Acciones de corrección de AIR en Microsoft Defender para Office 365 Plan 2
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
La investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365 Plan 2 suelen dar lugar a acciones de corrección que requieren la aprobación del equipo de operaciones de seguridad (SecOps).
En algunos casos, AIR no da lugar a acciones de corrección específicas. Para investigar y realizar las acciones adecuadas, use las instrucciones de la tabla siguiente.
| Categoría | Amenaza/riesgo | Acciones de corrección |
|---|---|---|
| Correo electrónico | Malware | Eliminación temporal de correo electrónico o clúster. Si más de un puñado de mensajes relacionados contienen malware, todo el clúster se considera malintencionado. |
| Correo electrónico | Vínculos seguros detectó una dirección URL malintencionada. | Eliminación temporal de correo electrónico o clúster. Bloquear dirección URL en el momento de hacer clic. El mensaje que contiene una dirección URL malintencionada se considera malintencionado. |
| Correo electrónico | Suplantación de identidad (phishing) | Eliminación temporal de correo electrónico o clúster. Si más de un puñado de mensajes relacionados contienen intentos de suplantación de identidad (phishing), se considera que todo el clúster es un intento de suplantación de identidad (phishing). |
| Correo electrónico | Correo electrónico de suplantación de identidad entregado y luego eliminado por purga automática de cero horas (ZAP).) | Eliminación temporal de correo electrónico o clúster. Para ver si ZAP quitó un mensaje, consulte Cómo ver si ZAP movió el mensaje. |
| Correo electrónico | Correo electrónico de suplantación de identidad notificado por el usuario | Investigación automatizada desencadenada por el informe del usuario |
| Correo electrónico | Anomalía de volumen (las cantidades recientes de correo electrónico superan los 7-10 días anteriores para los criterios coincidentes). | No hay acciones pendientes específicas de AIR. Una anomalía de volumen no es una amenaza clara. Aunque un gran volumen de correo electrónico puede indicar posibles problemas, se requiere confirmación en términos de veredictos malintencionados o una revisión manual de mensajes de correo electrónico o clústeres. Para obtener más información, consulte Buscar correo electrónico sospechoso que se entregó. |
| Correo electrónico | No se encontraron amenazas (el sistema no encontró amenazas basadas en archivos, direcciones URL o análisis de veredictos de clústeres de correo electrónico). | No hay acciones pendientes específicas de AIR. Las amenazas encontradas y eliminadas por ZAP después de una investigación completada no se reflejan en los resultados numéricos de una investigación, pero estas amenazas se pueden ver en el Explorador de amenazas. |
| Usuario | Un usuario hizo clic en una dirección URL malintencionada (un usuario visitó una página que más tarde se descubrió que era malintencionada o omitió una página de advertencia vínculos seguros para llegar a una página malintencionada). | No hay acciones pendientes específicas de AIR. Bloquear dirección URL en el momento de hacer clic. Use el Explorador de amenazas para ver los datos sobre las direcciones URL y haga clic en veredictos. Si su organización usa Microsoft Defender para punto de conexión, considere la posibilidad de investigar al usuario para determinar si su cuenta está en peligro. |
| Usuario | Usuario que envía mensajes de malware/phishing | No hay acciones pendientes específicas de AIR. Es posible que el usuario informe de mensajes de malware o suplantación de identidad o que alguien esté suplantando al usuario como parte de un ataque. Use el Explorador de amenazas para ver y controlar el correo electrónico que contiene malware o phishing. |
| Usuario | El reenvío automático de correo electrónico externo (reenvío SMTP, reglas de bandeja de entrada o reglas de flujo de correo de Exchange (también conocidas como reglas de transporte) podría usarse para la filtración de datos. | Quite la regla o configuración de reenvío. Use el informe Mensajes autoforwarded para ver detalles específicos sobre el correo electrónico reenviado. |
| Usuario | Email delegación (una cuenta tiene delegaciones configuradas). | Quitar delegaciones. Si su organización usa Defender para punto de conexión, considere la posibilidad de investigar al usuario con el permiso de delegación. |
| Usuario | Filtración de datos (un usuario infringió las directivas DLP de uso compartido de archivos o correo electrónico). | AIR no da lugar a una acción pendiente específica. Introducción al Explorador de actividades. |
| Usuario | Envío de correo electrónico anómalo (un usuario envió recientemente más correo electrónico que durante los 7-10 días anteriores). | No hay acciones pendientes específicas de AIR. El envío de un gran volumen de correo electrónico no es necesariamente malintencionado (por ejemplo, el usuario podría haber enviado correo electrónico a un gran grupo de destinatarios para un evento). Para investigar, use la información de reenvío de correo electrónico de los nuevos usuarios y el informe de mensajes salientes en el Centro de administración de Exchange (EAC). |
Pasos siguientes
- Ver detalles y resultados de una investigación automatizada en Microsoft Defender para Office 365
- Ver las acciones de corrección pendientes o completadas después de una investigación automatizada en Microsoft Defender para Office 365