Use la página Envíos para enviar sospechas de correo no deseado, correo no deseado, direcciones URL, bloqueo de correo electrónico legítimo y datos adjuntos de correo electrónico a Microsoft
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
Para obtener más información sobre cómo Microsoft almacena y controla los envíos, consulte este artículo.
En las organizaciones de Microsoft 365 con buzones de Exchange Online, los administradores pueden usar la página Envíos del portal de Microsoft Defender para enviar mensajes, direcciones URL y datos adjuntos a Microsoft para su análisis. Hay dos tipos básicos de envíos de administradores:
envíos originados por Administración: los administradores identifican e informan de mensajes, datos adjuntos o direcciones URL (entidades) seleccionando Enviar a Microsoft para su análisis en las pestañas de la página Envíos, tal como se describe en la sección envíos originados por Administración.
Una vez que el administrador notifica la entidad, aparece una entrada en la pestaña correspondiente de la página Envíos (en cualquier lugar excepto en la pestaña Usuario notificado ).
Administración envío de mensajes notificados por el usuario: la experiencia de informes de usuario integrada está activada y configurada. Los mensajes notificados por el usuario aparecen en la pestaña Usuario notificado de la página Envíos y los administradores envían o vuelven a enviar los mensajes a Microsoft desde la pestaña Usuario notificado .
Una vez que un administrador envía el mensaje desde la pestaña Usuario notificado , también se crea una entrada en la pestaña correspondiente de la página Envíos (por ejemplo, la pestaña Correos electrónicos ). Estos tipos de envíos de administradores se describen en la sección Administración opciones para los mensajes notificados por el usuario.
Cuando los administradores o usuarios envían mensajes a Microsoft para su análisis, realizamos las siguientes comprobaciones:
- Email comprobación de autenticación (solo mensajes de correo electrónico): si la autenticación de correo electrónico se pasó o produjo un error cuando se entregó.
- Visitas a directivas: información sobre las directivas o invalidaciones que podrían haber permitido o bloqueado el correo electrónico entrante en la organización, reemplazando así nuestros veredictos de filtrado.
- Reputación o detonación de carga: examen actualizado de las direcciones URL y los datos adjuntos del mensaje.
- Análisis de calificador: revisión realizada por calificadores humanos para confirmar si los mensajes son malintencionados o no.
Importante
En las organizaciones gubernamentales de Ee. UU. (Microsoft 365 GCC, GCC High y DoD), los administradores pueden enviar mensajes de correo electrónico a Microsoft para su análisis, pero los mensajes se analizan solo para la autenticación de correo electrónico y las visitas de directiva. La reputación de la carga útil, la detonación y el análisis de calificador no se realizan por motivos de cumplimiento (los datos no pueden salir del límite de la organización).
Vea este breve vídeo para aprender a usar envíos de administrador en Microsoft Defender para Office 365 para enviar mensajes a Microsoft para su evaluación.
Para obtener más información sobre cómo los usuarios pueden enviar mensajes y archivos a Microsoft, vea Notificar mensajes y archivos a Microsoft.
Para obtener otras formas en que los administradores pueden notificar mensajes a Microsoft en el portal de Defender, consulte Configuración de informes relacionada para administradores.
¿Qué necesita saber antes de empezar?
Abra el portal de Microsoft Defender en https://security.microsoft.com/. Para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:
- Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell: operaciones de seguridad,datos de seguridad/respuesta (administrar) o operaciones de seguridad/Datos de seguridad/Conceptos básicos de datos de seguridad (lectura).
- Email & permisos de colaboración en el portal de Microsoft Defender: pertenencia a los grupos de roles Administrador de seguridad o Lector de seguridad.
- Microsoft Entra permisos: la pertenencia a los roles Administrador de seguridad o Lector de seguridad proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.
Los administradores pueden enviar mensajes de correo electrónico con una antigüedad de hasta 30 días si siguen estando disponibles en el buzón y el usuario o un administrador no los han purgado.
Administración envíos se limitan a las siguientes tarifas:
- Número máximo de envíos en un período de 15 minutos: 150 envíos
- Los mismos envíos en un período de 24 horas: tres envíos
- Los mismos envíos en un período de 15 minutos: un envío
Si la configuración notificada por el usuario de la organización envía mensajes notificados por el usuario (correo electrónico y Microsoft Teams) a Microsoft (exclusivamente o además del buzón de informes), hacemos las mismas comprobaciones que cuando los administradores envían mensajes a Microsoft para su análisis desde la página Envíos . Por lo tanto, enviar o volver a enviar mensajes a Microsoft es útil para los administradores solo para los mensajes que nunca se han enviado a Microsoft, o cuando no está de acuerdo con el veredicto original.
Una pestaña Archivos solo está disponible en la página Envíos en organizaciones con Microsoft Defender XDR o Microsoft Defender para punto de conexión Plan 2. Para obtener información e instrucciones para enviar archivos desde la pestaña Archivos, consulte Envío de archivos en Microsoft Defender para punto de conexión.
envíos originados por Administración
Sugerencia
La pestaña en la que seleccione Enviar a Microsoft para su análisis no importa especialmente, siempre y cuando establezca Seleccionar el tipo de envío en el valor correcto.
Notificar correo electrónico cuestionable a Microsoft
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Acciones & envíos envíos>. O bien, para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos , compruebe que la pestaña Correos electrónicos está seleccionada.
En la pestaña Correos electrónicos , seleccione Enviar a Microsoft para su análisis.
En la primera página del control flotante Enviar a Microsoft para análisis que se abre, escriba la siguiente información:
Seleccione el tipo de envío: compruebe que el valor Email está seleccionado.
Agregue el identificador de mensaje de red o cargue el archivo de correo electrónico: seleccione una de las siguientes opciones:
- Agregar el identificador de mensaje de red de correo electrónico: el valor GUID está disponible en el encabezado X-MS-Exchange-Organization-Network-Message-Id o en el encabezado X-MS-Office365-Filtering-Correlation-Id en los mensajes.
- Cargar el archivo de correo electrónico (.msg o .eml): seleccione Examinar archivos. En el cuadro de diálogo que se abre, busque y seleccione el archivo .eml o .msg y, a continuación, seleccione Abrir.
Elija al menos un destinatario que tenga un problema: especifique los destinatarios con los que ejecutar una comprobación de directiva. La comprobación de directiva determina si el correo electrónico omitió el examen debido a directivas de usuario u organización o invalidación.
¿Por qué envía este mensaje a Microsoft?: Seleccione uno de los valores siguientes:
- Parece sospechoso: seleccione este valor solo cuando no lo sepa o no esté seguro del veredicto del mensaje y le gustaría obtener un veredicto de Microsoft. Seleccione Enviar y, a continuación, vaya al paso 6.
Otra posibilidad:
He confirmado que es una amenaza: en todos los demás casos, seleccione este valor después de que ya haya determinado el veredicto del mensaje como malintencionado. Seleccione uno de los siguientes valores en la sección Elegir una categoría que aparece:
- Suplantación de identidad
- Malware
- Correo no deseado
Seleccione Siguiente.
En la segunda página del control flotante Enviar a Microsoft para análisis que se abre, realice uno de los pasos siguientes:
- Seleccione Enviar.
Otra posibilidad:
Seleccione Bloquear todos los correos electrónicos de este remitente o dominio: esta opción crea una entrada de bloque para el dominio o la dirección de correo electrónico del remitente en la lista De inquilinos permitidos o bloqueados. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
Después de seleccionar esta opción, están disponibles las siguientes opciones:
- De forma predeterminada, sender está seleccionado, pero puede seleccionar Dominio en su lugar.
