Investigar e-mails maliciosos que foram entregues no Microsoft 365

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

As organizações do Microsoft 365 que Microsoft Defender para Office 365 incluídas na subscrição ou compradas como suplementos têm o Explorer (também conhecido como Explorador de Ameaças) ou deteções em tempo real. Estas funcionalidades são ferramentas poderosas e quase em tempo real para ajudar as equipas de Operações de Segurança (SecOps) a investigar e responder a ameaças. Para obter mais informações, veja About Threat Explorer and Real-time detections in Microsoft Defender para Office 365 (Acerca do Explorador de Ameaças e deteções em tempo real no Microsoft Defender para Office 365).

O Explorador de Ameaças e as deteções em tempo real permitem-lhe investigar atividades que colocam pessoas na sua organização em risco e tomar medidas para proteger a sua organização. Por exemplo:

  • Localizar e eliminar mensagens.
  • Identifique o endereço IP de um remetente de e-mail malicioso.
  • Inicie um incidente para uma investigação mais aprofundada.

Este artigo explica como utilizar o Explorador de Ameaças e deteções em tempo real para localizar e-mails maliciosos em caixas de correio de destinatários.

Sugestão

Para aceder diretamente aos procedimentos de remediação, consulte Remediar e-mails maliciosos fornecidos no Office 365.

Para outros cenários de e-mail com o Explorador de Ameaças e deteções em tempo real, veja os seguintes artigos:

O que precisa de saber antes de começar?

Localizar e-mail suspeito que foi entregue

  1. Utilize um dos seguintes passos para abrir o Explorador de Ameaças ou deteções em tempo real:

  2. Na página Explorador ou Deteções em tempo real , selecione uma vista adequada:

  3. Selecione o intervalo de data/hora. A predefinição é ontem e hoje.

    Captura de ecrã do filtro de data utilizado no Explorador de Ameaças e deteções em tempo real no portal do Defender.

  4. Crie uma ou mais condições de filtro com algumas ou todas as seguintes propriedades e valores direcionados. Para obter instruções completas, veja Filtros de propriedades no Explorador de Ameaças e Deteções em tempo real. Por exemplo:

    • Ação de entrega: a ação tomada num e-mail devido a políticas ou deteções existentes. Os valores úteis são:

      • Entregue: Email entregues na Caixa de Entrada do utilizador ou noutra pasta onde o utilizador possa aceder à mensagem.
      • Lixo: Email entregues na pasta de Email de Lixo do utilizador ou na pasta Itens Eliminados onde o utilizador pode aceder à mensagem.
      • Bloqueado: Email mensagens que foram colocadas em quarentena, que falharam a entrega ou que foram removidas.
    • Localização de entrega original: para onde foi enviado o e-mail antes de quaisquer ações de pós-entrega automáticas ou manuais pelo sistema ou administradores (por exemplo, ZAP ou movidos para quarentena). Os valores úteis são:

      • Pasta itens eliminados
      • Removida: a mensagem foi perdida algures no fluxo de correio.
      • Falha: a mensagem não conseguiu aceder à caixa de correio.
      • Caixa de Entrada/pasta
      • Pasta de lixo
      • No local/externo: a caixa de correio não existe na organização do Microsoft 365.
      • Quarentena
      • Desconhecido: por exemplo, após a entrega, uma regra da Caixa de Entrada moveu a mensagem para uma pasta predefinida (por exemplo, Rascunho ou Arquivo) em vez de para a pasta Caixa de Entrada ou Email de Lixo.
    • Última localização de entrega: em que o e-mail acabou depois de quaisquer ações de pós-entrega automáticas ou manuais por parte do sistema ou administradores. Os mesmos valores estão disponíveis na localização de entrega Original.

    • Direcionalidade: os valores válidos são:

      • Entrada
      • Intra-org
      • Saída

      Estas informações podem ajudar a identificar spoofing e representação. Por exemplo, as mensagens de remetentes de domínio interno devem ser Intra-org e não Entrada.

    • Ação adicional: os valores válidos são:

    • Substituição principal: se as definições da organização ou do utilizador permitirem ou bloquearem mensagens que, de outra forma, teriam sido bloqueadas ou permitidas. Os valores são:

      • Permitido pela política da organização
      • Permitido pela política de utilizador
      • Bloqueado pela política da organização
      • Bloqueado pela política de utilizador
      • Nenhum

      Estas categorias são ainda mais refinadas pela propriedade de origem de substituição Primária .

    • Origem de substituição primária O tipo de política de organização ou definição de utilizador que permitia ou bloqueou mensagens que, de outra forma, teriam sido bloqueadas ou permitidas. Os valores são:

    • Substituir origem: os mesmos valores disponíveis que a origem de substituição primária.

      Sugestão

      No separador Email (vista) na área de detalhes das vistas Todos os e-mails, Software Maligno e Phish, as colunas de substituição correspondentes designam-se Substituições do sistema e Origem de substituições do sistema.

    • Ameaça de URL: os valores válidos são:

      • Software Maligno
      • Phish
      • Spam
  5. Quando terminar de configurar filtros de data/hora e de propriedade, selecione Atualizar.

O separador Email (vista) na área de detalhes das vistas Todos os e-mails, Software Maligno ou Phish contém os detalhes necessários para investigar e-mails suspeitos.

Por exemplo, utilize as colunas Ação de Entrega, Localização de entrega original e Última localização de entrega no separador Email (vista) para obter uma imagem completa de onde foram as mensagens afetadas. Os valores foram explicados no Passo 4.

Utilize Exportar para exportar seletivamente até 200 000 resultados filtrados ou não filtrados para um ficheiro CSV.

Remediar e-mails maliciosos que foram entregues

Depois de identificar as mensagens de e-mail maliciosas que foram entregues, pode removê-las das caixas de correio dos destinatários. Para obter instruções, consulte Remediar e-mails maliciosos entregues no Microsoft 365.

Remediar e-mails maliciosos que foram entregues no Office 365

Microsoft Defender para Office 365

Ver relatórios para Defender para Office 365