Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La suplantación de identidad (phishing) es uno de los puntos de entrada más comunes para los ciberataques y una carga operativa persistente para los equipos del Centro de operaciones de seguridad (SOC). Los analistas se enfrentan a un flujo continuo de mensajes de correo electrónico sospechosos notificados por el usuario que requieren una revisión y evaluación de valoraciones cuidadosas. A escala, este volumen ralentiza la respuesta, consume tiempo de analista y aumenta el riesgo de que se pierdan amenazas auténticas.
El agente de evaluación de suplantación de identidad (Phishing Triage Agent) de Microsoft Defender es un agente de inteligencia artificial que ayuda a los equipos de seguridad a escalar la evaluación y clasificación de los correos electrónicos de suplantación de identidad notificados por el usuario, lo que reduce el trabajo de investigación repetitivo y acelera la respuesta.
El agente de evaluación de suplantación de identidad (Phishing Triage Agent) usa un análisis basado en el modelo de lenguaje grande (LLM) para evaluar los correos electrónicos notificados, determinar la intención y clasificar cada envío como una amenaza real o un falso positivo. En lugar de basarse en reglas estáticas o entradas predefinidas, el agente aplica razonamiento contextual para evaluar los envíos de forma dinámica y a escala.
Mediante el filtrado de falsas alarmas, el agente permite a los analistas centrarse en amenazas confirmadas e investigaciones de mayor impacto, lo que mejora la eficacia, acelera la detección y fortalece la posición de seguridad general de la organización.
Funcionamiento del agente
El agente de evaluación de suplantación de identidad es un agente de Security Copilot en Microsoft Defender que mejora la eficacia de los equipos de operaciones de seguridad mediante la clasificación y la clasificación de incidentes de suplantación de identidad enviados por el usuario. Las funcionalidades clave del agente incluyen:
- Evaluación de prioridades autónoma: Usa herramientas avanzadas de inteligencia artificial para realizar evaluaciones sofisticadas y determinar si un envío es una amenaza real o una falsa alarma, sin necesidad de una entrada o código humanos paso a paso.
- Justificación transparente: Proporciona una justificación transparente para sus veredictos de clasificación en lenguaje natural, detallando el razonamiento detrás de sus conclusiones y las pruebas utilizadas para llegar a ellos. También proporciona una representación visual de su proceso de razonamiento.
- Aprendizaje basado en comentarios: Los analistas pueden proporcionar comentarios sobre los resultados de la clasificación. Con el tiempo, estos comentarios ayudan a refinar el comportamiento del agente para reflejar mejor el contexto organizativo y reducir el seguimiento manual.
Para investigar los intentos de suplantación de identidad (phishing), el agente usa una combinación de funcionalidades de Microsoft Defender y Microsoft Security Copilot, junto con un conjunto de herramientas de seguridad que evolucionan continuamente a medida que están disponibles nuevas técnicas de detección e integraciones. Entre los ejemplos actuales se incluyen:
- Email análisis de contenido: detecta patrones e indicadores sospechosos en los cuerpos de correo electrónico.
- Detonación de archivos y direcciones URL : ejecuta y analiza de forma segura archivos y vínculos potencialmente malintencionados mediante herramientas de análisis profundo de Microsoft.
- Análisis de captura de pantalla : revisa el contenido visual de correos electrónicos, direcciones URL y tipos de archivo admitidos.
- Herramientas de inteligencia sobre amenazas : usa fuentes de Inteligencia sobre amenazas de Microsoft para proporcionar un contexto de detección enriquecido.
- Búsqueda avanzada entre orígenes de datos : correlaciona las señales en todos los orígenes de datos de seguridad disponibles para contextualizar la actividad sospechosa e impulsar decisiones de investigación informadas.
Requisitos previos
Para ejecutar el agente de suplantación de identidad (Phishing Triage Agent) en su entorno, necesita:
| Componentes | Detalles |
|---|---|
| Productos | - Security Copilot y capacidad aprovisionada en unidades de proceso de seguridad (SCU). Consulte Introducción a Security Copilot o compruebe si tiene derecho a las SCU como parte del modelo de inclusión de Microsoft Security Copilot: Microsoft Defender para Office 365 plan 2 implementado |
| Microsoft Defender características necesarias | - Control de acceso basado en rol unificado (URBAC) habilitado para Defender para Office 365. Consulte Activar la configuración de URBAC para obtener más información.
- Habilitar supervisar los mensajes notificados en Outlook en la configuración notificada por el usuario. Consulte Configuración notificada por el usuario para obtener más información : la directiva de alertas Email notificada por el usuario como malware o phish debe estar activada. Consulte Directivas de alerta en el portal de Microsoft Defender para obtener más información. |
| Complementos | El agente de suplantación de identidad (Phishing Triage Agent) activa automáticamente estos complementos de Security Copilot: - Microsoft Defender XDR - Inteligencia sobre amenazas de Microsoft - Agente de evaluación de suplantación de identidad |
Activación de la configuración de URBAC
Active la carga de trabajo de Defender para Office 365 en la configuración de Microsoft Defender XDR:
Para obtener más información, consulte Activar cargas de trabajo en Microsoft Defender XDR configuración.
