Inteligencia de amenazas de Office 365

Importante:  Este artículo se ha traducido con traducción automática; vea la declinación de responsabilidades. Para su referencia, puede encontrar la versión en inglés de este artículo aquí.

En este artículo se explica cómo Inteligencia de amenazas de Office 365 puede ayudarle a investigar amenazas contra su organización, responder a malware, suplantación de identidad, y otros ataques Office 365 ha detectado en el nombre y buscar los indicadores de amenaza puede que haya recibido de usuario informes, otros dentro de la Comunidad de seguridad o en las noticias u otros orígenes de inteligencia. Información sobre amenazas también puede ayudarle a determinar si están destinados los ataques que detecta o no. Si tiene Office 365 Enterprise E5, a continuación, deberá amenaza inteligencia integrada su Centro de cumplimiento y seguridad.

¿Qué es inteligencia amenaza?

Office 365 aloja uno de los servicios de correo electrónico de empresa más grandes y conjuntos de aplicaciones de productividad en el mundo y administra el contenido creado en millones de dispositivos. En el transcurso de proteger esta información, Microsoft ha creado un gran almacén de datos de inteligencia de amenaza y los sistemas necesarios para tramas directos que corresponden a los comportamientos de ataque y actividad sospechosa. Inteligencia de amenazas de Office 365 es una colección de estas perspectivas utilizado para analizar el entorno de Office 365 para ayudarle a buscar y eliminar amenazas, de manera proactiva. Información sobre amenazas aparece como un conjunto de herramientas y paneles en la Centro de cumplimiento y seguridad comprender y responder a las amenazas.

Inteligencia de amenazas de Office 365 supervisa señales de orígenes, como la actividad de usuario, autenticación, correo electrónico, equipos comprometidos e incidencias de seguridad. Estos datos pueden analizar y se muestra de manera que las decisiones empresariales y Office 365 globales o los administradores de seguridad pueden comprender y responder a amenazas contra sus usuarios y la propiedad intelectual.

  • Puede usar el panel de la amenaza para ver amenazas que ya se han controlado y como una herramienta muy útil para los informes de para tomar decisiones empresariales en qué inteligencia amenaza ya ha acabado para proteger su negocio.

  • Si está investigando o experimentando un ataque contra el entorno Office 365, use el Explorador de amenaza para analizar amenazas. Explorador de amenaza muestra el volumen de ataques en el tiempo y, a continuación, puede analizar estos datos por familias de amenazas, la infraestructura de intruso y más. También puede marcar cualquier correo electrónico sospechoso de la lista de incidencias.

  • También puede marcar los mensajes sospechosos que vea en el Explorador de amenaza para una mayor investigación y administrar resultados de respuesta en una la lista de incidencias, una forma práctica de mantener en control durante un ataque.

Este panel es un recurso excelente cuando necesite un resumen de las amenazas en su entorno de Office 365. Características de un gráfico con códigos de color de las detecciones de amenazas semanal y gráficos de tendencias de malware y las familias de malware detectadas, así como las tendencias de seguridad de la industria y un mapa de calor útil de orígenes de ataque para su entorno específico. Este panel también muestra global y una lista rápida de la parte superior de los administradores de seguridad destinadas usuarios y avisos recientes que se pueden hacer clic para obtener más información, entre otros paneles de información útiles.

Captura de pantalla de gráficos y gráficos de resumen de paneles de inteligencia de amenaza de amenazas contra específico inquilino de Office 365

El panel es una forma excelente de expertos en seguridad para informar los fabricantes de decisiones empresariales como ejecutivo directores (directores) o directores técnicos (CTO).

El panel también es una entrada al explorador amenaza y muchos de los vínculos conectan estas dos vistas de la información sobre amenazas. Por ejemplo, el panel de investigación de amenazas en panel de tiene vínculos que profundizar en el Explorador de amenaza:

  • Mostrar mensajes eliminados después de la entrega

  • Buscar mensajes malintencionados enviados a alguien de su organización

El panel de resumen debe comprobarse diariamente.

