Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Nas novas organizações do Microsoft 365 com Microsoft Defender para Office 365 (incluídas ou como uma subscrição de suplemento), este artigo descreve os passos de configuração que precisa de efetuar nos primeiros dias da sua organização.
Embora a sua organização do Microsoft 365 inclua um nível de proteção predefinido desde o momento em que o cria (ou adiciona Defender para Office 365 ao mesmo), os passos neste artigo fornecem-lhe um plano acionável para libertar todas as capacidades de proteção do Defender para Office 365. Depois de concluir os passos, também pode utilizar este artigo para mostrar à gestão que está a maximizar o seu investimento no Microsoft 365.
Sugestão
Para obter informações sobre como configurar a proteção para o Microsoft Teams, consulte os seguintes artigos:
Os passos para configurar Defender para Office 365 estão descritos no seguinte diagrama:
Sugestão
Como complemento deste artigo, consulte o nosso guia de configuração de Microsoft Defender para Office 365 para rever as melhores práticas e proteger contra ameaças de e-mail, ligação e colaboração. As funcionalidades incluem Ligações Seguras, Anexos Seguros e muito mais. Para uma experiência personalizada com base no seu ambiente, pode aceder ao guia de configuração automatizada Microsoft Defender para Office 365 no centro de administração do Microsoft 365.
Requisitos
As proteções de e-mail predefinidas estão incluídas em todas as subscrições do Microsoft 365 com caixas de correio na nuvem. Defender para Office 365 inclui mais funcionalidades de proteção. Para obter comparações detalhadas de funcionalidades, veja Microsoft Defender para Office 365 descrição geral.
Funções e permissões
A configuração requer permissões. A tabela seguinte lista as permissões de que precisa para efetuar os passos neste artigo (uma é suficiente; não precisa de todas).
| Função ou grupo de funções | Saiba mais |
|---|---|
| Administrador Global no Microsoft Entra* | Microsoft Entra funções incorporadas |
| Gestão da Organização em grupos de funções de colaboração Email & | Grupos de funções no Microsoft Defender para Office 365 |
| Administrador de Segurança no Microsoft Entra | Microsoft Entra funções incorporadas |
| Administrador de Segurança em grupos de funções de colaboração Email & | Email & permissões de colaboração no Microsoft Defender para Office 365 |
| Gestão da Organização do Exchange Online | Permissões no Exchange Online |
Importante
* A Microsoft defende fortemente o princípio do menor privilégio. Atribuir apenas as permissões mínimas necessárias para realizar as respetivas tarefas ajuda a reduzir os riscos de segurança e reforça a proteção geral da sua organização. O Administrador Global é uma função altamente privilegiada que deve limitar a cenários de emergência ou quando não pode utilizar uma função diferente.
Passo 1: Configurar a autenticação de e-mail para os seus domínios do Microsoft 365
Resumo: Configurar registos SPF, DKIM e DMARC (por essa ordem) para todos os domínios personalizados do Microsoft 365 (incluindo domínios e subdomínios estacionados). Se necessário, configure quaisquer sealers ARC fidedignos.
Detalhes:
Email autenticação (também conhecida como validação de e-mail) é um grupo de normas para verificar se as mensagens de e-mail são legítimas, não instaladas e provêm de origens esperadas para o domínio de e-mail do remetente. Para obter mais informações, veja Email autenticação.
Partimos do princípio de que está a utilizar um ou mais domínios personalizados no Microsoft 365 para e-mail (por exemplo, contoso.com), pelo que tem de criar registos DNS de autenticação de e-mail específicos para cada domínio de e-mail personalizado.
Crie os seguintes registos DNS de autenticação de e-mail na sua entidade de registo DNS ou serviço de alojamento DNS para cada domínio personalizado que utiliza para e-mail no Microsoft 365:
Sender Policy Framework (SPF): o registo TXT do SPF identifica origens de e-mail válidas de remetentes no domínio. Para obter instruções, consulte Configurar o SPF para identificar origens de e-mail válidas para os seus domínios de cloud personalizados.