Configuración de los valores notificados por el usuario
Habilite Supervisar mensajes notificados en Outlook para definir cómo los usuarios notifican mensajes potencialmente malintencionados en Microsoft Outlook y seleccione cualquiera de las opciones Destinos de mensajes notificados :
Para obtener más información, consulte Uso del portal de Microsoft Defender para configurar las opciones notificadas por el usuario.
Si usa una herramienta de informes de correo electrónico de terceros, revise Opciones para herramientas de informes de terceros y vea las opciones del proveedor para integrar los mensajes notificados con Microsoft Defender XDR.
Agregar directiva de alertas
El agente de evaluación de suplantación de identidad (Phishing Triage Agent) aborda incidentes de suplantación de identidad (phishing) que incluyen alertas con el tipo Email notificadas por el usuario como malware o phish. Asegúrese de que tiene habilitada la directiva de alerta correspondiente. Consulte Directivas de alerta en el portal de Microsoft Defender para obtener más información.
Importante
El agente de evaluación de identidades de suplantación de identidad no clasifica las alertas que suprime mediante reglas de supresión.
Permisos necesarios
En esta tabla se describen los permisos necesarios para realizar varias acciones relacionadas con el agente de evaluación de suplantación de identidad (Phishing Triage Agent) en el portal de Defender.
| Acción del usuario | Permiso requerido |
|---|---|
| Ver los resultados del agente y enseñar al agente a través de comentarios | Security Copilot (lectura),Conceptos básicos de datos de seguridad (lectura),Alertas(administrar), Email & metadatos de colaboración (lectura)y Email & contenido de colaboración (lectura) en el grupo Permisos de operaciones de seguridad en el portal de Defender, con el ámbito de la Microsoft Defender para Office 365 origen de datos. Para obtener más información, consulte Permisos necesarios del agente de evaluación de suplantación de identidad ( Phishing Triage Agent). |
| Visualización de la configuración del agente |
Security Copilot (lectura) y Conceptos básicos de datos de seguridad (lectura) en el grupo Permisos de operaciones de seguridad en el portal de Defender OR Administrador de seguridad en Microsoft Entra ID |
| Ver página de comentarios |
Security Copilot (lectura),Conceptos básicos de datos de seguridad (lectura) y Email & metadatos de colaboración (lectura) en el grupo Permisos de operaciones de seguridad en el portal de Defender OR Administrador de seguridad en Microsoft Entra ID |
| Administrar la configuración del agente (configurar, pausar, quitar el agente y administrar la identidad del agente) | Administrador de seguridad en Microsoft Entra ID |
| Rechazar comentarios | Administrador de seguridad en Microsoft Entra ID |
Para obtener más información sobre RBAC unificado en el portal de Defender, consulte Microsoft Defender XDR Control de acceso basado en rol unificado (RBAC).
Configuración del agente de evaluación de suplantación de identidad
Asegúrese de que tiene los permisos necesarios y que se cumplen todos los requisitos previos antes de configurar el agente.
Iniciar la instalación
Puede acceder al Asistente para la configuración del Agente de evaluación de suplantación de identidad de dos maneras:
En la cola Incidentes del portal de Microsoft Defender, seleccione Configurar agente.
Como alternativa, seleccione Configuración del > sistema > Microsoft Defender XDR > Información general del agente de evaluación de suplantación de identidad (Phishing Triage Agent>) > Configurar para iniciar el proceso.
Asignación de la identidad y los permisos del agente
El asistente para la instalación le guiará a través de la asignación al agente de una identidad y los permisos necesarios para realizar su trabajo.
Asignación de una identidad
El agente requiere una identidad para funcionar. El asistente le pide que seleccione uno de los dos tipos de identidad.
Seleccione:
Creación de una nueva identidad de agente (recomendado): cree automáticamente una nueva Agente de Microsoft Entra ID. Microsoft Entra crea identificadores de agente específicamente para agentes de inteligencia artificial. El uso de identificadores de agente mantiene el acceso con ámbito, seguro y fácil de administrar. Para obtener más información, consulte ¿Qué son las identidades de agente?.
OR
Conexión de una cuenta de usuario existente : asigne una cuenta de usuario existente como identidad del agente. El agente hereda los permisos y el acceso de la cuenta de usuario. Para usar esta opción de identidad, debe crear la identidad usted mismo y asignarle los permisos que necesita el agente antes de la instalación. Para obtener información sobre cómo crear una cuenta de usuario, consulte Creación de un nuevo usuario.
Al conectar el agente a una cuenta, se recomienda establecer una fecha de expiración de cuenta larga y supervisar estrechamente su estado de autenticación para garantizar el funcionamiento continuo del agente. Si la autenticación expira, el agente deja de funcionar hasta que se renueva.
La identidad de usuario especificada del agente no es compatible con PIM o TAP porque no admiten operaciones en segundo plano a largo plazo.
