Protección contra amenazas paso a paso en Microsoft Defender para Office 365

En este artículo se describe la pila de protección (también conocida como pila de filtrado) en Microsoft Defender para Office 365. La pila tiene cuatro fases. Normalmente, el correo entrante pasa por las cuatro fases antes de la entrega, pero la ruta de acceso real depende de la configuración de Defender para Office 365 de su organización.

Fase 1: Protección perimetral

Desafortunadamente, los bloques perimetrales ahora son relativamente sencillos de superar para los atacantes. Aunque se bloquea menos tráfico aquí que en años anteriores, la protección perimetral sigue siendo una parte importante de la pila.

Los bloques perimetrales están diseñados para ser automáticos. En el caso de los falsos positivos (correo correcto marcado como incorrecto), los remitentes reciben una notificación con información para solucionar sus problemas. Los conectores de asociados de confianza con una reputación limitada pueden garantizar la entrega o se pueden implementar invalidaciones temporales al incorporar nuevos puntos de conexión.

1. La limitación de red protege a la infraestructura de Microsoft 365 y a los clientes frente a ataques de denegación de servicio (DoS) limitando el número de mensajes que puede enviar un conjunto específico de infraestructura.

2. La reputación y limitación de IP bloquea los mensajes de direcciones IP de conexión incorrectas conocidas. Si una dirección IP específica envía muchos mensajes en un breve período de tiempo, la dirección IP se limita.

3. La reputación del dominio bloquea los mensajes de dominios incorrectos conocidos.

4. Filtro perimetral basado en directorios bloquea los intentos de recopilar información de directorio de una organización a través de SMTP.

5. Detección de devolución de correo no enviado impide que una organización sea atacada a través de informes de no entrega (NDR) no válidos.

6. El filtrado mejorado para conectores (también conocido como omisión de lista) conserva la información de autenticación cuando el correo pasa a través de un servicio o dispositivo antes de la entrega a Microsoft 365. Esta funcionalidad mejora la precisión de la pila de filtrado, incluida la agrupación en clústeres heurísticas, la protección contra la suplantación de identidad y los modelos de aprendizaje automático anti phishing, incluso en escenarios de enrutamiento complejos o híbridos.

Fase 2: Inteligencia del remitente

Las características de la inteligencia del remitente son fundamentales para detectar mensajes no deseados, masivos, suplantación y suplantación no autorizados, además de tener en cuenta la detección de phishing. La mayoría de estas características se pueden configurar individualmente.

1. La detección de riesgos de cuenta genera alertas cuando una cuenta tiene un comportamiento anómalo coherente con el riesgo. En algunos casos, se impide que la cuenta de usuario envíe correo electrónico hasta que el equipo de operaciones de seguridad de la organización resuelva el problema.

2. Email autenticación implica métodos y métodos configurados por el cliente configurados en la nube para asegurarse de que los remitentes son enviadores autorizados y auténticos. Estos métodos resisten la suplantación de identidad.

   • SPF puede rechazar el correo en función de los registros TXT de DNS que enumeran las direcciones IP y los servidores que pueden enviar correo en nombre de la organización.
   • DKIM proporciona una firma cifrada que autentica al remitente.
   • DMARC permite a los administradores marcar SPF y DKIM como necesarios para su dominio y exige la alineación entre los resultados de estas dos tecnologías.
   • ARC se basa en DMARC para trabajar con el reenvío en listas de correo mientras se registra una cadena de autenticación.

3. Spoof intelligence filtra a los remitentes a los que se les permite "suplantar" (enviar correo en nombre de otra cuenta o reenviar para una lista de correo) desde remitentes malintencionados que imitan dominios externos conocidos o de la organización. Separa el correo legítimo "en nombre de" de los remitentes que suplantan para entregar mensajes de spam y phishing.

   La inteligencia de suplantación de identidad dentro de la organización detecta y bloquea los intentos de suplantación de identidad de los dominios de la organización.

4. La inteligencia de suplantación de identidad entre dominios detecta y bloquea los intentos de suplantación de identidad de dominios fuera de la organización.

5. El filtrado masivo permite a los administradores configurar un umbral de nivel de queja masiva (BCL) que indica si el mensaje se envió desde un remitente masivo. Los administradores pueden usar el umbral de BCL en las directivas contra correo no deseado para decidir qué nivel de correo masivo tratar como correo no deseado.

6. Inteligencia de buzones aprende de los comportamientos estándar del correo electrónico del usuario. Usa el gráfico de comunicación de un usuario para detectar cuándo un remitente solo parece ser alguien con el que el usuario suele comunicarse, pero en realidad es malintencionado. Este método detecta la suplantación.

7. La suplantación de inteligencia de buzones habilita o deshabilita los resultados de suplantación mejorados en función del mapa de remitente individual de cada usuario. Cuando está habilitada, esta característica ayuda a identificar la suplantación.

8. La suplantación de usuario permite a un administrador crear una lista de destinos de alto valor que probablemente se suplantarán. Si llega un mensaje donde el remitente solo parece tener el mismo nombre y dirección que la cuenta protegida de alto valor, el mensaje se marca o etiqueta (por ejemplo, trα [email protected] para [email protected]).

9. La suplantación de dominio detecta dominios que son similares al dominio del destinatario y que intentan parecerse a un dominio interno. Por ejemplo, esta suplantación tracye@liw α re.com para [email protected].

Fase 3: Filtrado de contenido

En esta fase, la pila de filtrado controla el contenido específico del mensaje, incluidos sus hipervínculos y datos adjuntos.