-
Quitar entrada de bloque después: El valor predeterminado es 30 días, pero puede seleccionar entre los siguientes valores:
- 1 día
- 7 días
- 30 días
- Nunca expirar
- Fecha específica: el valor máximo es de 30 días a partir de hoy.
- Nota de entrada de bloque (opcional): escriba información opcional sobre por qué está bloqueando este elemento.
Cuando haya terminado en la segunda página del control flotante Enviar a Microsoft para análisis , seleccione Enviar.
Seleccione Listo.
Transcurridos unos instantes, la entrada de bloque está disponible en la pestaña Dominios & direcciones de la página Permitir o bloquear Listas inquilino en https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.
Notificar datos adjuntos de correo electrónico cuestionables a Microsoft
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Acciones & envíos envíos>. O bien, para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos, seleccione la pestaña Email datos adjuntos.
En la pestaña Email datos adjuntos, seleccione Enviar a Microsoft para su análisis.
En la primera página del control flotante Enviar a Microsoft para análisis que se abre, escriba la siguiente información:
Seleccione el tipo de envío: compruebe que el valor Email datos adjuntos está seleccionado.
Archivo: seleccione Examinar archivos para buscar y seleccione el archivo que se va a enviar.
¿Por qué envía estos datos adjuntos de correo electrónico a Microsoft?: Seleccione uno de los siguientes valores:
- Parece sospechoso: seleccione este valor si no está seguro y quiere un veredicto de Microsoft, seleccione Enviar y, a continuación, vaya al paso 6.
Otra posibilidad:
En la segunda página del control flotante Enviar a Microsoft para análisis que se abre, realice uno de los pasos siguientes:
- Seleccione Enviar.
Otra posibilidad:
Seleccione Bloquear este archivo: esta opción crea una entrada de bloque para el archivo en la lista de inquilinos permitidos o bloqueados. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
Después de seleccionar esta opción, están disponibles las siguientes opciones:
-
Quitar entrada de bloque después: El valor predeterminado es 30 días, pero puede seleccionar entre los siguientes valores:
- 1 día
- 7 días
- 30 días
- Nunca expirar
- Fecha específica: el valor máximo es de 30 días a partir de hoy.
- Nota de entrada de bloque (opcional): escriba información opcional sobre por qué está bloqueando este elemento.
Cuando haya terminado en el control flotante Enviar a Microsoft para análisis , seleccione Enviar.
-
Quitar entrada de bloque después: El valor predeterminado es 30 días, pero puede seleccionar entre los siguientes valores:
Seleccione Listo.
Transcurridos unos instantes, la entrada de bloque está disponible en la pestaña Archivos de la página Permitir o bloquear Listas inquilino en https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.
Notificar direcciones URL cuestionables a Microsoft
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Acciones & envíos envíos>. O bien, para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos , seleccione la pestaña Direcciones URL .
En la pestaña Direcciones URL , seleccione Enviar a Microsoft para su análisis.
En el control flotante Enviar a Microsoft para análisis que se abre, escriba la siguiente información:
Seleccione el tipo de envío: compruebe que la dirección URL del valor está seleccionada.
DIRECCIÓN URL: escriba la dirección URL completa (por ejemplo, ) y selecciónela
https://www.fabrikam.com/marketing.html
en el cuadro que aparece. Puede escribir hasta 50 direcciones URL a la vez.¿Por qué envía esta dirección URL a Microsoft?: Seleccione uno de los siguientes valores:
- Parece sospechoso: seleccione este valor si no está seguro y quiere un veredicto de Microsoft, seleccione Enviar y, a continuación, vaya al paso 6.
Otra posibilidad:
En la segunda página del control flotante Enviar a Microsoft para análisis que se abre, realice uno de los pasos siguientes:
- Seleccione Enviar.
Otra posibilidad:
Seleccione Bloquear esta dirección URL: esta opción crea una entrada de bloque para la dirección URL en la Lista de permitidos o bloqueados de inquilinos. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
Después de seleccionar esta opción, están disponibles las siguientes opciones:
-
Quitar entrada de bloque después: El valor predeterminado es 30 días, pero puede seleccionar entre los siguientes valores:
- 1 día
- 7 días
- 30 días
- Nunca expirar
- Fecha específica: el valor máximo es de 30 días a partir de hoy.
- Nota de entrada de bloque (opcional): escriba información opcional sobre por qué está bloqueando este itme.
Cuando haya terminado en el control flotante Enviar a Microsoft para análisis , seleccione Enviar.
-
Quitar entrada de bloque después: El valor predeterminado es 30 días, pero puede seleccionar entre los siguientes valores:
Seleccione Listo.
Transcurridos unos instantes, la entrada de bloque está disponible en la pestaña URL de la página Permitir o bloquear Listas inquilino en https://security.microsoft.com/tenantAllowBlockList?viewid=Url.
Informar de un buen correo electrónico a Microsoft
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Acciones & envíos envíos>. O bien, para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos , compruebe que la pestaña Correos electrónicos está seleccionada.
En la pestaña Correos electrónicos , seleccione Enviar a Microsoft para su análisis.
En la primera página del control flotante Enviar a Microsoft para análisis que se abre, escriba la siguiente información:
Seleccione el tipo de envío: compruebe que el valor Email está seleccionado.
Agregue el identificador de mensaje de red o cargue el archivo de correo electrónico: seleccione una de las siguientes opciones:
- Agregar el identificador de mensaje de red de correo electrónico: el valor GUID está disponible en el encabezado X-MS-Exchange-Organization-Network-Message-Id en el mensaje o en el encabezado X-MS-Office365-Filtering-Correlation-Id en los mensajes en cuarentena.
- Cargar el archivo de correo electrónico (.msg o .eml): seleccione Examinar archivos. En el cuadro de diálogo que se abre, busque y seleccione el archivo .eml o .msg y, a continuación, seleccione Abrir.
Elija al menos un destinatario que tenga un problema: especifique los destinatarios con los que ejecutar una comprobación de directiva. La comprobación de directiva determina si el correo electrónico se bloqueó debido a directivas de usuario u organización o invalidaciones.
¿Por qué envía este mensaje a Microsoft?: Seleccione uno de los valores siguientes:
- Aparece limpio: seleccione este valor solo cuando no lo sepa o no esté seguro del veredicto del mensaje y le gustaría obtener un veredicto de Microsoft. Seleccione Enviar y, a continuación, vaya al paso 6.
Otra posibilidad:
- He confirmado que está limpio: en todos los demás casos, seleccione este valor después de que ya haya determinado el veredicto del mensaje como limpio. Seleccione Siguiente.
En la segunda página del control flotante Enviar a Microsoft para análisis que se abre, realice uno de los pasos siguientes:
- Seleccione Enviar.
Otra posibilidad:
Seleccione Permitir este mensaje: esta opción crea una entrada de permiso para los elementos del mensaje en la lista De inquilinos permitidos o bloqueados. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
Después de seleccionar esta opción, están disponibles las siguientes opciones:
Quitar permitir entrada después: El valor predeterminado es 45 días después de la última fecha de uso, pero puede seleccionar entre los valores siguientes:
- 1 día
- 7 días
- 30 días
- Fecha específica: el valor máximo es de 30 días a partir de hoy.
En el caso de los remitentes suplantados, este valor no tiene sentido, ya que las entradas de los remitentes suplantados nunca expiran.
Cuando se seleccionan 45 días después de la última fecha de uso , la última fecha de uso de la entrada allow se actualiza cuando se encuentra el mensaje de correo electrónico malintencionado durante el flujo de correo. La entrada allow se mantiene durante 45 días después de que el sistema de filtrado determine que el mensaje de correo electrónico está limpio. Para todos los demás valores, la entrada allow se exipre en la fecha definida (1 día, 7 días, 30 días o la fecha específica).