Cuando se abra el Explorador de amenaza encontrará un gráfico codificados por colores que representa ataques que están destinados a su organización. La vista predeterminada mostrará malware por familia de amenaza. Este panel tiene una vista con fichas de familias de malware superior, una lista de correo electrónico y un mapa de orígenes de correo electrónico. También muestra los usuarios principales de destinados.

Nota Si lo desea mostrar todo el correo electrónico o Malware, por estado de protección de dominio, IP del remitente, remitente, o detectar mediante la tecnología. Y puede exportar la lista de correo electrónico y los datos del gráfico.

Captura de pantalla del explorador de amenaza en Office 365, con la familia de malware codificados por colores

Al hacer clic en una familia de malware superior específico (por ejemplo, JS/Nemucod), puede ver información detallada sobre cómo que el malware es que afectan a la organización y qué puede hacer el malware. Una vez que se abre el panel de la amenaza, puede consultar la definición de la familia de malware. La vista de cada amenaza superior muestra los usuarios afectados (los destinatarios, las direcciones de remitente, direcciones IP y estado), junto con las fichas de detalles técnicos, Detalles globales y análisis avanzado.

Nota  Los mensajes de correo electrónico sospechoso que vea aparece en la ficha de los usuarios pueden seleccionar y agregar rápidamente en una investigación de incidencias para aún más el seguimiento y análisis. Esto impide que se pierdan en el orden aleatorio como Emerge una amenaza.

La ficha detalles técnicos muestra un documento que entra en detalle en la amenaza de malware, por lo que está bien informado sobre la amenaza y sabe qué comportamientos para buscar.

Si no está seguro de cómo oscuro deben ir de la investigación o no está seguro del ámbito del ataque, eche un vistazo Global detalles y averigüe que son las industrias y países más afectados. Por ejemplo, si su trabajo fabricación en Japón o minería de datos en los Estados Unidos, estos gráficos pueden proporcionar contexto y ayudan a determinar un nivel de amenaza general. Por supuesto, si ve que el sector concreto, la está cada vez más bajo ataque, es una buena indicación que debe movilizar su grupo de seguridad y proactiva profundizar más en el Explorador de amenaza.

Captura de pantalla de detalle Global de amenazas más importantes en la información sobre amenazas

Cada archivo o documento adjunto que pasa a través de La protección de amenazas avanzadas de Office 365 se coloca en un espacio aislado donde se puede abrir y probar para encontrar pruebas comportamiento de actividades malintencionadas. Esto puede detectar posibles amenazas, macros sospechosas o nuevo malware. Se extraen los indicadores de estas ejecuciones de prueba y las visitas pueden encontrarse en la pestaña final de una amenaza superior: análisis avanzado.

Los resultados de pruebas se ejecuta pueden verse en Observed comportamiento. En el ejemplo siguiente, un archivo adjunto se ha probado, error y que tiene un ladrón de contraseñas dentro de una macro de archivo. La dirección IP y la dirección URL que está intentando comunicarse con el archivo está en el tráfico de red. Por último, puede ver el archivo ejecutable malintencionado la macro se descarga durante la prueba, la razón principal, ¿por qué esta prueba lleve a cabo en un entorno virtualizado aislado que se creó para exponer amenazas antes de que lleguen a los usuarios.

Captura de pantalla de advaned análisis de datos adjuntos del archivo específicas

Nota  Si utiliza otros dispositivos de seguridad o servicios para filtrar ataques antes de que lleguen a su sitio de Office 365, el Explorador de amenaza y su asociado telemetría mostrar solo los ataques que ha perdido la otros servicios o dispositivo. Tenga en cuenta que esto puede cambiar los resultados de características, como detalles globales y análisis avanzado.

Incidencias de uso para realizar un seguimiento de las campañas de suplantación de identidad o malware dirigidas a los usuarios y la corrección de desencadenador acciones como eliminar datos adjuntos o mover mensajes de correo electrónico a una carpeta de correo no deseada.

