Compartir a través de

Corregir el correo electrónico malintencionado entregado en Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

La corrección significa tomar una acción prescrita contra una amenaza. El sistema puede limpiar el correo electrónico malintencionado enviado a su organización mediante la purga automática de cero horas (ZAP) o los equipos de seguridad a través de acciones de corrección, como pasar a la bandeja de entrada, pasar a correo no deseado, pasar a elementos eliminados, eliminar temporalmente o eliminar de forma rígida. Microsoft Defender para Office 365 Plan 2/E5 permite a los equipos de seguridad corregir las amenazas en la funcionalidad de correo electrónico y colaboración a través de una investigación manual y automatizada.

Lo que necesita saber antes de empezar

  • Existen límites de limitación para correcciones a gran escala que ayudan a garantizar la estabilidad y el rendimiento del servicio:

    • Límites de la organización: el número máximo de correcciones de correo electrónico activas y simultáneas es de 50. Una vez alcanzado el límite, no se desencadenan nuevas correcciones hasta que se completan algunas acciones.
    • Email límites de mensajes: si una corrección activa implica más de un millón de mensajes de correo electrónico, no se permiten nuevas correcciones de correo electrónico.
    • Requisitos de destinatario en correcciones:
      • El porcentaje total de destinatarios seleccionados debe ser al menos del 40 % del número total de mensajes de correo electrónico en la corrección. Por ejemplo, si se envía un correo electrónico a cinco destinatarios, el Explorador (Explorador de amenazas) lo cuenta como cinco mensajes de correo electrónico. Si la corrección requiere la eliminación de 5000 mensajes de correo electrónico, la corrección debe tener como destino al menos 2000 destinatarios.
      • Si el recuento de destinatarios es inferior al 40 % del número total de mensajes de correo electrónico, la corrección no se puede usar para eliminar más de 1000 mensajes que se enviaron a un único destinatario.

  • Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Los administradores pueden realizar la acción necesaria en los mensajes de correo electrónico, pero el rol Buscar y purgar es necesario para obtener la aprobación de esas acciones. Para asignar el rol Buscar y purgar , tiene las siguientes opciones:

  • Compruebe que La investigación automatizada está activada en https://security.microsoft.com/securitysettings/endpoints/integration.

Corrección manual y automatizada

La búsqueda manual se produce cuando los equipos de seguridad identifican las amenazas manualmente mediante las funcionalidades de búsqueda y filtrado en el Explorador (Explorador de amenazas). La corrección manual del correo electrónico se puede desencadenar a través de cualquier vista de correo electrónico (malware, phish o todo el correo electrónico) después de identificar un conjunto de correos electrónicos que deben corregirse.

Captura de pantalla de la búsqueda manual en el Explorador (Explorador de amenazas) por fecha.

Los equipos de seguridad pueden usar el Explorador para seleccionar correos electrónicos de varias maneras:

  • Elegir correos electrónicos a mano: use filtros en varias vistas. Seleccione hasta 100 correos electrónicos para corregirlos.

  • Selección de consulta: seleccione una consulta completa con el botón seleccionar todo en la parte superior. La misma consulta también se muestra en los detalles del envío de correo del centro de acciones. Los clientes pueden enviar un máximo de 200 000 correos electrónicos desde el Explorador.

  • Selección de consultas con exclusión: en ocasiones, es posible que los equipos de operaciones de seguridad quieran corregir los correos electrónicos seleccionando una consulta completa y excluyendo manualmente determinados correos electrónicos de la consulta. Para ello, un administrador puede usar la casilla Seleccionar todo y desplazarse hacia abajo para excluir los correos electrónicos manualmente. La consulta puede contener un máximo de 200 000 correos electrónicos.

Una vez seleccionados los correos electrónicos a través del Explorador, puede iniciar la corrección realizando acciones directas o mediante la puesta en cola de correos electrónicos para una acción:

  • Aprobación directa: cuando el personal de seguridad que tiene permisos adecuados selecciona acciones como mover a la bandeja de entrada, mover a elementoseliminados, eliminar temporalmente o eliminar de forma rígida y se siguen los pasos siguientes en la corrección, el proceso de corrección comienza a ejecutar la acción seleccionada.

