Hay varias herramientas disponibles en Exchange Online para investigar mensajes etiquetados como correo no deseado y mensajes falsos de Microsoft Defender para Office 365 o Exchange Online Protection (EOP).
Este artículo revisa las herramientas más importantes, a saber, Exchange Message Trace, Threat Explorer, Message Header Analyzer y Advanced Hunting. También brindo algunos consejos prácticos sobre cómo usar Threat Explorer para investigar malware.
Rastreo de mensajes de Exchange frente a Explorador de amenazas
El seguimiento de mensajes es una tarea crucial para cualquier administrador de mensajería que intente comprender el flujo de correo. Le muestra qué cliente o servidor creó un correo electrónico y los servidores por los que transita un correo electrónico hasta que llega a su destino. En Exchange Online, puede usar la herramienta Seguimiento de mensajes para rastrear o rastrear un mensaje. Si desea obtener más información sobre el seguimiento de mensajes a través de la herramienta Seguimiento de mensajes, consulte este artículo.
Cuando se trata de correo no deseado, se necesita más información que información de seguimiento de mensajes. Por lo tanto, el seguimiento de mensajes ya no es la mejor herramienta de elección. Necesita una herramienta que también le brinde información sobre el escaneo, como los encabezados X del encabezado SMTP. Por esa razón, Microsoft creó Threat Explorer, una herramienta para investigar por qué EOP considera un correo electrónico no deseado o falsificado. Para delinear las principales diferencias entre las dos herramientas, aquí hay una descripción general:
- Exchange Message Trace le permite tener datos disponibles para rastrear mensajes en su ruta como mensajes de correo electrónico a medida que viajan a través de Exchange Online. Puede determinar si el servicio recibió, rechazó, aplazó o entregó un mensaje. También muestra qué acciones tomó EOP en el mensaje antes de que llegara a su destino. Message Trace también le permite buscar y rastrear mensajes, rastreando datos por hasta 90 días. Si quieres leer más detalles, consulta este artículo.
- Threat Explorer es una herramienta que le ayuda a investigar y responder a las amenazas de correo electrónico:
- Encuentre e investigue cualquier malware detectado por Microsoft 365.
- Identifique el motivo de la amenaza y qué tecnología de detección se aplicó.
- Ver URL(s) de phishing de correos electrónicos. Una URL de phishing es un sitio web falso que debería parecerse a un sitio web legítimo pero quiere engañarlo para que ingrese su información personal, como contraseñas.
- Inicie un proceso automatizado de investigación y respuesta desde una vista en Threat Explorer.
- Investigue el correo electrónico malicioso.
Threat Explorer también le permite investigar los mensajes hasta por 30 días. Para obtener más información sobre Threat Explorer, consulte este artículo escrito por Tony Redmond.
Tanto el seguimiento de mensajes de Threat Explorer como el de Exchange se encuentran en el centro de administración de Microsoft 365 Defender. Debe ser administrador global o administrador de seguridad para usar Threat Explorer y lector de seguridad para usar el seguimiento de mensajes de Exchange. También se puede acceder directamente al seguimiento de mensajes de Exchange desde el Centro de administración de Exchange (EAC) moderno.
Los dos sabores de Threat Explorer: detecciones en tiempo real y Threat Explorer
La vida hubiera sido tan fácil si solo hubiera una herramienta Threat Explorer disponible. Sin embargo, debo decirle que también hay múltiples sabores de Threat explorer disponibles: Threat Explorer de «funciones completas» y la herramienta de detecciones en tiempo real.
- Las detecciones en tiempo real (figura 1) le permiten ver y analizar las detecciones en tiempo real.
Figura 1: Ventana de detecciones en tiempo real
- Threat Explorer brinda toda la funcionalidad que ofrecen las detecciones en tiempo real, pero aún más: puede investigar todos los correos electrónicos, no solo los mensajes detectados por phishing o malware, como se ve en la figura 2. También permite el acceso a sus campañas, es decir, ataques de correo electrónico coordinados, incluyendo phishing y malware, para probar a sus usuarios. Y puede remediar las amenazas (incluida la activación de una investigación de Investigación y Respuesta Automatizadas).
Figura 2: Ventana Threat Explorer con algunos datos de ejemplo
Según su plan de Microsoft Defender para Office 365 (MDO), obtendrá la herramienta:
- MDO Plan 1 (incluido, por ejemplo, en las licencias Business Pro o M365 E3) te dará la herramienta de detecciones en tiempo real.
- MDO Plan 2 (incluido, por ejemplo, en la licencia M365 E5) le proporcionará Threat Explorer.
Por supuesto, el Plan 1 y el Plan 2 de MDO también están disponibles para su compra por separado.
Uso de Exchange Message Trace y Threat Explorer para investigar el correo no deseado
Veamos cómo investigar el correo no deseado.
El primer paso es identificar el mensaje a investigar. El método más común es buscar el mensaje como parte de un seguimiento de mensajes de Exchange o en Threat Explorer.
Cuando utilice el seguimiento de mensajes de Exchange, haga clic en el mensaje para ver la información de entrega del mensaje. Para ver por qué el correo no deseado filtró un mensaje, haga clic en Ver mensaje en el Explorador en el panel de detalles de la derecha para investigar el mensaje en el Explorador de amenazas (Figura 3).
