Microsoft - Cómo evitar falsos positivos de ATP en simulaciones de phishing y ransomware (DMI)

Este artículo explica cómo configurar las reglas de Advanced Threat Protection (ATP) en Microsoft para evitar falsos positivos en simulaciones enviadas a través de Direct Message Injection (DMI). Es el paso necesario cuando el DMI ya está configurado pero se registran clicks o aperturas de archivos que no realizaron los usuarios.

Requisitos previos

• El medio de envío DMI debe estar configurado y funcionando. Si aún no lo configuró, siga primero el Microsoft - Cómo configurar el envío de simulaciones por DMI (Direct Message Injection).
• Acceso de administrador al Centro de Administración de Exchange: https://admin.exchange.microsoft.com
• Acceso de administrador a su plataforma de SMARTFENSE.

Paso 1 — Acortar el header de SMARTFENSE

Microsoft tiene un límite de aproximadamente 100 caracteres para el valor del encabezado en las reglas de flujo de correo. El header por defecto de SMARTFENSE suele superar ese límite, por lo que debe acortarse antes de crear las reglas.

1. Ingrese a su plataforma de SMARTFENSE.
2. Vaya a Configuración > Seguridad > Whitelist.
3. En el apartado Header de correos de Phishing y Ransomware, haga clic en Personalizar Header.
4. Copie el valor del header en un editor de texto (por ejemplo, el Bloc de notas).
5. Elimine caracteres desde el final hasta que el texto tenga aproximadamente 100 caracteres.
6. Pegue el header modificado en el campo correspondiente de la plataforma.
7. Haga clic en Guardar.

Conserve el header recortado a mano: lo necesitará para configurar ambas reglas en los pasos siguientes.

Paso 2 — Crear la regla para omitir ATP Link

Esta regla evita que ATP analice los enlaces incluidos en las simulaciones, eliminando los falsos clicks.

1. Ingrese al Centro de Administración de Exchange: https://admin.exchange.microsoft.com
2. Vaya a Flujo de correo > Reglas.
3. Haga clic en (+) Agregar una regla > Crear una nueva regla.
4. Asigne el nombre Omitir ATP Links.
5. En Aplicar esta regla si..., seleccione Los encabezados del mensaje > incluye cualquiera de estas palabras.
6. En Escribir texto, ingrese: X-PHISHINGSIMULATION. Haga clic en Guardar.
7. En Escribir palabras, pegue el header que acortó en el Paso 1. Haga clic en Agregar y luego en Guardar.
8. En Haga lo siguiente, seleccione Modificar propiedades del mensaje > establecer un encabezado de mensaje.
9. En Escribir texto, ingrese: X-MS-Exchange-Organization-SkipSafeLinksProcessing. Haga clic en Guardar.
10. En valor, ingrese: 1. Haga clic en Guardar.
11. Haga clic en Siguiente.
12. En Establecer la configuración de regla, deje los valores por defecto y haga clic en Siguiente.
13. En Revisar y finalizar, haga clic en Finalizar.

Paso 3 — Crear la regla para omitir ATP Attachment

Esta regla evita que ATP analice los archivos adjuntos de las simulaciones de ransomware, eliminando las falsas aperturas.

1. En la pantalla de Reglas, haga clic en (+) Agregar una regla > Crear una nueva regla.
2. Asigne el nombre Omitir ATP Attachments.
3. Repita los pasos 5 al 10 del Paso 2, con la siguiente diferencia en el paso 9:
   • En Escribir texto, ingrese: X-MS-Exchange-Organization-SkipSafeAttachmentProcessing
4. Haga clic en Siguiente.
5. En Establecer la configuración de regla, deje los valores por defecto y haga clic en Siguiente.
6. En Revisar y finalizar, haga clic en Finalizar.

Paso 4 — Habilitar las reglas y establecer prioridad

Una vez creadas las dos reglas, es necesario habilitarlas y configurar su prioridad correctamente. Sin este paso, las reglas no tendrán efecto.

1. Ingrese a editar la regla Omitir ATP Links.
2. Vaya a Editar configuración de regla.
3. Active el campo Habilitada.
4. Establezca la prioridad en 0.
5. Guarde los cambios.
6. Ingrese a editar la regla Omitir ATP Attachments.
7. Vaya a Editar configuración de regla.
8. Active el campo Habilitada.
9. Establezca la prioridad en 1.
10. Active la opción Detener el procesamiento de más reglas.
11. Guarde los cambios.

La opción "Detener el procesamiento de más reglas" debe estar activa únicamente en la regla Omitir ATP Attachments (prioridad 1).

Paso 5 — Verificar la configuración

Antes de lanzar una campaña a todos los usuarios, valide que las reglas funcionen correctamente.

1. Espere al menos 2 horas para que las reglas se propaguen a todos los usuarios.
2. Configure una campaña de simulación de prueba dirigida a un grupo reducido de usuarios (puede ser su propio usuario).
3. Verifique que no se registren clicks ni aperturas de archivos que no hayan realizado los usuarios del grupo de prueba.

💡 Mejores prácticas

• Configurar las reglas ATP siempre que se use DMI como medio de envío en entornos Microsoft, incluso si no se han detectado falsos positivos aún.
• Usar el header personalizado (recortado) de forma consistente: el mismo valor debe estar en la plataforma de SMARTFENSE y en ambas reglas de Exchange.
• Probar la configuración con un grupo reducido antes de lanzar campañas masivas.
• No superar los 100 caracteres en el valor del header para evitar que Microsoft rechace la regla silenciosamente.
• Revisar las reglas en Exchange si en algún momento vuelven a aparecer falsos positivos, ya que las actualizaciones del entorno Microsoft pueden deshabilitarlas.