    Nota:

    A medida que se inicia la corrección, genera una alerta y una investigación en paralelo. La alerta aparece en la cola de alertas con el nombre "Acción administrativa enviada por un administrador", lo que sugiere que el personal de seguridad tomó la acción de corregir una entidad. Presenta detalles como el nombre de la persona que realizó la acción, el vínculo de investigación auxiliar, la hora, etc. Funciona muy bien saber cada vez que se realiza una acción dura como la corrección en las entidades. Todas estas acciones se pueden realizar en lapestaña Historial delcentro> de acciones acciones & envíos> (versión preliminar pública).

  • Aprobación en dos pasos: los administradores que no tienen los permisos adecuados o que necesitan esperar para ejecutar la acción pueden realizar una acción de "agregar a la corrección". En este caso, los correos electrónicos de destino se agregan a un contenedor de corrección. La aprobación es necesaria antes de que se ejecute la corrección.

Las alertas o los equipos de operaciones de seguridad del Explorador desencadenan acciones automatizadas de investigación y respuesta. Estos resultados pueden incluir acciones de corrección recomendadas que deben ser aprobadas por un equipo de operaciones de seguridad. Estas acciones se incluyen en la pestaña Acción de la investigación automatizada.

Email con malware en la página Zapped que muestra el tiempo de ejecución de ZAP.

Todas las correcciones (aprobaciones directas) creadas en el Explorador, la búsqueda avanzada o la investigación automatizada se muestran en el Centro de acciones dela pestaña Historial delCentro> de acciones & envíos> (https://security.microsoft.com/action-center/history).

Las acciones manuales pendientes de aprobación mediante el proceso de aprobación en dos pasos (agregadas a la corrección por un miembro del equipo de operaciones de seguridad y revisadas y aprobadas por otro miembro del equipo de operaciones de seguridad) son visibles en la pestaña Acciones &Centro> de acciones Envíos>Pendiente (https://security.microsoft.com/action-center/pending). Después de la aprobación, están visibles en la pestañaHistorial delCentro> de acciones & envíos> (https://security.microsoft.com/action-center/history).

El Centro de acciones unificado muestra 30 días de acciones de corrección.

El Centro de acciones unificadas muestra las acciones de corrección de los últimos 30 días. Las acciones realizadas a través del Explorador se enumeran por el nombre que proporcionó el equipo de operaciones de seguridad cuando se creó la corrección, así como el identificador de aprobación, el identificador de investigación. Las acciones realizadas a través de investigaciones automatizadas tienen títulos que comienzan con la alerta relacionada que desencadenó la investigación, como el clúster de correo electrónico de Zap.

Abra cualquier elemento de corrección para ver detalles sobre él, incluidos su nombre de corrección, identificador de aprobación, identificador de investigación, fecha de creación, descripción, estado, origen de acción, tipo de acción, decidido por, estado. También se abre un panel lateral con detalles de acción, detalles del clúster de correo electrónico, alerta y detalles de incidentes.

  • Página Abrir investigación: abre una investigación de administrador que contiene menos detalles y pestañas. Muestra detalles como: alerta relacionada, entidad seleccionada para la corrección, acción realizada, estado de corrección, recuento de entidades, registros y aprobador de la acción. Realiza un seguimiento manual de una investigación realizada manualmente por el administrador y contiene detalles de las selecciones realizadas por el administrador. No es necesario actuar sobre la investigación y la alerta (ya está en el estado Aprobado).

  • Email recuento: muestra el número de mensajes de correo electrónico enviados a través del Explorador. Estos mensajes pueden ser accionables o no accionables.

  • Registros de acciones: muestra los detalles del estado de corrección, como correcto, erróneo y ya en destino.

    Se abre el Centro de acciones con la opción Mover a bandeja de entrada.

    • Accionable: Email en las siguientes ubicaciones de buzón en la nube se pueden actuar y mover:

      • Bandeja de entrada
      • Basura*
      • carpeta Elementos eliminados*
      • Carpeta Items\Deletions recuperable (elementos eliminados temporalmente)*
      • Cuarentena

      * No está disponible para los elementos en cuarentena.

