Microsoft Office 365 Advanced Threat Protection: Resumen completo

Hoy en día, existen innumerables amenazas que pueden conducir a una violación de seguridad y la posterior pérdida de datos. En 2021, los correos no deseados y de suplantación de identidad fueron el método de entrega más común que llevó a infecciones por ransomware. Intentar detectar y disuadir ataques maliciosos de forma manual es una tarea imposible. Sin embargo, para las aplicaciones y servicios de Office 365, Microsoft ofrece un conjunto de herramientas de detección y respuesta para automatizar y simplificar la seguridad.

La Protección Avanzada contra Amenazas de Office 365 (ATP), que desde septiembre de 2020 se convirtió en Microsoft Defender para Office 365, es una colección de herramientas dedicadas a prevenir amenazas en línea. Las diferentes políticas y reglas te permiten proteger los entornos locales y en la nube filtrando la comunicación entrante y saliente y verificando otro contenido compartido.

¿Qué es la Protección Avanzada contra Amenazas?

La Protección Avanzada contra Amenazas de Office 365 (ATP) es un servicio de filtrado basado en la nube para la prevención y detección de ciberamenazas. ATP puede proteger a tu organización contra virus y otro malware, incluidos los ataques de día cero, que se diseminan a través de los servicios de Office 365. ATP puede reconocer los virus más nuevos y amenazas complejas no identificadas que aún no han sido estudiadas y que no pueden ser reconocidas ni siquiera por la mayoría de los antivirus con las últimas bases de datos de firmas de virus.

Cómo funciona la Protección Avanzada contra Amenazas de Office 365

Office 365 Advanced Threat Protection depende de políticas que deben ser configuradas por un administrador del sistema. ATP filtra datos, comportamientos sospechosos y otros parámetros a nivel de organización, dominio, usuario y destinatario.

Office 365 Advanced Threat Protection puede trabajar integrado con Exchange Online Protection (EOP) y Office 365 Threat Intelligence. Utilizar ATP en la nube puede aligerar la carga de tus servidores de correo y sistemas de protección en los servidores de correo, incluidos los servidores locales. No se recomienda desactivar Office 365 Advanced Threat Protection incluso si utilizas otras herramientas como EOP.

La Protección Avanzada contra Amenazas puede proteger archivos adjuntos de correo electrónico, enlaces y archivos subidos por usuarios a OneDrive for Business, SharePoint Online y Teams. Además, ATP puede detectar enlaces a sitios web de phishing, sitios con código de malware subido y la presencia de código malicioso en archivos descargados/subidos. Las capacidades de rastreo de URL pueden ayudarte a bloquear posibles fuentes de amenazas y comprender su naturaleza y de dónde provienen.

Características de la Protección Avanzada contra Amenazas

Office 365 Advanced Threat Protection contiene muchas características útiles para proteger tus datos al utilizar los servicios de Office 365. Exploraremos estas características en detalle.

Policies

Las políticas determinan el nivel de protección y la respuesta a amenazas predefinidas, ambas pueden configurarse en diferentes niveles. Las políticas ofrecen opciones flexibles, que un administrador de sistema que gestiona Microsoft 365 puede configurar. Como administrador de sistema, puedes establecer quién se ve afectado por las políticas y qué tan estrictas son estas políticas.

Adjuntos seguros

Los adjuntos seguros garantizan que los archivos adjuntos a los mensajes de correo electrónico no sean maliciosos. Se proporciona protección contra amenazas de día cero para salvaguardar su sistema de mensajería de correo electrónico. Antes de que un mensaje se reciba en el buzón de un usuario, el mensaje se enruta a un entorno especial, donde los archivos adjuntos se verifican mediante firmas de virus, aprendizaje automático y técnicas de análisis avanzadas para detectar virus. Si no se detectan virus en el archivo adjunto del correo electrónico, el mensaje de correo electrónico se reenvía a un buzón. La función responsable de los adjuntos seguros se llama aislamiento de archivos adjuntos.

