Home Blog Productos Autor Contacto

Protección avanzada con Defender for Office 365

azure ciberseguridad defender xdr entra microsoft 365 seguridad Jun 28, 2024
Protección avanzada con Defender for Office 365

Uno de los vectores de ataque más comunes es el correo electrónico, en particular mediante phishing, donde el usuario recibe un correo que parece legítimo, por ejemplo asociado a servicios como PayPal, Microsoft 365, Netflix o un banco. El objetivo es que el usuario haga clic en un adjunto o enlace malicioso.

Protección de Correo Electrónico

Microsoft 365 incluye Exchange Online Protection (EOP) como primer línea de defensa contra el correo no deseado y malicioso. Sin embargo, para una protección más avanzada se recomienda complementar con Microsoft Defender for Office 365, lo que no solo abarca correo sino que también otras herramientas colaborativas:

  • Exchange Online Protection (EOP): Proporciona filtrado de correo no deseado, protección contra malware y capacidades básicas de protección contra phishing. EOP es la base para asegurar el correo electrónico en Microsoft 365.
  • Microsoft Defender for Office 365: Complementa con capacidades adicionales de protección más allá de EOP, brindando protección avanzada contra ataques dirigidos y amenazas emergentes. Defender for Office 365 no solo protege el correo electrónico, sino también herramientas colaborativas como OneDrive, SharePoint y Microsoft Teams asegurando una protección integral en todo el entorno de Microsoft 365.

Principales características de Microsoft Defender for Office 365

  • Safe Attachments: Escanea archivos adjuntos en un entorno aislado (sandbox) antes de entregarlos al destinatario, bloqueando archivos maliciosos.
  • Safe Links: Verifica enlaces en tiempo real, bloqueando el acceso a enlaces maliciosos y advirtiendo al usuario.
  • Anti-phishing: Utiliza algoritmos de aprendizaje automático y análisis heurístico para detectar y bloquear intentos de phishing identificando correos que intentan suplantar la identidad de usuarios de confianza.
  • Investigación y Respuesta Automática (AIR): Automatiza la investigación y respuesta a incidentes, permitiendo al equipo de seguridad a responder rápidamente y minimizar el impacto. Por ejemplo, AIR puede iniciar una investigación para identificar si otros usuarios también recibieron un correo detectado como malicioso, analizar los enlaces y adjuntos, y tomar medidas para neutralizar la amenaza antes de que genere mayor daño. Esta característica requiere el plan 2.
  • Attack Simulation Training: Al igual que el caso anterior esta caracterísitca requiere del Plan 2 y brinda la posibilidad de realizar simulaciones de ataques de phishing con el objetivo de educar y preparar a los usuarios. Este entrenamiento práctico ayuda a identificar y corregir comportamientos riesgosos, mejorando la conciencia sobre la seguridad y reduciendo la probabilidad de que los usuarios caigan en ataques reales.

Ejemplo de Uso de Defender for Office 365

Si un correo con phishing pasa las barreras de antispam (EOP), un usuario podría hacer clic en un enlace o adjunto malicioso, comprometiendo su dispositivo o credenciales. Acorde a un reporte de Verizon de hace algunos años, el 93% de las brechas de seguridad comienzan con phishing y el 27% de los usuarios son propensos a hacer clic en estos correos.

Con Defender for Office 365, los archivos adjuntos o enlaces maliciosos se ejecutarían en un ambiente aislado (sandbox), en principio sin riesgo para la cuenta o el equipo del usuario. 

Fases de la Protección en Microsoft Defender for Office 365

  • Fase 1 - Edge Protection: Incluye protección contra ataques de Denial of Service (DoS) y bloqueos basados en reputación de IP y dominios.
  • Fase 2 - Sender Intelligence: Implementa autenticación de correos electrónicos, detección de compromisos de cuentas y filtrado de spoofing e impersonación.
  • Fase 3 - Content Filtering: Filtra contenidos de correo, incluyendo análisis de hipervínculos y archivos adjuntos mediante el uso de sandbox y reputación de URL.
  • Fase 4 - Post-Delivery Protection: Ofrece protección continua mediante Safe Links y Zero-hour auto purge (ZAP), que detecta y neutraliza amenazas después de la entrega del correo.

Implementación de Microsoft Defender for Office 365

A continuación los pasos recomendados para la implementación de Microsoft Defender for Office 365 en la organización:

  1. Configurar autenticación de correo. Configurar registros SPF, DKIM y DMARC para dominios personalizados de Microsoft 365.
  2. Configurar Políticas de Protección. Utilizar políticas de seguridad estándar y estrictas, o crear políticas personalizadas según los requerimientos.
  3. Asignar Permisos de administración. Delegar la administración del servicio por ejemplo mediante el rol de Security Administrator en lugar de Global Admin.
  4. Configurar Cuentas Prioritarias y Etiquetas de Usuario. Identificar y etiquetar usuarios prioritarios para facilitar la identificación en informes y recibir protección adicional.
  5. Configurar add-in de reporte de mensajes por parte de usuarios. Implementar complementos para que los usuarios puedan reportar falsos positivos y negativos en Outlook.
  6. Administrar Entradas de Bloqueo y Permitido. Tener claro los procedimientos para bloquear y permitir remitentes.
  7. Usar Simulaciones de Phishing. Usar Attack Simulation para enviar correos con phishing simulado para entrenar a los usuarios.
  8. Investigar y Responder. Usar la guía de operaciones de seguridad de Microsoft Defender for Office 365 para monitorear e investigar amenazas en la organización. Esto entre otra cosas incluye tareas diarias y semanales.

