Saltar al contenido

Seguridad de Microsoft 365 y Exchange Online

Los inquilinos de Microsoft 365 y el sistema de autenticación subyacente Entra ID (Azure AD) disponen de muchas opciones de configuración diferentes para permitir que su empresa implemente diferentes niveles de seguridad. Muchas de estas opciones no están activadas de forma predeterminada. Si bien este documento no cubre todas las opciones de seguridad disponibles, ni analiza otras tecnologías como la administración de dispositivos y la prevención de pérdida de datos (DLP), ofrece una orientación a nuestros clientes sobre la configuración recomendada que ayudará a mejorar la protección de identidades y reducir la estafa por correo electrónico corporativo comprometido (BEC).

La guía cubre dos secciones: la configuración recomendada y la configuración opcional. Instamos a todos los clientes a implementar la configuración recomendada. También le sugerimos que considere e investigue la configuración opcional y la aplique según sea conveniente para su entorno.

Cualquier cambio en su entorno que esté considerando debe revisarse y probarse en su organización después de consultar la documentación adecuada de Microsoft. Le recomendamos que haga cualquier cambio en lotes, utilizando cuentas de prueba, usuarios piloto y departamentos pequeños antes de aplicarlos a toda la organización. Asegúrese de tener una cuenta de acceso de emergencia disponible, como se documenta a continuación, para evitar ser bloqueado.

Orientación sobre licencias

Algunos de los elementos de configuración que se detallan a continuación están disponibles en todos los inquilinos de M365, independientemente de las licencias que se utilicen. Sin embargo, la mayoría requerirá al menos que las licencias 'Entra ID P1' estén disponibles en su inquilino y algunos requieren licencias 'Entra ID P2'. 'Entra ID P1' está incluido en los paquetes de M365 Business Premium E3/A3, con licencias 'Entra ID P2' disponibles en paquetes de M365 E5/A5.

Si no está usando licencias que incluyen al menos licencias 'Entra ID P1', entonces le recomendamos encarecidamente el uso de los 'valores predeterminados de seguridad' de Microsoft. Es un conjunto básico de políticas de seguridad controladas por Microsoft. Consulte Proporcionar un nivel de seguridad predeterminado en Microsoft Entra ID - Microsoft Entra.

Al integrar alertas de Microsoft al servicio de Sophos MDR, 'Entra ID P1' es la licencia mínima que debe usar, sin embargo le recomendamos el uso de 'Entra ID P2', debido a la mayor cantidad de alertas generadas por Microsoft. Consulte estos artículos para ver ejemplos de estas alertas:

Le recomendamos que solicite información adicional sobre licencias a su especialista en licencias de Microsoft.

Elementos de la configuración recomendada

  • Activar registro de auditoría unificado


    Asegúrese de que el registro de auditoría está registrando la actividad para todos los servicios.

    Ubicación: Portal de Defender > Auditoría

- **Configurar políticas de alertas** --- Las políticas de alertas generarán notificaciones por correo electrónico cuando ocurran ciertos eventos de alto riesgo en Exchange. Recomendamos asegurarse de que estas alertas están configuradas para ir a los administradores de Exchange Online. **Ubicación**: Portal de Defender > Políticas y reglas > Política de alertas **Bloquear el inicio de sesión para todos los buzones compartidos** - Los buzones compartidos suelen ser a menudo objetivos fáciles con contraseñas débiles y sin MFA. Recomendamos que los permisos se modifiquen para bloquear directamente los inicios de sesión en buzones compartidos y solo se acceda a ellos a través de cuentas de usuario autenticadas. - **Ubicación**: Centro de administración > Usuarios **Bloquear usuarios que reenvían automáticamente mensajes fuera de la organización** - Los ciberdelincuentes a menudo comprometen los buzones de correo y establecen reglas de reenvío a cuentas externas. Recomendamos bloquear la posibilidad de que los usuarios creen reglas de reenvío automático a destinatarios externos. - **Ubicación**: Portal de Defender > Políticas y reglas > Políticas de amenazas > Antispam (política saliente).

Elementos de la configuración opcional

  • Implementar políticas de seguridad preestablecidas (protección de correo electrónico)


    Microsoft publica dos conjuntos de políticas de seguridad para definir cómo la protección de Exchange Online trata las amenazas. Recomendamos utilizar al menos el grupo de políticas de "Protección estándar" para protegerse contra amenazas basadas en correo electrónico. Si utiliza una solución de filtrado de spam externa adicional, asegúrese de consultar a ese proveedor antes de modificar estos ajustes.

    Ubicación: Portal de Defender > Políticas y reglas > Políticas de amenazas > Políticas de seguridad preestablecidas

    Referencia:

- **Configurar la autenticación del correo electrónico (SPF, DKIM, DMARC)** --- Le recomendamos que se asegure de que SPF, DKIM y DMARC estén configurados correctamente cuando utilice cualquier solución de filtrado de correo electrónico. **Ubicación**: DNS **Referencias**: - [Configurar SPF para identificar fuentes de correo electrónico válidas para su dominio de Microsoft 365](https://docs.microsoft.com/es-es/office365/securitycompliance/set-up-spf-in-office-365-to-help-prevent-spoofing) - [Cómo usar DKIM para correo electrónico en su dominio personalizado](https://docs.microsoft.com/es-es/office365/securitycompliance/use-dkim-to-validate-outbound-email) - [Utilice DMARC para validar el correo electrónico, pasos de configuración](https://docs.microsoft.com/es-es/office365/securitycompliance/use-dmarc-to-validate-email)