Permitir nota de entrada (opcional): escriba información opcional sobre por qué está permitiendo este elemento. En el caso de los remitentes suplantados, cualquier valor que escriba aquí no se muestra en la entrada allow de la pestaña Remitentes suplantados de la página Permitir o bloquear Listas de inquilinos.
Cuando haya terminado en la segunda página del control flotante Enviar a Microsoft para análisis , seleccione Enviar.
Seleccione Listo.
Transcurridos unos instantes, las entradas permitidas asociadas aparecen en las pestañas Dominios & direcciones, Remitentes suplantados, Direcciones URL o Archivos en la página Permitir o bloquear inquilinos Listas en https://security.microsoft.com/tenantAllowBlockList.
Importante
- Las entradas permitidas se agregan durante el flujo de correo en función de los filtros que determinaron que el mensaje era malintencionado. Por ejemplo, si se ha determinado que la dirección de correo electrónico del remitente y una dirección URL del mensaje son incorrectas, se crea una entrada de permiso para el remitente (dirección de correo electrónico o dominio) y la dirección URL.
- Si nuestro sistema de filtrado no detecta que la dirección de correo electrónico del remitente es malintencionada, el envío del mensaje de correo electrónico a Microsoft no creará una entrada permitida en la lista de permitidos o bloqueados de inquilinos.
- Cuando se vuelve a encontrar un dominio o una dirección de correo electrónico permitidos, un remitente suplantado, una dirección URL o un archivo (entidad), se omiten todos los filtros asociados a la entidad. Para los mensajes de correo electrónico, el sistema de filtrado sigue evaluando todas las demás entidades antes de tomar una decisión.
- Durante el flujo de correo, si los mensajes del dominio o la dirección de correo electrónico permitidos pasan otras comprobaciones en la pila de filtrado, se entregan los mensajes. Por ejemplo, si un mensaje pasa comprobaciones de autenticación por correo electrónico, se entrega un mensaje de una dirección de correo electrónico de remitente permitida.
- De forma predeterminada, las entradas permitidas para dominios y direcciones de correo electrónico se mantienen durante 45 días después de que el sistema de filtrado determine que la entidad está limpia y, a continuación, se quita la entrada allow. Para todos los demás valores, como 1 día, 7 días, 30 días, fecha específica, la entrada permitida expira en la fecha definida. De forma predeterminada, las entradas permitidas para remitentes suplantados nunca expiran.
- En el caso de los mensajes bloqueados incorrectamente por la protección de suplantación de dominio o usuario, la entrada de permiso para el dominio o el remitente no se crea en la lista de permitidos o bloqueados de inquilinos. En su lugar, el dominio o el remitente se agrega a la sección Remitentes y dominios de confianza de la directiva anti-phishing que detectó el mensaje.
- Al invalidar el veredicto en la información de inteligencia de suplantación de identidad, el remitente suplantado se convierte en una entrada de bloqueo o permiso manual que solo aparece en los remitentes suplantados en la página Permitir o bloquear Listas inquilino en https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.
Notificar datos adjuntos de correo electrónico correctos a Microsoft
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Acciones & envíos envíos>. O bien, para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos, seleccione la pestaña Email datos adjuntos.
En la pestaña Email datos adjuntos, seleccione Enviar a Microsoft para su análisis.
En el control flotante Enviar a Microsoft para análisis que se abre, escriba la siguiente información:
Seleccione el tipo de envío: compruebe que el valor Email datos adjuntos está seleccionado.
Archivo: seleccione Examinar archivos para buscar y seleccione el archivo que se va a enviar.
¿Por qué envía el mensaje a Microsoft?: Seleccione uno de los valores siguientes:
- Aparece limpio: seleccione este valor si no está seguro y quiere un veredicto de Microsoft, seleccione Enviar y, a continuación, vaya al paso 6.
Otra posibilidad:
- He confirmado que está limpio: seleccione este valor si está seguro de que el elemento está limpio y, a continuación, seleccione Siguiente.
En la segunda página del control flotante Enviar a Microsoft para análisis que se abre, realice uno de los pasos siguientes:
- Seleccione Enviar.
Otra posibilidad:
Seleccione Permitir este archivo: esta opción crea una entrada de permiso para el archivo en la lista de permitidos o bloqueados de inquilinos. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
Después de seleccionar esta opción, están disponibles las siguientes opciones:
Quitar permitir entrada después: El valor predeterminado es 45 días después de la última fecha de uso, pero puede seleccionar entre los valores siguientes:
- 1 día
- 7 días
- 30 días
- Fecha específica: el valor máximo es de 30 días a partir de hoy.
Cuando se seleccionan 45 días después de la última fecha de uso , la última fecha de uso de la entrada allow se actualiza cuando se encuentran los datos adjuntos de correo electrónico malintencionados durante el flujo de correo. La entrada permitida se mantiene durante 45 días después de que el sistema de filtrado determine que los datos adjuntos del correo electrónico están limpios. Para todos los demás valores, como 1 día, 7 días, 30 días, fecha específica, la entrada permitida expira en la fecha definida.
Permitir nota de entrada (opcional): escriba información opcional sobre por qué está permitiendo este elemento.
Cuando haya terminado en la segunda página del control flotante Enviar a Microsoft para análisis , seleccione Enviar.
Seleccione Listo.
Transcurridos unos instantes, la entrada allow está disponible en la pestaña Archivos de la página Lista de inquilinos permitidos o bloqueados . Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
Importante
- De forma predeterminada, las entradas permitidas para los archivos se mantienen durante 45 días después de que el sistema de filtrado determine que la entidad está limpia y, a continuación, se quita la entrada allow. Para todos los demás valores, como 1 día, 7 días, 30 días, fecha específica, la entrada permitida expira en la fecha definida.
- Cuando se vuelve a encontrar el archivo durante el flujo de correo, se invalidan las comprobaciones de reputación de archivos o de detonación de datos seguros y todos los demás filtros basados en archivos. Si el sistema de filtrado determina que todas las demás entidades del mensaje de correo electrónico están limpias, el mensaje se entrega.
- Durante la selección, se invalidan todos los filtros basados en archivos, incluida la detonación de datos adjuntos seguros o las comprobaciones de reputación de archivos, lo que permite al usuario acceder al archivo.
Notificar direcciones URL correctas a Microsoft
En el caso de las direcciones URL notificadas como falsos positivos, se permiten mensajes posteriores que contienen variaciones de la dirección URL original. Por ejemplo, usa la página Envíos para informar de que la dirección URL www.contoso.com/abc
está bloqueada incorrectamente. Si su organización recibe más adelante un mensaje que contiene la dirección URL (por ejemplo, pero sin limitarse a: www.contoso.com/abc
, www.contoso.com/abc?id=1
, www.contoso.com/abc/def/gty/uyt?id=5
o www.contoso.com/abc/whatever
), el mensaje no se bloqueará en función de la dirección URL. En otras palabras, no es necesario notificar a Microsoft varias variaciones de la misma dirección URL que las correctas.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Acciones & envíos envíos>. O bien, para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos , seleccione la pestaña Direcciones URL .
En la pestaña Direcciones URL , seleccione Enviar a Microsoft para su análisis.
En el control flotante Enviar a Microsoft para análisis que se abre, escriba la siguiente información:
Seleccione el tipo de envío: compruebe que la dirección URL del valor está seleccionada.
