Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede usar directivas de alertas y el panel de alertas en el portal de Microsoft Defender para crear directivas de alertas y, a continuación, ver las alertas que se generan cuando los usuarios realizan actividades que cumplen las condiciones de una directiva de alertas. Hay varias directivas de alerta predeterminadas que le ayudan a supervisar actividades, como asignar privilegios de administrador en Exchange Online, ataques de malware, campañas de suplantación de identidad (phishing) y niveles inusuales de eliminaciones de archivos o uso compartido externo.
Sugerencia
Vaya a la sección Directivas de alerta predeterminadas de este artículo para obtener una lista y una descripción de las directivas de alerta disponibles.
Las directivas de alerta le permiten clasificar las alertas que desencadena una directiva, aplicar la directiva a todos los usuarios de la organización, establecer un umbral para cuándo se desencadena una alerta y decidir si se van a recibir notificaciones por correo electrónico cuando se desencadenan alertas. También hay una página Alertas donde puede ver y filtrar alertas, establecer un estado para gestionarlas y descartarlas una vez que haya atendido o resuelto el incidente subyacente.
Nota:
Las directivas de alerta están disponibles en las siguientes organizaciones:
- Microsoft 365 Enterprise
- Office 365 Enterprise
- Office 365 Administración Pública para Estados Unidos E1/F1/G1, E3/F3/G3 o E5/G5
La funcionalidad avanzada solo está disponible en las organizaciones siguientes:
- Microsoft 365 E5/G5
- Microsoft 365 E1/F1/G1 o Microsoft 365 E3/F3/G3 más una de las siguientes suscripciones complementarias:
- Plan 2 de Microsoft Defender para Office 365
- Conjunto de aplicaciones de Microsoft Defender
- Cumplimiento de Microsoft 365 E5
- Complemento eDiscovery y auditoría de E5
En este artículo se destacan las funcionalidades avanzadas que requieren Microsoft 365 E5/G5 o una suscripción complementaria.
Las directivas de alerta están disponibles en las organizaciones gubernamentales de EE. UU. (Office 365 GCC, GCC High y DoD).
Cómo funcionan las directivas de alerta
Esta es una introducción rápida sobre cómo funcionan las directivas de alertas y las alertas que se desencadenan cuando la actividad del usuario o administrador coincide con las condiciones de una directiva de alerta.
Un administrador de la organización crea, configura y activa una directiva de alerta mediante la página Directivas de alerta del portal de cumplimiento o el portal de Microsoft Defender. También puedes crear directivas de alerta usando el cmdlet New-ProtectionAlert en Security & Compliance PowerShell.
Para crear directivas de alerta, debe tener asignado el rol Administrar alertas o el rol Configuración de la organización en el portal de cumplimiento o en el portal de Defender.
Nota:
Después de crear o actualizar una directiva de alertas, pueden transcurrir hasta 24 horas antes de que la directiva pueda desencadenar alertas. Esto se debe a que la directiva debe sincronizarse con el motor de detección de alertas.
Un usuario realiza una actividad que coincide con las condiciones de una directiva de alerta. En el caso de ataques de malware, los mensajes de correo electrónico infectados enviados a los usuarios de la organización desencadenan una alerta.
Microsoft 365 genera una alerta que se muestra en la página Alertas del portal de Microsoft Defender. Además, si las notificaciones por correo electrónico están habilitadas para la directiva de alertas, Microsoft envía una notificación a una lista de destinatarios. Las alertas que un administrador u otros usuarios pueden ver en la página Alertas vienen determinadas por los roles asignados al usuario. Para obtener más información, consulte Permisos de RBAC necesarios para ver las alertas.
Un administrador administra las alertas en el portal de Microsoft Defender. La administración de alertas consiste en asignar un estado de alerta para ayudar a realizar un seguimiento y administrar cualquier investigación.
Configuración de la directiva de alerta
Una directiva de alerta consta de un conjunto de reglas y condiciones que definen la actividad de usuario o administrador que genera una alerta, una lista de usuarios que desencadenan la alerta si realizan la actividad y un umbral que define cuántas veces debe producirse la actividad antes de que se desencadene una alerta. También categoriza la directiva y le asigna un nivel de gravedad. Estas dos opciones de configuración le ayudan a administrar las directivas de alertas (y las alertas que se desencadenan cuando se cumplen las condiciones de la directiva), ya que puede filtrar por esta configuración al administrar directivas y ver alertas en el portal de Microsoft Defender. Por ejemplo, puede ver alertas que coinciden con las condiciones de la misma categoría o ver alertas con el mismo nivel de gravedad.
Para ver y crear directivas de alerta, en el portal de Microsoft Defender, en Correo electrónico y colaboración seleccione Directivas y reglas>Directiva de alerta. O puede ir directamente a https://security.microsoft.com/alertpolicies.
Nota:
Debe tener asignado el rol Administrar alertas de solo vista para ver las directivas de alertas en el portal de Microsoft Defender. Debe tener asignado el rol Administrar alertas para crear y editar directivas de alertas. Para obtener más información, vea Asignar permisos de control de acceso basado en rol (RBAC) unificado de Microsoft Defender XDR.
Una directiva de alerta consta de las siguientes configuraciones y condiciones.
Actividad sobre la que la alerta está realizando un seguimiento. Crea una directiva para realizar un seguimiento de una actividad o, en algunos casos, algunas actividades relacionadas, como compartir un archivo con un usuario externo compartiéndolo, asignando permisos de acceso o creando un vínculo anónimo. Cuando un usuario realiza la actividad definida por la directiva, se desencadena una alerta en función de la configuración del umbral de alerta.
Nota:
Las actividades que puede supervisar dependen del plan Office 365 Enterprise o Office 365 Administración Pública para Estados Unidos de su organización. En general, las actividades relacionadas con campañas de malware y ataques de suplantación de identidad requieren una suscripción E5/G5 o una suscripción E1/F1/G1 o E3/F3/G3 con una suscripción complementaria de Defender para Office 365 Plan 2.
