Panel Microsoft Defender de información general de Office 365

El panel Microsoft Defender de información general de Office 365 en el portal de Microsoft Defender muestra la eficacia de Defender para Office 365. Abra el panel en el portal de Defender en Email & introduccióna la colaboración > o directamente en .https://security.microsoft.com/emailandcollaborationoverviewreport

La información de la página Información general se organiza en las siguientes áreas:

Para ver los permisos necesarios para ver el panel y los informes, consulte ¿Qué permisos se necesitan para ver estos informes?.

De forma predeterminada, los datos de la página se muestran durante los últimos 30 días.

Captura de pantalla de la página del informe de información general de Email y colaboración en el portal de Microsoft Defender.

Resumen de Defender para Office 365

La información del resumen de Defender para Office 365 en la parte superior de la página se describe en las subsecciones siguientes.

Tarjeta de eficacia de phish/malware

El gráfico de la tarjeta Phish/Malware Efficacy representa visualmente la protección proporcionada por Defender para Office 365 contra phishing y malware en los mensajes de correo electrónico:

  • Entrega previa: elementos detectados antes de que lleguen al buzón del destinatario.
  • Posterior a la entrega: elementos quitados después de que el elemento se entregara al buzón del destinatario a través de la purga automática de cero horas (ZAP).
  • Sin detectar: elementos entregados que ZAP identificó pero no se pudieron quitar. Por ejemplo:
    • Administración eliminaciones o correcciones.
    • ZAP que se deshabilita para los buzones específicos.
    • Administración envíos a Microsoft que identifican el mensaje como malware o phishing.
    • Eliminaciones de usuarios.
    • Eliminaciones de proveedores de seguridad que no son de Microsoft.

El valor porcentual es el número de mensajes de cada categoría dividido por el número total de malware malintencionado y correo electrónico de suplantación de identidad (phishing) durante el período de revisión seleccionado.

Mantenga el puntero sobre una categoría del gráfico para ver el número de mensajes de cada categoría para el período de revisión. Mantenga el puntero sobre el porcentaje para ver el número total de mensajes.

Captura de pantalla de la tarjeta Phish /Malware Efficacy en la sección Defender para Office 365 de la página Email & informe de información general de colaboración.

Sugerencia

  • Es importante enviar falsos positivos y falsos negativos a Microsoft para que podamos ajustar nuestros filtros y calcular correctamente los valores de eficacia:
    • Los falsos negativos no detectados por Microsoft no se incluyen en los cálculos de eficacia. El envío de entidades no detectadas nos permite incluir esos recuentos en los cálculos no detectados .
    • Los falsos positivos detectados por Microsoft se eliminan de los cálculos de eficacia.

En función de los comentarios de los clientes, hemos determinado que los componentes Pre-delivery, Post-delivery y Uncaught reflejan con mayor precisión el estado de protección de una organización. Para crear un informe de eficacia diferente, consulte Creación de informes y paneles de seguridad de correo electrónico personalizados con libros en Microsoft Sentinel o la consulta de búsqueda avanzada en la sección Apéndice.

Tarjeta de detecciones de amenazas

El gráfico de la tarjeta Detecciones de amenazas muestra el número de mensajes detectados por las siguientes tecnologías durante el período de revisión seleccionado.

Mantenga el puntero sobre una categoría del gráfico para ver el número de mensajes de cada categoría para el período de revisión.

Captura de pantalla de la tarjeta Detecciones de amenazas en la sección Defender para Office 365 de la página Email & informe de información general de colaboración.

Sección Optimizar

La información de la sección Optimizar se describe en las subsecciones siguientes.

Tarjeta de cuentas prioritarias

El gráfico de la tarjeta Cuentas prioritarias muestra cuántos remitentes de mensajes ha designado como cuentas de prioridad para recibir protección personalizada. Para obtener más información sobre las cuentas de prioridad, consulte Administración y supervisión de cuentas de prioridad.

