando se detecte un archivo malintencionado.
- Límite de notificación diario: deje seleccionado el valor predeterminado Sin límite .
Cuando haya terminado en la página Decidir si desea notificar a los usuarios cuando se desencadene esta alerta , seleccione Siguiente.
En la página Revisar la configuración , revise la configuración. Puede seleccionar Editar en cada sección para modificar la configuración dentro de la sección. O bien, puede seleccionar Atrás o la página específica en el asistente.
En la sección ¿Desea activar la directiva inmediatamente? , seleccione Sí, actíela inmediatamente.
Cuando haya terminado n la página Revisar la configuración , seleccione Enviar.
En esta página, puede revisar la directiva de alertas en modo de solo lectura.
Cuando haya terminado, seleccione Listo.
De nuevo en la página Directiva de alerta , se muestra la nueva directiva.
Uso de PowerShell de cumplimiento de seguridad & para crear una directiva de alertas para los archivos detectados
Si prefiere usar PowerShell para crear la misma directiva de alertas que se describe en la sección anterior, conéctese a PowerShell de cumplimiento de seguridad & y ejecute el siguiente comando:
New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"
Nota: El valor de gravedad predeterminado es Bajo. Para especificar Medium o High, incluya el parámetro Severity y el valor en el comando.
Para obtener información detallada sobre la sintaxis y los parámetros, vea New-ActivityAlert.
¿Cómo saber si estos procedimientos han funcionado?
Para comprobar que ha activado correctamente datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams, siga estos pasos:
En el portal de Microsoft Defender, vaya a Directivas & reglas>Directivas> de amenazas sección >Datos adjuntos seguros, seleccione Configuración global y compruebe el valor de la opción Activar Defender para Office 365 para SharePoint, OneDrive y Microsoft Teams.
En Exchange Online PowerShell, ejecute el siguiente comando para comprobar la configuración de la propiedad:
Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-AtpPolicyForO365.
Para comprobar que ha bloqueado correctamente la descarga de archivos malintencionados, abra PowerShell de SharePoint Online y ejecute el siguiente comando para comprobar el valor de la propiedad:
Get-SPOTenant | Format-List DisallowInfectedFileDownload
Para obtener información detallada sobre la sintaxis y los parámetros, vea Get-SPOTenant.
Para comprobar que ha configurado correctamente una directiva de alertas para los archivos detectados, use cualquiera de los métodos siguientes:
En el portal de Microsoft Defender en https://security.microsoft.com/alertpolicies, seleccione la directiva de alertas y compruebe la configuración.
En Security & Compliance PowerShell, reemplace <AlertPolicyName> por el nombre de la directiva de alerta, ejecute el siguiente comando y compruebe los valores de propiedad:
Get-ActivityAlert -Identity "<AlertPolicyName>"
Para obtener información detallada sobre la sintaxis y los parámetros, vea Get-ActivityAlert.
Use el informe de estado de protección contra amenazas para ver información sobre los archivos detectados en SharePoint, OneDrive y Microsoft Teams. En concreto, puede usar la vista Ver datos mediante: Malware de contenido>.