Sugerencia
Use una cuenta de identidad dedicada con los permisos mínimos necesarios para el agente. Al crear la cuenta, asigne un nombre para mostrar distinto como Agente de evaluación de identidades de suplantación de identidad (Phishing Triage Agent) para identificarla fácilmente en el portal de Microsoft Defender.
Establezca directivas de acceso condicional para Security Copilot para permitir que el agente funcione en función de la cuenta de usuario creada para él. Para obtener más información, consulte Solución de problemas de directivas de acceso condicional para Microsoft Security Copilot.
Asignar permisos
En consonancia con el principio de privilegios mínimos, se recomienda asignar la identidad del agente solo los permisos que el agente de evaluación de identidades de suplantación de identidad requiere para realizar sus tareas.
Si usa un identificador de agente, la lista desplegable solo muestra los roles de la organización que tienen los permisos que necesita el agente. Seleccione un rol existente en su organización o cree automáticamente un nuevo rol con los permisos necesarios si aún no tiene configurado un rol adecuado.
Si usa una cuenta de usuario existente, debe asignar los permisos necesarios a esa identidad antes de asignar la identidad del agente durante la instalación; no puede hacerlo desde el asistente para la instalación.
Permisos necesarios para el agente de evaluación de suplantación de identidad
La identidad del agente necesita estos permisos para acceder a correos electrónicos, analizar su contenido y administrar alertas:
- Conceptos básicos de datos de seguridad (lectura): Se usa para acceder a datos de seguridad básicos, como alertas e incidentes.
- Alertas (administrar): Se usa para clasificar la alerta y supervisar el estado de la alerta, lo que evita la invalidación del estado de la alerta.
- Security Copilot (lectura): se usa para acceder a las funcionalidades de Security Copilot.
- Email & metadatos de colaboración (lectura): se usa para acceder a los metadatos de los correos electrónicos notificados por el usuario.
- Email & contenido de colaboración (lectura): se usa para leer el contenido de los correos electrónicos notificados por el usuario necesarios para realizar el análisis.
Estos permisos se encuentran en el grupo Permisos de operaciones de seguridad :
Asegúrese de conceder acceso al agente al Microsoft Defender para Office 365 origen de datos.
Para crear un rol:
- Asegúrese de que las cargas de trabajo de Defender pertinentes están activadas para permitir que el agente analice de forma eficaz las alertas con un contexto completo. Siga los pasos descritos en Activar configuración de URBAC.
- Cree un rol con los permisos necesarios o asigne un rol existente con estos permisos al agente.
- Asigne el rol al agente. Asegúrese de conceder acceso al agente al Microsoft Defender para Office 365 origen de datos.
Importante
Después de asignar al agente sus permisos, asegúrese de que el grupo de usuarios que supervisa el agente tiene permisos iguales o superiores para supervisar su actividad y salida. Para ello, compare los permisos del grupo de usuarios con el agente de la página Permisos del portal de Microsoft Defender.
Mejora de la respuesta a incidentes con el agente de evaluación de suplantación de identidad
El agente está diseñado para ayudar a los equipos de seguridad a administrar el abrumador volumen de correos electrónicos sospechosos que reciben diariamente las organizaciones. Actuando como multiplicador de fuerza para los equipos de SOC, el agente descarga tareas de evaluación de prioridades que requieren mucho tiempo, reduce la fatiga de alertas y acelera la respuesta a incidentes mediante la identificación autónoma de las verdaderas amenazas de suplantación de identidad (phishing). Esto permite a los analistas reducir el ruido y centrar su atención en las amenazas que realmente importan.
Desencadenador y flujo del agente
Una vez configurado y en ejecución por completo, el agente de evaluación de suplantación de identidad se desencadena automáticamente cuando un usuario informa de un correo electrónico de suplantación de identidad sospechoso y se crea una alerta. A continuación, el agente analiza de forma autónoma la alerta mediante herramientas sofisticadas de inteligencia artificial y el contexto de su organización para determinar si la amenaza asociada es malintencionada o simplemente una falsa alarma.
Si se determina que la alerta es una falsa alarma, el agente la clasifica como falso positivo y la resuelve en consecuencia. Si la alerta se considera malintencionada, se clasifica como verdadero positivo y el estado del incidente asociado permanece abierto y en curso para que un analista investigue y tome medidas adicionales.
Para cada alerta que procesa, el agente proporciona una explicación detallada de su veredicto, lo que mejora la transparencia y crea la confianza de los analistas en el incidente correspondiente.
Colaboración con el agente
Para mantener la transparencia, el agente actualiza de forma rutinaria los campos de incidentes durante el proceso de evaluación de prioridades. Cuando se inicia la triaging, el agente asigna la alerta a sí mismo y agrega una etiqueta agent al incidente correspondiente. Los analistas pueden filtrar la cola de incidentes para ver solo los incidentes etiquetados por el agente, lo que simplifica la supervisión y la priorización.
Sugerencia
También puede filtrar la cola de incidentes con el nombre de la identidad que asignó al agente de evaluación de identidades de suplantación de identidad para ver los incidentes en los que el agente está trabajando activamente.