1. Las reglas de transporte (también conocidas como reglas de flujo de correo) permiten a un administrador realizar una amplia gama de acciones cuando se cumple una gama igualmente amplia de condiciones para un mensaje. Todos los mensajes que fluyen a través de la organización se evalúan con respecto a las reglas de flujo de correo habilitadas.

2. Microsoft Defender Antivirus se usa para detectar todo el malware conocido en los datos adjuntos.

3. El motor antivirus usa la coincidencia de tipos verdaderos para detectar el tipo de archivo, independientemente de la extensión de nombre de archivo (por ejemplo, exe los archivos cuyo nombre se ha cambiado a txt se detectan como exe archivos). Esta funcionalidad permite que el bloqueo de tipos (también conocido como filtro de datos adjuntos comunes) bloquee correctamente los tipos de archivo especificados por los administradores. Para obtener la lista de tipos de archivo admitidos, consulte Coincidencia de tipos true en el filtro de datos adjuntos comunes.

4. Cuando Microsoft Defender para Office 365 detecta datos adjuntos malintencionados, se identifican el hash del archivo y un hash de su contenido activo. El bloqueo de la reputación de los datos adjuntos bloquea ese archivo en Microsoft 365 y en los puntos de conexión a través de Microsoft Defender llamadas en la nube antivirus.

5. Agrupación heurística puede determinar que un archivo es sospechoso en función de la heurística de entrega. Cuando se encuentra un archivo adjunto sospechoso, toda la campaña se pausa y el archivo está en espacio aislado. Si se detecta que el archivo es malintencionado, se bloquea toda la campaña.

6. Modelo de aprendizaje automático actúa sobre el encabezado, el contenido del cuerpo y las direcciones URL de un mensaje para detectar intentos de suplantación de identidad.

7. Microsoft usa una determinación de la reputación del espacio aislado de direcciones URL y la reputación de direcciones URL de fuentes que no son de Microsoft en el bloqueo de reputación de direcciones URL, para bloquear cualquier mensaje con una dirección URL malintencionada conocida.

8. Los heurísticos de contenido pueden detectar mensajes sospechosos en función de la estructura y la frecuencia de palabras dentro del cuerpo del mensaje, mediante modelos de aprendizaje automático.

9. Datos adjuntos de espacios aislados de Datos adjuntos seguros para Defender para Office 365 clientes, mediante el análisis dinámico para detectar amenazas nunca antes vistas.

10. Detonación de contenido vinculado trata todas las direcciones URL que se vinculan a un archivo de un correo electrónico como datos adjuntos, creando de forma asincrónica un espacio aislado en el archivo en el momento de la entrega.

11. Detonación URL se produce cuando la tecnología antiphishing ascendente detecta que un mensaje o una dirección URL son sospechosos. La detonación de direcciones URL espacio aislado las direcciones URL del mensaje en el momento de la entrega.

Fase 4: Protección posterior a la entrega

La última fase tiene lugar después de la entrega de correo o archivo, actuando por correo en varios buzones y en archivos y vínculos que aparecen en clientes como Microsoft Teams.

1. Vínculos seguros es la protección de tiempo de clic de Defender para Office 365. Las direcciones URL de los mensajes se comprueban con respecto a la reputación más reciente cuando un usuario hace clic en ellos antes de que se redirija al usuario al sitio de destino. La dirección URL está en espacio aislado asincrónicamente para actualizar su reputación.

2. La purga automática de cero horas (ZAP) para phishing detecta y neutraliza de forma retroactiva los mensajes de phishing malintencionados que ya se han entregado a Exchange Online buzones.

3. ZAP para malware detecta y neutraliza de forma retroactiva los mensajes de malware malintencionados que ya se han entregado a Exchange Online buzones.

4. ZAP para correo no deseado detecta y neutraliza de forma retroactiva los mensajes de correo no deseado que ya se han entregado a Exchange Online buzones.

5. Las vistas de campaña permiten a los administradores ver el panorama general de un ataque más rápido y completamente de lo que cualquier equipo podría sin automatización. Microsoft usa las grandes cantidades de datos anti-phishing, antispam y antimalware en el servicio para identificar campañas y, a continuación, permite a los administradores investigarlos de principio a fin, incluidos los destinos, los impactos y los flujos. Esta información también está disponible en una escritura de campaña descargable.

6. El botón de informe integrado enlas versiones compatibles de Outlook permite a los usuarios notificar fácilmente a Microsoft falsos positivos (un buen correo electrónico marcado erróneamente como incorrecto) o falsos negativos (correo electrónico incorrecto marcado como bueno).

7. Vínculos seguros para clientes de Office ofrece la misma protección de tiempo de clic de Vínculos seguros, de forma nativa, dentro de aplicaciones de Office compatibles como Word, PowerPoint y Excel.

8. La protección para OneDrive, SharePoint y Teams ofrece la misma protección de datos adjuntos seguros contra archivos malintencionados, de forma nativa, en OneDrive, SharePoint y Microsoft Teams.

9. Cuando se selecciona una dirección URL que apunta a un archivo después de la entrega, la detonación de contenido vinculado muestra una página de advertencia hasta que se completa el espacio aislado del archivo y se detecta que la dirección URL es segura.

Diagrama de pila de filtrado

El diagrama final (como con todas las partes del diagrama) está sujeto a cambios a medida que el producto crece y se desarrolla. Marque esta página y use la opción de comentarios en la parte inferior de la página si necesita preguntar sobre las actualizaciones. En el diagrama siguiente se muestra la pila con todas las fases en orden:

Gracias especiales de MSFTTracyP y el equipo de redacción de documentos a Giulian Garruba por este contenido.