Email segurança com o Explorador de Ameaças e deteções em tempo real no Microsoft Defender para Office 365

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

As organizações do Microsoft 365 que Microsoft Defender para Office 365 incluídas na subscrição ou compradas como suplementos têm o Explorer (também conhecido como Explorador de Ameaças) ou deteções em tempo real. Estas funcionalidades são ferramentas poderosas e quase em tempo real para ajudar as equipas de Operações de Segurança (SecOps) a investigar e responder a ameaças. Para obter mais informações, veja About Threat Explorer and Real-time detections in Microsoft Defender para Office 365 (Acerca do Explorador de Ameaças e deteções em tempo real no Microsoft Defender para Office 365).

Este artigo explica como ver e investigar software maligno detetado e tentativas de phishing no e-mail com o Explorador de Ameaças ou deteções em tempo real.

Sugestão

Para outros cenários de e-mail com o Explorador de Ameaças e deteções em tempo real, veja os seguintes artigos:

O que precisa de saber antes de começar?

Ver e-mails de phishing enviados para utilizadores e domínios representados

Para obter mais informações sobre a proteção de representação de utilizadores e domínios em políticas anti-phishing no Defender para Office 365, veja Definições de representação em políticas anti-phishing no Microsoft Defender para Office 365.

Nas políticas anti-phishing predefinidas ou personalizadas, tem de especificar os utilizadores e domínios a proteger contra a representação, incluindo os domínios que possui (domínios aceites). Nas políticas de segurança predefinidas Padrão ou Estritas, os domínios que possui recebem automaticamente proteção de representação, mas tem de especificar quaisquer utilizadores ou domínios personalizados para proteção de representação. Para obter instruções, consulte os seguintes artigos:

Utilize os seguintes passos para rever mensagens de phishing e procurar domínios ou utilizadores representados.

  1. Utilize um dos seguintes passos para abrir o Explorador de Ameaças ou deteções em tempo real:

  2. Na página Explorador ou Deteções em tempo real , selecione a vista Phish . Para obter mais informações sobre a vista Phish , veja Vista de phish no Explorador de Ameaças e Deteções em tempo real.

  3. Selecione o intervalo de data/hora. A predefinição é ontem e hoje.

  4. Efetue um dos seguintes passos:

    • Localize quaisquer tentativas de representação de utilizadores ou domínios:

      • Selecione a caixa Endereço do remetente (propriedade) e, em seguida, selecione Tecnologia de deteção na secção Básico da lista pendente.
      • Verifique se Igual a qualquer um dos está selecionado como o operador de filtro.
      • Na caixa valor da propriedade, selecione Domínio de representação e Utilizador de representação
    • Localize tentativas específicas de utilizadores representados:

      • Selecione a caixa Endereço do remetente (propriedade) e, em seguida, selecione Utilizador representado na secção Básico da lista pendente.
      • Verifique se Igual a qualquer um dos está selecionado como o operador de filtro.
      • Na caixa valor da propriedade, introduza o endereço de e-mail completo do destinatário. Separe vários valores de destinatários por vírgulas.
    • Localizar tentativas de domínio representadas específicas:

      • Selecione a caixa Endereço do remetente (propriedade) e, em seguida, selecione Domínio representado na secção Básico da lista pendente.
      • Verifique se Igual a qualquer um dos está selecionado como o operador de filtro.
      • Na caixa valor da propriedade, introduza o domínio (por exemplo, contoso.com). Separe vários valores de domínio por vírgulas.
  5. Introduza mais condições com outras propriedades filtráveis, conforme necessário. Para obter instruções, veja Filtros de propriedades no Explorador de Ameaças e Deteções em tempo real.

  6. Quando terminar de criar as condições de filtro, selecione Atualizar.

  7. Na área de detalhes abaixo do gráfico, verifique se o separador Email (vista) está selecionado.

    Pode ordenar as entradas e mostrar mais colunas conforme descrito na vista Email para a área de detalhes da vista Phish no Explorador de Ameaças e deteções em tempo real.

Exportar dados de clique do URL

Pode exportar dados de clique de URL para um ficheiro CSV para ver o ID da Mensagem de Rede e Clicar nos valores do veredicto , o que ajuda a explicar de onde veio o tráfego de clique do URL.

