Investigación de Amenazas y Respuesta en Seguridad de Office 365

Con el riesgo creciente de ciberdelitos, las empresas de todo el mundo luchan por proteger su activo más preciado: sus datos. Afortunadamente, Microsoft Defender for Office 365 proporciona a los administradores de TI y analistas capacidades de investigación y respuesta a amenazas, que les permiten proteger proactivamente a sus usuarios y datos.

Usando estas características de seguridad integradas en Office 365, puede obtener ideas valiosas sobre amenazas comunes, recopilar datos prácticos y planificar acciones de respuesta efectivas. Su equipo de seguridad puede identificar, monitorear y repeler fácilmente actividades maliciosas antes de que causen daños irreparables a su organización.

Esta publicación desglosa las diversas herramientas incluidas en la investigación y respuesta a amenazas de Microsoft. Siga leyendo para obtener una visión general de las diferentes características y cómo se combinan para crear un escudo infalible contra ataques basados en archivos y correo electrónico.

¿Qué es la investigación y respuesta a amenazas de Office 365?

La investigación y respuesta a amenazas de Office 365 es un término general que se refiere a un conjunto de capacidades en Microsoft Defender para Office 365 plan 2. Estas herramientas ayudan a los administradores de TI y analistas a monitorear y recopilar información sobre amenazas potenciales. Los equipos de seguridad pueden luego utilizar las acciones de respuesta disponibles en el portal de Microsoft 365 Defender para abordar los riesgos en SharePoint Online, OneDrive for Business, Exchange Online y Microsoft Teams.

Con estas características de seguridad de Office 365, puedes recopilar datos de varias fuentes como incidentes de seguridad anteriores, actividad del usuario, autenticación, correos electrónicos y equipos comprometidos. El flujo de trabajo de investigación y respuesta a amenazas incluye lo siguiente:

• Explorer (Detecciones en tiempo real en MS Defender for Office 365 Plan 1)
• Incidentes (también conocidos como Investigaciones)
• Entrenamiento de simulación de ataques
• Investigación y respuesta automatizadas

Es importante mencionar que todas estas capacidades proporcionan la protección necesaria al recopilar datos de los rastreadores de amenazas integrados en Microsoft Defender, así que veamos más de cerca estos primeros.

Rastreadores de Amenazas

Los rastreadores de amenazas son una colección de widgets informativos, gráficos y tablas que brindan monitoreo de Office 365. Muestran detalles útiles sobre amenazas cibernéticas que pueden afectar a tu organización. Las páginas de seguimiento contienen cifras actualizadas periódicamente sobre riesgos emergentes como el malware y los esquemas de phishing para indicar cuáles son actualmente los más peligrosos para tu organización. Además, puedes encontrar una columna de Acciones que te redirige a Explorador de Amenazas donde puedes ver información más detallada.

Nota:

• Los rastreadores de amenazas están incluidos en el Plan 2 de Microsoft Defender for Office 365 y necesitas permiso de administrador global, administrador de seguridad o lector de seguridad para usarlos.
• Para acceder a los Rastreadores de Amenazas para tu organización, ve a https://security.microsoft.com/, haz clic en Email & colaboración, luego en Rastreador de amenazas. También puedes ir directamente a https://security.microsoft.com/threattrackerv2.

Hay cuatro características diferentes en los rastreadores de amenazas: Rastreadores destacados, Rastreadores populares, Consultas rastreadas y Consultas guardadas.

Rastreadores destacados

Este widget muestra amenazas nuevas o existentes de diversas gravedades y si existen o no dentro de tu entorno de Microsoft 365. Si lo hacen, también puedes ver enlaces a artículos útiles que detallan el problema y cómo puede afectar la seguridad de Office 365 en tu organización.

Tu equipo de seguridad debería revisar los rastreadores destacados regularmente, ya que solo se publican durante un par de semanas y luego son reemplazados por elementos más recientes. Esto mantiene la lista actualizada para que puedas mantenerte informado sobre riesgos más relevantes.

Rastreadores populares

Los rastreadores populares resaltan las amenazas más recientes enviadas al correo electrónico de tu organización durante la última semana. Los administradores obtienen mejores insights al ver evaluaciones dinámicas de tendencias de malware a nivel de inquilino e identificar el comportamiento de familias de malware.

Consultas rastreadas

La supervisión de Office 365 incluye otra herramienta de monitoreo, denominada “Consultas guardadas”, que evalúa periódicamente la actividad en tu entorno de Microsoft al utilizar las consultas guardadas. Este es un proceso automático que brinda información reciente sobre actividades sospechosas para ayudar a garantizar la protección contra amenazas de Office 365.

Consultas guardadas

Puedes almacenar las búsquedas comunes del Explorador o las consultas de seguimiento destacadas que sueles realizar como Consultas guardadas. De esta manera, no tienes que crear una nueva búsqueda cada vez y puedes acceder fácilmente a consultas previamente guardadas.

