Caça a ameaças em detecções de Explorer de ameaças e em tempo real em Microsoft Defender para Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

As organizações do Microsoft 365 que têm Microsoft Defender para Office 365 incluídas em sua assinatura ou compradas como complemento têm Explorer (também conhecido como Explorer de Ameaças) ou detecções em tempo real. Esses recursos são ferramentas poderosas e quase em tempo real para ajudar as equipes de Operações de Segurança (SecOps) a investigar e responder a ameaças. Para obter mais informações, consulte Sobre detecções de Explorer de ameaças e em tempo real no Microsoft Defender para Office 365.

Detecções de Explorer de ameaças ou em tempo real permitem que você tome as seguintes ações:

  • Veja o malware detectado pelos Microsoft 365 de segurança.
  • Exibir URL de phishing e clicar em dados de veredicto.
  • Inicie um processo automatizado de investigação e resposta (somente ameaças Explorer).
  • Investigue email mal-intencionado.
  • E mais.

Assista a este pequeno vídeo para saber como caçar e investigar ameaças baseadas em email e colaboração usando Defender para Office 365.

Dica

A caça avançada no Microsoft Defender XDR dá suporte a um construtor de consultas fácil de usar que não usa o Linguagem de Consulta Kusto (KQL). Para obter mais informações, consulte Criar consultas usando o modo guiado.

As seguintes informações estão disponíveis neste artigo:

Dica

Para cenários de email usando detecções de Explorer de ameaças e em tempo real, confira os seguintes artigos:

Se você estiver procurando ataques com base em URLs mal-intencionadas inseridas em códigos QR, o código QR de valor de filtro de URL no código QRde todos os emails, Malware e Phish em detecções de Explorer de ameaças ou em tempo real permite que você pesquise mensagens de email com URLs extraídas de códigos QR.

Do que você precisa saber para começar?

Passo a passo Explorer de ameaças e detecções em tempo real

As detecções de Explorer ou em tempo real estão disponíveis na seção colaboração Email & no portal Microsoft Defender em https://security.microsoft.com:

O Explorer de ameaças contém as mesmas informações e recursos que as detecções em tempo real, mas com os seguintes recursos adicionais:

  • Mais exibições.
  • Mais opções de filtragem de propriedades, incluindo a opção de salvar consultas.
  • Ações de busca e correção de ameaças.

Para obter mais informações sobre as diferenças entre Defender para Office 365 Plano 1 e Plano 2, consulte a folha de fraudes Defender para Office 365 Plano 1 vs. Plano 2.

Use as guias (exibições) na parte superior da página para iniciar sua investigação.

As exibições disponíveis em detecções de Explorer de ameaças e em tempo real são descritas na tabela a seguir:

Exibir Ameaça
Explorador		 Tempo real
Detecções		 Descrição
Todos os emails Exibição padrão para Explorer de ameaças. Informações sobre todas as mensagens de email enviadas por usuários externos para sua organização ou email enviado entre usuários internos em sua organização.
Malware Exibição padrão para detecções em tempo real. Informações sobre mensagens de email que contêm malware.
Golpe Informações sobre mensagens de email que contêm ameaças de phishing.
Campanhas Informações sobre emails mal-intencionados que Defender para Office 365 Plano 2 identificaram como parte de uma campanha coordenada de phishing ou malware.
Malware de conteúdo Informações sobre arquivos mal-intencionados detectados pelos seguintes recursos:
Cliques na URL Informações sobre cliques do usuário em URLs em mensagens de email, mensagens do Teams, arquivos do SharePoint e arquivos do OneDrive.

Use o filtro de data/hora e as propriedades de filtro disponíveis na exibição para refinar os resultados:

Dica

Lembre-se de selecionar Atualizar depois de criar ou atualizar o filtro. Os filtros afetam as informações no gráfico e na área de detalhes da exibição.

Você pode pensar em refinar o foco em detecções de Explorer de ameaças ou em tempo real como camadas para facilitar o rastreamento de suas etapas:

  • A primeira camada é a exibição que você está usando.
  • O segundo posterior é os filtros que você está usando nesse modo de exibição.

Por exemplo, você pode refazer as etapas que tomou para encontrar uma ameaça gravando suas decisões assim: para encontrar o problema no Threat Explorer, usei a exibição malware e usei um foco de filtro do Destinatário.

Além disso, certifique-se de testar suas opções de exibição. Públicos diferentes (por exemplo, gerenciamento) podem reagir melhor ou pior a apresentações diferentes dos mesmos dados.