DIRECCIÓN URL: escriba la dirección URL completa (por ejemplo, ) y selecciónela
https://www.fabrikam.com/marketing.html
en el cuadro que aparece. También puede proporcionar un dominio de nivel superior (por ejemplo, ) y, a continuación,https://www.fabrikam.com/*
seleccionarlo en el cuadro que aparece. Puede escribir hasta 50 direcciones URL a la vez.¿Por qué envía esta dirección URL a Microsoft?: Seleccione uno de los siguientes valores:
- Aparece limpio: seleccione este valor si no está seguro y quiere un veredicto de Microsoft, seleccione Enviar y, a continuación, vaya al paso 6.
Otra posibilidad:
En la segunda página del control flotante Enviar a Microsoft para análisis que se abre, realice uno de los pasos siguientes:
- Seleccione Enviar.
Otra posibilidad:
Seleccione Permitir esta dirección URL: esta opción crea una entrada allow para la dirección URL en la lista de permitidos o bloqueados de inquilinos. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
Después de seleccionar esta opción, están disponibles las siguientes opciones:
Quitar permitir entrada después: El valor predeterminado es 45 días después de la última fecha de uso, pero puede seleccionar entre los valores siguientes:
- 1 día
- 7 días
- 30 días
- Fecha específica: el valor máximo es de 30 días a partir de hoy.
Cuando se seleccionan 45 días después de la última fecha de uso , la última fecha de uso de la entrada allow se actualiza cuando se encuentra la dirección URL malintencionada durante el flujo de correo. La entrada permitida se mantiene durante 45 días después de que el sistema de filtrado determine que la dirección URL está limpia. Para todos los demás valores, como 1 día, 7 días, 30 días, fecha específica, la entrada permitida expira en la fecha definida.
Permitir nota de entrada (opcional): escriba información opcional sobre por qué está permitiendo este elemento.
Cuando haya terminado en la segunda página del control flotante Enviar a Microsoft para análisis , seleccione Enviar.
Seleccione Listo.
Transcurridos unos instantes, la entrada allow está disponible en la pestaña URL de la página Permitir o bloquear Listas inquilino en https://security.microsoft.com/tenantAllowBlockList?viewid=Url.
Nota:
- De forma predeterminada, las entradas permitidas para las direcciones URL se conservan durante 45 días después de que el sistema de filtrado determine que la entidad está limpia y, a continuación, se quita la entrada allow. Para todos los demás valores, como 1 día, 7 días, 30 días, fecha específica, la entrada permitida expira en la fecha definida.
- Cuando se vuelve a encontrar la dirección URL durante el flujo de correo, se invalidan las comprobaciones de reputación de url o de detonación de vínculos seguros y todos los demás filtros basados en direcciones URL. Si el sistema de filtrado determina que todas las demás entidades del mensaje de correo electrónico están limpias, el mensaje se entrega.
- Durante la selección, se invalidan todos los filtros basados en direcciones URL, como la detonación de vínculos seguros o las comprobaciones de reputación de direcciones URL, lo que permite al usuario acceder al contenido en la dirección URL.
Notificar mensajes de Teams a Microsoft en Defender para Office 365 plan 2
Sugerencia
El envío de mensajes de Teams a Microsoft está actualmente en versión preliminar, no está disponible en todas las organizaciones y está sujeto a cambios.
En las organizaciones de Microsoft 365 que tienen Microsoft Defender para Office 365 plan 2 (licencias de complementos o incluidas en suscripciones como Microsoft 365 E5), no puede enviar mensajes de Teams desde la pestaña Mensajes de Teams en la página Envíos. La única manera de enviar un mensaje de Teams a Microsoft para su análisis es enviar un mensaje de Teams notificado por el usuario desde la pestaña Usuario notificado , como se describe en la sección Enviar mensajes notificados por el usuario a Microsoft para su análisis más adelante en este artículo.
Las entradas de la pestaña Mensajes de Teams son el resultado del envío de mensajes de Teams notificados por el usuario a Microsoft. Para obtener más información, consulte la sección Ver envíos de administradores convertidos más adelante en este artículo.
Visualización de envíos de administradores de correo electrónico a Microsoft
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Acciones & envíos envíos>. O bien, para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos , compruebe que la pestaña Correos electrónicos está seleccionada.
En la pestaña Correos electrónicos , puede filtrar rápidamente la vista seleccionando uno de los filtros rápidos disponibles:
- Pending
- Completed
Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (*):
- Nombre del envío*
- Remitente*
- Destinatario
- Enviado por*
- Fecha de envío*
- Motivo para enviar*
- Estado*
- Resultado*
- Motivo de entrega/bloqueo
- Identificador de envío
- Identificador de mensaje de red
- Dirección
- IP del remitente
- Nivel de cumplimiento masivo (BCL)
- Destino
- Acción de directiva
- Simulación de phish
- Etiquetas*: para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
- Action
Para agrupar las entradas, seleccione Grupo y, a continuación, seleccione uno de los siguientes valores:
- Motivo
- Estado
- Resultado
- Tags
Para desagrupar las entradas, seleccione Ninguno.
Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtro que se abre:
- Fecha enviada: valores de fecha de inicio y fecha de finalización .
- Id. de envío: un valor GUID que se asigna a cada envío.
- Identificador de mensaje de red
- Sender
- Destinatario
- Nombre del envío
- Enviado por
-
Motivo para enviar: cualquiera de los valores siguientes:
- No basura
- Aparece limpio
- Parece sospechoso
- Suplantación de identidad
- Malware
- Correo no deseado.
- Estado: pendiente y completado.
- Etiquetas: todas o seleccione etiquetas de usuario en la lista desplegable.
Cuando haya terminado en el control flotante Filtro , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.
Use Exportar para exportar la lista de entradas a un archivo CSV.
Ver los detalles del envío del administrador de correo electrónico
Si selecciona una entrada en la pestaña Correos electrónicos de la página Envíos haciendo clic en cualquier parte de la fila que no sea la casilla situada junto a la primera columna, se abrirá un control flotante de detalles.
En la parte superior del control flotante de detalles, está disponible la siguiente información de mensaje:
- El título del control flotante es el valor subject del mensaje.
- Todas las etiquetas de usuario asignadas a los destinatarios del mensaje (incluida la etiqueta de cuenta Prioridad). Para obtener más información, consulte Etiquetas de usuario en Microsoft Defender para Office 365
- En Defender para Office 365, las acciones que están disponibles en la parte superior del control flotante se describen en la sección Acciones para envíos de administradores en Defender para Office 365.
Sugerencia
Para ver detalles sobre otros envíos sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.
Las secciones siguientes del control flotante de detalles están relacionadas con los envíos de mensajes de correo electrónico:
Sección de detalles del resultado :
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
- No se debería haber bloqueado
- Permitido debido a invalidaciones de usuario
- Permitido debido a una regla
-
Pasos recomendados para envíos de correo electrónico: contiene vínculos a acciones relacionadas. Por ejemplo:
- Ver reglas de flujo de correo de Exchange (reglas de transporte)
- Ver este mensaje en el Explorador (Explorador de amenazas o Detecciones en tiempo real solo en Defender para Office 365)
- Buscar mensajes similares en el Explorador (Explorador de amenazas o Detecciones en tiempo real solo en Defender para Office 365)
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
Sección de detalles del envío :
- Fecha de envío
- Nombre del envío
- Tipo de envío: el valor es Email.
- Motivo para enviar
- Identificador de envío
- Enviado por
- Estado del envío
Sección Permitir detalles : solo está disponible para envíos de correo electrónico en los que el valor De resultado es Permitido debido a invalidaciones de usuario o Permitido a una regla: contiene los valores Nombre (dirección de correo electrónico) y Tipo (Remitente).