Cuando una alerta se identifica como una verdadera amenaza de suplantación de identidad (phishing), el agente de evaluación de suplantación de identidad la marca como un verdadero positivo. Esto permite a los analistas priorizar las amenazas de suplantación de identidad confirmadas y responder con más rapidez. Con estas alertas marcadas claramente, los analistas pueden filtrar fácilmente la cola para centrarse en las amenazas verificadas, lo que da lugar a una reducción significativa de la cola y minimiza el tiempo dedicado a ordenar los falsos positivos. Esto les permite concentrar sus esfuerzos donde más importan.
Transparencia y explicación en la evaluación de suplantación de identidad (phishing)
El agente de evaluación de suplantación de identidad está diseñado específicamente para explicar claramente por qué y cómo tomó cada decisión. Para cada alerta que procesa, proporciona una explicación detallada en texto sin formato junto con una representación gráfica completa de su flujo de trabajo de toma de decisiones. Este nivel de transparencia permite a los analistas interpretar rápidamente los resultados, generar confianza en la salida del agente y centrar su tiempo en tomar decisiones informadas, en lugar de repetir pasos manuales en el proceso de evaluación de suplantación de identidad (phishing).
Para revisar los resultados del agente, siga estos pasos:
Seleccione un incidente en la cola incidentes.
En la página del incidente, busque la tarjeta Agente de evaluación de suplantación de identidad (Phishing Triage Agent) en el panel lateral Copilot o Tareas en la sección Clasificación de respuesta guiada. La tarea se marca como completada y se asigna al agente. La tarjeta presenta el veredicto del agente en función de su clasificación, resaltando piezas clave de pruebas incriminatorias que informaron de la decisión.
Puede seleccionar los puntos suspensivos Más acciones para ver más detalles de alerta, copiar los detalles de clasificación del agente en el Portapapeles o administrar los comentarios.
Para ver los pasos que tomó el agente antes de alcanzar su clasificación, seleccione Ver actividad del agente en la tarjeta Agente de evaluación de suplantación de identidad (Phishing Triage Agent). Esto muestra la lógica detrás de la clasificación final del agente.
Enseñar al agente el contexto de su organización a través de comentarios
El agente de suplantación de identidad (Phishing Triage Agent) mejora continuamente su toma de decisiones en función de los comentarios adaptados a las necesidades de su organización. Los analistas pueden proporcionar entradas en lenguaje natural sin formato (no se requieren configuraciones complejas), lo que facilita guiar y dar forma al comportamiento del agente. Estos comentarios se almacenan en la memoria del agente, lo que le permite adaptarse a la forma en que su organización interpreta y clasifica las amenazas de phishing. Con el tiempo, esta adaptación mejora la precisión y la eficacia del agente para evaluar las alertas futuras, con el equipo en control.
Para proporcionar comentarios y enseñar al agente, siga estos pasos:
En la página del incidente, busque la tarjeta Agente de evaluación de suplantación de identidad (Phishing Triage Agent) en el panel lateral De Copilot o Tareas en la sección Evaluación de la respuesta guiada.
Revise la clasificación y el razonamiento del agente que se muestran en el título y el contenido de la tarjeta. Si la decisión no se alinea con los criterios de clasificación de la organización, seleccione Cambiar clasificación. Como alternativa, puede actualizar la clasificación seleccionando la alerta específica en la pestaña Alertas y, a continuación, seleccionando Administrar alerta.
En el panel Administrar alertas , seleccione la nueva clasificación en el menú desplegable Clasificación . A continuación, proporcione el motivo del cambio rellenando el campo ¿Por qué ha cambiado esta clasificación ?. En este paso se registra la entrada en la página de administración de comentarios solo con fines de auditoría. El agente no usará estos comentarios para mejorar su toma de decisiones hasta que seleccione explícitamente Usar estos comentarios para enseñar al agente. Si decide no usar estos comentarios para enseñar al agente, puede seleccionar Guardar, que solo auditará los comentarios sin insertarlos en la memoria del agente.
Para aplicar sus comentarios, seleccione Usar estos comentarios para enseñar al agente. Puede usar la guía para escribir comentarios que le ayuden a crear entradas eficaces y, a continuación, elegir Evaluar comentarios para permitirle obtener una vista previa de cómo el agente traduce sus comentarios en una lección y evaluar si el resultado se alinea con su intención. Además, la evaluación de comentarios realiza comprobaciones de seguridad básicas para asegurarse de que los comentarios aplicados son pertinentes para que el agente los use y no entre en conflicto con los comentarios anteriores.
Nota:
Solo puede proporcionar comentarios al agente una vez por alerta y solo se puede usar para enseñar al agente cómo clasificar las alertas de phishing, en concreto seleccionando True Positive (phishing) o False Positive (no malintencionado). Revise siempre los comentarios y compruebe la respuesta generada por IA antes de guardar la lección.
