Visión general de la protección avanzada contra amenazas

Advanced Threat Protection (ATP) es el servicio de filtro basado en la nube de Microsoft para examinar los correos electrónicos de entrada y salida en busca de cualquier actividad potencialmente maliciosa. Esto incluye, entre otras cosas, el phishing, el malware y los virus. ATP es una solución excelente para proteger a cualquier organización de una intrusión potencialmente catastrófica o de la destrucción de datos sensibles.

ATP no se limita a las soluciones de correo electrónico basadas en Microsoft. Es una herramienta de filtrado muy ágil y robusta que puede proteger,

  • Entornos de correo electrónico basados en la nube O365.
  • O365 on-prem Exchange Server 2013 o versiones anteriores de Exchange Server.
  • Cualquier otra solución de correo electrónico SMTP on-prem.
  • Configuraciones de correo híbridas que tienen una mezcla de buzones de correo en la nube y en las instalaciones de la empresa que utilizan Exchange Online Protection para el filtrado del correo electrónico entrante.

Las principales características de la ATP se pueden desglosar en,

  • Enlaces seguros
  • Adjuntos seguros
  • Inteligencia falsa
  • Cuarentena
  • Funciones avanzadas de antiphishing

Más adelante, en esta documentación, nos referiremos a cada una de estas características con mayor profundidad.

Información sobre licencias

El ATP suele ser un producto con licencia separada de Microsoft, a no ser que tenga,

  • Office 365 Empresa E5
  • Office 365 Educación
  • Microsoft 365 Empresa

Las licencias mencionadas anteriormente tienen el ATP ya incluido. Si no tiene ya una de las licencias no se preocupe, este servicio también se puede añadir,

  • Plan Exchange Online 1
  • Plan 2 de Exchange Online
  • Kiosco de intercambio en línea
  • Protección de Exchange Online
  • Office 365 Business Essentials
  • Office 365 Empresa Premium
  • Office 365 Empresa E1
  • Office 365 Empresa E3
  • Office 365 Empresa F1
  • Office 365 A1
  • Office 365 A3

Características de la ATP

Enlaces seguros

Esta función es una de las más destacadas e importantes de ATP. Proporciona una verificación "en el momento de hacer clic" de todas las URLs que están hipervinculadas dentro de los correos electrónicos que se envían a o dentro del entorno de correo electrónico de una organización. Cuando un usuario recibe un correo electrónico en un entorno habilitado para ATP, se aplican varios filtros. Pasará por Exchange Online Protection y comprobará si hay malware, spam e IPs sospechosas. A continuación, se añadirá una URL de enlace seguro al enlace, que puede verse pasando el ratón por encima del enlace en un entorno ATP.

Sin embargo, no se acaba ahí, después de que el usuario abra el correo electrónico y seleccione el enlace, ATP volverá a comprobar la URL para asegurarse de que no hay nada potencialmente malicioso en el otro lado. Un enlace se definirá como bloqueado, malicioso o seguro.

El ATP también es personalizable por la organización del usuario final. Esto se hace definiendo políticas personalizadas para los enlaces seguros a través del centro de administración de Exchange. Esto ofrece una plétora de opciones para que un administrador las personalice, como el seguimiento de los enlaces, la activación o desactivación de los enlaces seguros para correos electrónicos completamente internos, la posibilidad de que los usuarios hagan clic en la URL original y mucho más.

Adjuntos seguros

Al igual que Safe Links, Safe Attachments coloca un correo electrónico que contiene un archivo adjunto en una zona de "cuarentena". A continuación, ATP aprovechará el aprendizaje automático para comprobar si el mensaje tiene alguna intención maliciosa. Si no se detecta ninguna actividad sospechosa o intención maliciosa, el mensaje se libera para su entrega.

También hay políticas disponibles para los archivos adjuntos seguros. Algunos ejemplos de manipulación de la política de Adjuntos Seguros son la posibilidad de activar o desactivar el análisis de los adjuntos, seguir el malware detectado en todo el entorno, sustituir los adjuntos por una notificación de que el mensaje contiene materiales potencialmente dañinos.

Inteligencia falsa

Esta función permite que un origen supervise la suplantación de todos los dominios que entran o salen de un entorno de correo electrónico. Para cualquier dominio que forme parte de la organización que tenga configurado el ATP, éste buscará a los remitentes que estén suplantando el dominio de la organización y, en función de las políticas establecidas, permitirá el paso del correo electrónico y lo supervisará o lo bloqueará por completo.

Para cualquier remitente externo que esté suplantando dominios y que esté entrando en la organización, ATP comprobará el remitente, registrará los datos y, dependiendo de las políticas establecidas, permitirá o bloqueará el correo electrónico. Al igual que las partes de ATP mencionadas anteriormente, las políticas pueden hacerse para que la Inteligencia de Suplantación de Identidad reaccione directamente a la suplantación de identidad de la manera que el usuario final considere adecuada para su entorno.

Cuarentena

La zona de cuarentena, que se encuentra dentro de la sección de Seguridad y Cumplimiento de O365, amplía la protección de EOP (exchange online protection). Todos los correos electrónicos que han sido clasificados como malware por las políticas existentes terminarán aquí. Un administrador de exchange/email puede ver los correos electrónicos y decidir si los libera de la cuarentena o los elimina sin dejar que el mensaje potencialmente malicioso llegue al usuario final. Si un administrador puede "Previsualizar" cualquier mensaje dentro de la zona de cuarentena sin exponerse a daños. Esto permite una evaluación más completa de los mensajes maliciosos para determinar si deben ser eliminados o no.

Capacidades avanzadas contra el phishing

Dentro del centro de Seguridad y Cumplimiento de O365 un administrador puede configurar políticas antiphishing para ATP. Todo esto se encuentra en la hoja de gestión de amenazas. Algunos ejemplos de estas políticas son,

  • Añadir direcciones de correo electrónico para proteger, éstas pueden ser internas o externas (hasta 60 direcciones diferentes).
  • Definir dominios protegidos, esto ayudará a luchar contra la suplantación de identidad por parte de los atacantes de spam y phishing.
  • La habilitación de la inteligencia del buzón, sólo disponible para las cuentas basadas en la nube, permite una evaluación más profunda de la actividad de cada usuario individual de correo electrónico para determinar mejor cuándo un correo electrónico que entra o sale de una cuenta podría ser potencialmente spam.

Además de ATP, Phish Hunter puede aplicarse a un entorno para duplicar y profundizar aún más en el entorno de correo electrónico de las organizaciones para encontrar y detener las amenazas. Puede encontrar más información sobre Phish Hunter en https://fit-prod-web01.azurewebsites.net/phish-hunter/.

Dejar una respuesta

Debes estar conectado para publicar un comentario.

es_CRSpanish