Condiciones de actividad. Para la mayoría de las actividades, puede definir condiciones adicionales que deben cumplirse para desencadenar una alerta. Las condiciones comunes incluyen direcciones IP (para que se desencadene una alerta cuando el usuario realice la actividad en un ordenador con una dirección IP específica o dentro de un rango de direcciones IP), si se desencadena una alerta cuando un usuario o usuarios específicos realizan esa actividad, y si la actividad se realiza en un nombre de archivo o dirección URL específicos. También puede configurar una condición que desencadene una alerta cuando cualquier usuario de la organización realice la actividad. Las condiciones disponibles dependen de la actividad seleccionada.
También puede definir etiquetas de usuario como una condición de una directiva de alerta. Esta definición da como resultado las alertas desencadenadas por la directiva para incluir el contexto del usuario afectado. Puede usar etiquetas de usuario del sistema o etiquetas de usuario personalizadas. Para obtener más información, vea Etiquetas de usuario en Microsoft Defender para Office 365.
Cuando se desencadena la alerta. Puede configurar un valor que defina la frecuencia con la que se puede producir una actividad antes de que se desencadene una alerta. Esto le permite configurar una directiva para generar una alerta cada vez que una actividad coincida con las condiciones de la directiva, cuando se supere un umbral determinado o cuando la frecuencia de la actividad sobre la que la alerta realiza un seguimiento se vuelva inusual para su organización.
Si selecciona la configuración en función de una actividad inusual, Microsoft establece un valor de línea base que define la frecuencia normal de la actividad seleccionada. Esta línea base tarda hasta siete días en establecerse, durante los cuales no se generan alertas. Una vez establecida la línea base, se desencadena una alerta cuando la frecuencia de la actividad de la que realiza un seguimiento la directiva de alerta supera considerablemente el valor de línea base. En el caso de las actividades relacionadas con la auditoría (como las actividades de archivos y carpetas), puede establecer una línea base basada en un único usuario o en todos los usuarios de la organización; para actividades relacionadas con malware, puede establecer una línea base basada en una sola familia de malware, un único destinatario o todos los mensajes de su organización.
Nota:
La capacidad de configurar directivas de alerta basadas en un umbral o en función de una actividad inusual requiere una suscripción E5/G5, o una suscripción E1/F1/G1 o E3/F3/G3 con una suscripción complementaria de Microsoft Defender para Office 365 P2, Cumplimiento de Microsoft 365 E5 o Microsoft 365 eDiscovery y Auditoría. Las organizaciones con una suscripción E1/F1/G1 y E3/F3/G3 solo pueden crear directivas de alerta en las que se desencadene una alerta cada vez que se produzca una actividad.
Categoría de alerta. Para ayudar con el seguimiento y la administración de las alertas generadas por una directiva, puede asignar una de las siguientes categorías a una directiva.
- Prevención de pérdida de datos
- Información de gobierno
- Flujo del correo
- Permissions
- Administración de amenazas
- Otros
Cuando se produce una actividad que coincide con las condiciones de la directiva de alertas, la alerta generada se etiqueta con la categoría definida en esta configuración. Esto le permite realizar un seguimiento y gestionar alertas que tienen la misma categoría en la página Alertas del portal de Microsoft Defender, ya que puede ordenar y filtrar las alertas según la categoría.
Gravedad de la alerta. De forma similar a la categoría de la alerta, asigna un atributo de gravedad (Bajo, Medio, Alto o Informativo) a las directivas de alerta. Al igual que la categoría de alerta, cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta generada se etiqueta con el mismo nivel de gravedad que se establece para la directiva de alerta. De nuevo, esto le permite realizar un seguimiento y administrar las alertas que tienen la misma configuración de gravedad en la página Alertas. Por ejemplo, puede filtrar la lista de alertas para que solo se muestren las alertas con una gravedad alta.
Sugerencia
Al configurar una directiva de alertas, considere la posibilidad de asignar una gravedad mayor a las actividades que pueden dar lugar a consecuencias gravemente negativas, como la detección de malware después de la entrega a los usuarios, la visualización de datos confidenciales o clasificados, el uso compartido de datos con usuarios externos u otras actividades que pueden provocar la pérdida de datos o amenazas de seguridad. Esto puede ayudarle a priorizar las alertas y las acciones que realice para investigar y resolver las causas subyacentes.
Investigaciones automatizadas. Algunas alertas desencadenan investigaciones automatizadas para identificar posibles amenazas y riesgos que necesitan corrección o mitigación. En la mayoría de los casos, estas alertas se desencadenan mediante la detección de correos electrónicos o actividades malintencionados, pero en algunos casos las alertas se desencadenan mediante acciones del administrador en el portal de seguridad. Para obtener más información sobre las investigaciones automatizadas, vea Investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365.
Notificaciones por correo electrónico. Puede configurar la directiva para que las notificaciones de correo electrónico se envíen (o no se envíen) a una lista de usuarios cuando se desencadene una alerta. También puede establecer un límite diario de notificaciones para que, una vez alcanzado el número máximo de notificaciones, no se envíen más notificaciones para la alerta durante ese día. Además de las notificaciones por correo electrónico, usted u otros administradores pueden ver las alertas que desencadena una directiva en la página Alertas. Considere la posibilidad de habilitar las notificaciones por correo electrónico para las directivas de alerta de una categoría específica o que tengan una configuración de gravedad mayor.
Directivas de alerta predeterminadas
Microsoft proporciona directivas de alerta integradas que ayudan a identificar el abuso de permisos de administrador de Exchange, la actividad de malware, las posibles amenazas internas y externas, y los riesgos de gobernanza de la información. En la página Directivas de alerta, los nombres de estas directivas integradas están en negrita y el tipo de directiva se define como Sistema. Estas directivas están activadas de forma predeterminada. Puede desactivar estas directivas (o volver a activarlas), configurar una lista de destinatarios para enviar notificaciones por correo electrónico y establecer un límite diario de notificaciones. No se puede editar la otra configuración de estas directivas.
