Ahora vamos a hablar de la parte de Threat Check del workshop.

En la tabla se puede ver que

configuraciones estaban activadas antes del workshop y cuales se activaron al comienzo del
mismo. (Voy a explicar

Malware detection policy

En primer lugar, se habilitó en Microsoft Defender for Cloud Apps, la política de detección de
malware, que por defecto está desactivada. Esta política identifica archivos maliciosos en el
almacenamiento en la nube, tanto en aplicaciones de Microsoft, como de terceros. Defender
for Cloud Apps admite la detección de malware para las aplicaciones: Box, Dropbox, Google
Workspace, Office 365.

Microsoft Defender for Cloud Apps utiliza la inteligencia de amenazas de Microsoft para
reconocer si ciertos archivos están asociados con ataques de malware conocidos y son
potencialmente maliciosos. Los archivos que se consideren potencialmente maliciosos, de
acuerdo con la heurística planteada por Microsoft son escanearán en una zona de pruebas
(Sandbox). Una vez que se confirma que los archivos son maliciosos, se añaden a una lista de
archivos infectados. Estos archivos se pueden consultar, pudiendo visualizar un informe que
muestra el tipo de malware con el que está infectado el archivo.

https://learn.microsoft.com/en-us/microsoft-365/security/intelligence/criteria?view=o365-
worldwide#malicious-software

Integración M. Defender for Endpoint con M. Defender for Cloud Apps

La segunda configuración que se realizó fue la integración de Microsoft Defender for Endpoint
con Microsoft Defender for Cloud Apps. Esta integración simplifica la implementación de Cloud
Discovery, permitiendo la investigación basada en dispositivos. Por un lado, Microsoft
Defender for Endpoint es una plataforma de seguridad para protección, detección,
investigación y respuesta inteligentes, la cual protege los puntos finales de ciberamenazas, es
capaz de detectar ataques avanzados y filtraciones de datos, automatiza los incidentes de
seguridad y mejora la postura de seguridad.

Lo que hace Defender for Cloud Apps es utilizar la información de tráfico recopilada por
Defender for Endpoint sobre las aplicaciones y servicios en la nube a los que se accede desde
dispositivos administrados por TI.

Una vez que se recopila la información de tráfico, se puede profundizar en el uso de

aplicaciones en la nube en la organización. Defender for Cloud Apps aprovecha las capacidades
de Defender for Endpoint Network Protection para bloquear el acceso de los dispositivos de
punto final a las aplicaciones en la nube.

Esto proporciona a los administradores una mayor visibilidad acerca de las aplicaciones
sancionadas/no autorizadas y sobre Shadow IT. Shadow IT ayuda a saber e identificar qué
aplicaciones se están utilizando y cuál es su nivel de riesgo.

Office 365 Evaluation mode

Por último se realizó la activación del modo evaluación de Microsoft Defender for Office 365.
Esta activación permite explorar las características avanzadas de seguridad de colaboración y
correo electrónico de Defender para Office 365 sin llegar a afectar un entorno de producción.
Gracias a esto se puede:
  Detectar amenazas de URL avanzadas con Safe Links.
 Detectar amenazas de archivos avanzadas con Safe Attachments.
 Identificar usuarios potencialmente suplantados.

Microsoft Defender para Office 365 en modo de evaluación lo que hace es crear directivas de
correo electrónico que registran incidentes, como malware, pero no actúan sobre los
mensajes.

Al configurar el modo de evaluación, se obtiene un informe diario con datos de hasta 90 días
que cuantifica los mensajes que se habrían bloqueado si se hubieran realizado e implementado
las políticas.

Una vez que caduque su versión de prueba, tendrá acceso a sus datos de prueba (datos de
funciones en Defender para Office 365 que no tenía anteriormente) durante 30 días. Después
de este período de 30 días, se eliminarán todas las políticas y los datos asociados con la versión
de prueba de Defender para Office 365.

Incidentes en M365 Defender  Política Detección de malware

Microsoft 365 Defender agrega todas las alertas, activos, investigaciones y pruebas
relacionadas con dispositivos, usuarios y buzones de correo en un incidente para proporcionar
una visión integral de todo el alcance de un ataque. Dentro de un incidente, se pueden analizar
las alertas que afectan a la red, entender lo que significan y cotejar la evidencia para poder
diseñar un plan de remediación eficaz.