El resto del control flotante de detalles contiene las secciones Detalles de entrega, detalles Email, direcciones URL y Datos adjuntos que forman parte del panel de resumen de Email. Para obtener más información, vea El panel de resumen de Email.
Cuando haya terminado en el control flotante de detalles, seleccione Cerrar.
Ver envíos de administradores de Teams a Microsoft en Defender para Office 365 plan 2
Sugerencia
El envío de mensajes de Teams a Microsoft está actualmente en versión preliminar, no está disponible en todas las organizaciones y está sujeto a cambios.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a la página Envíos en Acciones & envíos>. Para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos , seleccione la pestaña Mensajes de Teams .
Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (*):
- Nombre del envío*
- Remitente*
- Fecha de envío*
- Motivo para enviar*
- Enviado por
- Estado*
- Resultado*
- Destinatario
- Identificador de envío
- Identificador de mensaje de Teams
- Destino
- Simulación de phish
- Etiquetas*: para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
Para agrupar las entradas, seleccione Grupo y, a continuación, seleccione uno de los siguientes valores:
- Motivo
- Estado
- Resultado
- Tags
Para desagrupar las entradas, seleccione Ninguno.
Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtro que se abre:
- Fecha de envío: fecha de inicio y fecha de finalización.
- Id. de envío: un valor GUID que se asigna a cada envío.
- Identificador de mensaje de Teams
- Sender
- Destinatario
- Mensaje de Teams
- Enviado por
-
Motivo para enviar: cualquiera de los valores siguientes:
- No basura
- Aparece limpio
- Parece sospechoso
- Suplantación de identidad
- Malware
- Estado: pendiente y completado.
- Etiquetas: todas o seleccione etiquetas de usuario en la lista desplegable.
Cuando haya terminado en el control flotante Filtro , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.
Use Exportar para exportar la lista de entradas a un archivo CSV.
Ver los detalles del envío del administrador de Teams
Si selecciona una entrada en la pestaña Mensajes de Teams de la página Envíos haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abrirá un control flotante de detalles.
En la parte superior del control flotante de detalles, está disponible la siguiente información de mensaje:
- El título del control flotante es el asunto o los primeros 100 caracteres del mensaje de Teams.
- Veredicto del mensaje actual.
- Número de vínculos en el mensaje.
- Ver alerta. Una alerta se desencadena cuando se crea o actualiza un envío de administrador. La selección de esta acción le lleva a los detalles de la alerta.
Sugerencia
Para ver detalles sobre otros envíos sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.
Las secciones siguientes del control flotante de detalles están relacionadas con los envíos de Teams:
Sección de resultados de envío :
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
- Debería haberse bloqueado
- No hemos recibido el envío, por favor solucione el problema y vuelva a enviar
-
Pasos recomendados para envíos de correo electrónico: contiene vínculos a acciones relacionadas. Por ejemplo:
- Ver reglas de flujo de correo de Exchange (reglas de transporte)
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
Sección de detalles del envío :
- Fecha de envío
- Nombre del envío
- Tipo de envío: el valor es Teams
- Motivo para enviar
- Identificador de envío
- Enviado por
- Estado del envío
El resto del control flotante de detalles contiene las secciones Detalles del mensaje, Remitente, Participantes, Detalles del canal y Direcciones URL que forman parte del panel de entidades de mensaje de Teams. Para obtener más información, vea El panel de entidades mMessage de Teams en Microsoft Defender para Office 365 plan 2.
Cuando haya terminado en el control flotante de detalles, seleccione Cerrar.
Visualización de envíos de administrador de datos adjuntos de correo electrónico a Microsoft
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a la página Envíos en Acciones & envíos>. Para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos, seleccione la pestaña Email datos adjuntos.
En la pestaña Email datos adjuntos, puede filtrar rápidamente la vista seleccionando uno de los filtros rápidos disponibles:
- Pending
- Completed
Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (*):
- Nombre de archivo de datos adjuntos*
- Fecha de envío*
- Motivo para enviar*
- Estado*
- Resultado*
- Veredicto de filtro
- Motivo de entrega/bloqueo
- Identificador de envío
- ID. de objeto
- Acción de directiva
- Enviado por
- Etiquetas*: para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
- Action
Para agrupar las entradas, seleccione Grupo y, a continuación, seleccione uno de los siguientes valores:
- Motivo
- Estado
- Resultado
- Tags
Para desagrupar las entradas, seleccione Ninguno.
Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtro que se abre:
- Fecha de envío: fecha de inicio y fecha de finalización.
- Id. de envío: un valor GUID que se asigna a cada envío.
- Nombres de archivos adjuntos
- Enviado por
-
Motivo para enviar: cualquiera de los valores siguientes:
- No basura
- Aparece limpio
- Parece sospechoso
- Suplantación de identidad
- Malware
- Estado: pendiente y completado.
- Etiquetas: todas o seleccione etiquetas de usuario en la lista desplegable.
Cuando haya terminado en el control flotante Filtro , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.
Use Exportar para exportar la lista de entradas a un archivo CSV.
Ver los detalles del envío del administrador de datos adjuntos de correo electrónico
Si selecciona una entrada en la pestaña Email datos adjuntos de la página Envíos haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abrirá un control flotante de detalles.
En la parte superior del control flotante de detalles, está disponible la siguiente información de mensaje:
- El título del control flotante es el nombre de archivo de los datos adjuntos.
- Los valores Status y Result del envío.
- Ver alerta. En Defender para Office 365, se desencadena una alerta cuando se crea o actualiza un envío de administrador. La selección de esta acción le lleva a los detalles de la alerta.
Sugerencia
Para ver detalles sobre otros envíos sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.
Las secciones siguientes del control flotante de detalles están relacionadas con los envíos de datos adjuntos de correo electrónico:
Sección de detalles del resultado :
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
- Debería haberse bloqueado
- No se debería haber bloqueado
-
Pasos recomendados para envíos de correo electrónico: contiene vínculos a acciones relacionadas. Por ejemplo:
- Bloquear dirección URL/archivo en lista de permitidos o bloqueados de inquilinos
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
Sección de detalles del envío :
- Fecha de envío
- Nombre del envío
- Tipo de envío: el valor es Archivo.
- Motivo para enviar
- Identificador de envío
- Enviado por
- Estado del envío
Cuando haya terminado en el control flotante de detalles, seleccione Cerrar.
Visualización de envíos de administradores de direcciones URL a Microsoft
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a la página Envíos en Acciones & envíos>. Para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos , seleccione la pestaña Direcciones URL .
En la pestaña Direcciones URL , puede filtrar rápidamente la vista seleccionando uno de los filtros rápidos disponibles:
- Pending
- Completed
Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (*):
- URL*
- Fecha de envío*
- Motivo para enviar*
- Estado*
- Resultado*
- Veredicto de filtro
- Motivo de entrega/bloqueo
- Identificador de envío
- ID. de objeto
- Acción de directiva
- Enviado por
- Etiquetas*: para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
- Action
Para agrupar las entradas, seleccione Grupo y, a continuación, seleccione uno de los siguientes valores:
- Motivo
- Estado
- Resultado
- Tags
Para desagrupar las entradas, seleccione Ninguno.
Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtro que se abre:
- Fecha de envío: fecha de inicio y fecha de finalización.
- Id. de envío: un valor GUID que se asigna a cada envío.
- URL
- Enviado por
-
Motivo para enviar: cualquiera de los valores siguientes:
- No basura
- Aparece limpio
- Parece sospechoso
- Suplantación de identidad
- Malware
- Estado: pendiente y completado.
- Etiquetas: todas o seleccione etiquetas de usuario en la lista desplegable.