DomainKeys Identified Mail (DKIM): O DKIM assina mensagens de saída e armazena a assinatura no cabeçalho da mensagem que sobrevive ao reencaminhamento de mensagens. Para obter instruções, consulte Configurar o DKIM para assinar correio a partir do seu domínio na nuvem.
Autenticação de Mensagens baseada em domínio, Relatórios e Conformidade (DMARC): o DMARC ajuda os servidores de e-mail de destino a decidir o que fazer com as mensagens do domínio personalizado que falham as verificações de SPF e DKIM. Certifique-se de que inclui os destinos de relatório dMARC (
p=rejectoup=quarantine) e DMARC (relatórios agregados e forenses) nos registos DMARC. para obter instruções, consulte Configurar o DMARC para validar o domínio de endereço De para remetentes da cloud.Cadeia De Receção Autenticada (ARC): se um serviço que não seja da Microsoft modificar as mensagens de entrada antes da entrega para o Microsoft 365, pode identificar o serviço como um selador ARC fidedigno (se o serviço o suportar). Os sealers ARC fidedignos preservam informações de e-mail não modificadas para que as mensagens modificadas não falhem automaticamente nas verificações de autenticação de e-mail no Microsoft 365. Para obter instruções, veja Configurar sealers ARC fidedignos.
Se estiver a utilizar o domínio *.onmicrosoft.com para e-mail (também conhecido como o Endereço de Encaminhamento do Microsoft Online Email ou o domínio MOERA), não terá de fazer o seguinte:
- SPF: já está configurado um registo SPF para o domínio *.onmicrosoft.com.
- DKIM: a assinatura DKIM já está configurada para correio de saída com o domínio *.onmicrosoft.com, mas também pode personalizá-lo manualmente.
- DMARC: tem de configurar manualmente o registo DMARC para o domínio *.onmicrosoft.com, conforme descrito aqui.
Passo 2: Configurar políticas de ameaças
Resumo: ative e utilize as políticas de segurança predefinidas Padrão e/ou Estritas para todos os destinatários. Em alternativa, se as necessidades empresariais ditarem, crie e utilize políticas de ameaças personalizadas, mas verifique-as periodicamente com o analisador de configuração.
Detalhes:
Como pode imaginar, estão disponíveis muitas políticas de ameaças para segurança de e-mail e colaboração no Microsoft 365. Existem três tipos básicos de políticas:
Políticas de ameaças predefinidas: estas políticas existem desde o momento em que a organização é criada. Aplicam-se a todos os destinatários na organização, não pode desativar as políticas e não pode modificar a quem as políticas se aplicam. No entanto, pode modificar as definições de segurança nas políticas, tal como as políticas de ameaças personalizadas. As definições nas políticas de ameaça predefinidas estão descritas nas tabelas nas definições de política de ameaças de colaboração e e-mail recomendadas para organizações na cloud.
Políticas de segurança predefinidas: as políticas de segurança predefinidas são, na verdade, perfis que contêm a maioria das políticas de ameaças disponíveis no Defender para Office 365 com definições adaptadas a níveis específicos de proteção. As políticas de segurança predefinidas são:
- A política de segurança predefinida estrita.
- A política de segurança predefinida Padrão.
- Proteção incorporada.
As políticas de segurança predefinidas Padrão e Estrita estão desativadas por predefinição até as ativar. Especifique as condições e exceções do destinatário (utilizadores, membros do grupo, domínios ou todos os destinatários) para funcionalidades de proteção de e-mail predefinidas para caixas de correio na nuvem e funcionalidades de proteção no Defender para Office 365 nas políticas de segurança predefinidas Padrão e Estrita.