Las siguientes tablas enumeran y describen las directivas de alerta predeterminadas disponibles y la categoría a la que se asigna cada directiva. La categoría se usa para determinar qué alertas puede ver un usuario en la página Alertas. Para obtener más información, consulte Permisos de RBAC necesarios para ver las alertas.
Las tablas también indican el plan de Office 365 Enterprise y Office 365 Administración Pública para Estados Unidos necesario para cada uno de ellos. Algunas directivas de alerta predeterminadas están disponibles si su organización tiene la suscripción complementaria adecuada además de una suscripción E1/F1/G1 o E3/F3/G3.
Nota:
La actividad inusual supervisada por algunas de las directivas integradas se basa en el mismo proceso que la configuración de umbral de alerta descrita anteriormente. Microsoft establece un valor de línea base que define la frecuencia normal para la actividad "habitual". Las alertas se desencadenan cuando la frecuencia de las actividades sobre las que se realiza un seguimiento mediante la directiva de alertas integrada supera considerablemente el valor de línea base.
Directivas de alerta de gobierno de información
Nota:
Las directivas de alerta de esta sección están en proceso de quedar en desuso en función de los comentarios de los clientes como falsos positivos. Para conservar la funcionalidad de estas directivas de alertas, puede crear directivas de alerta personalizadas con la misma configuración.
| Nombre | Descripción | Severity | Investigación automatizada | Suscripción |
|---|---|---|---|---|
| Volumen inusual de uso compartido de archivos externos | Genera una alerta cuando se comparte un número inusualmente grande de archivos en SharePoint o OneDrive con usuarios ajenos a su organización. | Mediano | No | Suscripción complementaria de E5/G5 o Defender para Office 365 Plan 2. |
Directivas de alerta de flujo de correo
| Nombre | Descripción | Severity | Investigación automatizada | Suscripción necesaria |
|---|---|---|---|---|
| Los mensajes se han retrasado | Genera una alerta cuando Microsoft no puede entregar mensajes de correo electrónico a su organización local o a un servidor asociado mediante un conector. Cuando esto sucede, el mensaje se pone en cola en Office 365. Esta alerta se desencadena cuando hay 2000 mensajes o más que se han puesto en cola durante más de una hora. | Alto | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Respuestas masivas detectadas | Esta alerta se desencadena cuando se detecta una respuesta masiva y se bloquea al menos una respuesta en el hilo de correo. Para obtener más información, consulte el Informe de protección contra respuestas masivas. | Alto | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
Directivas de alerta de permisos
| Nombre | Descripción | Severity | Investigación automatizada | Suscripción necesaria |
|---|---|---|---|---|
| Elevación del privilegio de administrador de Exchange | Genera una alerta cuando se asignan permisos administrativos a alguien en su organización de Exchange Online. Por ejemplo, cuando se agrega un usuario al grupo de roles Administración de la organización en Exchange Online. | Bajo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
Directivas de alerta de administración de amenazas
| Nombre | Descripción | Severity | Investigación automatizada | Suscripción necesaria |
|---|---|---|---|---|
| Se ha detectado un clic en una dirección URL potencialmente maliciosa | Genera una alerta cuando un usuario protegido por Vínculos seguros de su organización hace clic en un vínculo malintencionado. Esta alerta se genera cuando un usuario hace clic en un vínculo y este evento desencadena que Microsoft Defender para Office 365 identifique un cambio de veredicto de dirección URL. También comprueba los clics en las últimas 48 horas desde el momento en que se identifica el veredicto de dirección URL malintencionada y genera alertas para los clics que se produjeron en el período de tiempo de 48 horas para ese vínculo malintencionado. Esta alerta desencadena automáticamente la investigación y respuesta automatizadas en Defender para Office 365 Plan 2. Para obtener más información sobre los eventos que desencadenan esta alerta, consulte Configuración de directivas de Vínculos seguros. | Alto | Sí | Suscripción complementaria de E5/G5 o Defender para Office 365 Plan 2. |
| Se ha encontrado una entrada de lista de bloqueados de inquilino malintencionada | Genera una alerta cuando Microsoft determina que el envío de administrador correspondiente a una entrada de permiso en la lista de permitidos o bloqueados del inquilino es malintencionado. Este evento se desencadena en cuanto Microsoft analiza el envío. La entrada de permiso seguirá vigente durante el plazo estipulado. Para obtener más información sobre los eventos que desencadenan esta alerta, consulte Administrar la lista de permitidos o bloqueados de inquilinos. |
Informativo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Un usuario hizo clic en una dirección URL potencialmente maliciosa | Genera una alerta cuando un usuario protegido por Vínculos seguros de su organización hace clic en un vínculo malintencionado. Este evento se desencadena cuando el usuario hace clic en una dirección URL (que se identifica como malintencionada o pendiente de validación) e invalida la página de advertencia de Vínculos seguros (según la directiva de Vínculos seguros de Microsoft 365 para empresas de su organización) para continuar con la página o el contenido hospedados en la dirección URL. Esta alerta desencadena automáticamente la investigación y respuesta automatizadas en Defender para Office 365 Plan 2. Para obtener más información sobre los eventos que desencadenan esta alerta, consulte Configuración de directivas de Vínculos seguros. | Alto | Sí | Suscripción complementaria de E5/G5 o Defender para Office 365 Plan 2. |
| Resultado de envío de administrador completado | Genera una alerta cuando un envío del administrador completa el nuevo escaneo de la entidad enviada. Se desencadena una alerta cada vez que se representa un resultado de reanálisis a partir de un envío de administrador. Estas alertas tienen como objetivo recordarle que revise los resultados de envíos anteriores, envíe mensajes notificados por los usuarios para obtener la última comprobación de directivas y los veredictos de nuevo análisis, y ayudarle a determinar si las directivas de filtrado de su organización están teniendo el impacto deseado. |
Informativo | No | E1/F1, E3/F3 o E5 |
| El administrador desencadenó una investigación manual del correo electrónico | Genera una alerta cuando un administrador desencadena la investigación manual de un correo electrónico desde el Explorador de amenazas. Para obtener más información, vea Ejemplo: un administrador de seguridad desencadena una investigación desde el Explorador de amenazas. Esta alerta notifica a su organización que se inició la investigación. La alerta proporciona información sobre quién la desencadenó e incluye un vínculo a la investigación. |
