Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En primer lugar, se habilitó en Microsoft Defender for Cloud Apps, la política de detección de
malware, que por defecto está desactivada. Esta política identifica archivos maliciosos en el
almacenamiento en la nube, tanto en aplicaciones de Microsoft, como de terceros. Defender
for Cloud Apps admite la detección de malware para las aplicaciones: Box, Dropbox, Google
Workspace, Office 365.
Microsoft Defender for Cloud Apps utiliza la inteligencia de amenazas de Microsoft para
reconocer si ciertos archivos están asociados con ataques de malware conocidos y son
potencialmente maliciosos. Los archivos que se consideren potencialmente maliciosos, de
acuerdo con la heurística planteada por Microsoft son escanearán en una zona de pruebas
(Sandbox). Una vez que se confirma que los archivos son maliciosos, se añaden a una lista de
archivos infectados. Estos archivos se pueden consultar, pudiendo visualizar un informe que
muestra el tipo de malware con el que está infectado el archivo.
https://learn.microsoft.com/en-us/microsoft-365/security/intelligence/criteria?view=o365-
worldwide#malicious-software
La segunda configuración que se realizó fue la integración de Microsoft Defender for Endpoint
con Microsoft Defender for Cloud Apps. Esta integración simplifica la implementación de Cloud
Discovery, permitiendo la investigación basada en dispositivos. Por un lado, Microsoft
Defender for Endpoint es una plataforma de seguridad para protección, detección,
investigación y respuesta inteligentes, la cual protege los puntos finales de ciberamenazas, es
capaz de detectar ataques avanzados y filtraciones de datos, automatiza los incidentes de
seguridad y mejora la postura de seguridad.
Lo que hace Defender for Cloud Apps es utilizar la información de tráfico recopilada por
Defender for Endpoint sobre las aplicaciones y servicios en la nube a los que se accede desde
dispositivos administrados por TI.
Esto proporciona a los administradores una mayor visibilidad acerca de las aplicaciones
sancionadas/no autorizadas y sobre Shadow IT. Shadow IT ayuda a saber e identificar qué
aplicaciones se están utilizando y cuál es su nivel de riesgo.
Por último se realizó la activación del modo evaluación de Microsoft Defender for Office 365.
Esta activación permite explorar las características avanzadas de seguridad de colaboración y
correo electrónico de Defender para Office 365 sin llegar a afectar un entorno de producción.
Gracias a esto se puede:
Detectar amenazas de URL avanzadas con Safe Links.
Detectar amenazas de archivos avanzadas con Safe Attachments.
Identificar usuarios potencialmente suplantados.
Microsoft Defender para Office 365 en modo de evaluación lo que hace es crear directivas de
correo electrónico que registran incidentes, como malware, pero no actúan sobre los
mensajes.
Al configurar el modo de evaluación, se obtiene un informe diario con datos de hasta 90 días
que cuantifica los mensajes que se habrían bloqueado si se hubieran realizado e implementado
las políticas.
Una vez que caduque su versión de prueba, tendrá acceso a sus datos de prueba (datos de
funciones en Defender para Office 365 que no tenía anteriormente) durante 30 días. Después
de este período de 30 días, se eliminarán todas las políticas y los datos asociados con la versión
de prueba de Defender para Office 365.
Microsoft 365 Defender agrega todas las alertas, activos, investigaciones y pruebas
relacionadas con dispositivos, usuarios y buzones de correo en un incidente para proporcionar
una visión integral de todo el alcance de un ataque. Dentro de un incidente, se pueden analizar
las alertas que afectan a la red, entender lo que significan y cotejar la evidencia para poder
diseñar un plan de remediación eficaz.
De los incidentes que han surgido aproximadamente, en este mes desde que se realizaron las
configuraciones, destacar los incidentes de detección de malware que han surgido gracias a la
activación de la política Malware detection/Detección de malware. En los próximos meses,
seguirán surgiendo incidentes de este tipo, gracias a los cuales, podréis identificar archivos de
malware en el almacenamiento en la nube. Algunas mitigaciones recomendadas para este tipo
de incidentes serían:
Respecto a la integración que se ha realizado de Defender for Endpoint y Defender for cloud
Apps, destacar el panel de Cloud Discovery que está diseñado para proporcionar más
información sobre cómo se utilizan las aplicaciones en la nube dentro de una organización.
Proporciona una descripción general de un vistazo de qué tipos de aplicaciones se están
utilizando, sus alertas abiertas, los niveles de riesgo de las aplicaciones en su organización, el
tráfico de las aplicaciones dividido por el riesgo de las apps. También muestra quiénes son los
principales usuarios de aplicaciones y proporciona un mapa de ubicación de la sede central de
las aplicaciones.
Otra parte a destacar es la posibilidad de poder sancionar aplicaciones, para limitar o bloquear
su uso. A su vez, los administradores tienen la opción de advertir a los usuarios cuando
acceden a aplicaciones de riesgo. En lugar de bloquear a los usuarios, se les muestra un
mensaje que proporciona un vínculo de redireccionamiento personalizado a una página de la
empresa que enumera las aplicaciones aprobadas para su uso. El mensaje proporciona
opciones para que los usuarios omitan la advertencia y continúen con la aplicación.
Por último, tendríamos la activación del modo de evaluación de Microsoft Defender for Office
365. Gracia a esta activación se dispone del informe de estado de protección contra amenazas.
El cual en una vista única reúne información sobre contenido malicioso y correo electrónico
malicioso detectado y bloqueado por Exchange Online Protection (EOP) y Microsoft Defender
para Office 365.
La gráfica que podéis ver a la derecha muestra el informe de protección contra amenazas de
URL, el cual proporciona vistas de resumen y tendencias para las amenazas detectadas y las
acciones realizadas al hacer click en direcciones de URL como parte de las directivas de Safe
Attachments.
El informe de Estado de protección contra amenazas se puede filtrar por diferentes categorías,
como amenazas de phishing de correo electrónico, que es la gráfica que podéis ver en la parte
de la izquierda. Si os fijáis en la parte de abajo estos correos, están desglosados por tecnología
de detección, como suplantación de identidad, reputación de URL malintencionada, etc
Las pruebas de modo evaluación duran 90 días, si quisieras seguir haciendo uso de este tipo de
funcionalidades, tendrías que activar las políticas y reglas de colaboración y correo electrónico.
https://learn.microsoft.com/es-es/microsoft-365/security/office-365-security/preset-security-
policies?view=o365-worldwide#policies-in-preset-security-policies