  1. Utilize um dos seguintes passos para abrir o Explorador de Ameaças ou deteções em tempo real:

  2. Na página Explorador ou Deteções em tempo real , selecione a vista Phish . Para obter mais informações sobre a vista Phish , veja Vista de phish no Explorador de Ameaças e Deteções em tempo real.

  3. Selecione o intervalo de data/hora e, em seguida, selecione Atualizar. A predefinição é ontem e hoje.

  4. Na área de detalhes, selecione o separador URLs superiores ou Cliques em cima (vista).

  5. Na vista UrLs Superiores ou Cliques superiores , selecione uma ou mais entradas da tabela ao selecionar a caixa de verificação junto à primeira coluna e, em seguida, selecione Exportar. Explorador>Phish>Cliques>Os URLs superiores ou os Cliques Principais> do URL selecionam qualquer registo para abrir a lista de opções do URL.

Pode utilizar o valor ID da Mensagem de Rede para procurar mensagens específicas no Explorador de Ameaças ou deteções em tempo real ou ferramentas externas. Estas pesquisas identificam a mensagem de e-mail associada a um resultado de clique. Ter o ID de Mensagem de Rede correlacionado torna a análise mais rápida e poderosa.

Ver software maligno detetado no e-mail

Utilize os seguintes passos no Explorador de Ameaças ou deteções em tempo real para ver o software maligno detetado por e-mail pelo Microsoft 365.

  1. Utilize um dos seguintes passos para abrir o Explorador de Ameaças ou deteções em tempo real:

  2. Na página Explorador ou Deteções em tempo real , selecione a vista Software Maligno . Para obter mais informações sobre a vista Phish , consulte Vista de software maligno no Explorador de Ameaças e Deteções em tempo real.

  3. Selecione o intervalo de data/hora. A predefinição é ontem e hoje.

  4. Selecione a caixa Endereço do remetente (propriedade) e, em seguida, selecione Tecnologia de deteção na secção Básico da lista pendente.

    • Verifique se Igual a qualquer um dos está selecionado como o operador de filtro.
    • Na caixa valor da propriedade, selecione um ou mais dos seguintes valores:
      • Proteção anti-malware
      • Detonação de ficheiros
      • Reputação de detonação de ficheiros
      • Reputação de ficheiros
      • Correspondência de impressões digitais
  5. Introduza mais condições com outras propriedades filtráveis, conforme necessário. Para obter instruções, veja Filtros de propriedades no Explorador de Ameaças e Deteções em tempo real.

  6. Quando terminar de criar as condições de filtro, selecione Atualizar.

O relatório mostra os resultados que o software maligno detetou no e-mail, utilizando as opções de tecnologia que selecionou. A partir daqui, pode realizar análises adicionais.

Comunicar mensagens como limpas

Pode utilizar a página Submissões no portal do Defender em https://security.microsoft.com/reportsubmission para comunicar mensagens como limpas (falsos positivos) à Microsoft. No entanto, também pode submeter mensagens como limpas para a Microsoft a partir de Tomar medidas no Explorador de Ameaças ou na página da entidade Email.

Para obter instruções, consulte Investigação de ameaças: o assistente Tomar medidas.

Para resumir:

  • Selecione Tomar medidas com um dos seguintes métodos:

    • Selecione uma ou mais mensagens da tabela de detalhes no separador Email (vista) nas vistas Todos os e-mails, Software Maligno ou Phish ao selecionar as caixas de verificação das entradas.

    Ou

    • Na lista de opções de detalhes depois de selecionar uma mensagem a partir da tabela de detalhes no separador Email (vista) nas vistas Todos os e-mails, Software Maligno ou Phish ao clicar no valor Assunto.
  • No assistente Tomar medidas , selecione Submeter à Microsoft para revisão>Confirmei que está limpa.

Ver URL de phishing e clicar em dados de veredicto

A proteção de Ligações Seguras monitoriza OS URLs que foram permitidos, bloqueados e substituídos. A proteção de Ligações Seguras está ativada por predefinição, graças à Proteção incorporada em políticas de segurança predefinidas. A proteção de Ligações Seguras está ativada nas políticas de segurança predefinidas Padrão e Estrita. Também pode criar e configurar a proteção de Ligações Seguras em políticas de Ligações Seguras personalizadas. Para obter mais informações sobre as definições de política ligações seguras, consulte Definições de política de Ligações Seguras.