Para designar más cuentas, seleccione Agregar empleados para ir a la página Cuentas prioritarias de la Centro de administración de Microsoft 365 en https://admin.cloud.microsoft/?#/priorityaccounts.

Mantenga el puntero sobre una categoría del gráfico para ver el número de cuentas de prioridad incorporadas y espacios abiertos. El número máximo de cuentas prioritarias es 250.

Captura de pantalla de la tarjeta Cuentas prioritarias en la sección Optimizar de la página del informe de información general de colaboración de Email &.

Tarjeta de recomendaciones de postura

El gráfico de la tarjeta Recomendaciones de directivas muestra el número de usuarios protegidos directamente por las directivas de vínculos seguros y datos adjuntos seguros como porcentaje del número total de usuarios (el valor 100 % significa que todos están protegidos). Los números se toman de si las siguientes acciones recomendadas en Puntuación segura de Microsoft tienen el valor CompletedStatus :

  • Vínculos seguros: Crear directivas de vínculos seguros para mensajes de correo electrónico
  • Datos adjuntos seguros: asegúrese de que la directiva de datos adjuntos seguros está habilitada

Mantenga el puntero sobre una categoría del gráfico para ver el número de usuarios afectados (el número total de usuarios de la organización) y usuarios protegidos (usuarios protegidos por vínculos seguros o directivas de datos adjuntos seguros, tal como se define en las acciones recomendadas en Puntuación segura de Microsoft).

Notas:

Captura de pantalla de la tarjeta Recomendaciones de postura en la sección Optimizar de la página Email & informe de información general de colaboración.

Sección De riesgo permite

La información de la sección Risky allows se describe en las subsecciones siguientes.

Tarjeta de mensajes permitidos

La tarjeta Mensajes permitidos muestra el recuento de mensajes permitidos por el usuario o la organización que permiten entradas que omiten la protección:

  • Número total de mensajes permitidos.
  • Mensajes de phish permitidos.
  • Mensajes de correo no deseado permitidos.
  • Se permiten buenos mensajes.

Captura de pantalla de la tarjeta Mensajes permitidos en la sección De riesgo permite de la página Email & informe de información general de colaboración.

Tarjeta de tipos de permiso de inquilino

La tarjeta De permitir tipos de inquilino muestra una tabla con los tipos de entradas allow en la lista de permitidos o bloqueados de inquilinos que permiten que el correo incorrecto se entregue a los buzones de usuario:

  • Permitir columna de tipo :
  • Columna Mensajes permitidos : el número de mensajes permitidos para el período de revisión seleccionado.

Captura de pantalla de la tarjeta Permitir tipos de inquilino en la sección De riesgo permite de la página Email & informe de información general de colaboración.

Tarjeta de reglas de transporte de Exchange

La tarjeta reglas de transporte de Exchange muestra las reglas de flujo de correo (también conocidas como reglas de transporte) que permitían mensajes que, de lo contrario, se bloquearían:

  • Id. de regla
  • Mensajes permitidos: el número de mensajes permitidos durante el período de revisión seleccionado.

Seleccione Revisar reglas para ir a la página Reglas del Centro de administración de Exchange (EAC) en https://admin.cloud.microsoft/exchange#/transportrules.

Captura de pantalla de la tarjeta de reglas de transporte de Exchange en la sección Risky allows (Permitir riesgos) de la página Email & informe de información general de colaboración.

Sección Conclusiones

La información de la sección Insights se describe en las subsecciones siguientes.

El gráfico de la tarjeta Top trending attacks (Principales ataques de tendencia ) muestra los tipos de ataques de phishing más encontrados por volumen durante el período de revisión seleccionado.

La clasificación de amenazas en Defender para Office 365 usa tecnologías avanzadas, como modelos de lenguaje grande (LLM), modelos de lenguaje pequeño (SLM) y modelos de aprendizaje automático (ML) para detectar y clasificar automáticamente amenazas basadas en correo electrónico.