De los incidentes que han surgido aproximadamente, en este mes desde que se realizaron las
configuraciones, destacar los incidentes de detección de malware que han surgido gracias a la
activación de la política Malware detection/Detección de malware. En los próximos meses,
seguirán surgiendo incidentes de este tipo, gracias a los cuales, podréis identificar archivos de
malware en el almacenamiento en la nube. Algunas mitigaciones recomendadas para este tipo
de incidentes serían:

 En Microsoft Defender for Office 365, implementar políticas de Safe attachments y

safe links, para mitigar amenazas de malware desconocidas. En este momento, este
tipo de directivas estarían configuradas, debido a que se ha activado el modo
Evaluación para Microsoft Defender for Office 365, que recoge esto.
 A nivel de usuario final, sensibilizar a los empleados sobre las amenazas basadas en el
correo electrónico mediante el uso de Attack Simulator.
 Implementar políticas en Exchange Online Protection.
 Implemente Microsoft Defender for Cloud Apps:
o con políticas de detección de anomalías para detectar actividades sospechosas
en los buzones y automatizar las respuestas.
o con políticas de sesión para restringir la carga de archivos de fuentes no
confiables para reducir los vectores de amenazas de malware.
o con políticas de malware para detectar la presencia de malware en SharePoint
Online, OneDrive, Teams y en aplicaciones de terceros compatibles, como Box
y/o Dropbox.
o con una política de actividad de ransomware para detectar patrones de
actividad relacionados con un ataque de ransomware.
Cloud Discovery

Respecto a la integración que se ha realizado de Defender for Endpoint y Defender for cloud
Apps, destacar el panel de Cloud Discovery que está diseñado para proporcionar más
información sobre cómo se utilizan las aplicaciones en la nube dentro de una organización.
Proporciona una descripción general de un vistazo de qué tipos de aplicaciones se están
utilizando, sus alertas abiertas, los niveles de riesgo de las aplicaciones en su organización, el
tráfico de las aplicaciones dividido por el riesgo de las apps. También muestra quiénes son los
principales usuarios de aplicaciones y proporciona un mapa de ubicación de la sede central de
las aplicaciones.

Otra parte a destacar es la posibilidad de poder sancionar aplicaciones, para limitar o bloquear
su uso. A su vez, los administradores tienen la opción de advertir a los usuarios cuando
acceden a aplicaciones de riesgo. En lugar de bloquear a los usuarios, se les muestra un
mensaje que proporciona un vínculo de redireccionamiento personalizado a una página de la
empresa que enumera las aplicaciones aprobadas para su uso. El mensaje proporciona
opciones para que los usuarios omitan la advertencia y continúen con la aplicación.

Estado Protección contra amenazas

Por último, tendríamos la activación del modo de evaluación de Microsoft Defender for Office
365. Gracia a esta activación se dispone del informe de estado de protección contra amenazas.
El cual en una vista única reúne información sobre contenido malicioso y correo electrónico
malicioso detectado y bloqueado por Exchange Online Protection (EOP) y Microsoft Defender
para Office 365.

El informe proporciona el recuento de mensajes de correo electrónico con contenido

malicioso, como archivos o direcciones de sitios web (URL) que fueron bloqueados por el
motor antimalware, zero-hour auto purge (ZAP) y las funciones de Defender para Office 365
como Safe Links, Safe Attachments y funciones de protección contra la suplantación de
identidad en las políticas antiphishing. Esta información se puede utilizar para identificar
tendencias o determinar si es necesario ajustar determinadas políticas.

La gráfica que podéis ver a la derecha muestra el informe de protección contra amenazas de
URL, el cual proporciona vistas de resumen y tendencias para las amenazas detectadas y las
acciones realizadas al hacer click en direcciones de URL como parte de las directivas de Safe
Attachments.

El informe de Estado de protección contra amenazas se puede filtrar por diferentes categorías,
como amenazas de phishing de correo electrónico, que es la gráfica que podéis ver en la parte
de la izquierda. Si os fijáis en la parte de abajo estos correos, están desglosados por tecnología
de detección, como suplantación de identidad, reputación de URL malintencionada, etc

La gráfica de la derecha está filtrada por amenazas de malware en correos electrónicos.

Las pruebas de modo evaluación duran 90 días, si quisieras seguir haciendo uso de este tipo de
funcionalidades, tendrías que activar las políticas y reglas de colaboración y correo electrónico.

https://learn.microsoft.com/es-es/microsoft-365/security/office-365-security/preset-security-
policies?view=o365-worldwide#policies-in-preset-security-policies