Proteção passo a passo contra ameaças no Microsoft Defender para Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

A Microsoft Defender para Office 365 pilha de proteção ou filtragem pode ser dividida em quatro fases, como neste artigo. De um modo geral, o email de entrada passa por todas essas fases antes da entrega, mas o email de caminho real está sujeito à configuração de Defender para Office 365 de uma organização.

Dica

Fique ligado até o final deste artigo para um gráfico unificado de todas as quatro fases de proteção de Defender para Office 365!

Fase 1 – Proteção de Borda

Infelizmente, os blocos de Edge que antes eram críticos agora são relativamente simples para os maus atores superarem. Com o tempo, menos tráfego é bloqueado aqui, mas continua sendo uma parte importante da pilha.

Os blocos de borda foram projetados para serem automáticos. No caso de falso positivo, os remetentes são notificados e informados sobre como resolver seu problema. Conectores de parceiros confiáveis com reputação limitada podem garantir que a entrega ou substituições temporárias possam ser implementadas ao integrar novos pontos de extremidade.

A filtragem de Fase 1 no Defender para Office 365

  1. A limitação de rede protege Office 365 infraestrutura e os clientes contra ataques de DOS (Negação de Serviço), limitando o número de mensagens que podem ser enviadas por um conjunto específico de infraestrutura.

  2. A reputação e a limitação de IP bloqueiam o envio de mensagens de endereços IP de conexão incorreta conhecidos. Se um IP específico enviar muitas mensagens em um curto período de tempo, elas serão limitadas.

  3. A reputação de domínio bloqueia qualquer mensagem enviada de um domínio ruim conhecido.

  4. A filtragem de borda baseada em diretório bloqueia as tentativas de coletar as informações de diretório de uma organização por meio do SMTP.

  5. A detecção de backscatter evita que uma organização seja atacada por meio de relatórios de falha na entrega (NDRs) inválidos.

  6. A filtragem aprimorada para conectores preserva as informações de autenticação mesmo quando o tráfego passa por outro dispositivo antes de atingir Office 365. Isso melhora a precisão da pilha de filtragem, incluindo modelos heurísticos de clustering, anti-falsificação e machine learning anti-phishing, mesmo quando em cenários complexos ou híbridos de roteamento.

Fase 2 – Inteligência do Remetente

Os recursos na inteligência do remetente são fundamentais para capturar spam, em massa, representação e mensagens falsificadas não autorizadas e também levar em conta a detecção de phish. A maioria desses recursos são configuráveis individualmente.

A fase 2 da filtragem no Defender para Office 365 é a inteligência do Remetente

  1. Gatilhos e alertas de detecção de comprometimento da conta são gerados quando uma conta tem um comportamento anômalo, consistente com o comprometimento. Em alguns casos, a conta de usuário é bloqueada e impedida de enviar mais mensagens de email até que o problema seja resolvido pela equipe de operações de segurança de uma organização.

  2. Email Autenticação envolve métodos e métodos configurados pelo cliente configurados na Nuvem, com o objetivo de garantir que os remetentes sejam caixas de correio autorizados e autênticos. Esses métodos resistem à falsificação.

    • O SPF pode rejeitar emails com base em registros DNS TXT que listam endereços IP e servidores autorizados a enviar emails em nome da organização.
    • O DKIM fornece uma assinatura criptografada que autentica o remetente.
    • O DMARC permite que os administradores marquem SPF e DKIM conforme necessário em seu domínio e impõe o alinhamento entre os resultados dessas duas tecnologias.
    • O ARC se baseia no DMARC para trabalhar com o encaminhamento em listas de emails durante a gravação de uma cadeia de autenticação.

  3. A inteligência falsa é capaz de filtrar aqueles autorizados a 'falsificar' (ou seja, aqueles que enviam emails em nome de outra conta ou encaminhar para uma lista de emails) de remetentes mal-intencionados que imitam domínios externos organizacionais ou conhecidos. Ele separa emails legítimos "em nome de" de remetentes que falsificam para fornecer mensagens de spam e phishing.