Figura 3: Investigar un mensaje desde Seguimiento de mensajes
Esta opción abre Threat Explorer en el centro de administración de Microsoft 365 Defender para examinar el mensaje y sus detalles de entrega. También le mostrará un resumen de los detalles de la entrega, incluidas las amenazas y las tecnologías de detección (Figura 4).
Figura 4: Explorador de amenazas que muestra los detalles de entrega de un mensaje basura
La mayoría de las veces, la descripción general no brinda suficiente información para descubrir por qué una verificación realizada por EOP, como el filtro de correo no deseado o malware, etiquetó el mensaje. Para profundizar, haga clic en Abrir entidad de correo electrónico para explorar los detalles.
La Figura 5 muestra que el mensaje fue analizado y considerado SPAM por el filtro Spam Advanced. La sección de acción de política muestra el nombre de la política que etiquetó el mensaje y la acción invocada por esa política, que era mover el mensaje a cuarentena.
Figura 5: Explorador de amenazas que muestra los detalles de detección de correo electrónico
La pestaña Análisis le brinda la información más interesante sobre por qué el mensaje se detectó como malware o spam. La pestaña se divide en secciones que le proporcionan la siguiente información:
| Secciones | Lo que encuentras en esta sección | Las mejores prácticas a tener en cuenta |
| Detalles de detección de amenazas | Enumera todas las amenazas y su respectiva tecnología de detección que se aplican a este mensaje. | Identificar la amenaza principal. Si tiene más amenazas enumeradas aquí, la amenaza principal define la acción. Como regla general: las amenazas de phishing tienen una tasa más alta que el spam. |
| Detalles de detección de correo electrónico | Enumera los detalles sobre sustituciones, reglas de buzones, conectores, reglas de transporte implicadas, política (incluido un enlace) y acción de política. | Esta sección es la sección más importante ya que le proporcionará la mayor cantidad de detalles. Le muestra todas las políticas de filtro involucradas y le proporciona los GUID de las reglas de transporte de Exchange de estas políticas. Esto le permite usar el cmdlet Get-HostedContentFilterPolicy para identificar la política responsable de la acción. Nota: También debería mostrarle los niveles de BCL y SCL, pero en mis entornos, esto no funcionó. La solución para SCL es ejecutar un análisis de encabezado de mensaje. |
| Detalles del remitente-destinatario | Enumera los detalles del remitente, incluido el envío de IP, el nombre de dominio y los detalles de creación. | Esté atento a la suplantación de dominio donde el dominio del remitente es diferente al remitente P2. |
| Autenticación | Enumera la información de autenticación de la propiedad del dominio de Internet, a saber, la autenticación de mensajes basada en dominio (DMARC), el correo identificado por claves de dominio (DKIM) y el marco de políticas del remitente (SPF). Además, MDO calcula el número de 3 dígitos de Compauth utilizando el dominio From: como base para la evaluación. Técnicamente, incluye SPF, DKIM y DMARC para determinar si el mensaje está autenticado. | Esta es una sección importante para identificar cualquier suplantación de dominio, especialmente cuando DMARC, DKIM y SPF están configurados de manera restrictiva, por lo que fallan las comprobaciones. Comprender el resultado de Compuuth también es clave, puede ser aprobado, fallido, aprobado o ninguno. Si falla, debe estar atento a la suplantación de identidad, ya que el dominio del remitente puede ser diferente al del remitente P2 (consulte la sección de detalles del remitente y el destinatario). |
| Entidades relacionadas | Muestra una descripción general de los archivos adjuntos y enlaces incluidos en el mensaje y si se han encontrado amenazas. | Las direcciones URL que apuntan a un dominio diferente al dominio del remitente pueden indicar que se trata de un mensaje malicioso. |
Para respaldar su investigación, también puede usar el panel derecho del Explorador de amenazas para exponer el encabezado del mensaje en texto sin formato. Le permite copiar el encabezado para pegarlo en Microsoft Message Header Analyzer (MHA), para exponer la información del encabezado SMTP, como el nivel de confianza de spam y otros detalles (figura 6). MHA es una herramienta adicional basada en la web y su función principal es interpretar y mostrar los encabezados de los mensajes de una manera más consumible.
Figura 6: Analizador de encabezado de mensaje
¿Qué pasa con la caza avanzada?
Además de las herramientas mencionadas anteriormente, también puede usar la búsqueda avanzada en Microsoft Defender para el centro de administración de Office 365 para investigar los mensajes. La búsqueda avanzada es probablemente la herramienta de nivel experto más avanzada para investigar mensajes. Puede filtrar cualquier mensaje, incluidas las búsquedas de contenido del mensaje. Otra ventaja es que puede tomar medidas en los resultados de la búsqueda, por lo que puede identificar los mensajes que EOP movió a la carpeta Correo no deseado y mover estos mensajes nuevamente a las Bandejas de entrada de los usuarios.
Solo rascando la superficie
Entender cómo identificar el correo no deseado y los mensajes falsos no es una tarea fácil. En el futuro, podría volver al tema para profundizar en los detalles de algunos de los temas discutidos aquí, como el uso de la búsqueda avanzada. Si desea ver mis debates y demostraciones sobre el filtrado de correo no deseado, hay una grabación en línea de mi sesión de Microsoft Exchange Community (MEC) «Usar el seguimiento avanzado de mensajes para identificar el correo no deseado o la suplantación de identidad». ¡Déjame saber sobre qué temas te gustaría escuchar publicando un comentario!
