Ajustar a proteção anti-phishing
Embora o Microsoft 365 venha com uma variedade de recursos anti-phishing habilitados por padrão, é possível que algumas mensagens de phishing ainda possam passar para caixas de correio em sua organização. Este artigo descreve o que você pode fazer para descobrir por que uma mensagem de phishing passou e o que você pode fazer para ajustar as configurações anti-phishing em sua organização microsoft 365 sem acidentalmente piorar as coisas.
Primeiro: lidar com contas comprometidas e impedir que mais mensagens de phishing passem
Se a conta de um destinatário foi comprometida como resultado da mensagem de phishing, siga as etapas em Responder a uma conta de email comprometida no Microsoft 365.
Se sua assinatura incluir Microsoft Defender para Office 365, você pode usar Office 365 Inteligência contra Ameaças para identificar outros usuários que também receberam a mensagem de phishing. Você tem opções adicionais para bloquear mensagens de phishing:
- Links seguros no Microsoft Defender para Office 365
- Anexos Seguros no Microsoft Defender para Office 365
- Políticas anti-phishing no Microsoft Defender para Office 365. Você pode aumentar temporariamente os limites avançados de phishing na política de Standard para Agressivo, Mais agressivo ou Mais agressivo.
Verifique se essas políticas estão funcionando. A proteção de Links Seguros e Anexos Seguros é ativada por padrão, graças à proteção interna em políticas de segurança predefinidas. O anti-phishing tem uma política padrão que se aplica a todos os destinatários em que a proteção anti-falsificação é ativada por padrão. A proteção contra representação não está ativada na política e, portanto, precisa ser configurada. Para obter instruções, consulte Configurar políticas anti-phishing no Microsoft Defender para Office 365.
Relatar a mensagem de phishing à Microsoft
Relatar mensagens de phishing é útil para ajustar os filtros usados para proteger todos os clientes no Microsoft 365. Para obter instruções, consulte Usar a página Envios para enviar spam, phish, URLs, email legítimo sendo bloqueado e anexos de email para a Microsoft.
Inspecionar os cabeçalhos de mensagem
Você pode examinar os cabeçalhos da mensagem de phishing para ver se há algo que você pode fazer sozinho para impedir que mais mensagens de phishing sejam enviadas. Em outras palavras, examinar os cabeçalhos de mensagens pode ajudá-lo a identificar quaisquer configurações em sua organização responsáveis por permitir a entrada de mensagens de phishing.
Especificamente, você deve marcar o campo cabeçalho X-Forefront-Antispam-Report nos cabeçalhos da mensagem para obter indicações de filtragem ignorada para spam ou phishing no valor SFV (Veredicto de Filtragem de Spam). As mensagens que ignoram a filtragem têm uma entrada de SCL:-1, o que significa que uma de suas configurações permitiu que essa mensagem fosse substituída pelos veredictos de spam ou phishing determinados pelo serviço. Para obter mais informações sobre como obter cabeçalhos de mensagem e a lista completa de todos os cabeçalhos de mensagens anti-spam e anti-phishing disponíveis, confira Cabeçalhos de mensagens anti-spam no Microsoft 365.
Dica
Você pode copiar e colar o conteúdo de um cabeçalho da mensagem na ferramenta Analisador do cabeçalho da mensagem. Essa ferramenta ajuda a analisar os cabeçalhos, deixando-os em um formato mais legível.
Você também pode usar o analisador de configuração para comparar suas políticas de segurança EOP e Defender para Office 365 com as recomendações Standard e Strict.
Melhores práticas para se manter protegido
Mensalmente, execute o Secure Score para avaliar as configurações de segurança da sua organização.
Para mensagens que acabam em quarentena por engano (falsos positivos) ou para mensagens permitidas por meio (falsos negativos), recomendamos que você pesquise essas mensagens em Detecções de Explorer de Ameaças e em tempo real. Você pode pesquisar por remetente, destinatário ou ID de mensagem. Depois de localizar a mensagem, acesse detalhes clicando no assunto. Para obter uma mensagem em quarentena, procure ver qual era a "tecnologia de detecção" para que você possa usar o método apropriado para substituir. Para obter uma mensagem permitida, veja qual política permitiu a mensagem.