A proteção incorporada no Defender para Office 365 está ativada por predefinição para fornecer a proteção básica de Anexos Seguros e Ligações Seguras para todos os destinatários. Pode especificar exceções de destinatários para identificar os utilizadores que não obtêm a proteção.
Nas políticas de segurança predefinidas Padrão e Estritas nas organizações Defender para Office 365, tem de configurar entradas e exceções opcionais para a proteção de representação de utilizadores e domínios. Todas as outras definições estão bloqueadas nos nossos valores padrão e estritos recomendados (muitos dos quais são iguais). Pode ver os valores Padrão e Estrito nas tabelas nas definições de política de ameaças de colaboração e e-mail recomendados para organizações na cloud e pode ver as diferenças entre Standard e Strict aqui.
À medida que as novas capacidades de proteção são adicionadas aos Defender para Office 365 e à medida que o panorama da segurança muda, as definições nas políticas de segurança predefinidas são atualizadas automaticamente para as nossas definições recomendadas.
Políticas de ameaças personalizadas: para a maioria das políticas disponíveis, pode criar várias políticas de ameaças personalizadas. Pode aplicar as políticas aos utilizadores através das condições e exceções do destinatário (utilizadores, membros do grupo ou domínios) e pode personalizar as definições.
As informações anteriores e as políticas de ameaça envolvidas são resumidas na tabela seguinte:
| Políticas de ameaças predefinidas | Políticas de segurança predefinidas | Políticas de ameaças personalizadas | |
|---|---|---|---|
| Políticas de ameaças em proteções de e-mail predefinidas para caixas de correio na nuvem: | |||
| Antimalware | ✔ | ✔ | ✔ |
| Antiss spam | ✔ | ✔ | ✔ |
| Anti-phishing (proteção de spoofing) | ✔ | ✔ | ✔ |
| Spam de saída | ✔ | ✔ | |
| Filtragem de ligações | ✔¹ | ||
| Políticas de ameaças no Defender para Office 365: | |||
| Anti-phishing (proteção de spoofing) e ainda: | ✔² | ✔² | ✔ |
| Ligações Seguras | ³ | ✔ | ✔ |
| Anexos Seguros | ³ | ✔ | ✔ |
| Comportamento geral | |||
| Proteção ativada por predefinição? | ✔ | ⁴ | |
| Configurar condições/exceções para proteção? | ✔⁵ | ✔ | |
| Personalizar as definições de segurança? | ✔ | ⁶ | ✔ |
| As definições de proteção são atualizadas automaticamente? | ✔ |
¹ Não existem entradas predefinidas na Lista de Permissões de IP ou na Lista de Bloqueios de IP, pelo que a política de filtro de ligação predefinida não faz efetivamente nada, a menos que personalize as definições.
² Não existem entradas ou exceções opcionais para a representação do utilizador ou a proteção de representação de domínio no Defender para Office 365 até as configurar.
³ Embora não existam políticas predefinidas de Anexos Seguros ou Ligações Seguras no Defender para Office 365, a política de segurança predefinida de proteção incorporada fornece a proteção básica de Anexos Seguros e Ligações Seguras que está sempre ativada.
⁴ A política de segurança predefinida de proteção incorporada (proteção de Anexos Seguros e Ligações Seguras no Defender para Office 365) é a única política de segurança predefinida que está ativada por predefinição.
⁵ Para as políticas de segurança predefinidas Padrão e Estritas, pode configurar condições de destinatário separadas e exceções opcionais para as proteções de e-mail predefinidas para todas as caixas de correio e proteções na nuvem no Defender para Office 365. Para a Proteção incorporada no Defender para Office 365, só pode configurar exceções de destinatários a partir da proteção.
⁶ As únicas definições de segurança personalizáveis em políticas de segurança predefinidas são as entradas e exceções opcionais para proteção de representação de utilizador e proteção de representação de domínio nas políticas de segurança predefinidas Padrão e Estrita no Defender para Office 365.
