En Hack by Security sabemos que uno de los pilares de la ciberseguridad en entornos modernos es la Seguridad en el Correo, uno de los vectores de ataque más frecuentes de una organización, tanto en empresas pequeñas como grandes multinacionales están expuestas al mismo riesgo, un usuario que abra un enlace o archivo malicioso puede iniciar un incidente de seguridad con un alto impacto. En artículos anteriores se explicaba como configurar las Directivas de Seguridad Prestablecidas, una característica muy interesante es que Microsoft puede ir añadiendo protecciones adicionales, sin la intervención del administrador, en función de las nuevas amenazas y desafíos de seguridad, lo que simplifica la administración del ciclo de seguridad para proteger los servicios de correo electrónico.
Un asistente muy sencillo, ayuda a configurar las protecciones y que parte de la organización se verá afectada, una seguridad que se adapta a casi, casi cualquier tipo de negocio.
En este otro post, Protección Estricta del Mail en M365, ampliamos la protección para aquellos activos o usuarios mas sensibles de la empresa, hoy vamos a explicar el funcionamiento de las directivas de protección de correo que conviven con estas configuraciones de seguridad. Lo primero que debemos tener presente, es que una vez que Microsoft 365 protege el correo, genera una cuarentena donde almacena aquellos correos detectados como de riesgo, por un periodo por defecto de 30 días.
Esta ubicación de cuarentena está en Microsoft Defender en la siguiente ruta o enlace:
Microsoft Defender/Colaboración y Correo Electrónico/Revisar/Cuarentena
https://security.microsoft.com/quarantine
Pero hablaremos de las opciones de configuración de esta cuarentena, en próximos artículos…
Hoy hablaremos de las directivas de alerta y las configuraciones de directivas para las diferentes amenazas de los servicios de correo electrónico.
Las directivas de alerta permiten activar o desactivar un elevado numero de características, sobre diferentes opciones de detección de amenazas y otros mensajes relacionados con el uso del mail. Una vez configuradas las opciones que mejor se adaptan al modelo de negocio de nuestra empresa, en le uso del correo electrónico. Podemos pasar a la configuración de las políticas de seguridad del correo. Hay varias categorías que nos permiten clasificar las configuraciones en función del riesgo, lo que permite realizar configuraciones adecuadas para cada caso en particular.
En la siguiente imagen se aprecia como están habilitadas ambas protecciones, la protección estándar gestionada por Microsoft y la directiva por defecto para los ataques de Phishing.
En la configuración, se puede habilitar de forma sencilla una protección más o menos estricta, en función de los parámetros del correo recibido. Desde mover el mensaje a la carpeta de no deseado, a poner este en cuarentena o rechazar directamente el mensaje.
Para el correo No deseado o SPAM tenemos también configuraciones específicas, que en este caso permiten controlar el trafico de entrada, salida o los filtros de conexión. Por supuesto, todas estas reglas predeterminadas se pueden editar o crear nuevas reglas adicionales.
Principalmente nos interesa la primera directiva, que gestiona el trafico de entrada, aunque las otras dos categorías también nos permiten detectar si las cuentas de nuestros usuarios pueden estar comprometidas o participar en campañas de spam sin tener conocimiento el propio usuario. El primer paso es configurar el umbral y las características de clasificación, para los correos no deseados y los mails de suplantación de identidad. Estos valores se pueden ir ajustando con el paso del tiempo en función del comportamiento del correo corporativo.
Las opciones de retención de correo en cuarentena y otras acciones también se pueden configurar…
Entre las Acciones a editar, es interesante la clasificación de correos como: No deseado, suplantación de identidad y las clasificaciones de detección de alta confianza, lo que permite definir opciones distintas en función del nivel de riesgo, para la misma amenaza.
Además, se puede agregar remitentes o dominios Permitidos y/o Bloqueados, para afinar mejor la protección.
En la protección antimalware, se puede personalizar el tipo de archivo considerado peligroso, poner el mensaje en cuarentena o rechazar con aviso de no entrega (NDR). El tipo de cuarentena, configurado y las opciones de notificación cuando se bloquea un mail.
En el siguiente post hablaremos de las Directivas de Cuarentena, que características están configuradas por defecto y cómo mejorar las opciones con una directiva de cuarentena personalizada.
Otras configuraciones de Seguridad en Microsoft 365 están disponibles en el Blog de Hack By Security. En HBS creemos en compartir información, para ayudar a que tod@s estemos un poquito más seguros.