    • No accionable: Email en las siguientes ubicaciones no se puede actuar ni mover en acciones de corrección:

      • Carpeta eliminada de forma rígida
      • Local/externo
      • Error o se ha eliminado
      • Unknown

    • Tipos de acciones de movimiento y eliminación admitidas:

      • Mover a la carpeta no deseada: mueve los mensajes a la carpeta de Email no deseado del usuario.

      • Mover a la bandeja de entrada: mueve los mensajes a la carpeta Bandeja de entrada de los usuarios.

      • Mover a elementos eliminados: mueve los mensajes a la carpeta Elementos eliminados del usuario.

      • Eliminación temporal: elimine el mensaje de la carpeta Elementos eliminados (vaya a la carpeta Elementos recuperables\Eliminaciones). El usuario y los administradores pueden recuperar el mensaje.

        Eliminar copia del remitente: también intente eliminar temporalmente el mensaje de la carpeta Elementos enviados del remitente si el remitente es la organización.

      • Eliminación rígida: purga el mensaje eliminado. Los administradores pueden recuperar elementos eliminados de forma rígida mediante la recuperación de elementos únicos. Para obtener más información sobre los elementos eliminados de forma rígida y los eliminados temporalmente, consulte Elementos eliminados temporalmente y eliminados de forma rígida.

    Nota:

    En las organizaciones gubernamentales de Estados Unidos (Microsoft 365 GCC, GCC High y DoD) los administradores pueden realizar las acciones Eliminación temporal, Mover a carpeta no deseada, Mover a elementos eliminados, Eliminar de forma rígida y Mover a la bandeja de entrada. Las acciones Eliminar copia del remitente y Mover a la bandeja de entrada de la carpeta de cuarentena no están disponibles.

    Los mensajes sospechosos se clasifican como remediables o nomediables. En la mayoría de los casos, el total de mensajes corregibles y nomediables es igual al número total de mensajes enviados. Pero es posible que los totales no coincidan debido a retrasos del sistema, tiempos de espera o mensajes expirados. Los mensajes expiran en función del período de retención del Explorador para su organización.

    A menos que corrija mensajes antiguos después del período de retención del Explorador de la organización, es recomendable volver a intentar corregir los elementos si ve incoherencias en el número. En el caso de los retrasos del sistema, las actualizaciones de corrección se suelen actualizar en pocas horas.

    Si el período de retención de correo electrónico de la organización en el Explorador es de 30 días y se corrigen los correos electrónicos que se vuelven de 29 a 30 días, es posible que los recuentos de envíos de correo no siempre se suman. Es posible que los correos electrónicos ya hayan empezado a salir del período de retención.

    Si las correcciones se bloquean en el estado "En curso" durante un tiempo, es probable que se deba a retrasos del sistema. La corrección puede tardar hasta unas horas. Es posible que vea variaciones en los recuentos de envío de correo, ya que es posible que algunos de los correos electrónicos no se hayan incluido en la consulta al principio de la corrección debido a retrasos del sistema. Es una buena idea reintentar la corrección en estos casos.

    Sugerencia

    Para obtener mejores resultados, la corrección debe realizarse en lotes de 50 000 o menos.

    Solo se actúan en los mensajes de correo electrónico que se pueden corregir durante la corrección. Microsoft 365 no puede corregir los correos electrónicos nomediables, ya que no se almacenan en buzones de correo en la nube.

    Los administradores pueden realizar acciones en los correos electrónicos en cuarentena si es necesario, pero esos correos electrónicos expiran fuera de cuarentena si no se purgan manualmente. De forma predeterminada, los mensajes de correo electrónico en cuarentena debido a contenido malintencionado no son accesibles para los usuarios, por lo que el personal de seguridad no tiene que realizar ninguna acción para deshacerse de las amenazas en cuarentena. Si los correos electrónicos son locales o externos, se puede ponerse en contacto con el usuario para dirigir el correo electrónico sospechoso. O bien, los administradores pueden usar herramientas de seguridad o servidor de correo electrónico independientes para la eliminación. Estos correos electrónicos se pueden identificar aplicando la ubicación de entrega = filtro externo local en el Explorador. En el caso de correo electrónico con errores o eliminados, o correo electrónico no accesible para los usuarios, no hay ningún correo electrónico que mitigar, ya que estos correos no llegan al buzón de correo.