    A inteligência contra falsificação dentro da organização detecta e bloqueia tentativas de falsificação de um domínio da organização.

  4. A inteligência contra falsificação entre domínios detecta e bloqueia tentativas de falsificação de um domínio fora da organização.

  5. A filtragem em massa permite que os administradores configurem um BCL (nível de confiança em massa) indicando se a mensagem foi enviada de um remetente em massa. Os administradores podem usar o Controle Deslizante em Massa na política Antispam para decidir qual nível de email em massa tratar como spam.

  6. A inteligência de caixa de correio aprende com os comportamentos de email padrão do usuário. Ele aproveita o grafo de comunicação de um usuário para detectar quando um remetente parece ser apenas alguém com quem o usuário geralmente se comunica, mas na verdade é mal-intencionado. Esse método detecta representação.

  7. A representação de inteligência de caixa de correio habilita ou desabilita resultados de representação aprimorados com base no mapa de remetente individual de cada usuário. Quando habilitado, esse recurso ajuda a identificar a representação.

  8. A representação do usuário permite que um administrador crie uma lista de destinos de alto valor que provavelmente serão representados. Se um email chegar onde o remetente aparece apenas com o mesmo nome e endereço da conta de alto valor protegida, o email será marcado ou marcado. (Por exemplo, trα cye@contoso.com para tracye@contoso.com).

  9. A representação de domínio detecta domínios semelhantes ao domínio do destinatário e que tentam parecer um domínio interno. Por exemplo, essa representação tracye@liw α re.com para tracye@litware.com.

Fase 3 – Filtragem de Conteúdo

Nesta fase, a pilha de filtragem começa a lidar com o conteúdo específico do email, incluindo seus hiperlinks e anexos.

A filtragem de Fase 3 no MDO é Filtragem de Conteúdo

  1. As regras de transporte (também conhecidas como regras de fluxo de email ou regras de transporte do Exchange) permitem que um administrador tome uma ampla gama de ações quando uma gama igualmente ampla de condições é atendida para uma mensagem. Todas as mensagens que fluem pela sua organização são avaliadas em relação às regras de fluxo de email/regras de transporte habilitadas.

  2. Microsoft Defender Antivírus e um mecanismo antivírus de terceiros são usados para detectar todos os malwares conhecidos em anexos.

  3. Os mecanismos antivírus (AV) usam correspondência de tipo verdadeiro para detectar o tipo de arquivo, independentemente da extensão de nome de arquivo (por exemplo, exe os arquivos renomeados para txt são detectados como exe arquivos). Essa funcionalidade permite que o bloqueio de tipo (também conhecido como filtro de anexo comum) bloqueie corretamente os tipos de arquivo especificados pelos administradores. Para obter a lista de tipos de arquivo com suporte, consulte Correspondência de tipo True no filtro de anexos comuns.

  4. Sempre que Microsoft Defender para Office 365 detecta um anexo mal-intencionado, o hash do arquivo e um hash de seu conteúdo ativo são adicionados à reputação de Proteção do Exchange Online (EOP). O bloqueio de reputação de anexo bloqueia esse arquivo em todos os Office 365 e em pontos de extremidade por meio de chamadas de nuvem MSAV.

  5. O cluster heurístico determina que um arquivo é suspeito com base na heurística de entrega. Quando um anexo suspeito é encontrado, toda a campanha é pausada e o arquivo é protegido. Se o arquivo for considerado mal-intencionado, toda a campanha será bloqueada.

  6. Os modelos de aprendizado de máquina atuam no cabeçalho, no conteúdo do corpo e nas URLs de uma mensagem para detectar tentativas de phishing.

  7. A Microsoft usa uma determinação de reputação do sandboxing de URL e da reputação de URL de feeds de terceiros no bloqueio de reputação da URL, para bloquear qualquer mensagem com uma URL mal-intencionada conhecida.