Si el resultado cumple sus expectativas, puede elegir insertar la lección en la memoria del agente para influir en sus decisiones futuras. Seleccione Guardar para guardar la lección y almacenarla como una lección en la memoria del agente si procede. Todos los comentarios registrados con fines de auditoría y las lecciones agregadas a la memoria del agente se pueden revisar más adelante en la página de administración de comentarios.
El agente usa los comentarios almacenados para evaluar y clasificar alertas similares en el futuro. Cuando se recibe una alerta pertinente que coincide con las características de los comentarios, el agente aplica estos comentarios para determinar su clasificación, incorporándola como evidencia auxiliar en su proceso de toma de decisiones.
Procedimientos recomendados para escribir comentarios
Las lecciones proporcionan directrices sistemáticas que ayudan al agente a determinar si una alerta es una amenaza de suplantación de identidad (phishing) auténtica o una falsa alarma. Para asegurarse de que el agente incorpora de forma eficaz sus comentarios, siga estos procedimientos recomendados al proporcionar información al agente de suplantación de identidad (Phishing Triage Agent):
- Asegúrese de que los comentarios son pertinentes y contextuales. Los comentarios solo deben pertenecer al correo electrónico que se está revisando actualmente. También debe alinearse con la clasificación actualizada que ha asignado.
- Sea descriptivo y específico. Explicar claramente las características del correo electrónico. Proporcione detalles relevantes como el asunto del correo electrónico, el cuerpo del mensaje, el remitente o los destinatarios para ayudar al agente a comprender el contexto. Comentarios específicos con varios detalles mejoran la eficacia.
- Garantizar la claridad y la determinación. Evite instrucciones vagas o universales. Proporcione comentarios claros y accionables. Use términos de identificación claros y decisivos.
- Sea coherente con los comentarios anteriores. Asegúrese de que los nuevos comentarios se alineen con lo que se proporcionó anteriormente para evitar contradicciones que pudieran confundir al agente o reducir la precisión de sus decisiones. Puede revisar todas las entradas enviadas anteriormente en la página Administración de comentarios .
- Revise la interpretación del agente de sus comentarios. Cuando envíe comentarios, compruebe siempre que los comentarios se traducen con precisión en una lección. Confirme que la lección refleja su intención y mantiene la coherencia con la entrada original. Comprobar la validez de las respuestas generadas por IA para asegurarse de que se aplican al escenario.
Estos son ejemplos de cómo puede escribir sus comentarios en el agente.
| Área | Ejemplos de comentarios bien escritos | Ejemplos de comentarios que pueden provocar errores | Comparison |
|---|---|---|---|
| Comentarios sobre un remitente | Cualquier correo electrónico que reclame ser de proveedores de beneficios debe originarse en "@benefits.company.com". | El remitente de la segunda alerta del incidente no es legítimo. | Los comentarios deben estar relacionados con el correo electrónico de la alerta actual y su contexto. Se asociará a la clasificación elegida (aunque no se mencione explícitamente en los comentarios) y se usará para alertas futuras similares. |
| Comentarios sobre el remitente y el cuerpo del correo electrónico | Los correos electrónicos que ofrecen el uso compartido de archivos o el acceso a documentos solo deben proceder de nuestro proveedor autorizado Contoso.com. | Los correos electrónicos que ofrecen el uso compartido de archivos o el acceso a documentos solo deben provenir de nuestros proveedores autorizados. | Los comentarios bien escritos indican claramente requisitos específicos (por ejemplo, dominio del remitente), mientras que las referencias vagas (por ejemplo, "proveedores autorizados") no contienen información accionable. |
| Comentarios sobre el asunto del correo electrónico | Cualquier correo electrónico que contenga un asunto que contenga una solicitud de transacción de facturación no está permitido en nuestra organización y se considera phishing. | Si el sujeto tiene un sentimiento natural positivo, es legítimo. | Los comentarios descriptivos y específicos se pueden validar de forma eficaz, mientras que los comentarios subjetivos pueden dar lugar a resultados no deseados. |
| Comentarios sobre el cuerpo del correo electrónico | Los correos electrónicos que solicitan la verificación de credenciales deben incluir una referencia a la cuenta o servicio específica. Cualquier solicitud genérica de "comprobar la cuenta" sin detalles debe tratarse como suplantación de identidad (phishing). | Este correo electrónico debe tratarse como phishing. | Es más probable que se entiendan claramente los comentarios que incluyen información detallada, mientras que los comentarios que carecen de detalle pueden interpretarse de varias maneras y podrían dar lugar a resultados imprevisibles. |
| Comentarios sobre un destinatario y el cuerpo del correo electrónico | Este correo electrónico se envió a varios empleados y el cuerpo indica a los destinatarios que descarguen un "dato adjunto importante" sin describir su contenido; los correos electrónicos legítimos siempre especifican los detalles de los datos adjuntos. | Los correos electrónicos internos masivos con datos adjuntos son phishing. | Los comentarios que resaltan detalles específicos que faltan habitualmente en los correos electrónicos legítimos son más eficaces. Los comentarios que contienen generalizaciones amplias (correos electrónicos masivos) o términos vagos (como "internos") pueden dar lugar a un número excesivo de verdaderos positivos. |
| Comentarios sobre un destinatario y un dominio | Los correos electrónicos de incorporación de nuevos contratistas solo deben enviarse a direcciones de correo electrónico a partir de "v-" para asegurarse de que se dirigen a los destinatarios correctos. | Los correos electrónicos del contratista parecen diferentes de los habituales, por lo que podrían ser suplantación de identidad (phishing). | Los comentarios bien escritos definen claramente el formato de destinatario esperado, mientras que los comentarios que son indecisos ("podrían ser") y carecen de criterios de identificación claros ("parece diferente de lo habitual" sin especificar lo que es diferente), hace que la detección no sea confiable. |
Resolución de errores de comentarios
Cuando el agente toma sus comentarios, lo traduce en una lección. Si el agente no interpreta correctamente los comentarios, un mensaje pertinente muestra lo que provocó el error. Puede solucionar estos errores en función del mensaje devuelto por el agente.