Enlaces seguros

Los enlaces seguros utilizan un principio de funcionamiento similar al de los adjuntos seguros. Esta función verifica los enlaces en correos electrónicos y otros archivos que se cargan/descargan en el entorno de Microsoft 365. Si Microsoft 365 ATP detecta que un enlace no es seguro, se muestra un mensaje de advertencia (igual que para los archivos descargables).

Puedes configurar la función para redirigir a los usuarios a una página de advertencia si un usuario intenta hacer clic en un enlace detectado como malicioso. El sistema bloquea dinámicamente los enlaces maliciosos. La función de enlaces seguros se actualizó y ahora no sustituye el enlace original con un enlace modificado a una página web en la nube de Microsoft.

ATP para SharePoint Online

ATP para SharePoint Online protege a los usuarios que colaboran utilizando sitios y archivos compartidos de SharePoint Online dentro de su organización. Esta función detecta y bloquea archivos sospechosos en las bibliotecas de documentos y sitios de equipo, incluidos los archivos almacenados en OneDrive. El contenido malicioso identificado es bloqueado. Los usuarios no pueden abrir, copiar, mover, editar o compartir un archivo bloqueado que esté clasificado como malicioso. El archivo malicioso solo puede ser eliminado. La capacidad de descargar el archivo depende de la configuración.

Protección contra phishing

Después de definir políticas contra el phishing, se utilizan modelos de sistemas de autoaprendizaje con algoritmos complejos para detectar automáticamente y rápidamente ataques de phishing. La inteligencia de buzones analiza el correo electrónico del usuario y los hábitos de comunicación y agrega los datos para ayudar a detectar intentos de phishing en el futuro. Estas medidas estrictas dificultan cualquier intento de estafa.

Cuarentena

Los archivos no deseados y potencialmente peligrosos pueden ser trasladados a cuarentena. Como administrador del sistema, puede restaurar o eliminar manualmente los datos en cuarentena. De lo contrario, estos datos se eliminan después de que expire el período de retención configurado. Es posible que esté familiarizado con el principio de funcionamiento de la cuarentena si ha utilizado Protección en línea de Exchange de Microsoft 365.

Inteligencia de suplantación

Los hackers pueden enviar correos electrónicos en nombre de una o más cuentas sustituyendo el nombre del remitente. Cuando un usuario recibe un correo electrónico “falsificado”, puede parecer seguro si el remitente utiliza el nombre de un gerente en el campo del remitente. Un correo electrónico falsificado, que puede contener una solicitud de transferencia de dinero, enviar credenciales o scripts maliciosos, no es seguro y constituye una amenaza para los usuarios y toda la organización.

Office 365 Advanced Threat Protection incluye la función de Inteligencia de Falsificación que puede detectar si un remitente está utilizando un nombre real o un nombre falsificado. Puede ver la lista completa de usuarios que utilizan un dominio de empresa en particular y revisar quién está falsificando el dominio de su organización o cualquier dominio externo. Como administrador, puede bloquear al remitente que utilice un nombre de dominio o un nombre de usuario fingiendo ser un empleado de su organización.

Informes

Office 365 Advanced Threat Protection proporciona informes informativos para que pueda ver el estado de protección y analizar las amenazas entrantes. Un informe es una vista única que combina información sobre las amenazas detectadas, incluidos los correos electrónicos maliciosos y otro contenido malicioso. Las amenazas detectadas por Office 365 Advanced Threat Protection y Exchange Online Protection se muestran en los informes. Se muestra información de los últimos 90 días (el período máximo que se puede configurar) en los informes. Después de analizar los informes, puede ajustar las políticas.