Informativo | Sí | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| El administrador inició una investigación sobre la vulneración del usuario | Genera una alerta cuando un administrador desencadena la investigación manual de vulneración del usuario de un remitente o destinatario de correo electrónico desde el Explorador de amenazas. Para obtener más información, vea Ejemplo: un administrador de seguridad desencadena una investigación desde el Explorador de amenazas, que muestra el desencadenamiento manual relacionado de una investigación en un correo electrónico. Esta alerta notifica a su organización que se inició la investigación de vulneración del usuario. La alerta proporciona información sobre quién la desencadenó e incluye un vínculo a la investigación. |
Mediano | Sí | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| Creación de una regla de reenvío o redirección | Genera una alerta cuando alguien de su organización crea una regla de la bandeja de entrada para su buzón que reenvía o redirige mensajes a otra cuenta de correo electrónico. Esta directiva solo realiza un seguimiento de las reglas de la bandeja de entrada que se crean con Outlook en la Web (anteriormente conocido como Outlook Web App) o Exchange Online PowerShell. Para obtener más información sobre el uso de reglas de la bandeja de entrada para reenviar y redirigir el correo electrónico en Outlook en la Web, vea Usar reglas en Outlook en la Web para reenviar automáticamente mensajes a otra cuenta. | Informativo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Búsqueda de eDiscovery iniciada o exportada | Genera una alerta cuando alguien usa la herramienta de búsqueda de contenido en el portal de Microsoft Purview. Se desencadena una alerta cuando se realizan las siguientes actividades de búsqueda de contenido:
Las alertas también se desencadenan cuando las actividades de búsqueda de contenido anteriores se realizan en asociación con un caso de eDiscovery. Para obtener más información sobre las actividades de búsqueda de contenido, vea Buscar actividades de eDiscovery en el registro de auditoría. |
Informativo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Mensajes de correo electrónico que contienen archivos malintencionados quitados después de la entrega | Genera una alerta cuando los mensajes que contienen un archivo malintencionado se entregan a los buzones de la organización. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de Exchange Online mediante la purga automática. Esta directiva desencadena automáticamente la investigación y respuesta automatizadas en Office 365. Para obtener más información sobre esta nueva directiva, vea Directivas de alerta. | Informativo | Sí | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Mensajes de correo electrónico que contienen direcciones URL malintencionadas quitados después de la entrega | Genera una alerta cuando los mensajes que contienen una dirección URL malintencionada se entregan a los buzones de la organización. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de Exchange Online mediante la purga automática. Esta directiva desencadena automáticamente la investigación y respuesta automatizadas en Office 365. Para obtener más información sobre esta nueva directiva, vea Directivas de alerta. | Informativo | Sí | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| Mensajes de correo electrónico que contienen malware quitados después de la entrega | Nota: Esta directiva de alerta se reemplazó por mensajes de correo electrónico que contienen archivos malintencionados que se quitaron después de la entrega. Esta directiva de alerta desaparecerá finalmente, por lo que se recomienda deshabilitarla y usar en su lugar mensajes de correo electrónico que contengan archivos malintencionados eliminados después de la entrega. Para obtener más información, consulte Directivas de alerta. | Informativo | Sí | Suscripción complementaria de E5/G5 o Defender para Office 365 Plan 2. |
| Mensajes de correo electrónico que contienen direcciones URL de cebo quitados después de la entrega | Nota: Esta directiva de alerta se reemplazó por mensajes de correo electrónico que contienen direcciones URL malintencionadas que se quitaron después de la entrega. Esta directiva de alerta desaparecerá finalmente, por lo que se recomienda deshabilitarla y usar en su lugar mensajes de correo electrónico que contengan direcciones URL malintencionadas eliminadas después de la entrega. Para obtener más información, consulte Directivas de alerta. | Informativo | Sí | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| Mensajes de correo electrónico de una campaña quitados después de la entrega | Genera una alerta cuando los mensajes asociados a una campaña se entregan a los buzones de la organización. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de Exchange Online mediante la purga automática. Esta directiva desencadena automáticamente la investigación y respuesta automatizadas en Office 365. Para obtener más información sobre esta nueva directiva, vea Directivas de alerta. | Informativo | Sí | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| Mensajes de correo electrónico quitados después de la entrega | Genera una alerta cuando se entregan en los buzones de su organización mensajes maliciosos que no contienen una entidad maliciosa (dirección URL o archivo) ni están asociados a una campaña. Si se produce este evento, Microsoft quita los mensajes infectados de los buzones de Exchange Online mediante la purga automática. Esta directiva desencadena automáticamente la investigación y respuesta automatizadas en Office 365. Para obtener más información sobre esta nueva directiva, vea Directivas de alerta. | Informativo | Sí | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| Correo electrónico notificado por el usuario como correo no deseado | Genera una alerta cuando los usuarios de su organización notifican mensajes como correo no deseado mediante el botón Informe integrado en Outlook o el complemento Notificar mensaje. Para obtener más información sobre los complementos, vea Usar el complemento Mensaje de informe. | Bajo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Correo electrónico notificado por el usuario como malware o cebo | Genera una alerta cuando los usuarios de su organización informan de mensajes como suplantación de identidad (phishing) mediante el botón Informe integrado en Outlook o los complementos Notificar mensaje o Notificar suplantación de identidad (phishing). Para obtener más información sobre los complementos, vea Usar el complemento Notificar mensaje. Para los clientes de Defender para Office 365 Plan 2, E5 y G5, esta alerta desencadena automáticamente una investigación y respuesta automatizadas en Defender