Estos son ejemplos de errores que puede encontrar al escribir comentarios en el agente y cómo resolverlos.
| Mensaje de error | Acción recomendada |
|---|---|
Parte de los comentarios proporcionados no se pueden abordar, ya que el agente actualmente no admite este tipo de entrada y, por lo tanto, no se puede traducir a una lección en absoluto. |
Vuelva a escribir sus comentarios y asegúrese de que sigue los procedimientos recomendados. Seleccione Evaluar comentarios para intentarlo de nuevo. |
Los comentarios contienen entradas que el agente puede admitir, pero no son pertinentes para el correo electrónico en cuestión y, por tanto, no se pueden traducir en una lección accionable que se guardará en la memoria. |
Vuelva a escribir sus comentarios y asegúrese de que aborda las descripciones del correo electrónico que puede admitir. A continuación, seleccione Evaluar comentarios para intentarlo de nuevo. |
Los comentarios dados entran en conflicto con los comentarios anteriores proporcionados a un correo electrónico similar. |
En la página de administración de comentarios , busque el identificador de comentarios para ver los comentarios con los que entra en conflicto. En función de la revisión, puede hacer lo siguiente: - Rechazar los comentarios anteriores en la página de administración de comentarios. Después, seleccione Evaluar para intentar insertar sus comentarios de nuevo. - Vuelva a escribir los comentarios dados de forma que no entren en conflicto y, a continuación, seleccione Evaluar comentarios para que el agente vuelva a evaluar la nueva entrada. |
Nota:
Puede optar por no resolver errores de comentarios. Puede dejar sus comentarios y seleccionar Guardar sin activar la casilla para enseñar al agente. Los comentarios no se guardarán en la memoria del agente y solo se documentarán en la página de administración de comentarios para los futuros cambios de clasificación de seguimiento.
Una vez que el agente se enseña y está equipado con conocimientos organizativos, comienza a refinar sus capacidades de toma de decisiones. Este proceso de enseñanza interactiva garantiza que el agente evoluciona continuamente, proporcionando clasificaciones y respuestas cada vez más precisas a lo largo del tiempo. Al integrar bucles de comentarios, el sistema se adapta dinámicamente al panorama cambiante de las prioridades organizativas y los patrones de incidentes.
Administrar el agente de evaluación de suplantación de identidad
Para administrar la configuración del agente de evaluación de suplantación de identidad , revise su actividad y revise las interacciones del usuario con el agente, seleccione Administrar agente en la tarjeta situada encima de la cola de incidentes. Como alternativa, seleccione Configuración > Microsoft Defender XDR > Comentarios del agente de evaluación de suplantación de identidad (Phishing Triage Agent > Feedback).
Visualización de la actividad anterior del agente
Para ver todas las ejecuciones anteriores del agente:
- Seleccione Configuración > Microsoft Defender XDR Información general del > agente de evaluación de suplantación de identidad ( Phishing Triage Agent>).
- Seleccione Ver actividad del agente.
Se abre el portal de Security Copilot en una nueva pestaña. La pestaña se abre en una tabla que enumera todas las actividades y detalles recientes del agente.
Visualización y administración de comentarios al agente
El agente de evaluación de suplantación de identidad usa comentarios para mejorar su rendimiento a lo largo del tiempo. Almacena los comentarios aplicables en su memoria como lecciones. Puede ver y administrar los comentarios enviados por el usuario para el agente de evaluación de suplantación de identidad (Phishing Triage Agent) navegando a la página Administración de comentarios.