Licenciamiento de Defender for Office 365

Defender for Office 365 está disponible en dos planes:

  • Plan 1: Incluye Safe Attachments, Safe Links y capacidades adicionales de anti-phishing. Adecuado para la mayoría de las organizaciones.
  • Plan 2: Incluye también características avanzadas como AIR, simulación de ataques y protección avanzada contra amenazas. Ideal para organizaciones con requerimientos de seguridad más estrictos.

Defender for Office 365 puede licenciarse de forma independiente o como parte de algún paquete como por ejemplo el caso de Microsoft 365 E5 o Microsoft 365 E5 Security que incluyen el Plan 2 o Microsoft 365 Business Premium que incluye el Plan 1. 

Mejores Prácticas para Mitigar Riesgos de Phishing y Correo No Deseado

  • Configurar Políticas de Protección de Correo: Asegurar que las políticas de EOP y Defender for Office 365 estén configuradas correctamente.
  • Capacitar a los Usuarios: Educar a los empleados sobre cómo identificar correos de phishing y cómo actuar si reciben uno.
  • Implementar MFA: Requerir autenticación multifactor para acceder al correo electrónico y otros recursos críticos.
  • Monitorear y Revisar Regularmente: Revisar los informes y alertas de EOP y Defender for Office 365 para identificar y responder a amenazas.

Implementar una estrategia sólida de protección contra spam y phishing con Defender for Office 365 permite reducir significativamente el riesgo de amenazas y proteger datos críticos de ataques sofisticados.

Zero Trust y Microsoft Defender for Office 365

Microsoft Defender for Office 365 es un componente clave dentro de la estrategia de Zero Trust y un componente esencial en la implementación de XDR (Extended Detection and Response) con Microsoft Defender XDR. En una primera instancia tenemos EOP para prevenir ataques conocidos y masivos, luego complementando con alguno de los planes de Defender for Office 365 como el P1 protegiendo correo y otras herramientas de colaboración de ataques de día 0, phishing y compromiso de correo empresarial entre otros y con el P2 agregamos capacidades de investigación post-brecha, caza de amenazas, respuesta, automatización y simulación de ataques para entrenamiento.

Implementar Zero Trust con Microsoft Defender for Office 365 permite una protección integral contra amenazas avanzadas, asegurando que solo usuarios y dispositivos autorizados tengan acceso a datos críticos y aplicaciones.

Claro que el correo electrónico es solo una parte del puzle. Si un usuario no cuenta con Defender for Office 365 (o el atacante logra evadirlo) y abre un adjunto o hace clic en un enlace malicioso, sus credenciales podrían estar en peligro incluso si usa MFA, en complemento el equipo también podría estar comprometido. Para esto último se recomienda complementar con Microsoft Defender for Endpoint (EDR), lo que permitiría contar con alertas sobre comportamientos sospechosos y tomar medidas inmediatas entre otras cosas.

Asi que siguiendo el orden recomendado para la implementación de Defender XDR, en el artículo siguiente nos metemos en el tema de Microsoft Defender for Endpoint.

 

Artículos en la serie

 

CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE

1. Microsoft 365: El problema de seguridad
2. Desafíos de seguridad en Microsoft 365
3. Responsabilidad Compartida en Microsoft 365 y Azure
 

 

CAPITULO II - ZERO TRUST

 4. Zero Trust con Microsoft 365

 

 

CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS

5. Protección de identidades en Microsoft 365 y Azure
6. Tipos de Identidades en Entra ID (Azure AD)
7. Manejo de dispositivos con Microsoft Intune

 

 

CAPITULO IV - MICROSOFT DEFENDER XDR

8. Microsoft Defender XDR
9. Microsoft Defender for Identity
10. Antispam y Phishing con Defender for Office 365
11. Protección de dispositivos con Microsoft Defender for Endpoint
12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps
13. Microsoft Defender for Cloud

 

 

CAPITULO V - MICROSOFT SENTINEL

14. SIEM y SOAR con Microsoft Sentinel

 

 

BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

 

 

Daniel Núñez Banega

Autor del sitio

Hola! Bienvenido a Black Phoenix Cybersecurity, soy Daniel Núñez Banega, autor del sitio y trabajo en IT hace más de 20 años, especializado en tecnologías Microsoft y con particular foco en el área de Ciberseguridad. Mi misión con Black Phoenix Cybersecurity es ayudarte a transformar tu carrera en IT aprovechando las oportunidades que surgen en el área de la ciberseguridad.