para Office 365 Plan 2. | Bajo | Sí | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| Correo electrónico notificado por el usuario como correo no deseado | Genera una alerta cuando los usuarios de su organización notifican mensajes como que no son correo no deseado mediante el botón Informe integrado en Outlook o el complemento Notificar mensaje. Para obtener más información sobre los complementos, vea Usar el complemento Mensaje de informe. | Bajo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Límite de envío de correo electrónico superado | Genera una alerta cuando alguien de su organización ha enviado más correo del permitido por la directiva de correo no deseado saliente. Esto suele indicar que el usuario está enviando demasiado correo electrónico o que la cuenta podría estar en peligro. Si recibe una alerta generada por esta directiva de alertas, se recomienda comprobar si la cuenta de usuario está en peligro. | Mediano | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Error en la carga de coincidencia exacta de datos | Genera una alerta cuando un usuario recibe el siguiente error al cargar un tipo de información confidencial basada en coincidencia exacta de datos: no se pudo cargar la nueva información confidencial. Inténtelo de nuevo más tarde. | Alto | No | E5/G5. |
| Formulario bloqueado debido a un posible intento de suplantación de identidad (phishing) | Genera una alerta cuando el sistema detecta un comportamiento sospechoso de suplantación de identidad (phishing) en un formulario. | Alto | No | E1, E3/F3 o E5 |
| Formulario marcado y confirmado como suplantación de identidad (phishing) | Genera una alerta cuando un formulario creado en Microsoft Forms desde dentro de su organización se identifica como posible suplantación de identidad (phishing) a través de Notificar abuso y Microsoft lo confirma como phishing. | Alto | No | E1, E3/F3 o E5 |
| Malware no purgado porque ZAP está deshabilitado | Genera una alerta cuando Microsoft detecta la entrega de un mensaje de malware a un buzón porque la purga automática para mensajes de cebo está deshabilitada. | Informativo | No | Suscripción complementaria de E5/G5 o Defender para Office 365 Plan 2. |
| Mensajes que contienen una entidad maliciosa no eliminados tras la entrega | Genera una alerta cuando se entrega cualquier mensaje que contenga contenido malicioso (archivo, dirección URL, campaña, sin entidad) a los buzones de su organización. Si se produce este evento, Microsoft intentó quitar los mensajes infectados de los buzones de Exchange Online mediante la purga automática, pero el mensaje no se quitó debido a un error. Se recomienda realizar una investigación adicional. Esta directiva desencadena automáticamente la investigación y respuesta automatizadas en Office 365. | Mediano | Sí | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| Simulación de autoetiqueta de MIP completada | Genera una alerta cuando se completa unadirectiva de etiquetado automático del lado del servicio en modo simulación. | Bajo | No | E5/G5. |
| Cebo entregado debido a una anulación de ETR1 | Genera una alerta cuando Microsoft detecta una regla de transporte de Exchange (también conocida como regla de flujo de correo) que permitía la entrega de un mensaje de suplantación de identidad de alta confianza a un buzón. Para obtener más información sobre las reglas de transporte de Exchange (reglas de flujo de correo), vea Reglas de flujo de correo (reglas de transporte) en Exchange Online. | Informativo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Cebo entregado debido a una directiva de permiso IP1 | Genera una alerta cuando Microsoft detecta una directiva de permiso IP que permitió la entrega de un mensaje de suplantación de identidad de alta confianza a un buzón. Para obtener más información sobre la directiva de permiso de IP (filtrado de conexión), vea Configurar la directiva de filtro de conexión predeterminada: Office 365. | Informativo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Cebo no purgado automáticamente porque ZAP está deshabilitado1 | Genera una alerta cuando Microsoft detecta la entrega de un mensaje de suplantación de identidad de alta confianza a un buzón porque la purga automática para mensajes de cebo está deshabilitada. | Informativo | No | Suscripción complementaria de E5/G5 o Defender para Office 365 Plan 2. |
| Posible actividad de estado-nación | El Centro de inteligencia sobre amenazas de Microsoft detectó un intento de poner en peligro las cuentas de su inquilino. | Alto | No | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| Simulación de directiva de Purview completada | Genera una alerta para notificar a los administradores cuando se completa la simulación de cualquier directiva de Purview que admita el modo de simulación. | Bajo | No | E5/G5 |
| Acción de corrección realizada por el administrador en correos electrónicos, direcciones URL o remitentes |
Nota: Esta directiva de alerta se reemplazó por una acción administrativa enviada por un administrador. Esta directiva de alerta desaparecerá finalmente, por lo que se recomienda deshabilitarla y usar la acción administrativa enviada por un administrador en su lugar. Esta alerta se desencadena cuando un administrador realiza una acción de corrección en la entidad seleccionada |
Informativo | Sí | Microsoft 365 Empresa Premium, complemento de Defender para Office 365 Plan 1, E5/G5 o complemento de Defender para Office 365 Plan 2. |
| Se ha eliminado una entrada en la lista de permitidos o bloqueados del inquilino | Genera una alerta cuando se detecta una entrada de permiso en la lista de permitidos o bloqueados del inquilino mediante el sistema de filtrado y se elimina. Este evento se desencadena cuando se elimina la entrada de permiso para el dominio o la dirección de correo electrónico, el archivo o la dirección URL (entidad) afectados. Ya no necesita la entrada de permiso afectada. Los mensajes de correo electrónico que contienen las entidades afectadas se entregan a la bandeja de entrada si no hay nada más en el mensaje que se determine como incorrecto. Las direcciones URL y los archivos se permitirán en el momento de hacer clic. Para obtener más información sobre los eventos que desencadenan esta alerta, consulte Administrar la lista de permitidos o bloqueados de inquilinos. |
Informativo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Simulación de directiva de etiquetado automático de retención completada | Genera una alerta cuando se ha completado una simulación de directiva de etiquetado automático de retención. | Bajo | No | E5/G5 |
| Carga correcta de coincidencia exacta de datos | Genera una alerta después de que un usuario cargue correctamente un tipo de información confidencial basado en una coincidencia exacta de datos. | Bajo | No | E5/G5 |