Para crear una nueva incidencia, buscar los mensajes que ha identificado como sospechoso en la vista de Todo el correo electrónico del explorador de amenaza. Una vez que se ha filtrado el correo electrónico a los que desea realizar un seguimiento o corregir, use el botón de correo electrónico de agregar a un incidente para crear una nueva incidencia o agregar los mensajes a un incidente existente.

Una vez que haya agregado los mensajes a un incidente, puede realizar una acción de corrección en los mensajes. Desde la página incidencias , seleccione el incidente que ha creado y, a continuación, seleccione el envío de correo. En el cuadro de diálogo de presentación, elija mover a correo no deseado o Eliminar datos adjuntos. Si por error mover mensajes de correo electrónico a una carpeta de correo no deseada, se puede recuperar, seleccione mover a Bandeja de entrada.

Captura de pantalla de la lista de correo electrónico de corrección incidente

Puede realizar un seguimiento del progreso de la corrección iniciado en la pestaña Acción registros.

Características de inteligencia de amenaza siguen un modelo de permisos simple. Las actividades de investigación requieren la función Lector de seguridad o Administrador de seguridad y las acciones de corrección que afectan al correo electrónico la función de búsqueda y purgar . Asignación de roles puede realizarse desde la página de permisos en el Centro de cumplimiento y seguridad por cualquier usuario que tenga el rol de Administración de la organización o el Administrador Global .

Actividad

Roles

Use el Explorador de amenaza

Administrador de seguridad o lector de seguridad

Ver incidencias y agregue un correo electrónico a un incidente

Administrador de seguridad o lector de seguridad

Activar acciones de correo electrónico en un incidente

Buscar y purgar

Los mismos datos que potencia la paneles de inteligencia de amenaza y el Explorador de amenaza están disponibles a través de la Centro de cumplimiento y seguridad y Office 365 API de administración de actividad. Las fuentes contienen:

  • Un registro para todos los mensajes que contiene una amenaza dirigida a su organización

  • Un registro para cada mensaje eliminado por purga automática de hora cero

Para obtener más información acerca de las fuentes de amenaza inteligencia, consulte API de actividad de administración de Office 365

Use la integración entre Office 365 y Protección contra amenazas avanzada de Windows Defender (ATP de Windows Defender ) a comprender rápidamente si los equipos de los usuarios están en peligro al investigar amenazas en Office 365. Una vez habilitada la integración, los administradores de seguridad en Office 365 podrán ver qué equipos pertenecen a los destinatarios de un mensaje de correo electrónico y cuántas recientes alertas de esos equipos tienen en ATP de Windows Defender.

La imagen siguiente muestra la pestaña dispositivos que verá cuando tiene habilitada la integración de ATP de Windows Defender:

Cuando se habilita Windows Defender Promesa, puede ver una lista de equipos con alertas.

En este ejemplo, puede ver que los destinatarios del mensaje de correo electrónico tienen cuatro máquinas y tiene una alerta en ATP de Windows Defender. Haga clic en el vínculo a un equipo, se abre la página de máquina en ATP de Windows Defender en una nueva pestaña.

Para habilitar la integración entre Office 365 y ATP de Windows Defender:

  1. Debe tener acceso a Inteligencia de amenazas de Office 365 y ATP de Windows Defender.

  2. Vaya al explorador de amenaza.

  3. En el menú más, elija Configuración de WDATP.

  4. Seleccione conectarse a Windows Promesa.

Después de haber cambiado la configuración de Office 365, debe habilitar la conexión de ATP de Windows Defender. Consulte usar el portal de protección de amenazas avanzadas de Windows Defender.

Temas relacionados

Protección contra amenazas en Office 365
información general sobre el centro de cumplimiento y la seguridad de Office 365
Protección de amenazas avanzadas de Office 365

Nota: Declinación de responsabilidades de traducción automática: Este artículo se ha traducido con un sistema informático sin intervención humana. Microsoft ofrece estas traducciones automáticas para que los hablantes de otros idiomas distintos del inglés puedan disfrutar del contenido sobre los productos, los servicios y las tecnologías de Microsoft. Puesto que este artículo se ha traducido con traducción automática, es posible que contenga errores de vocabulario, sintaxis o gramática.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×