Esta página proporciona una lista completa de todos los comentarios enviados al agente. Puede revisar los detalles clave de cada fragmento de comentarios, entre los que se incluyen:
- Clasificación original del agente y cambio aplicado por el usuario
- Los comentarios originales proporcionados por el usuario al cambiar la clasificación
- La lección traducida generada por el agente (si procede)
- Estado de los comentarios: en uso, no en uso o en conflicto
- El usuario que proporcionó los comentarios
- Fecha de envío de comentarios, identificador de comentarios, identificador de alerta y el identificador de incidente
El estado de los comentarios puede significar:
| Estado | Descripción |
|---|---|
| En uso | Los comentarios se han convertido correctamente en una lección en la memoria del agente y se usan activamente para evaluar y clasificar incidentes similares. |
| Conflicto (Conflict) | Los comentarios proporcionados entraron en conflicto con los comentarios proporcionados anteriormente en un incidente similar. Obtenga información sobre cómo puede resolver errores de comentarios. |
| No en uso | Los comentarios no se incorporaron en la memoria del agente o no fueron marcados por el usuario para la enseñanza. Las lecciones rechazadas aparecen como "no en uso" y solo se guardan para la auditoría, no para la evaluación y clasificación de incidentes. Para obtener más información, seleccione el panel de detalles. |
Sugerencia
Los comentarios solo se pueden administrar individualmente. Actualmente no se admite la administración masiva de varias entradas de comentarios.
Para revisar los detalles de un comentario específico, seleccione una entrada de la lista de comentarios. En el panel Revisar comentarios , compruebe los detalles de los comentarios proporcionados, la lección del agente, los cambios de clasificación y otros detalles importantes. Puede usar estos detalles para decidir si desea conservar los comentarios en la memoria del agente o rechazarlos.
Nota:
Para rechazar los comentarios proporcionados, necesita el rol Administrador de seguridad en Microsoft Entra ID.
Para rechazar comentarios específicos, abra el panel Revisar comentarios y seleccione Rechazar comentarios. Cuando lo hace, el agente lo registra como rechazado y deja de usarlo en futuras decisiones de evaluación de prioridades.
Cambio de la identidad y el rol del agente
Para administrar la identidad y el rol del agente en cualquier momento, seleccione Configuración > del sistema > Microsoft Defender XDR > identidad y rol de información general > del agente > de evaluación de suplantación de identidad y de suplantación de identidad.
En esta página, puede ver la identidad actual del agente, acceder a los detalles sobre la última actualización y seleccionar un nuevo tipo de identidad para el agente si es necesario. El proceso de cambiar una identidad es similar a la configuración inicial de la identidad y el rol del agente.
Pausar o reanudar el agente
Pausar el agente detiene temporalmente toda la actividad de evaluación de prioridades, incluidas las tareas de evaluación de prioridades en curso. El agente no procesa nuevos incidentes hasta que se reanuda. La reanudación del agente reanuda todas sus actividades, lo que le permite empezar a evaluar y clasificar de nuevo las alertas entrantes.
Para pausar o reanudar el agente:
Seleccione Configuración del > sistema > Microsoft Defender XDR > Información general del agente de evaluación de suplantación de identidad (Phishing Triage Agent>) en el portal de Defender.
Seleccione Pausar para detener temporalmente el agente. Una vez en pausa, el botón se actualiza a Reanudar, que puede seleccionar cuando esté listo para reactivar las actividades del agente.
Quitar el agente
Al quitar el agente, se deshabilita de forma permanente. Una vez eliminado, se detiene la evaluación y clasificación de los nuevos incidentes y se eliminan todos los comentarios. Sin embargo, el historial de incidentes previamente evaluados se conserva para su referencia.
Para quitar el agente:
- Seleccione Configuración del > sistema > Microsoft Defender XDR > Información general del agente de evaluación de suplantación de identidad ( Phishing Triage Agent>).
- Seleccione Quitar agente.
Preguntas frecuentes
A continuación se muestran las respuestas a las preguntas más frecuentes sobre el agente de evaluación de suplantación de identidad (Phishing Triage Agent). Para obtener información sobre las funcionalidades y los requisitos del agente, consulte las secciones Funcionamiento del agente y Requisitos previos de este artículo.
¿Cuándo se desencadena el agente?
El agente se ejecuta automáticamente cuando un usuario informa de un posible intento de suplantación de identidad (phishing) y se crea una alerta.
¿Por qué es importante el agente de evaluación de suplantación de identidad?
La suplantación de identidad sigue siendo uno de los métodos más comunes mediante los cuales los atacantes obtienen acceso inicial a los sistemas. Aunque las herramientas de seguridad bloquean de forma eficaz la mayoría de las amenazas, algunas todavía logran escapar, saturando las bandejas de entrada y dejando a los usuarios de correo electrónico inseguros si un correo electrónico sospechoso es un intento legítimo de suplantación de identidad (phishing) o un correo no deseado inofensivo. Esta incertidumbre suele dar lugar a una afluencia de informes enviados por el usuario. Por lo tanto, la administración de estos incidentes se convierte en una tarea tediosa y repetitiva para los analistas de Security Operations Center (SOC). Cada alerta puede requerir hasta 30 minutos de evaluación manual, lo que requiere un esfuerzo significativo para examinar un gran volumen de incidentes en busca de la amenaza real en medio del ruido. Este esfuerzo sobrecarga a los analistas, que tienen un tiempo limitado para dedicarse a completar las demandas críticas. Al aliviar la carga del trabajo reactivo, el agente de evaluación de suplantación de identidad (Phishing Triage Agent) permite a los analistas centrarse en medidas de seguridad proactivas, lo que, en última instancia, fortalece las posturas generales de seguridad de las organizaciones.