| Actividad sospechosa del conector | Genera una alerta cuando se detecta una actividad sospechosa en un conector entrante de la organización. El correo no puede usar el conector de entrada. El administrador recibe una notificación por correo electrónico y una alerta. Esta alerta proporciona instrucciones sobre cómo investigar, revertir cambios y desbloquear un conector restringido. Para obtener información sobre cómo responder a esta alerta, consulte Responder a un conector en peligro. | Alto | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Actividad de reenvío de correo electrónico sospechoso | Genera una alerta cuando alguien en su organización ha reenviado automáticamente un correo electrónico a una cuenta externa sospechosa. Se trata de una advertencia temprana de comportamiento que podría indicar que la cuenta está en peligro, pero que no es lo suficientemente grave como para restringir el usuario. Aunque es poco frecuente, una alerta generada por esta directiva podría ser una anomalía. Es una buena idea comprobar si la cuenta de usuario está en peligro. | Alto | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Se detectaron patrones de envío de correo electrónico sospechosos | Genera una alerta cuando alguien de su organización ha enviado un correo electrónico sospechoso y está en riesgo de que se le restrinja el envío de correo electrónico. Se trata de una advertencia temprana de comportamiento que podría indicar que la cuenta está en peligro, pero que no es lo suficientemente grave como para restringir el usuario. Aunque es poco frecuente, una alerta generada por esta directiva podría ser una anomalía. Sin embargo, es una buena idea comprobar si la cuenta de usuario está en peligro. | Mediano | Sí | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Patrones sospechosos de envío de inquilinos observados | Genera una alerta cuando se han observado patrones de envío sospechosos en su organización, lo que podría provocar que su organización no pueda enviar correos electrónicos. Investigue las cuentas de usuario y administrador potencialmente en peligro, los nuevos conectores o las retransmisiones abiertas para evitar que el inquilino supere los límites máximos. Para obtener más información sobre por qué se bloquean las organizaciones, vea Corregir problemas de entrega de correo electrónico para el código de error 5.7.7xx en Exchange Online. | Alto | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Mensaje de Teams notificado por el usuario como riesgo de seguridad | Esta alerta se desencadena cuando los usuarios notifican un mensaje de Teams como un riesgo de seguridad. | Bajo | No | Complemento de Defender para Office 365 o E5/G5. |
| La entrada de la lista de permitidos o bloqueados del inquilino está a punto de expirar | Genera una alerta cuando está a punto de quitarse una entrada de permiso o de bloqueo en la entrada de la lista de permitidos o bloqueados del inquilino. Este evento se desencadena siete días antes de la fecha de expiración, que se basa en el momento en que se creó la entrada o se actualizó por última vez. Para permitir entradas y bloquear entradas, puede extender la fecha de expiración. Para obtener más información sobre los eventos que desencadenan esta alerta, consulte Administrar la lista de permitidos o bloqueados de inquilinos. |
Informativo | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Inquilino restringido para enviar correo electrónico | Genera una alerta cuando la mayor parte del tráfico de correo electrónico de su organización se detecta como sospechoso y Microsoft ha restringido el envío de correo electrónico por parte de su organización. Investigue las cuentas de usuario y administrador potencialmente comprometidas, los nuevos conectores o las retransmisiones abiertas y, a continuación, póngase en contacto con Soporte técnico de Microsoft para desbloquear su organización. Para obtener más información sobre por qué se bloquean las organizaciones, vea Corregir problemas de entrega de correo electrónico para el código de error 5.7.7xx en Exchange Online. | Alto | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| Inquilino restringido para enviar correo electrónico no aprovisionado | Genera una alerta cuando se envía demasiado correo electrónico desde dominios no registrados (también conocidos como dominios no aprovisionados). Office 365 permite una cantidad razonable de correo electrónico de dominios no registrados, pero debe configurar todos los dominios que use para enviar correo electrónico como un dominio aceptado. Esta alerta indica que todos los usuarios de la organización ya no pueden enviar correos electrónicos. Para obtener más información sobre por qué se bloquean las organizaciones, vea Corregir problemas de entrega de correo electrónico para el código de error 5.7.7xx en Exchange Online. | Alto | No | E1/F1/G1, E3/F3/G3 o E5/G5 |
| El usuario solicitó liberar un mensaje en cuarentena | Genera una alerta cuando un usuario solicita la liberación de un mensaje en cuarentena. Para solicitar la liberación de mensajes en cuarentena, se requiere el permiso Permitir que los destinatarios soliciten que un mensaje se libere de la cuarentena (PermissionToRequestRelease) en la directiva de cuarentena (por ejemplo, desde el grupo de permisos preestablecidos Acceso limitado). Para obtener más información, vea Permitir que los destinatarios soliciten que un mensaje se libere del permiso de cuarentena. | Informativo | No | Microsoft Empresa Básico, Microsoft Empresa Estándar, Microsoft Empresa Premium, E1/F1/G1, E3/F3/G3 o E5/G5 |
| Usuario al que se le ha restringido el envío de correo electrónico | Genera una alerta cuando a alguien de su organización se le restringe el envío de correo saliente. Esta alerta suele indicar una cuenta en peligro en la que el usuario aparece en la página Entidades restringidas en https://security.microsoft.com/restrictedentities. Para obtener más información sobre los usuarios restringidos, vea Quitar usuarios bloqueados de la página Entidades restringidas. | Alto | Sí | Microsoft Empresa Básico, Microsoft Empresa Estándar, Microsoft Empresa Premium, E1/F1/G1, E3/F3/G3 o E5/G5 |
| El usuario no puede compartir formularios ni recopilar respuestas | Genera una alerta cuando a alguien de su organización se le restringe el uso compartido de formularios y la recopilación de respuestas mediante Microsoft Forms debido a un comportamiento de intento de suplantación de identidad (phishing) repetido detectado. | Alto | No | E1, E3/F3 o E5 |
1 Esta directiva de alerta forma parte de la funcionalidad de sustitución de las directivas de alerta de cebo entregado debido a la invalidación del inquilino o del usuario y de cebo de suplantación de identidad del usuario entregado en la bandeja de entrada/carpeta, que se eliminaron en función de los comentarios de los usuarios. Para obtener más información sobre la protección contra la suplantación de identidad (anti-phishing) en Office 365, vea Directivas antiphishing.