Explorador y Detecciones en tiempo real

En Microsoft Defender para Office 365, el Explorador, también conocido como Explorador de amenazas, permite a los expertos en seguridad analizar posibles amenazas que apuntan a tu organización y supervisar el volumen de ataques con el tiempo. Con esta función, puedes ver informes y recomendaciones de directivas exhaustivos para aprender a responder eficientemente a los riesgos que intentan infiltrarse en tu organización.

Nota:

• El Explorador está incluido en Microsoft Defender para Office 365 plan 2, mientras que el plan 1 ofrece Detecciones en tiempo real.
• Para acceder a cualquiera de estas herramientas, ve al Centro de seguridad y cumplimiento y luego a Administración de amenazas.

Threat Explorer proporciona información importante sobre amenazas como datos históricos básicos, métodos comunes de entrega y el posible daño que podría causarse. Los analistas pueden utilizar esta herramienta como punto de partida para su investigación y examinar datos por infraestructura del atacante, familias de amenazas y otros parámetros.

Verificación de malware detectado

Puedes usar Explorer para ver el malware descubierto en el correo electrónico de tu organización. El informe se puede filtrar por diferentes tecnologías de Microsoft 365.

Ver URL de phishing y datos de veredicto de clics

Los intentos de phishing a través de URL en mensajes de correo electrónico también se muestran en Threat Explorer. Este informe incluye una lista de URL permitidas, bloqueadas y anuladas ordenadas en dos tablas:

• Principales URL: A veces, los atacantes agregan buenas URL junto con los enlaces maliciosos para confundir al destinatario. Esta lista contiene principalmente URL legítimas encontradas en los mensajes que filtraste y están ordenadas por el recuento total de correos electrónicos.
• Principales clics: Estas son las URL envueltas en Safe Links que se abrieron y están ordenadas por el recuento total de clics. Es probable que los enlaces aquí sean maliciosos y puedes encontrar el recuento de veredictos de clics de Safe Links junto a cada URL.

Nota: Al configurar el filtro de phishing de Office 365, debes configurar Safe Links y sus políticas para identificar qué URLs se han hecho clic y beneficiarte de la protección en el momento del clic y del registro de los veredictos de clic.

Los valores de veredicto de clic mostrados en Explorer te ayudan a entender la acción que se tomó una vez que se seleccionó una URL:

• Permitido: El usuario pudo navegar hasta la URL.
• Bloqueado: El usuario no pudo navegar hasta la URL.
• Veredicto pendiente: Se mostró la página de pendiente de detonación cuando el usuario hizo clic en la URL.
• Error: Se presentó la página de error al usuario debido a que ocurrió un error al intentar capturar el veredicto.
• Falla: Ocurrió una excepción desconocida al intentar capturar el veredicto. Es posible que el usuario haya hecho clic en la URL.
• Ninguno: No se pudo capturar el veredicto. Es posible que el usuario haya hecho clic en la URL.
• Bloqueo anulado: El usuario anuló el bloqueo y navegó hasta la URL.
• Pendiente de veredicto evitado: Se mostró la página de detonación pero el usuario anuló el mensaje para acceder a la URL.

Revisar mensajes de correo electrónico informados por usuarios

Este informe muestra datos sobre mensajes que los usuarios en su organización informaron como basura, no basura o phishing. Para obtener mejores resultados, se recomienda que configure protección contra spam para Office 365.

Encontrar e investigar correos electrónicos maliciosos que fueron entregados

Las detecciones en tiempo real y el Explorador de amenazas brindan al personal de seguridad la capacidad de investigar actividades hostiles que podrían poner en riesgo a su organización. Las acciones disponibles son:

• Localizar e identificar la dirección IP del remitente de un correo electrónico malicioso
• Encontrar y eliminar mensajes
• Iniciar un incidente para realizar una investigación adicional
• Verificar la acción de entrega y la ubicación
• Ver el cronograma de su correo electrónico

Ver archivos maliciosos detectados en SharePoint Online, OneDrive y Microsoft Teams

Los informes en la lista del Explorador proporcionan información sobre archivos identificados como maliciosos por Safe Attachments para OneDrive, Microsoft Teams y SharePoint Online. Los administradores también pueden ver estos archivos en cuarentena.

Verificar el informe de estado de protección contra amenazas

Este widget muestra el estado de su seguridad de Office 365. Además del recuento de mensajes de correo electrónico que contienen contenido malicioso, también puede encontrar:

• Archivos o URL bloqueados
• Purga automática de cero horas (ZAP)
• Enlaces seguros
• Adjuntos seguros
• Funciones de protección de suplantación de identidad en políticas contra el phishing

Esta información le permite analizar las tendencias de seguridad para determinar si sus políticas necesitan ajustes.

Entrenamiento de simulación de ataques

Configure y ejecute ciberataques realistas pero benignos en su organización para probar sus políticas de seguridad e identificar vulnerabilidades antes de que ocurra un ataque real. Estas simulaciones son parte de la protección contra amenazas de Office 365, ya que ayudan a capacitar a sus empleados para que permanezcan vigilantes contra esquemas de ingeniería social como los ataques de phishing.