Cuando haya terminado en el control flotante Filtro , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.
Use Exportar para exportar la lista de entradas a un archivo CSV.
Ver los detalles del envío del administrador de direcciones URL
Si selecciona una entrada en la pestaña Direcciones URL de la página Envíos haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abrirá un control flotante de detalles.
En la parte superior del control flotante de detalles, está disponible la siguiente información de mensaje:
- El título del control flotante es el dominio de la dirección URL.
- Los valores Status y Result del envío.
- Ver alerta. En Defender para Office 365, se desencadena una alerta cuando se crea o actualiza un envío de administrador. La selección de esta acción le lleva a los detalles de la alerta.
Sugerencia
Para ver detalles sobre otros envíos sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.
Las secciones restantes del control flotante de detalles están relacionadas con los envíos de direcciones URL:
Sección de detalles del resultado :
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
- Debería haberse bloqueado
- No se debería haber bloqueado
-
Pasos recomendados para envíos de correo electrónico: contiene vínculos a acciones relacionadas. Por ejemplo:
- Bloquear dirección URL/archivo en lista de permitidos o bloqueados de inquilinos
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
Sección de detalles del envío :
- Fecha de envío
- URL
- Tipo de envío: el valor es URL.
- Motivo para enviar
- Identificador de envío
- Enviado por
- Estado del envío
Permite detalles o secciones de detalles de bloque : solo está disponible para envíos de direcciones URL en los que se bloqueó o permitió la dirección URL: contiene los valores Nombre (dominio URL) y Tipo (URL).
Cuando haya terminado en el control flotante de detalles, seleccione Cerrar.
Resultados de Microsoft
Los resultados del análisis del elemento notificado se muestran en el control flotante de detalles que se abre al seleccionar una entrada en la pestaña Correos electrónicos, mensajes de Teams, Email datos adjuntos o direcciones URL de la página Envíos:
- Si hubo un error en la autenticación de correo electrónico del remitente en el momento de la entrega.
- Información sobre las directivas o invalidaciones que podrían haber afectado o invalidado el veredicto del mensaje del sistema de filtrado.
- Resultados de la detonación actuales para ver si las direcciones URL o los archivos del mensaje eran malintencionados o no.
- Comentarios de los calificadores.
Si se encontró una invalidación o configuración de directiva, el resultado debería estar disponible en varios minutos. Si no se produjo un problema en la autenticación o entrega de correo electrónico no se ha visto afectado por una invalidación o directiva, la detonación y los comentarios de los calificadores podrían tardar hasta un día.
Acciones para envíos de administradores en Defender para Office 365
En organizaciones con Microsoft Defender para Office 365 (licencias de complemento o incluidas en suscripciones como Microsoft 365 E5 o Microsoft 365 Empresa Premium), las siguientes acciones están disponibles para los envíos de administradores en el control flotante de detalles que se abre después de seleccionar una entrada de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla:
Abrir entidad de correo electrónico: disponible en el control flotante de detalles de las entradas solo en la pestaña Correos electrónicos . Para obtener más información, vea What's on the Email entity page (Qué hay en la página de entidad de Email).
Realizar acciones: disponible en el control flotante de detalles de las entradas solo en la pestaña Correos electrónicos . Esta acción inicia el mismo Asistente para acciones que está disponible en la página de entidad Email. Para obtener más información, vea Acciones en la página de entidad Email.
Ver alerta. Una alerta se desencadena cuando se crea o actualiza un envío de administrador. La selección de esta acción le lleva a los detalles de la alerta.
En la sección Detalles del resultado , es posible que también estén disponibles los siguientes vínculos para el Explorador de amenazas , en función del estado y el resultado del elemento notificado:
- Vea este mensaje en la pestaña Explorador: Solo correos electrónicos .
- Busque mensajes similares en la pestaña Explorador: Solo correos electrónicos .
- Buscar dirección URL o archivo: solo Email pestañas de direcciones URL o datos adjuntos.
Administración opciones para los mensajes notificados por el usuario
En el caso de los mensajes de correo electrónico, los administradores pueden ver qué usuarios están informando en la pestaña Usuario notificado de la página Envíos si se cumplen las siguientes instrucciones:
- La configuración notificada por el usuario está activada.
- Email mensajes: usa métodos admitidos para que los usuarios notifiquen mensajes:
- Mensajes de Teams: la configuración de informes de usuarios para los mensajes de Teams está activada.
Notas:
- Los mensajes notificados por el usuario que se envían solo a Microsoft o a Microsoft y el buzón de informes aparecen en la pestaña Usuario notificado .
- Los mensajes notificados por el usuario que se envían solo al buzón de informes aparecen en la pestaña Usuario notificado con el valor Resultadono enviado a Microsoft. Los administradores deben informar de estos mensajes a Microsoft para su análisis.
En organizaciones con Microsoft Defender para Office 365 plan 2 (licencias de complementos o incluidas en suscripciones como Microsoft 365 E5), los administradores también pueden ver los mensajes notificados por el usuario en Microsoft Teams en Defender para Office 365 Plan 2 (actualmente en versión preliminar).
En organizaciones con Defender para Office 365 plan 2 (complemento Para mensajes notificados por el usuario en Microsoft Teams en Defender para Office 365 plan 2 (actualmente en versión preliminar)
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Acciones & envíos envíos>. O bien, para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
En la página Envíos , seleccione la pestaña Usuario notificado .
En las subsecciones siguientes se describen la información y las acciones que están disponibles en la pestaña Usuario notificado de la página Envíos .
Visualización de mensajes notificados por el usuario a Microsoft
En la pestaña Usuario notificado , puede filtrar rápidamente la vista seleccionando uno de los filtros rápidos disponibles:
- Amenazas
- Correo no deseado
- Sin amenazas
- Simulaciones
Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (*):
- Nombre y tipo*
- Notificado por*
- Fecha notificada*
- Remitente*
- Motivo notificado*
-
Resultado*: contiene la siguiente información para los mensajes notificados en función de la configuración notificada por el usuario:
-
Enviar los mensajes notificados a>Microsoft y mi buzón de informes o solo Microsoft: valores derivados del análisis siguiente:
- Visitas a directivas: información sobre las directivas o invalidaciones que puedan haber permitido o bloqueado los mensajes entrantes, incluidas las invalidaciones de nuestros veredictos de filtrado. El resultado debe estar disponible en unos minutos. De lo contrario, la detonación y los comentarios de los calificadores podrían tardar hasta un día.
- Reputación o detonación de carga: examen actualizado de las direcciones URL y archivos del mensaje.
- Análisis de calificador: revisión realizada por calificadores humanos con el fin de confirmar si los mensajes son malintencionados o no.
- Enviar los mensajes notificados a>Solo mi buzón de informes: el valor siempre es No enviado a Microsoft, porque Microsoft no analizó los mensajes.
-
Enviar los mensajes notificados a>Microsoft y mi buzón de informes o solo Microsoft: valores derivados del análisis siguiente:
- Id. notificado de mensaje
- Identificador de mensaje de red
- Identificador de mensaje de Teams
- IP del remitente
- Notificado desde
- Simulación de phish
- Convertido al envío de administrador
- Marcado como*
- Marcado por*
- Fecha marcada
- Etiquetas*: para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario.
Para agrupar las entradas, seleccione Grupo y, a continuación, seleccione uno de los siguientes valores:
- Sender
- Informe realizado por
- Resultado
- Notificado desde
- Convertido al envío de administrador
- Tags
Para desagrupar las entradas, seleccione Ninguno.
Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtro que se abre:
- Fecha notificada: fecha de inicio y fecha de finalización.