Ver alertas
Cuando una actividad realizada por usuarios de su organización coincide con la configuración de una directiva de alertas, se genera una alerta que se muestra en la página Alertas del portal de Microsoft Defender. Según la configuración de una directiva de alertas, también se envía una notificación por correo electrónico a una lista de usuarios especificados cuando se desencadena una alerta. Para cada alerta, el panel de la página Alertas muestra el nombre de la directiva de alerta correspondiente, la gravedad y categoría de la alerta (definida en la directiva de alertas) y el número de veces que se ha producido una actividad que ha provocado la generación de la alerta. Este valor se basa en la configuración de umbral de la directiva de alerta. El panel también muestra el estado de cada alerta. Para obtener más información sobre el uso de la propiedad de estado para administrar alertas, vea Administrar alertas.
Para ver las alertas, en el portal de Microsoft Defender, seleccione Incidentes y alertas>Alertas. O puede ir directamente a https://security.microsoft.com/alerts.
Puede usar los siguientes filtros para ver un subconjunto de todas las alertas en la página Alertas:
- Gravedad: muestra las alertas asignadas a una gravedad específica.
- Estado: muestra las alertas a las que se asigna un estado determinado. El estado predeterminado es Nuevo. Usted u otros administradores pueden cambiar el valor del estado.
- Categorías: mostrar alertas de una o varias categorías de alertas.
- Orígenes de servicio y detección: use este filtro para mostrar las alertas desencadenadas por las directivas de alerta en un servicio o origen de detección específico. Por ejemplo, puede mostrar alertas desencadenadas por directivas de alerta en Microsoft Defender para Office 365 o Microsoft Defender for Identity.
- Etiquetas: mostrar alertas de una o varias etiquetas de usuario.
- Regla de directiva o directiva: mostrar las alertas que coinciden con la configuración de una o varias directivas de alertas. O bien, puede mostrar todas las alertas de todas las directivas de alerta.
- Tipo de alerta: mostrar las alertas que se generaron en función de un tipo de alerta específico.
- Nombre del producto: mostrar las alertas de un producto de seguridad específico de Microsoft.
- Id. de suscripción de alerta: muestra las alertas generadas por un id. de suscripción de alerta específico.
- Entidades: mostrar las alertas asociadas a una entidad específica.
- Estado de investigación automatizada: muestra las alertas que se encuentran en un estado de investigación automatizado específico.
- Área de trabajo: mostrar las alertas asociadas a un área de trabajo específica. Esto solo se aplica si tiene una o varias áreas de trabajo en su organización.
- Flujo de datos: mostrar las alertas asociadas a un flujo de datos específico. Por ejemplo, puede mostrar alertas asociadas a los flujos de datos de Microsoft OneDrive y Microsoft Exchange.
Agregación de alerta
Cuando varios eventos que cumplen las condiciones de una directiva de alertas ocurren en un corto período, se agregan a una alerta existente mediante un proceso llamado agregación de alertas. Cuando un evento desencadena una alerta, la alerta se genera y se muestra en la página Alertas y se envía una notificación. Si el mismo evento se produce dentro del intervalo de agregación, Microsoft 365 agrega detalles sobre el nuevo evento a la alerta existente en lugar de desencadenar una nueva alerta. El objetivo de la agregación de alertas es reducir la "fatiga" por alertas y permitir que se concentre y actúe sobre menos alertas para el mismo evento.
La longitud del intervalo de agregación depende de su suscripción de Office 365 o Microsoft 365.
| Suscripción | Agregación interval |
|---|---|
| Office 365 o Microsoft 365 E5/G5 | 1 minuto |
| Defender para Office 365 Plan 2 | 1 minuto |
| Complemento Cumplimiento E5 o complemento E5 Discovery y Auditoría | 1 minuto |
| Office 365 o Microsoft 365 E1/F1/G1 o E3/F3/G3 | 15 minutos |
| Defender para Office 365 Plan 1 o Exchange Online Protection | 15 minutos |
Cuando se producen eventos que coinciden con la misma directiva de alerta dentro del intervalo de agregación, se agregan detalles sobre el evento posterior a la alerta original. Para todos los eventos, la información sobre los eventos agregados se muestra en el campo de detalles y el número de veces que se produjo un evento con el intervalo de agregación se muestra en el campo de recuento de actividad/visitas. Puede ver más información sobre todas las instancias de eventos agregados consultando la lista de actividades.
En el recorte de pantalla siguiente se muestra una alerta con cuatro eventos agregados. La lista de actividades contiene información sobre los cuatro mensajes de correo electrónico relevantes para la alerta.
Tenga en cuenta lo siguiente sobre la agregación de alertas:
Las alertas desencadenadas por la directiva de alerta predeterminadaSe ha detectado un clic en una dirección URL potencialmente maliciosa no se agregan. Este comportamiento se produce porque las alertas desencadenadas por esta directiva son únicas para cada usuario y mensaje de correo electrónico.
Actualmente, la propiedad de alerta Número de aciertos no indica el número de eventos agregados para todas las directivas de alerta. Para las alertas desencadenadas por estas directivas de alerta, puede ver los eventos agregados haciendo clic en Ver lista de mensajes o Ver actividad en la alerta. Estamos trabajando para que el número de eventos agregados enumerados en la propiedad de alerta Número de llamadas esté disponible para todas las directivas de alerta.
Permisos RBAC necesarios para ver alertas
Los permisos de control de acceso basado en roles (RBAC) asignados a los usuarios de la organización determinan qué alertas puede ver un usuario en la página Alertas. ¿Cómo se consigue esto? Los roles de administración asignados a los usuarios (en función de su pertenencia a grupos de roles en el portal de Microsoft Defender) determinan qué categorías de alerta puede ver un usuario en la página Alertas. Estos son algunos ejemplos:
- Los miembros del grupo de rol Administración de registros solo pueden ver las alertas generadas por las directivas de alerta a las que se asigna la categoría Gobierno de información.
- Los miembros del grupo de rol Administrador de cumplimiento no pueden ver las alertas generadas por las directivas de alerta a las que se asigna la categoría Administración de amenazas.