Ordem de precedência para políticas de ameaças
A forma como as políticas de ameaças são aplicadas é uma consideração importante quando decide como configurar as definições de segurança para os utilizadores. Os pontos importantes a recordar são:
- As funcionalidades de proteção têm uma ordem de processamento não configurada. Por exemplo, as mensagens recebidas são sempre avaliadas relativamente a software maligno antes do spam.
- As políticas de ameaças de uma funcionalidade específica (antisspam, antimalware, anti-phishing, etc.) são aplicadas por uma ordem de precedência específica (mais adiante na ordem de precedência).
- Se um utilizador for intencional ou não incluído em várias políticas de uma funcionalidade específica, a primeira política de ameaça aplicável para essa funcionalidade (com base na ordem de precedência) determina o que acontece ao item (uma mensagem, ficheiro, URL, etc.).
- Assim que a primeira política de ameaças for aplicada a um item específico para um utilizador, o processamento de políticas dessa funcionalidade para. Não existem mais políticas de ameaças dessa funcionalidade avaliadas para esse utilizador e para esse item específico.
A ordem de precedência é explicada detalhadamente em Ordem de precedência para políticas de segurança predefinidas e outras políticas, mas é resumida brevemente aqui:
- Políticas de ameaças em políticas de segurança predefinidas:
- A política de segurança predefinida estrita.
- A política de segurança predefinida Padrão.
- Políticas de ameaças personalizadas para uma funcionalidade específica (por exemplo, políticas antimalware). Cada política personalizada tem um valor de prioridade que determina a ordem pela qual a política é aplicada em relação a outras políticas de ameaças para a mesma funcionalidade:
- Uma política de ameaças personalizada com o valor de prioridade 0.
- Uma política de ameaças personalizada com o valor de prioridade 1.
- E assim por diante.
- A política de ameaças predefinida de uma funcionalidade específica (por exemplo, antimalware) ou a política de segurança predefinida de proteção incorporada no Defender para Office 365 (Ligações Seguras e Anexos Seguros).
Veja a tabela anterior para ver como uma política de ameaças específica é representada na ordem de precedência. Por exemplo, as políticas antimalware estão presentes em cada nível. As políticas de spam de saída estão disponíveis nos níveis de política personalizada e política predefinida. A política de filtro de ligação só está disponível ao nível da política predefinida.
Para evitar confusões e aplicações não intencionais de políticas, utilize as seguintes diretrizes:
- Utilize grupos inequívocos ou listas de destinatários em cada nível. Por exemplo, utilize diferentes grupos ou listas de destinatários para as políticas de segurança predefinidas Padrão e Estrita.
- Configure as exceções em cada nível, conforme necessário. Por exemplo, configure os destinatários que precisam de políticas de ameaças personalizadas como exceções às políticas de segurança predefinidas Padrão e Estrita.
- Quaisquer destinatários restantes que não sejam identificados nos níveis mais elevados obtêm as políticas de ameaça predefinidas ou a Proteção incorporada no Defender para Office 365 (Ligações Seguras e Anexos Seguros).
Com estas informações, pode decidir a melhor forma de implementar políticas de ameaças na organização.
Determinar a sua estratégia de política de ameaças
Agora que já conhece os diferentes tipos de políticas de ameaças e como são aplicadas, pode decidir como quer proteger os utilizadores na sua organização. A sua decisão está inevitavelmente dentro do seguinte espectro:
- Utilize apenas a política de segurança predefinida Standard.
- Utilize as políticas de segurança predefinidas Padrão e Estrita.
- Utilize políticas de segurança predefinidas e políticas de ameaças personalizadas.
- Utilize apenas políticas de ameaças personalizadas.