- Informe realizado por
- Nombre
- Id. notificado de mensaje
- Identificador de mensaje de red
- Identificador de mensaje de Teams
- Sender
- Motivo notificado: los valores Sin amenazas, Phish y Spam.
- Notificado desde: los valores Microsoft y Terceros.
- Simulación de phish: los valores Sí y No.
- Convertido al envío del administrador: los valores Sí y No.
-
Tipo de mensaje: los valores disponibles son:
- Correo electrónico
- Mensaje de Teams (solo Defender para Office 365 plan 2; actualmente en versión preliminar).
- Etiquetas: todas o seleccione una o varias etiquetas de usuario (incluida la cuenta de prioridad) asignadas a los usuarios. Para obtener más información sobre las etiquetas de usuario, consulte Etiquetas de usuario en Microsoft Defender para Office 365.
Cuando haya terminado en el control flotante Filtro , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.
Use Exportar para exportar la lista de entradas a un archivo CSV.
Para obtener más información sobre las acciones que están disponibles para los mensajes en la pestaña Usuario notificado , consulte la siguiente subsección.
Ver los detalles del mensaje de correo electrónico notificado por el usuario
Si selecciona una entrada relacionada con el correo electrónico en la pestaña Usuario notificado de la página Envíos haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna, se abrirá un control flotante de detalles.
En la parte superior del control flotante de detalles, está disponible la siguiente información de mensaje:
- El título del control flotante es el valor subject del mensaje.
- Todas las etiquetas de usuario asignadas a los destinatarios del mensaje (incluida la etiqueta de cuenta Prioridad). Para obtener más información, consulte Etiquetas de usuario en Microsoft Defender para Office 365
- Las acciones que están disponibles en la parte superior del control flotante se describen en la sección acciones Administración para los mensajes notificados por el usuario.
Sugerencia
Para ver detalles sobre otros envíos sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.
Las secciones siguientes del control flotante de detalles están relacionadas con los envíos notificados por el usuario:
Sección de detalles del resultado :
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
- No se debería haber bloqueado
- Permitido debido a invalidaciones de usuario
- Permitido debido a una regla
-
Pasos recomendados para envíos de correo electrónico: contiene vínculos a acciones relacionadas. Por ejemplo:
- Ver reglas de flujo de correo de Exchange (reglas de transporte)
- Ver este mensaje en el Explorador (Explorador de amenazas o Detecciones en tiempo real solo en Defender para Office 365)
- Buscar mensajes similares en el Explorador (Explorador de amenazas o Detecciones en tiempo real solo en Defender para Office 365)
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
Sección de detalles del mensaje notificado :
- Fecha de envío
- Nombre del envío
- Motivo notificado.
- Id. notificado de mensaje
- Informe realizado por
- Simulación de phish: el valor es Sí o No.
- Convertido al envío del administrador: el valor es Sí o No. Para obtener más información, vea Ver envíos de administradores convertidos.
El resto del control flotante de detalles contiene las secciones Detalles de entrega, detalles Email, direcciones URL y Datos adjuntos que forman parte del panel de resumen de Email. Para obtener más información, vea El panel de resumen de Email.
Sugerencia
Si el valor De resultado es Simulación de phish, el control flotante de detalles solo puede contener la siguiente información:
- Sección de detalles del resultado
- Sección de detalles del mensaje notificado
-
Email sección de detalles con los valores siguientes:
- Identificador de mensaje de red
- Sender
- Fecha de envío
Cuando haya terminado en el control flotante de detalles, seleccione Cerrar.
Ver los detalles del mensaje de Teams notificado por el usuario en Defender para Office 365 plan 2
Sugerencia
Los informes de usuarios de mensajes en Microsoft Teams están actualmente en versión preliminar, no están disponibles en todas las organizaciones y están sujetos a cambios.
En las organizaciones de Microsoft 365 que tienen Microsoft Defender para Office 365 plan 2 (licencias de complementos o incluidas en suscripciones como Microsoft 365 E5), los mensajes de Teams notificados por el usuario están disponibles en la pestaña Usuario notificado de la página Envíos. Es fácil encontrarlos si filtra los resultados por el mensaje de Teams de valor de tipo de mensaje.
Si selecciona una entrada de mensaje de Teams en la pestaña Usuario notificado haciendo clic en cualquier parte de la fila que no sea la casilla situada junto a la primera columna, se abrirá un control flotante de detalles.
En la parte superior del control flotante de detalles, está disponible la siguiente información de mensaje:
- El título del control flotante es el asunto o los primeros 100 caracteres del mensaje de Teams.
- Veredicto del mensaje actual.
- Número de vínculos en el mensaje.
- Las acciones disponibles se describen en la sección acciones Administración para mensajes notificados por el usuario.
Sugerencia
Para ver detalles sobre otros envíos sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.
Las secciones siguientes del control flotante de detalles están relacionadas con los envíos de Teams notificados por el usuario:
Sección de resultados de envío :
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
- No se debería haber bloqueado
- No enviado a Microsoft
-
Pasos recomendados para envíos de correo electrónico: contiene vínculos a acciones relacionadas. Por ejemplo:
- Ver reglas de flujo de correo de Exchange (reglas de transporte)
-
Resultado: contiene el valor de Resultado para el envío. Por ejemplo:
Sección de detalles del mensaje notificado :
- Fecha notificada
- Nombre del envío
- Motivo notificado.
- Id. notificado de mensaje
- Informe realizado por
- Simulación de phish: el valor es Sí o No.
- Convertido al envío del administrador: el valor es Sí o No. Para obtener más información, vea Ver envíos de administradores convertidos.
El resto del control flotante de detalles contiene las secciones Detalles del mensaje, Remitente, Participantes, Detalles del canal y Direcciones URL que forman parte del panel de entidades de mensaje de Teams. Para obtener más información, vea El panel de entidades mMessage de Teams en Microsoft Defender para Office 365 plan 2.
Sugerencia
Si el valor De resultado es Simulación de phish, el control flotante de detalles solo puede contener la siguiente información:
- Sección de detalles del resultado
- Sección de detalles del mensaje notificado
-
Email sección de detalles con los valores siguientes:
- Identificador de mensaje de red
- Sender
- Fecha de envío
Cuando haya terminado en el control flotante de detalles, seleccione Cerrar.
Administración acciones para los mensajes notificados por el usuario
En la pestaña Usuario notificado , las acciones de los mensajes notificados por el usuario están disponibles en la propia pestaña o en el control flotante de detalles de una entrada seleccionada:
Seleccione el mensaje de la lista seleccionando la casilla situada junto a la primera columna. Las siguientes acciones están disponibles en la pestaña Usuario notificado :
- Enviar a Microsoft para su análisis
- Marcar como y notificar
- Investigación del desencadenador (solo Defender para Office 365 plan 2)
Seleccione el mensaje de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla. Las siguientes acciones están disponibles en el control flotante de detalles que se abre*:
- Enviar a Microsoft para su análisis
- Marcar como y notificar
- Visualización del envío del administrador convertido
-
Acciones solo en Microsoft Defender para Office 365:
- Abrir entidad de correo electrónico
- Realizar acciones
- Ver alerta
Acciones para mensajes notificados por el usuario en Defender para Office
Sugerencia
Para ver los detalles o realizar acciones en otros mensajes notificados por el usuario sin salir del control flotante de detalles, use el elemento Anterior y el elemento Siguiente en la parte superior del control flotante.
* En función de la naturaleza y el estado del mensaje, es posible que algunas acciones no estén disponibles, que estén disponibles directamente en la parte superior del control flotante o que estén disponibles en Más acciones en la parte superior del control flotante.