- Los miembros del grupo de rol Administrador de exhibición de documentos electrónicos no pueden ver ninguna alerta porque ninguno de los roles asignados proporciona permiso para ver las alertas de cualquier categoría de alerta.
Este diseño (basado en permisos RBAC) le permite determinar qué alertas pueden ver (y administrar) los usuarios en roles de trabajo específicos de su organización.
En la tabla siguiente se enumeran los roles necesarios para ver alertas de las seis categorías de alertas diferentes. Una marca de verificación indica que un usuario asignado a ese rol puede ver alertas de la categoría de alerta correspondiente que aparece en la fila de título.
Para ver a qué categoría se asigna una directiva de alerta predeterminada, consulte las tablas en Directivas de alertas predeterminadas.
Sugerencia
Para obtener información sobre los permisos en el control de acceso basado en roles (RBAC) unificado de Microsoft Defender XDR, consulte Directivas de alerta en el portal de Microsoft Defender.
| Role | Information gobierno |
Pérdida de datos prevención |
Correo flujo |
Permissions | Amenaza administración |
Otros |
|---|---|---|---|---|---|---|
| Administrador de cumplimiento | ✔ | ✔ | ✔ | ✔ | ||
| Administración de cumplimiento de DLP | ✔ | |||||
| Administrador de Information Protection | ✔ | |||||
| Analista de Information Protection | ✔ | |||||
| Investigador de protección de información | ✔ | |||||
| Administrar alertas | ✔ | |||||
| Configuración de la organización | ✔ | |||||
| Administración de privacidad | ||||||
| Cuarentena | ||||||
| Administración de registros | ✔ | |||||
| Administración de la retención | ✔ | |||||
| Role Management | ✔ | |||||
| Administrador de seguridad | ✔ | ✔ | ✔ | ✔ | ||
| Lector de seguridad | ✔ | ✔ | ✔ | ✔ | ||
| Higiene de transporte | ||||||
| Administración de cumplimiento de DLP de solo vista | ✔ | |||||
| Configuración con permiso de vista | ||||||
| Administración de alertas de solo vista | ✔ | |||||
| Destinatarios con permiso de vista | ✔ | |||||
| Administración de registros de solo vista | ✔ | |||||
| Administración de retención de solo vista | ✔ |
Sugerencia
Para ver los roles asignados a cada uno de los grupos de roles predeterminados, ejecute los siguientes comandos en Security & Compliance PowerShell:
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
También puede ver los roles asignados a un grupo de roles en el portal de Microsoft Defender. Vaya a la página Permisos y seleccione un grupo de roles. Los roles asignados se muestran en la página de control flotante.
Administrar alertas
Una vez generadas y mostradas las alertas en la página Alertas del portal de Microsoft Defender, puede realizar una evaluación de prioridades, investigarlas y resolverlas. Los mismos permisos RBAC que proporcionan a los usuarios acceso a las alertas también les permiten administrar alertas.
Estas son algunas tareas que puede realizar para administrar alertas.
Asignar un estado a las alertas: puede asignar uno de los siguientes estados a las alertas: Nueva (el valor predeterminado), En curso o Resuelta. A continuación, puede filtrar por esta configuración para mostrar las alertas con la misma configuración de estado. Esta configuración de estado puede ayudar a realizar un seguimiento del proceso de administración de alertas.
Asignar una alerta a un usuario: puede asignar una alerta a un usuario de su organización. Esta acción puede ayudar a garantizar que la persona adecuada revise y resuelva la alerta.
Clasificar alertas: puede asignar una clasificación a una alerta. Las clasificaciones se usan para clasificar las alertas en función del tipo de actividad que desencadenó la alerta. Por ejemplo, puede clasificar una alerta como Verdadero positivo o Información.
Ver detalles de la alerta: puede seleccionar una alerta para mostrar una página de control flotante con detalles sobre ella. La información detallada depende de la directiva de alerta correspondiente, pero normalmente incluye la siguiente información:
- Nombre de la operación real que desencadenó la alerta, como un cmdlet o una operación de registro de auditoría.
- Descripción de la actividad que desencadenó la alerta.
- Usuario (o lista de usuarios) que desencadenó la alerta. Esto solo se incluye para las directivas de alerta que están configuradas para realizar un seguimiento de un solo usuario o una sola actividad.
- Número de veces que se realizó el seguimiento de la actividad de la alerta. Es posible que este número no coincida con el número real de alertas relacionadas enumeradas en la página Alertas porque es posible que se hayan desencadenado más alertas.
- Vínculo a una lista de actividades que incluye un elemento para cada actividad realizada que desencadenó la alerta. Cada entrada de esta lista identifica cuándo se produjo la actividad, el nombre de la operación real (como "FileDeleted"), el usuario que realizó la actividad, el objeto (como un archivo, un caso de eDiscovery o un buzón) en el que se realizó la actividad y la dirección IP del equipo del usuario. En el caso de las alertas relacionadas con malware, se vincula a una lista de mensajes.
- Nombre (y vínculo) de la directiva de alerta correspondiente.
- Incidente en el que se agrega la alerta.
Ajustar una alerta: puede establecer propiedades, condiciones y acciones para ocultar o resolver una alerta.
Cambiar el nivel de gravedad de una directiva de alerta
- Inicie sesión en el portal de Microsoft Defender con las credenciales de una cuenta de administrador de su organización de Microsoft 365.
- Navega a la página Correo electrónico y colaboración > Directivas y reglas y, a continuación, seleccione la directiva de alertas.
- Seleccione la directiva que desea actualizar de la lista. En la columna Acciones, seleccione los tres puntos y luego elija Editar.
- En el panel Editar directiva, seleccione el menú desplegable para ajustar el nivel de Gravedad. Si procede, también puede modificar la Configuración del desencadenador para la directiva.
- Seleccione Siguiente para continuar con el resto de los pasos.
- Seleccione Enviar para aplicar los nuevos cambios a la directiva y, a continuación, seleccione Listo para finalizar la edición.