¿Se puede confiar en el agente de evaluación de suplantación de identidad?
Los agentes de IA de Microsoft siguen estrictas directrices de inteligencia artificial responsable y se someten a revisiones exhaustivas para garantizar el cumplimiento de todos los estándares y medidas de seguridad de IA. El agente de suplantación de identidad de Security Copilot está totalmente incorporado en estos controles. Durante la instalación, asigne al agente una identidad y configúrela con los permisos mínimos necesarios para su operación, lo que garantiza que no tiene permisos innecesarios. Todas las actividades del agente se registran en detalle, con el flujo completo disponible para su revisión por parte de analistas y administradores en cualquier momento. Los comentarios proporcionados al agente para ayudarle a adaptarse al entorno de la organización se registran, se reflejan en el sistema y son accesibles para su revisión y modificación por parte de los administradores según sea necesario.
¿En qué se diferencia el agente de una solución SOAR estándar?
Aunque tanto las soluciones SOAR como el agente de suplantación de identidad tienen como objetivo automatizar los aspectos de las operaciones de seguridad, sus enfoques son fundamentalmente diferentes. Las herramientas soar se basan en flujos de trabajo estáticos, basados en directivas y reglas que requieren lógica predefinida y ajuste manual. Por el contrario, el agente usa el razonamiento recursivo para completar de forma autónoma tareas: aprendizaje, adaptación y mejora con el tiempo.
No es necesario reprogramar el agente para cada nueva situación. Dentro de los límites definidos, se ajusta a la tarea en cuestión, lo que la hace mucho más flexible que la automatización tradicional. En lugar de ser rígido y reactivo, evoluciona continuamente con el entorno y el entorno de amenazas, guiado por los comentarios de los analistas y fundamentado en datos reales. Diseñado específicamente para los equipos de seguridad, el agente de evaluación de suplantación de identidad (Phishing Triage Agent) ayuda a acelerar las respuestas y reduce las cargas de trabajo manuales, lo que libera a los analistas para centrarse en iniciativas estratégicas.
¿Qué nivel de visibilidad y control tengo sobre el agente?
Microsoft proporciona herramientas para que las organizaciones mantengan la visibilidad y el control sobre el agente de evaluación de suplantación de identidad (Phishing Triage Agent) desde la implementación a través de operaciones en curso. El agente se adhiere a los estándares de inteligencia artificial responsable (RAI) de Microsoft para la equidad, confiabilidad, seguridad, privacidad, seguridad, inclusión, transparencia y responsabilidad.
Los administradores configuran los niveles de identidad y acceso del agente durante la instalación, siguiendo los principios con privilegios mínimos. Los equipos de seguridad y TI pueden autorizar acciones específicas, supervisar el rendimiento y revisar los resultados directamente en Microsoft Defender. Los administradores también pueden configurar el consumo de capacidad y los límites de acceso a datos.
El agente de evaluación de suplantación de identidad (Phishing Triage Agent) funciona dentro de un entorno de confianza cero. El sistema aplica directivas organizativas en cada acción del agente mediante la evaluación de la intención y el ámbito de cada operación. Todas las decisiones, razonamientos y acciones tomadas por el agente se documentan de forma transparente como un árbol de decisión dentro de Defender y se registran en los registros de auditoría de Microsoft Purview para la trazabilidad y el cumplimiento.
Quiero probar el agente de suplantación de identidad (Phishing Triage Agent): ¿cómo lo configuro en Microsoft Defender?
Para configurar el agente, debe tener acceso a Security Copilot en Microsoft Defender y cumplir los requisitos previos necesarios. Si no se ha incorporado a Security Copilot, consulte Introducción a Security Copilot o póngase en contacto con su representante de Microsoft. Después de incorporarse a Security Copilot, la opción de configuración del agente puede tardar un poco en estar disponible en el portal de Microsoft Defender.
He probado el agente de suplantación de identidad (Phishing Triage Agent): ¿cómo puedo calcular la capacidad de SCU necesaria para el agente de mi organización?
Después de la instalación, el agente comienza a consumir automáticamente las SCU aprovisionadas para el área de trabajo cuando finaliza el período de prueba.
Es importante asegurarse de que su organización tiene suficientes SCU para el funcionamiento correcto del agente. Para evaluar el uso de SCU y planear la capacidad en el futuro, consulte el panel Supervisión de uso en el portal de Security Copilot y compruebe si tiene derecho a las SCU como parte del modelo de inclusión de Microsoft Security Copilot. El panel muestra lo siguiente:
- Costo por correo electrónico procesado
- Consumo de capacidad con el tiempo
También puede exportar los datos del panel a Excel para un análisis más detallado y filtrar solo las operaciones del agente.
Después de evaluar las necesidades de uso de SCU, actualice la capacidad de SCU para su organización. Para obtener más información sobre la administración de SCU, consulte Administración del uso de unidades de proceso de seguridad en Security Copilot.