Estas acciones se describen en las siguientes subsecciones.
Nota:
Después de que un usuario informe de un mensaje sospechoso, el usuario o los administradores no pueden deshacer los informes del mensaje, independientemente de dónde vaya el mensaje notificado (al buzón de informes, a Microsoft o a ambos). El usuario puede recuperar el mensaje notificado de sus carpetas Elementos eliminados o Correo no deseado Email.
Envío de mensajes notificados por el usuario a Microsoft para su análisis
Después de seleccionar el mensaje en la pestaña Usuario notificado , use cualquiera de los métodos siguientes para enviar el mensaje a Microsoft:
En la pestaña Usuario notificado: seleccione Enviar a Microsoft para su análisis.
En el control flotante de detalles del mensaje seleccionado: seleccione Enviar a Microsoft para su análisis o Más opciones>Enviar a Microsoft para su análisis en la parte superior del control flotante.
En el control flotante Enviar a Microsoft para análisis que se abre, realice los pasos siguientes en función de si el mensaje es un mensaje de correo electrónico o un mensaje de Teams:
Email mensajes:
-
¿Por qué envía este mensaje a Microsoft?: Seleccione uno de los valores siguientes:
Aparece limpio o parece sospechoso: seleccione uno de estos valores si no está seguro y quiere un veredicto de Microsoft.
Seleccione Enviar y, a continuación, haga clic en Listo.
He confirmado que está limpio: seleccione este valor si está seguro de que el elemento está limpio y, a continuación, seleccione Siguiente.
En la página siguiente del control flotante, realice uno de los pasos siguientes:
- Seleccione Enviar y, a continuación, haga clic en Listo.
Otra posibilidad:
- Seleccione Permitir este mensaje: esta opción crea una entrada de permiso para los elementos del mensaje en la lista De inquilinos permitidos o bloqueados. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
Después de seleccionar esta opción, están disponibles las siguientes opciones:
-
Quitar permitir entrada después: El valor predeterminado es 45 días después de la última fecha de uso, pero puede seleccionar entre los valores siguientes:
- 1 día
- 7 días
- 30 días
- Fecha específica: el valor máximo es de 30 días a partir de hoy.
Cuando se seleccionan 45 días después de la última fecha de uso , la última fecha de uso de la entrada allow se actualiza cuando se encuentra el mensaje de correo electrónico malintencionado durante el flujo de correo. La entrada allow se mantiene durante 45 días después de que el sistema de filtrado determine que el mensaje de correo electrónico está limpio. Para todos los demás valores, como 1 día, 7 días, 30 días, fecha específica, la entrada permitida expira en la fecha definida.
- Permitir nota de entrada (opcional): escriba información opcional sobre por qué está permitiendo este elemento. En el caso de los remitentes suplantados, cualquier valor que escriba aquí no se muestra en la entrada allow de la pestaña Remitentes suplantados de la página Permitir o bloquear Listas de inquilinos.
Cuando haya terminado en el control flotante, seleccione Enviar y, a continuación, seleccione Listo.
He confirmado que es una amenaza: seleccione este valor si está seguro de que el elemento es malintencionado y, a continuación, seleccione uno de los siguientes valores en la sección Elegir una categoría que aparece:
- Suplantación de identidad
- Malware
- Correo no deseado
Seleccione Siguiente.
En la página siguiente del control flotante, realice uno de los pasos siguientes:
- Seleccione Enviar y, a continuación, haga clic en Listo.
Otra posibilidad:
- Seleccione Bloquear todos los correos electrónicos de este remitente o dominio: esta opción crea una entrada de bloque para el dominio o la dirección de correo electrónico del remitente en la lista De inquilinos permitidos o bloqueados. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
Después de seleccionar esta opción, están disponibles las siguientes opciones:
- De forma predeterminada, sender está seleccionado, pero puede seleccionar Dominio en su lugar.
-
Quitar entrada de bloque después: El valor predeterminado es 30 días, pero puede seleccionar entre los siguientes valores:
- 1 día
- 7 días
- 30 días
- Nunca expirar
- Fecha específica: el valor máximo es de 30 días a partir de hoy.
- Nota de entrada de bloque (opcional): escriba información opcional sobre por qué está bloqueando este elemento.
Cuando haya terminado en el control flotante, seleccione Enviar y, a continuación, seleccione Listo.
-
¿Por qué envía este mensaje a Microsoft?: Seleccione uno de los valores siguientes:
Mensajes de Teams: seleccione uno de los valores siguientes:
- He confirmado su limpieza
- Parece limpio
- Parece sospechoso.
Después de seleccionar uno de estos valores, seleccione Enviar y, a continuación, seleccione Listo.
He confirmado que es una amenaza: seleccione este valor si está seguro de que el elemento es malintencionado y, a continuación, seleccione uno de los siguientes valores en la sección Elegir una categoría que aparece:
Suplantación de identidad
Malware
Seleccione Enviar y, a continuación, haga clic en Listo.
Después de enviar un mensaje notificado por el usuario a Microsoft desde la pestaña Usuario notificado , el valor de Envío convertido a administrador pasa de No a Sí y se crea una entrada de envío de administrador correspondiente en la pestaña correspondiente de la página Envíos (por ejemplo, la pestaña Correos electrónicos ).
Desencadenar una investigación en Defender para Office 365 plan 2
- En la pestaña User reported (Usuario notificado), seleccione Trigger investigation (Desencadenar investigación) en la lista desplegable en Submit to Microsoft for analysis (Enviar a Microsoft para su análisis).
Para obtener más información, vea Desencadenar una investigación.
Notificar a los usuarios sobre los mensajes enviados por el administrador a Microsoft
Después de que un administrador envíe un mensaje notificado por el usuario a Microsoft desde la pestaña Usuario notificado, los administradores pueden usar la acción Marcar como y notificar para marcar el mensaje con un veredicto y enviar un mensaje de notificación con plantilla al usuario que ha notificado el mensaje.
Veredictos disponibles para mensajes de correo electrónico:
- No se encontraron amenazas
- Suplantación de identidad (phishing)
- Correo no deseado
Veredictos disponibles para los mensajes de Teams:
- No se encontraron amenazas
- Suplantación de identidad (phishing)
Para obtener más información, consulte Notificación a los usuarios desde el portal.
Visualización de envíos de administradores convertidos
Después de que un administrador envíe un mensaje notificado por el usuario a Microsoft desde la pestaña Usuario notificado , el valor de Envío convertido a administrador es Sí.
Si selecciona uno de estos mensajes haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre, el control flotante de detalles contiene Más acciones>Ver el envío del administrador convertido.
Esta acción le lleva a la entrada de envío del administrador correspondiente en la pestaña adecuada (por ejemplo, la pestaña Correos electrónicos ).
Acciones para los mensajes notificados por el usuario en Defender para Office 365
En organizaciones con Microsoft Defender para Office 365 (licencias de complemento o incluidas en suscripciones como Microsoft 365 E5 o Microsoft 365 Empresa Premium), las siguientes acciones también podrían estar disponibles en el control flotante de detalles de un mensaje notificado por el usuario en el usuario. pestaña notificada:
Abrir entidad de correo electrónico (solo mensajes de correo electrónico): para obtener más información, vea What's on the Email entity page (Qué hay en la página de entidad de Email).
Realizar acciones (solo mensajes de correo electrónico): esta acción inicia el mismo Asistente para acciones que está disponible en la página de entidad Email. Para obtener más información, vea Acciones en la página de entidad Email.
Ver alerta. Una alerta se desencadena cuando se crea o actualiza un envío de administrador. La selección de esta acción le lleva a los detalles de la alerta.