Nota: Puedes acceder a esta función yendo al portal de Microsoft 365 Defender > Correo electrónico y colaboración> Entrenamiento de simulación de ataques. O ve directamente a la página de entrenamiento de simulación de ataques.

El entrenamiento de simulación de ataques tiene un flujo de trabajo específico que consiste en una serie de pasos que necesitas completar antes de lanzar el ataque simulado.

Escoge una técnica de ingeniería social

Primero, necesitas elegir uno de los esquemas de ingeniería social disponibles:

• Enlace a malware: Ejecuta un código arbitrario desde un archivo alojado en un servicio de intercambio de archivos de buena reputación y luego envía un mensaje conteniendo un enlace a este archivo malicioso. Si el usuario abre el archivo, entonces el dispositivo queda comprometido.
• Recopilación de credenciales: Los usuarios son redirigidos a lo que parece ser un sitio web conocido donde pueden ingresar su nombre de usuario y contraseña.
• Enlace en adjunto: Se añade una URL a un adjunto de correo electrónico y se comporta de manera similar a la recopilación de credenciales.
• Adjunto de malware: Se añade un adjunto malicioso a un mensaje. Si se abre el adjunto, entonces el dispositivo del objetivo queda comprometido.URL de paso: Una URL redirige al usuario a un sitio web familiar que instala código malicioso en segundo plano. La protección de endpoints de Office 365 podría no ser capaz de disuadir tales amenazas y, posteriormente, el dispositivo queda infectado.
• URL de ataque: Una URL redirige al usuario a un sitio web familiar que instala código malicioso en segundo plano. La protección de punto final de Office 365 puede no ser capaz de detener este tipo de amenazas y, como resultado, el dispositivo se infecta.

Elige un nombre y describe la simulación

El siguiente paso es ingresar un nombre único y descriptivo para la simulación que estás creando. Una descripción detallada es opcional.

Selecciona una carga útil

En esta página, debes seleccionar la carga útil que se presentará a los usuarios en la simulación. Esto puede ser un mensaje de correo electrónico o una página web. Puedes elegir de un catálogo incorporado que contiene las cargas útiles disponibles. También es posible crear una carga útil personalizada que funcione mejor con tu organización.

Usuarios objetivo

Aquí seleccionas los usuarios de tu empresa que recibirán el entrenamiento de simulación de ataque. Puedes incluir a todos los usuarios o elegir objetivos y grupos específicos.

Asigna el entrenamiento

Microsoft recomienda asignar entrenamiento para cada simulación que crees, ya que los empleados que lo completen tendrán menos probabilidades de caer en un ataque similar. Puedes ver los cursos y módulos sugeridos y elegir los que mejor se adapten a tus necesidades según los resultados del usuario.

Selecciona la notificación para el usuario final

Esta pestaña te permite configurar la notificación. Puedes agregar una notificación de refuerzo positivo si eliges Notificaciones personalizadas para el usuario final para motivar a tus usuarios una vez que hayan completado el entrenamiento.

Investigación y Respuesta Automatizada (AIR)

En la seguridad de Office 365, las capacidades de Investigación y Respuesta Automatizada (AIR) activan alertas automáticas cuando una amenaza conocida apunta a tu organización. Esto reduce el trabajo manual y permite que tu equipo de seguridad opere de manera más eficiente al revisar, priorizar y responder en consecuencia.

Una investigación automatizada puede ser iniciada ya sea por un archivo adjunto sospechoso que llegó en un mensaje de correo electrónico o por un analista que utiliza Threat Explorer. AIR recopila datos relacionados con el correo electrónico en cuestión, como los destinatarios previstos, archivos y URLs. Los administradores y el personal de seguridad pueden revisar los resultados de la investigación y verificar las recomendaciones para aprobar o rechazar las acciones de remediación.

AIR puede ser activado por una de las siguientes alertas:

• A possibly malicious URL was clicked
• A user reported an email as phishing or malware
• Se eliminó un mensaje de correo electrónico que contenía malware o una URL de phishing después de su entrega
• A suspicious email sending pattern was detected
• A user is restricted from sending messages

Conclusión

La investigación de amenazas de Office 365 ofrece varias capacidades que ayudan a proteger tus datos. Con el plan 2 de Microsoft Defender para Office 365, puedes emplear características avanzadas como rastreadores de amenazas y Threat Explorer. También puedes llevar a cabo entrenamientos de simulación de ataques para mantener a tus usuarios vigilantes y protegidos contra posibles ciberataques. Además, puedes configurar la investigación y respuesta automatizada (AIR) para aliviar la carga de trabajo de tu equipo de seguridad para que puedan centrarse en amenazas de mayor prioridad.

Dicho esto, la única manera de asegurar una protección completa de un entorno de Office 365 es desplegando una solución moderna de protección de datos como NAKIVO Backup & Replicación. La solución proporciona potentes capacidades de copia de seguridad y recuperación para Exchange Online, Teams, OneDrive for Business y SharePoint Online.