  • Registros de acciones: muestra los mensajes corregidos, correctos, erróneos, que ya están en destino.

    El estado puede ser:

    • Iniciado: se desencadena la corrección.
      • En cola: la corrección se pone en cola para mitigar los correos electrónicos.
      • En curso: la mitigación está en curso.
      • Completado: la mitigación en todos los correos electrónicos correctos se completó correctamente o con algunos errores.
      • Error: no se han realizado correctamente las correcciones.

    Como solo se pueden actuar en los correos electrónicos correctos, la limpieza de cada correo electrónico se muestra como correcta o errónea. Del total de correos electrónicos que se pueden corregir, se notifican mitigaciones correctas y erróneas.

    • Correcto: se ha realizado la acción deseada en los correos electrónicos que se pueden corregir. Por ejemplo: un administrador quiere quitar los correos electrónicos de los buzones, por lo que el administrador realiza la acción de eliminar mensajes de correo electrónico temporalmente. Si no se encuentra un correo electrónico correcto en la carpeta original después de realizar la acción, el estado se mostrará como correcto.

    • Error: error en la acción deseada en los correos electrónicos que se pueden corregir. Por ejemplo: un administrador quiere quitar los correos electrónicos de los buzones, por lo que el administrador realiza la acción de eliminar mensajes de correo electrónico temporalmente. Si todavía se encuentra un correo electrónico correcto en el buzón después de realizar la acción, el estado se mostrará como erróneo.

    • Ya en destino: la acción deseada ya se ha realizado en el correo electrónico o el correo electrónico ya existe en la ubicación de destino. Por ejemplo: el administrador eliminó temporalmente un correo electrónico a través del Explorador el primer día. A continuación, los correos electrónicos similares aparecen el día 2, que el administrador vuelve a eliminar temporalmente. Al seleccionar estos correos electrónicos, el administrador termina recogiendo algunos correos electrónicos del primer día que ya se han eliminado temporalmente. Ahora estos mensajes no se actúan sobre. En su lugar, se muestran como Ya en destino, ya que no se ha realizado ninguna acción en ellos, ya que existían en la ubicación de destino.

    • Nuevo: Se ha agregado una columna Ya en destino en el registro de acciones. Esta característica usa la ubicación de entrega más reciente en el Explorador para indicar si el correo ya se ha corregido. Ya en el destino ayuda a los equipos de seguridad a comprender el número total de mensajes que todavía deben abordarse.

Las acciones solo se pueden realizar en los mensajes de las carpetas Bandeja de entrada, Correo no deseado, Eliminado y Eliminado temporalmente del Explorador. Este es un ejemplo de cómo funciona la nueva columna. Se realiza una acción de eliminación temporal en el mensaje presente en la Bandeja de entrada y, a continuación, el mensaje se controla según las directivas. La próxima vez que se realice una eliminación temporal, este mensaje se mostrará en la columna "Ya en destino" señalando que no es necesario volver a abordarlo.

Seleccione cualquier elemento del registro de acciones para mostrar los detalles de la corrección. Si los detalles muestran Correcto o No encontrado en el buzón, ese elemento ya se quitó del buzón. A veces hay un error del sistema durante la corrección. En esos casos, es una buena idea volver a intentar la acción de corrección.

Si necesita corregir grandes lotes de correo electrónico, exporte los mensajes enviados para la corrección a través del envío de correo y exporte los mensajes que se corrigieron a través de los registros de acciones. El límite de exportación se aumenta a 100 000 registros.

Los administradores pueden realizar acciones de corrección, como mover mensajes de correo electrónico a la carpeta Correo no deseado, Bandeja de entrada o Elementos eliminados, y eliminar acciones como eliminación temporal o eliminación rígida de páginas de búsqueda avanzada.

El panel Búsqueda avanzada y Acciones con su elección de acciones.

La corrección mitiga las amenazas, aborda los correos electrónicos sospechosos y ayuda a mantener una organización segura.