Investigación y Respuesta ante Amenazas

Si trabajas en una gran empresa con muchos usuarios de Office 365, es posible que te veas abrumado por una gran cantidad de alertas de seguridad para manejar. Clasificar un alto número de correos electrónicos según los atributos es una tarea que consume mucho tiempo. La Investigación y Respuesta de Amenazas de Office 365 puede ayudar a los administradores del sistema y a los especialistas en seguridad a operar de manera más eficiente. Puedes ver las amenazas detectadas y configurar acciones automatizadas para mitigar diferentes tipos de amenazas. Puedes componer guiones con las acciones apropiadas para las amenazas detectadas, así como revisar y aprobar acciones o recomendaciones sugeridas por la Protección Avanzada contra Amenazas de Office 365 después de una investigación automatizada para remediar amenazas.

Contrario a la Protección en Línea contra Amenazas, que está disponible por defecto para los usuarios de Microsoft 365, la Protección Avanzada contra Amenazas está disponible para los planes de suscripción principales o se puede comprar por separado. Por ejemplo, incluso Microsoft 365 E3 no incluye protección avanzada contra amenazas.

La Protección Avanzada contra Amenazas de Microsoft Office 365 está incluida en los siguientes planes de suscripción:

• Microsoft 365 E5
• Microsoft 365 A5
• Microsoft 365 Business Premium

Sin embargo, puedes comprar la licencia de Protección Avanzada contra Amenazas de Office 365 además de los siguientes planes de suscripción:

• Plan 1 de Exchange Online
• Plan 2 de Exchange Online
• Exchange Online Kiosk
• Protección en Línea contra Amenazas de Exchange
• Microsoft 365 Business BasicMicrosoft 365 Business Standard
• Microsoft 365 Business Standard
• Microsoft 365 Enterprise E1
• Microsoft 365 Enterprise E3
• Microsoft 365 Enterprise F3
• Microsoft 365 A1
• Microsoft 365 A3

Si la Protección Avanzada contra Amenazas de Office 365 no está incluida en su plan de suscripción, puede comprar uno de los planes de ATP independientes utilizando un modelo de licencia por usuario:

• Plan 1 de Protección Avanzada contra Amenazas
• Plan 2 de Protección Avanzada contra Amenazas

Configuración de Protección Avanzada contra Amenazas

Actualización: Protección Avanzada contra Amenazas de Office 365 se convirtió en Microsoft Defender para Office 365 en septiembre de 2020. Ahora, para configurar cualquiera de las características enumeradas a continuación, debe acceder al Portal de Defender.

Veamos cómo configurar la Protección Avanzada contra Amenazas de Office 365:

1. Abra la interfaz web del centro de administración de Microsoft 365 utilizando el enlace https://admin.microsoft.com y vaya a Centros de administración > Seguridad en el panel izquierdo de la ventana.

Como alternativa, puede abrir un enlace directo al centro de administración de Seguridad y Cumplimiento de Microsoft 365: https://protection.office.com

2. En el panel izquierdo, haga clic en Gestor de amenazas y luego en Panel.

El panel de seguridad, también conocido como panel de amenazas, muestra el estado actual de protección contra amenazas y enlaces a páginas de configuración.

Políticas anti-malware

Haga clic en Política en el panel izquierdo, o panel de navegación, y aparece la página donde puede ver, editar y crear políticas. Puede configurar políticas anti-phishing, anti-spam y anti-malware. Veamos cómo crear una nueva política anti-malware:

1. Haga clic en Anti-malware.

2. En la página anti-malware que se abre, haga clic en el icono + para crear una nueva política anti-malware para Office 365 Advanced Threat Protection.

3. A new pop-up window opens.

Ingrese el nombre de la política y la descripción, y defina otras opciones de política como:

• Respuesta de detección de malware
• Filtro de Tipos Comunes de Adjuntos
• Purga Automática de Malware en Cero Horas
• Notificaciones

Finalmente, especifique a quién se aplica esta política y presione Guardar.

La política ahora está creada y se muestra en la lista de políticas en la página Malware.