El desglose de los tipos de ataques de suplantación de identidad (phishing) también está disponible en el informe de estado de protección contra amenazas en Ver datos por Email > Phish y Desglose de gráficos por clasificación de amenazas.

Captura de pantalla de la tarjeta Top trending attacks (Principales ataques de tendencias) en la sección Insights (Conclusiones) de la página Email & informe de información general de colaboración.

Tarjeta de amenazas emergentes

La tarjeta Amenazas emergentes muestra las campañas notables observadas por los investigadores de seguridad de Microsoft.

Tarjeta de rendimiento de Microsoft 365 Secure Email Gateway

El gráfico de la tarjeta de rendimiento de Microsoft 365 Secure Email Gateway compara la eficacia de Defender para Office 365 con otras puertas de enlace de correo electrónico seguras. Para garantizar la equidad, el número de mensajes de phish y malware que faltan se normaliza por cada 1000 usuarios activos.

Captura de pantalla de la tarjeta de rendimiento de Microsoft 365 Secure Email Gateway en la sección Insights de la página Email & informe de información general de colaboración.

Apéndice: Consulta de eficacia de búsqueda avanzada en Defender para Office 365 Plan 2

Las organizaciones con Defender para Office 365 Plan 2 pueden usar la siguiente consulta en la búsqueda avanzada para generar los mismos datos en la tarjeta Phish/Malware Efficacy.

Nota:

Los números pueden diferir ligeramente debido a las diferentes tasas de actualización y expiración para la búsqueda avanzada frente a los datos de informes.

let _startTime = ago(30d);
let _endTime = now();
let PreDelivery = toscalar(
    EmailEvents
    | where Timestamp between (_startTime .. _endTime)
        and EmailDirection == "Inbound"
        and (ThreatTypes contains "Phish" or ThreatTypes contains "Malware")
    | where not(DeliveryAction == "Blocked" and DeliveryLocation in ("Dropped","Failed"))
    | extend MDO_detection = parse_json(DetectionMethods)
    | extend FirstDetection = iif(isempty(MDO_detection), "Clean", tostring(bag_keys(MDO_detection)[0]))
    | extend FirstSubcategory = iif(FirstDetection != "Clean" and array_length(MDO_detection[FirstDetection]) > 0, strcat(FirstDetection, ": ", tostring(MDO_detection[FirstDetection][0])), "No Detection (clean)")
    | summarize PreDelivery = count()
);
let PostDelivery = toscalar(
    EmailPostDeliveryEvents
    | where Timestamp between (_startTime .. _endTime)
        and ActionType in ("Malware ZAP","Phish ZAP")
        and ActionResult in ("Success","UserTriaged")
    | summarize PostDelivery = count()
);
let Uncaught = toscalar(
    EmailPostDeliveryEvents
    | where Timestamp between (_startTime .. _endTime)
        and ActionType in ("Malware ZAP","Phish ZAP")
        and ActionResult !in ("Success", "UserTriaged")
    | summarize Uncaught = count()
);
let PreDeliveryReal = toreal(PreDelivery);
let PostDeliveryReal = toreal(PostDelivery);
let UncaughtReal = toreal(Uncaught);
let Effectiveness = round(
    iif(
        (PreDeliveryReal + PostDeliveryReal + UncaughtReal) == 0,
        0.0,
        ((PreDeliveryReal + PostDeliveryReal) / (PreDeliveryReal + PostDeliveryReal + UncaughtReal)) * 100.0
    ), 2
);
union
    (print StatisticName = "Pre-Delivery Catch", Value = PreDeliveryReal),
    (print StatisticName = "Post-Delivery Catch", Value = PostDeliveryReal),
    (print StatisticName = "Failed ZAP / Miss or Uncaught", Value = UncaughtReal),
    (print StatisticName = "Phish / Malware Efficacy", Value = Effectiveness)
| project StatisticName, Value
  • Last updated on