  8. A heurística de conteúdo detecta mensagens suspeitas com base na estrutura e na frequência das palavras no corpo da mensagem, usando modelos de aprendizado de máquina.

  9. Os anexos seguros armazenam todas as caixas de anexo para clientes Defender para Office 365, usando a análise dinâmica para detectar ameaças nunca vistas antes.

  10. A detonação de conteúdo vinculado trata todas as URLs vinculadas a um arquivo de um email como um anexo, colocando em sandbox de maneira assíncrona o arquivo no momento da entrega.

  11. A detonação de URL ocorre quando a tecnologia anti-phishing upstream encontra uma mensagem ou URL suspeita. A detonação de URL armazena as URLs na mensagem no momento da entrega.

Fase 4 – Proteção pós-entrega

O último estágio ocorre após a entrega de emails ou arquivos, agindo por email que está em várias caixas de correio e arquivos e links que aparecem em clientes como o Microsoft Teams.

A filtragem de Fase 4 no Defender para Office 365 é a proteção pós-entrega

  1. Links seguros é a proteção de tempo de clique do Defender para Office 365. Cada URL em cada mensagem é encapsulada para apontar para servidores do Microsoft Safe Links. Quando uma URL é clicada, ela é verificada em relação à reputação mais recente, antes que o usuário seja redirecionado para o site de destino. A URL é assíncrona para atualizar sua reputação.

  2. O ZAP (limpeza automática) de zero hora para phishing detecta e neutraliza retroativamente as mensagens de phishing mal-intencionadas que já foram entregues às caixas de correio Exchange Online.

  3. O ZAP para malware detecta e neutraliza retroativamente as mensagens de malware mal-intencionadas que já foram entregues às caixas de correio Exchange Online.

  4. O ZAP para spam detecta e neutraliza retroativamente as mensagens de spam mal-intencionadas que já foram entregues às caixas de correio Exchange Online.

  5. As Exibições de Campanha permitem que os administradores vejam o quadro geral de um ataque, mais rápido e completamente, do que qualquer equipe poderia sem automação. A Microsoft aproveita as grandes quantidades de dados anti-phishing, anti-spam e anti-malware em todo o serviço para ajudar a identificar campanhas e, em seguida, permite que os administradores os investiguem do início ao fim, incluindo destinos, impactos e fluxos, que também estão disponíveis em uma gravação de campanha para download.

  6. Os suplementos mensagem de relatório permitem que as pessoas denunciem facilmente falsos positivos (bom email, marcados erroneamente como ruins) ou falsos negativos (email ruim marcado como bom) para a Microsoft para análise posterior.

  7. Links seguros para clientes do Office oferecem a mesma proteção de tempo de clique em Links Seguros, nativamente, dentro de aplicativos do Office com suporte, como Word, PowerPoint e Excel.

  8. A proteção para OneDrive, SharePoint e Teams oferece a mesma proteção de Anexos Seguros contra arquivos mal-intencionados, nativamente, dentro do OneDrive, SharePoint e Microsoft Teams.

  9. Quando uma URL que aponta para um arquivo é selecionada após a entrega, a detonação de conteúdo vinculado exibe uma página de aviso até que o sandboxing do arquivo seja concluído e a URL seja considerada segura.

O diagrama de pilha de filtragem

O diagrama final (como em todas as partes do diagrama que o compõe) está sujeito a alterações à medida que o produto cresce e se desenvolve. Marque esta página e use a opção de comentários que você encontrará na parte inferior se precisar perguntar após as atualizações. Para seus registros, esta é a pilha com todas as fases em ordem:

Todas as fases de filtragem em Defender para Office 365 em ordem, de 1 a 4

Agradecimentos especiais da MSFTTracyP e da equipe de redação de documentos para Giulian Garruba para este conteúdo.