Perguntas frequentes sobre proteção antimalware

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Aplica-se a

Este artigo fornece perguntas frequentes e respostas sobre a proteção antimalware para organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio.

Para obter perguntas e respostas sobre a quarentena, veja Perguntas Frequentes sobre a Quarentena.

Para perguntas e respostas sobre a proteção antisspam, veja FAQ sobre proteção antisspam.

Para perguntas e respostas sobre a proteção anti-spoofing, veja FAQ sobre proteção anti-spoofing.

Quais são as recomendações de melhores práticas para configurar e utilizar o serviço para combater software maligno?

Com que frequência as definições de malware são atualizadas?

Cada servidor verifica a cada hora a existência de novas definições de malware de nossos parceiros antimalware.

Quantos parceiros antimalware você tem? Posso quais mecanismos de malware usar?

A partir de julho de 2024, as mensagens são analisadas apenas com o motor antimalware da Microsoft.

Onde ocorre a verificação de malware?

Analisamos software maligno em mensagens enviadas ou enviadas a partir de uma caixa de correio (mensagens em trânsito). Para Exchange Online caixas de correio, também temos remoção automática de zero horas (ZAP) para que o software maligno analise as mensagens que já foram entregues. Se reenviar uma mensagem de uma caixa de correio, esta será novamente analisada (porque está em trânsito).

Se eu fizer uma alteração em uma política anti-malware, quanto tempo demora para que as alterações façam efeito após eu salvá-las?

As alterações podem demorar até 1 hora a entrar em vigor.

O serviço examina mensagens internas e busca de malware?

Para organizações com Exchange Online caixas de correio, o serviço procura software maligno em todas as mensagens de entrada e saída, incluindo mensagens enviadas entre destinatários internos.

Uma subscrição EOP autónoma analisa as mensagens à medida que entram ou saem da organização de e-mail no local. As mensagens enviadas entre destinatários internos no local não são analisadas quanto a software maligno. No entanto, pode utilizar as funcionalidades de análise antimalware incorporadas do Exchange Server. Para obter mais informações, veja Proteção antimalware no Exchange Server.

A análise heurística está ativada?

Sim. Análise heurística procura software maligno conhecido (correspondência de assinatura) e desconhecido (suspeito).

O serviço pode examinar arquivos compactados (como arquivos .zip)?

Sim. O antimalware pode explorar ficheiros comprimidos (de arquivo).

O suporte ao exame de anexo compactado é recursivo (.zip dentro de um .zip dentro de um .zip) e, se for, qual o nível de profundidade máximo?

Sim, a análise recursiva de ficheiros comprimidos analisa muitas camadas de profundidade.

O serviço funciona com versões do Exchange legadas e ambientes que não são do Exchange?

Sim, o serviço não reconhece o servidor.

O que é um vírus de zero dias e como é processado pelo serviço?

Um vírus de zero dias é uma variante de software maligno de primeira geração, anteriormente desconhecida, que nunca foi capturada ou analisada.

Depois de uma amostra de vírus de zero dias ser capturada e analisada pelo nosso motor antimalware, é criada uma definição e uma assinatura exclusiva para detetar o software maligno.

Quando existe uma definição ou assinatura para o software maligno, já não é considerada zero-day.

Como posso configurar o serviço para bloquear ficheiros executáveis específicos (como \*.exe) que receio que possam conter software maligno?

Pode ativar e configurar o filtro de anexos comuns (também conhecido como bloqueio de anexos comuns), conforme descrito no filtro Anexos comuns em políticas antimalware.

Também pode criar uma regra de fluxo de correio do Exchange (também conhecida como regra de transporte) que bloqueia qualquer anexo de e-mail com conteúdo executável.

Siga os passos em How to reduce malware threats through file attachment blocking in Proteção do Exchange Online to block the file types listed in Supported file types for mail flow rule content inspection in Exchange Online (Como reduzir as ameaças de software maligno através do bloqueio de anexos de ficheiros no Proteção do Exchange Online para bloquear os tipos de ficheiro listados em Tipos de ficheiros suportados para a inspeção de conteúdo da regra de fluxo de correio no Exchange Online.

Para uma maior proteção, também recomendamos que utilize a extensão Qualquer ficheiro de anexo que inclua estas palavras condição nas regras de fluxo de correio para bloquear algumas ou todas as seguintes extensões: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.

Por que motivo um software maligno específico passou pelos filtros?

O software maligno que recebeu é uma nova variante (consulte O que é um vírus de zero dias e como é processado pelo serviço?). O tempo necessário para uma atualização da definição de software maligno depende dos nossos parceiros antimalware.

Lembre-se de que nenhuma definição configurável por utilizadores ou administradores pode isentar os anexos de e-mail de serem analisados pela proteção antimalware.

Como posso submeter software maligno que passou dos filtros para a Microsoft? Além disso, como posso submeter um ficheiro que acredito ter sido detetado incorretamente como software maligno?

Recebi uma mensagem de e-mail com um anexo desconhecido. Isso é malware ou eu posso desconsiderar esse anexo?

Recomendamos vivamente que não abra anexos que não reconheça. Se quiser que investiguemos o anexo, comunique o ficheiro à Microsoft.

Onde posso obter mensagens que foram eliminadas pelos filtros de software maligno?

As mensagens contêm código malicioso ativo e, portanto, não permitimos o acesso a estas mensagens. São eliminados sem cerimónias.

Não consigo receber um anexo específico porque está a ser identificado falsamente como software maligno. Posso permitir este anexo através de regras de fluxo de correio?

Não. Não pode utilizar regras de fluxo de correio do Exchange para ignorar a filtragem de software maligno. A única forma de ignorar a filtragem de software maligno de um destinatário é identificar a caixa de correio como uma caixa de correio SecOps. Para obter mais informações, consulte Utilizar o portal do Microsoft Defender para configurar caixas de correio secOps na política de entrega avançada.

Posso obter dados de relatórios sobre deteções de software maligno?

Sim, pode aceder a relatórios no portal Microsoft Defender. Para obter mais informações, consulte Ver relatórios de segurança de e-mail no portal do Microsoft Defender.

Há uma ferramenta que eu possa usar para seguir uma mensagem com malware detectado pelo serviço?

Sim, a ferramenta de rastreamento de mensagem permite que você siga mensagens de email à medida que elas passam pelo serviço. Para obter mais informações sobre como utilizar a ferramenta de rastreio de mensagens para descobrir por que motivo uma mensagem foi detetada para conter software maligno, consulte Rastreio de mensagens no centro de administração do Exchange moderno.

Posso utilizar um fornecedor de anti-spam e antimalware de terceiros com Exchange Online?

Sim. Na maioria dos casos, recomendamos que aponte os seus registos MX para (ou seja, entregar e-mail diretamente à) EOP. Se precisar de encaminhar o seu e-mail para outro local primeiro, tem de ativar a Filtragem Avançada para Conectores para que a EOP possa utilizar a verdadeira origem de mensagens nas decisões de filtragem.

As mensagens de spam e malware são investigadas para identificar quem as enviou ou são transferidas para entidades legais?

O objetivo do serviço é detectar e remover spam e malware, embora possamos, de vez em quando, investigar campanhas de spam ou de ataque particularmente perigosas ou prejudiciais, e processar legalmente os responsáveis.

Muitas vezes, trabalhamos com as nossas unidades de crime legal e digital para tomar as seguintes ações:

  • Desça um botnet de spam.
  • Bloquear a utilização do serviço por parte de um atacante.
  • Passe a informação à aplicação da lei para um processo criminal.

Para obter mais informações