Lembre-se de que as políticas de ameaças predefinidas (e a política de segurança predefinida de proteção incorporada no Defender para Office 365) protegem automaticamente todos os destinatários na organização (qualquer pessoa que não esteja definida na política de segurança predefinida Padrão ou Estrita ou em políticas de ameaças personalizadas). Por isso, mesmo que não faça nada, todos os destinatários na organização recebem as proteções predefinidas, conforme descrito em Definições recomendadas de políticas de ameaças de colaboração e e-mail para organizações na cloud.
Também é importante perceber que não está preso à sua decisão inicial para sempre. As informações nas tabelas de definições recomendadas e na tabela de comparação para Standard e Strict devem permitir-lhe tomar uma decisão informada. Mas se as necessidades, os resultados ou as circunstâncias mudarem, não é difícil mudar para uma estratégia diferente mais tarde.
Sem uma necessidade empresarial apelativa que indique o contrário, recomendamos que comece com a política de segurança predefinida Padrão para todos os utilizadores na sua organização. As políticas de segurança predefinidas são configuradas com definições baseadas em anos de observações nos datacenters do Microsoft 365 e devem ser a escolha certa para a maioria das organizações. Além disso, as políticas são atualizadas automaticamente para corresponder às ameaças do panorama de segurança.
Em políticas de segurança predefinidas, pode selecionar a opção Todos os destinatários para aplicar facilmente proteção a todos os destinatários na organização.
Se quiser incluir alguns utilizadores na política de segurança predefinida Estrita e os restantes utilizadores na política de segurança predefinida Padrão, lembre-se de ter em conta a ordem de precedência , conforme descrito anteriormente neste artigo com os seguintes métodos:
Utilize grupos inequívocos ou listas de destinatários em cada política de segurança predefinida.
ou
Configure os destinatários que devem obter as definições da política de segurança predefinida Padrão como exceções na política de segurança predefinida Estrita.
Tenha em atenção que as seguintes configurações de funcionalidades de proteção não são afetadas por políticas de segurança predefinidas (pode utilizar políticas de segurança predefinidas e também configurar estas definições de proteção de forma independente):
- Políticas de spam de saída (personalizadas e predefinidas)
- A política de filtro de ligação predefinida (Lista de Permissões de IP e Lista de Blocos IP)
- Ativar globalmente Anexos Seguros para o SharePoint, OneDrive e Microsoft Teams
- Ativar e configurar globalmente Documentos Seguros (disponíveis e significativos apenas com licenças que não estão incluídas no Defender para Office 365 (por exemplo, Microsoft 365 A5 ou Microsoft Defender Suite))
Para ativar e configurar políticas de segurança predefinidas, veja Políticas de segurança predefinidas.
A decisão de utilizar políticas de ameaças personalizadas em vez de ou para além de políticas de segurança predefinidas resume-se, em última análise, aos seguintes requisitos comerciais:
- Os utilizadores necessitam de definições de segurança diferentes das definições immodificáveis em políticas de segurança predefinidas (lixo vs. quarentena ou vice-versa, sem sugestões de segurança, notificar destinatários personalizados, etc.).
- Os utilizadores necessitam de definições que não estejam configuradas em políticas de segurança predefinidas (por exemplo, bloquear e-mails de países específicos ou em idiomas específicos em políticas antisspam).
- Os utilizadores precisam de uma experiência de quarentena diferente das definições immodificáveis nas políticas de segurança predefinidas. As políticas de quarentena definem o que os utilizadores podem fazer às suas mensagens em quarentena com base no motivo pelo qual a mensagem foi colocada em quarentena e se os destinatários são notificados sobre as mensagens em quarentena. A experiência de quarentena predefinida do utilizador final é resumida na tabela neste artigo e as políticas de quarentena utilizadas nas políticas de segurança predefinidas Padrão e Estrita estão descritas nas tabelas neste artigo.
Utilize as informações nas Definições recomendadas de política de ameaças de e-mail e colaboração para organizações na cloud para comparar as definições disponíveis em políticas de ameaças personalizadas ou políticas de ameaças predefinidas em comparação com as configuradas nas políticas de segurança predefinidas Padrão e Estritas.