Email de remetentes falsificados (o endereço De da mensagem não corresponde à origem da mensagem) é classificado como phishing em Defender para Office 365. Às vezes, a falsificação é benigna e, às vezes, os usuários não querem que mensagens de remetente falsificado específico sejam colocadas em quarentena. Para minimizar o impacto aos usuários, examine periodicamente o insight de inteligência falsa, as entradas de remetentes falsificados na Lista de Permissões/Blocos de Locatários e o relatório de detecções spoof. Depois de examinar os remetentes falsificados permitidos e bloqueados e fazer as substituições necessárias, você poderá configurar com confiança a inteligência falsa em políticas anti-phishing para colocar mensagens suspeitas em quarentena em vez de entregá-las à pasta Junk Email do usuário.
Em Defender para Office 365, você também pode usar a página https://security.microsoft.com/impersonationinsightde insights de representação para rastrear detecções de representação de usuário ou de representação de domínio. Para obter mais informações, consulte Insights de representação em Defender para Office 365.
Examine periodicamente o relatório Status da Proteção contra Ameaças para detecções de phishing.
Alguns clientes inadvertidamente permitem mensagens de phishing colocando seus próprios domínios na lista Permitir remetente ou Permitir domínio em políticas anti-spam. Embora essa configuração permita algumas mensagens legítimas, ela também permite mensagens mal-intencionadas que normalmente seriam bloqueadas pelos filtros de spam e/ou phishing. Em vez de permitir o domínio, você deve corrigir o problema subjacente.
A melhor maneira de lidar com mensagens legítimas bloqueadas pelo Microsoft 365 (falsos positivos) que envolvem remetentes em seu domínio é configurar totalmente e completamente os registros SPF, DKIM e DMARC no DNS para todos os seus domínios de email:
Verifique se o registro SPF identifica todas as fontes de email para remetentes em seu domínio (não se esqueça dos serviços de terceiros!).
Use o hard fail (-all) para garantir que os remetentes não autorizados sejam rejeitados por sistemas de email configurados para isso. Você pode usar o insight de inteligência falsa para ajudar a identificar remetentes que estão usando seu domínio para que você possa incluir remetentes autorizados de terceiros no registro SPF.
Para obter instruções de configuração, consulte:
Sempre que possível, recomendamos que você entregue email para seu domínio diretamente no Microsoft 365. Em outras palavras, aponte o registro MX do domínio do Microsoft 365 para o Microsoft 365. Proteção do Exchange Online (EOP) é capaz de fornecer a melhor proteção para seus usuários de nuvem quando o email é entregue diretamente ao Microsoft 365. Se você precisar usar um sistema de higiene por email de terceiros na frente do EOP, use Filtragem Aprimorada para Conectores. Para obter instruções, consulte Filtragem Avançada para Conectores no Exchange Online.
Faça com que os usuários usem o botão Relatório interno no Outlook na Web ou implantem os suplementos Mensagem de Relatório da Microsoft ou Phishing de Relatório em sua organização. Configure as configurações relatadas pelo usuário para enviar mensagens relatadas pelo usuário para uma caixa de correio de relatórios, para a Microsoft ou ambos. As mensagens relatadas pelo usuário estão disponíveis para administradores na guia Usuário relatado na página Envios em https://security.microsoft.com/reportsubmission?viewid=user. Administração pode relatar mensagens relatadas pelo usuário ou mensagens à Microsoft, conforme descrito em Usar a página Envios para enviar spam, phish, URLs, email legítimo sendo bloqueado e anexos de email para a Microsoft. O usuário ou administrador relatando falsos positivos ou falsos negativos para a Microsoft é importante, pois ajuda a treinar nossos sistemas de detecção.
A MFA (autenticação multifator) é uma boa maneira de evitar contas comprometidas. Você deve considerar fortemente habilitar o MFA para todos os usuários. Para uma abordagem em fases, comece habilitando o MFA para seus usuários mais sensíveis (administradores, executivos etc.) antes de habilitar o MFA para todos. Para obter instruções, consulte Configurar autenticação multifator.
As regras de encaminhamento para destinatários externos geralmente são usadas por invasores para extrair dados. Use as informações de regras de encaminhamento da caixa de correio Revisão no Microsoft Secure Score para localizar e até mesmo impedir o encaminhamento de regras para destinatários externos. Para obter mais informações, consulte Atenuando regras de encaminhamento externo do cliente com pontuação segura.
Use o relatório De mensagens automaticamente enviadas para exibir detalhes específicos sobre o email encaminhado.