Utilize os seguintes passos para ver tentativas de phishing com URLs em mensagens de e-mail.

  1. Utilize um dos seguintes passos para abrir o Explorador de Ameaças ou deteções em tempo real:

  2. Na página Explorador ou Deteções em tempo real , selecione a vista Phish . Para obter mais informações sobre a vista Phish , veja Vista de phish no Explorador de Ameaças e Deteções em tempo real.

  3. Selecione o intervalo de data/hora. A predefinição é ontem e hoje.

  4. Selecione a caixa Endereço do remetente (propriedade) e, em seguida, selecione Clicar no veredicto na secção URLs da lista pendente.

    • Verifique se Igual a qualquer um dos está selecionado como o operador de filtro.
    • Na caixa valor da propriedade, selecione um ou mais dos seguintes valores:
      • Bloqueado
      • Bloqueado substituído

    Para obter explicações sobre os valores do veredicto clique , veja Clique no veredicto em Propriedades filtráveis na vista Todos os e-mails no Explorador de Ameaças.

  5. Introduza mais condições com outras propriedades filtráveis, conforme necessário. Para obter instruções, veja Filtros de propriedades no Explorador de Ameaças e Deteções em tempo real.

  6. Quando terminar de criar as condições de filtro, selecione Atualizar.

O separador URLs principais (vista) na área de detalhes abaixo do gráfico mostra a contagem de Mensagens bloqueadas, Mensagens eMensagens entregues para os cinco principais URLs. Para obter mais informações, veja Vista de URLs principais para a área de detalhes da vista Phish no Explorador de Ameaças e Deteções em tempo real.

O separador Cliques superiores (vista) na área de detalhes abaixo do gráfico mostra as cinco principais ligações clicadas que foram encapsuladas por Ligações Seguras. Os cliques de URL em ligações não escritas não aparecem aqui. Para obter mais informações, consulte a vista Cliques principais para obter a área de detalhes da vista Phish no Explorador de Ameaças e deteções em tempo real.

Estas tabelas de URL mostram URLs que foram bloqueados ou visitados apesar de um aviso. Estas informações mostram as potenciais ligações incorretas que foram apresentadas aos utilizadores. A partir daqui, pode realizar análises adicionais.

Selecione um URL a partir de uma entrada na vista para obter detalhes. Para obter mais informações, veja Detalhes do URL para os separadores URLs principais e Cliques principais na vista Phish.

Sugestão

Na lista de opções de detalhes do URL, a filtragem nas mensagens de e-mail é removida para mostrar a vista completa da exposição do URL no seu ambiente. Este comportamento permite-lhe filtrar mensagens de e-mail específicas, localizar URLs específicos que sejam potenciais ameaças e, em seguida, expandir a sua compreensão da exposição do URL no seu ambiente sem ter de adicionar filtros de URL na vista Phish .

Interpretação dos veredictos de clique

Os resultados da propriedade Clique no veredicto são visíveis nas seguintes localizações:

Os valores do veredicto são descritos na seguinte lista:

  • Permitido: o utilizador foi autorizado a abrir o URL.
  • Bloqueio substituído: o utilizador foi impedido de abrir diretamente o URL, mas ultrapassou o bloco para abrir o URL.
  • Bloqueado: o utilizador foi impedido de abrir o URL.
  • Erro: O utilizador foi apresentado com a página de erro ou ocorreu um erro ao capturar o veredicto.
  • Falha: ocorreu uma exceção desconhecida ao capturar o veredicto. O utilizador pode ter aberto o URL.
  • Nenhum: não é possível capturar o veredicto do URL. O utilizador pode ter aberto o URL.
  • Veredicto pendente: O utilizador foi apresentado com a página de detonação pendente.
  • Veredicto pendente ignorado: o utilizador foi apresentado com a página de detonação, mas anularam a mensagem para abrir o URL.

Iniciar a investigação e resposta automatizadas no Explorador de Ameaças

A investigação e resposta automatizadas (AIR) no Defender para Office 365 Plano 2 pode poupar tempo e esforço à medida que investiga e mitiga ciberataques. Pode configurar alertas que acionam um manual de procedimentos de segurança e pode iniciar o AIR no Explorador de Ameaças. Para obter detalhes, veja Exemplo: Um administrador de segurança aciona uma investigação do Explorador.

Investigar o e-mail com a página da entidade Email