As diretrizes de conceção para várias políticas de ameaças personalizadas para uma funcionalidade específica (por exemplo, políticas antimalware) incluem:
- Os utilizadores em políticas de ameaças personalizadas não podem ser incluídos nas políticas de segurança predefinidas Padrão ou Estritas devido à ordem de precedência.
- Atribua menos utilizadores a políticas de prioridade mais alta e a mais utilizadores a políticas de prioridade mais baixa.
- Configure políticas de prioridade mais alta para ter definições mais rigorosas ou mais especializadas do que as políticas de prioridade inferior (incluindo as políticas predefinidas).
Se decidir utilizar políticas de ameaças personalizadas, utilize o Analisador de configuração para comparar periodicamente as definições nas suas políticas com as definições recomendadas nas políticas de segurança predefinidas Padrão e Estrita.
Passo 3: atribuir permissões a administradores
Resumo: atribua a função de Administrador de Segurança no Microsoft Entra a outros administradores, especialistas e pessoal de suporte técnico para que possam realizar tarefas de segurança no Defender para Office 365.
Detalhes:
Provavelmente já está a utilizar a conta inicial que utilizou para se inscrever no Microsoft 365 para fazer todo o trabalho neste guia de implementação. Essa conta é um administrador em todo o Microsoft 365 (especificamente, é membro da função de Administrador Global no Microsoft Entra) e permite-lhe fazer praticamente tudo. As permissões necessárias foram descritas anteriormente neste artigo em Funções e permissões.
No entanto, a intenção deste passo é configurar outros administradores para o ajudar a gerir as funcionalidades Defender para Office 365 no futuro. O que não quer são muitas pessoas com poder de Administrador Global que não precisam dela. Por exemplo, é realmente necessário eliminar/criar contas ou tornar outros utilizadores Administradores Globais? O conceito de menor privilégio (atribuir apenas as permissões necessárias para fazer o trabalho e nada mais) é uma boa prática a seguir.
No que diz respeito à atribuição de permissões para tarefas Defender para Office 365, estão disponíveis as seguintes opções:
- Microsoft Entra permissões: estas permissões aplicam-se a todas as cargas de trabalho no Microsoft 365 (Exchange Online, SharePoint, Microsoft Teams, etc.).
- permissões de Exchange Online: a maioria das tarefas no Defender para Office 365 estão disponíveis com permissões Exchange Online. Atribuir permissões apenas no Exchange Online impede o acesso administrativo noutras cargas de trabalho do Microsoft 365.
- Email & permissões de colaboração no portal do Microsoft Defender: a administração de algumas funcionalidades de segurança no Defender para Office 365 está disponível com permissões de colaboração Email &. Por exemplo:
Para simplificar, recomendamos que utilize a função Administrador de Segurança no Microsoft Entra para outras pessoas que precisem de configurar as definições no Defender para Office 365.
Para obter instruções, consulte Atribuir funções de Microsoft Entra aos utilizadores e Gerir o acesso a Microsoft Defender XDR com Microsoft Entra funções globais.
Passo 4: Contas prioritárias e etiquetas de utilizador
Resumo: identifique e identifique os utilizadores adequados na sua organização como contas prioritárias para uma identificação mais fácil em relatórios e investigações e para receber proteção de conta prioritária no Defender para Office 365. Considere criar e aplicar etiquetas de utilizador personalizadas no Defender para Office 365 Plano 2.
Detalhes:
No Defender para Office 365, as contas prioritárias permitem-lhe etiquetar até 250 utilizadores de valor elevado para facilitar a identificação em relatórios e investigações. Estas contas prioritárias também recebem heurísticas adicionais que não beneficiam os colaboradores regulares. Para obter mais informações, veja Gerir e monitorizar contas prioritárias e Configurar e rever a proteção de conta prioritária no Microsoft Defender para Office 365.