Políticas anti-phishing

Las políticas anti-phishing se crean de manera ligeramente diferente a las políticas anti-malware:

1. Dirígete a Gestión de Amenazas > Política y haz clic en Anti-phishing.

Se abre la página Anti-phishing. Si estás abriendo esta página por primera vez, la lista de políticas anti-phishing estará vacía.

2. Haz clic en el botón +Crear para crear una nueva política anti-phishing para Office 365 Advanced Threat Protection.

3. A new policy wizard opens as a pop-up window. Complete all the steps in the wizard:

• Nombra tu política. Introduce un nombre para la nueva política anti-phishing. También puedes introducir una descripción.

• Aplica a. Define a los destinatarios o dominios en tu organización a los que se aplicará esta política o se excluirá añadiendo condiciones y seleccionando destinatarios. Por ejemplo, puedes aplicar la política a un dominio entero, membresía de grupo, o combinaciones de grupo y dominio. Luego, haz clic en Siguiente.

• Revisa tus ajustes. Comprueba tus ajustes y edítalos si es necesario. Si todo está correcto, haz clic en Crear esta política.

Cuarentena

Los mensajes de correo electrónico y los archivos que se clasifican como potencialmente peligrosos se mueven a cuarentena si se utilizan las configuraciones adecuadas para Office 365 Advanced Threat Protection. Ve a Gestión de Tratamientos > Revisar > Cuarentena para abrir la cuarentena. También puedes utilizar este enlace directo: https://protection.office.com/quarantine

Nota: El cuarentenamiento puede ser accedido por el administrador o otro usuario que tenga permisos para gestionar el cuarentenamiento. Los miembros del rol de Cuarentena en el Centro de seguridad y cumplimiento de Office 365 tienen permisos para gestionar el cuarentenamiento.

En la página de cuarentena, puedes ordenar los resultados haciendo clic en el título de la columna necesaria. Haz clic en Modificar Columnas para seleccionar qué columnas deben mostrarse.

Informes

Los informes son útiles para ver el estado actual y las estadísticas de tu entorno de Microsoft 365. En el panel de navegación del centro de administración de seguridad y cumplimiento de Office 365, haz clic en Informes > Panel para ver el panel con gráficos y diagramas.

En esta página puedes ver el resumen que incluye:

• Informes recientes para descargar
• Top 5 etiquetas
• Tendencia de etiquetas en los últimos 90 días
• Cómo se aplicaron las etiquetas
• Etiquetas clasificadas como registros
• Regla de transporte de Exchange
• Estado de protección contra amenazas
• Malware detectado en correo electrónico
• Top malware
• Principales remitentes y destinatarios
• Detecciones de suplantación
• Detecciones de spam
• Usuarios comprometidos
• Correo electrónico enviado y recibido
• Supervisión
• Informe de redireccionamiento
• Informe de conexión
• Informe de cifrado

Desplácese sobre el gráfico para ver más información. Haga clic en el gráfico o diagrama necesario para abrirlo en modo de ventana completa y ver los detalles. Después de hacer clic en Detecciones de suplantación, se muestra un informe detallado de correo electrónico fraudulento.

Por defecto, se muestra un período de 7 días en los gráficos y tablas, pero este período se puede aumentar hasta 90 días en la configuración. Los usuarios de prueba de Microsoft 365 con Protección Avanzada contra Amenazas pueden ver datos durante un máximo de 30 días en los informes.

Conclusión

La Protección Avanzada contra Amenazas de Office 365 está integrada con otros servicios de Microsoft 365 como OneDrive, SharePoint Online, Exchange Online, SharePoint Online y otros servicios. ATP te ayuda a proteger tus correos electrónicos de diversas amenazas de seguridad como enlaces dañinos, virus y malware.

Sin embargo, para lograr un nivel más alto de protección de datos, debes respaldar todos tus datos de Microsoft Office 365 con una solución dedicada como NAKIVO Backup & Replication. La solución NAKIVO te permite crear copias de seguridad incrementales de los datos de Microsoft 365 y ofrece restauraciones puntuales flexibles.