No Defender para Office 365 Plano 2, também tem acesso para criar e aplicar etiquetas de utilizador personalizadas para identificar facilmente grupos específicos de utilizadores em relatórios e investigações. Para obter mais informações, veja Etiquetas de utilizador no Microsoft Defender para Office 365.
Identifique os utilizadores adequados para etiquetar como contas prioritárias e decida se precisa de criar e aplicar etiquetas de utilizador personalizadas.
Passo 5: Rever e configurar as definições de mensagens comunicadas pelo utilizador
Resumo: utilize o botão Relatório incorporado no Outlook ou uma ferramenta não Microsoft suportada para que os utilizadores possam comunicar falsos positivos e falsos negativos no Outlook, pelo que essas mensagens comunicadas estão disponíveis para administradores no separador Comunicado pelo utilizador da página Submissões no portal do Defender. Configure a organização para que as mensagens comunicadas sejam enviadas para uma caixa de correio de relatórios especificada, para a Microsoft ou para ambas.
Detalhes:
A capacidade de os utilizadores reportarem mensagens boas marcadas como más (falsos positivos) ou mensagens incorretas permitidas (falsos negativos) é importante para si monitorizar e ajustar as definições de proteção no Defender para Office 365.
As partes importantes do relatório de mensagens do utilizador são:
Como é que os utilizadores comunicam mensagens?: Certifique-se de que os clientes estão a utilizar um dos seguintes métodos para que as mensagens comunicadas apareçam no separador Comunicado pelo utilizador da página Submissões no portal do Defender em https://security.microsoft.com/reportsubmission?viewid=user:
O botão Relatório incorporado no Outlook na Web (anteriormente conhecido como Outlook Web App ou OWA).
Ferramentas de relatórios que não sejam da Microsoft que utilizam o formato de submissão de mensagens suportado.
Para onde vão as mensagens comunicadas pelo utilizador?: Tem as seguintes opções:
- Para uma caixa de correio de relatórios designada e para a Microsoft (este valor é a predefinição).
- Apenas para uma caixa de correio de relatórios designada.
- Apenas para a Microsoft.
A caixa de correio predefinida utilizada para recolher mensagens comunicadas pelo utilizador é a caixa de correio do Administrador Global (a conta inicial na organização). Se quiser que as mensagens comunicadas pelo utilizador sejam enviadas para uma caixa de correio de relatórios na sua organização, deve criar e configurar uma caixa de correio exclusiva para utilizar.
Cabe-lhe a si decidir se pretende que as mensagens comunicadas pelo utilizador também sejam enviadas para a Microsoft para análise (exclusivamente ou juntamente com a entrega na sua caixa de correio de relatórios designada).
Se quiser que as mensagens comunicadas pelo utilizador sejam enviadas apenas para a sua caixa de correio de relatórios designada, os administradores devem submeter manualmente mensagens comunicadas pelo utilizador à Microsoft para análise a partir do separador Comunicado pelo utilizador da página Submissões no portal do Defender em https://security.microsoft.com/reportsubmission?viewid=user.
Submeter mensagens comunicadas pelo utilizador à Microsoft é importante para permitir que os nossos filtros aprendam e melhorem.
Para obter informações completas sobre as definições de mensagens comunicadas pelo utilizador, consulte Definições comunicadas pelo utilizador.
Passo 6: Bloquear e permitir entradas
Resumo: familiarize-se com os procedimentos para bloquear e permitir mensagens, ficheiros e URLs no Defender para Office 365.
Detalhes:
Tem de se familiarizar com a forma de bloquear e (temporariamente) permitir remetentes de mensagens, ficheiros e URLs nas seguintes localizações no portal do Defender:
- A Lista de Permissões/Bloqueios de Inquilinos em https://security.microsoft.com/tenantAllowBlockList.
- A página Submissões em https://security.microsoft.com/reportsubmission.
- A página Informações de inteligência spoof em https://security.microsoft.com/spoofintelligence.
Em geral, é mais fácil criar blocos do que permite, porque entradas de permissão desnecessárias expõem a sua organização a e-mails maliciosos que o sistema filtraria de outra forma.
Bloco:
Pode criar entradas de blocos para domínios e endereços de e-mail, ficheiros e URLs nos separadores correspondentes na Lista de Permissões/Bloqueios de Inquilinos e ao submeter os itens à Microsoft para análise a partir da página Submissões . Quando submete um item à Microsoft, as entradas de bloco correspondentes também são criadas na Lista de Permissões/Bloqueios do Inquilino.
Sugestão
Os utilizadores na organização também não podem enviar e-mails para domínios ou endereços de e-mail especificados em entradas de bloco na Lista de Permissões/Bloqueios de Inquilinos.
As mensagens bloqueadas por informações de spoof são apresentadas na página Informações de spoof . Se alterar uma entrada de permissão para uma entrada de bloco, o remetente torna-se uma entrada de bloco manual no separador Remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino. Também pode criar proativamente entradas de blocos para remetentes falsificados ainda não encontrados no separador Remetentes falsificados .
Permitir:
Pode criar entradas de permissão para domínios e endereços de e-mail e URLs nos separadores correspondentes na Lista de Permissões/Bloqueios do Inquilino para substituir os seguintes veredictos:
- Em massa
- Spam
- Spam de alta probabilidade
- Phishing (phishing não de alta confiança)
Não pode criar entradas de permissão diretamente na Lista de Permissões/Bloqueios do Inquilino para os seguintes itens:
- Software maligno ou veredictos de phishing de alta confiança para domínios e endereços de e-mail ou URLs.
- Qualquer veredicto para ficheiros.
Em vez disso, utilize a página Submissões para comunicar os itens à Microsoft. Depois de selecionar Confirmei que está limpo, pode selecionar Permitir esta mensagem, Permitir este URL ou Permitir que este ficheiro crie uma entrada de permissão temporária correspondente na lista Permitir/Bloquear Inquilino.
As mensagens permitidas por informações de spoof são apresentadas na página Informações de spoof . Se alterar uma entrada de bloco para uma entrada de permissão, o remetente torna-se uma entrada de permissão manual no separador Remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino. Também pode criar proativamente entradas de permissão para remetentes falsificados ainda não encontrados no separador Remetentes falsificados .
Para obter detalhes completos, veja os seguintes artigos:
- Permitir ou bloquear o e-mail com a Lista de Permissões/Bloqueios de Inquilinos
- Permitir ou bloquear ficheiros através da Lista Bloquear/Permitir Inquilinos
- Permitir ou bloquear URLs através da Lista Bloquear/Permitir Inquilinos
- Utilize a página Submissões para submeter spam, phish, URLs, e-mails legítimos bloqueados e anexos de e-mail à Microsoft
- Anular o veredicto da inteligência falsa
Passo 7: Iniciar simulações de phishing com Formação em simulação de ataques
No Defender para Office 365 Plano 2, Formação em simulação de ataques permite-lhe enviar mensagens de phishing simuladas aos utilizadores e atribuir formação com base na forma como respondem. The following options are available:
- Simulações individuais com payloads incorporados ou personalizados.
- Automatizações de simulação obtidas de ataques de phishing do mundo real com vários payloads e agendamento automatizado.
- Campanhas apenas de formação em que não precisa de iniciar uma campanha e aguardar que os utilizadores cliquem em ligações ou transfiram anexos nas mensagens de phishing simuladas antes de as formações serem atribuídas.
Para obter mais informações, consulte Começar a utilizar Formação em simulação de ataques.
Passo 8: Investigar e responder
Agora que a configuração inicial está concluída, utilize as informações no Guia de Operações de Segurança do Microsoft Defender para Office 365 para monitorizar e investigar ameaças na organização.