Por exemplo, em Ameaça Explorer a exibição Todos os emails, as exibições de origem Email e Campanhas (guias) estão disponíveis na área de detalhes na parte inferior da página:

  • Para alguns públicos, o mapa do mundo na guia de origem Email pode fazer um trabalho melhor para mostrar o quão generalizadas são as ameaças detectadas.

    Captura de tela do mapa do mundo no modo de exibição de origem Email na área de detalhes do modo de exibição All email no Threat Explorer.

  • Outros podem encontrar as informações detalhadas na tabela na guia Campanhas mais úteis para transmitir as informações.

    Captura de tela da tabela de detalhes na guia Campanha na exibição Todos os emails no Explorer de Ameaças.

Você pode usar essas informações para os seguintes resultados:

  • Para mostrar a necessidade de segurança e proteção.
  • Para demonstrar posteriormente a eficácia de qualquer ação.

Email investigação

Nas exibições all email, Malware ou Phish em detecções de Explorer de ameaças ou em tempo real, os resultados da mensagem de email são mostrados em uma tabela na guia Email (exibição) da área de detalhes abaixo do gráfico.

Ao ver uma mensagem de email suspeita, clique no valor assunto de uma entrada na tabela. O flyout de detalhes que é aberto contém a entidade Open email na parte superior do flyout.

Captura de tela das ações disponíveis no flyout de detalhes do email depois que você selecionar um valor assunto na guia Email da área de detalhes no modo de exibição Todos os emails.

A página Email entidade reúne tudo o que você precisa saber sobre a mensagem e seu conteúdo para que você possa determinar se a mensagem é uma ameaça. Para obter mais informações, consulte Email visão geral da página da entidade.

Email correção

Depois de determinar que uma mensagem de email é uma ameaça, a próxima etapa é corrigir a ameaça. Você corrige a ameaça em detecções de Explorer de ameaças ou em tempo real usando a ação Tomar.

A ação está disponível nas exibições De email, Malware ou Phish em Detecções de ameaças Explorer ou em tempo real na guia Email (exibição) da área de detalhes abaixo do gráfico:

  • Selecione uma ou mais entradas na tabela selecionando a caixa marcar ao lado da primeira coluna. A ação está disponível diretamente na guia .

    Captura de tela da exibição de Email (guia) da tabela de detalhes com uma mensagem selecionada e Executar ações ativas.

    Dica

    A ação substitui a lista suspensa Ações de mensagem.

    Se você selecionar 100 ou menos entradas, poderá executar várias ações nas mensagens no assistente de ação Tomar .

    Se você selecionar 101 a 200.000 entradas, somente as seguintes ações estarão disponíveis no assistente de ação Tomar :

    • Ameaças Explorer: mover para a caixa de correio e Propor correção estão disponíveis, mas elas são mutuamente exclusivas (você pode selecionar uma ou outra).
    • Detecções em tempo real: somente enviar à Microsoft para revisão e criar entradas de permissão/bloco correspondentes na lista Permissão/Bloco de Locatários estão disponíveis.

  • Clique no valor assunto de uma entrada na tabela. O flyout de detalhes que é aberto contém Tomar medidas na parte superior do flyout.

    As ações disponíveis na guia detalhes depois de selecionar um valor assunto na guia Email da área de detalhes na exibição Todos os emails.

Selecionar A ação Tomar abre o assistente de ação Tomar em um flyout. As ações disponíveis no assistente de ação Tomar em Explorer de Ameaças (Defender para Office 365 Plano 2) e detecções em tempo real (Defender para Office 365 Plano 1) estão listadas na tabela a seguir:

Ação Ameaça
Explorador		 Tempo real
Detections
Mover para a pasta caixa de correio ✔¹
Enviar à Microsoft para revisão
  Permitir ou bloquear entradas no Tenant Allow/Block List³
Iniciar investigação automatizada
Propor correção ²

¹ Essa ação requer a função Pesquisa e Purgação em Email & permissões de colaboração. Por padrão, essa função é atribuída apenas aos grupos de funções Pesquisador de Dados e Gerenciamento de Organizações . Você pode adicionar usuários a esses grupos de funções ou criar um novo grupo de funções com a função Pesquisa e Limpar atribuída e adicionar os usuários ao grupo de funções personalizado.

² Embora essa ação possa aparecer disponível em detecções em tempo real, ela não está disponível em Defender para Office 365 Plano 1.

³ Esta ação está disponível em Enviar à Microsoft para revisão.

O assistente de ação Take é descrito na seguinte lista:

  1. Na página Escolher ações de resposta , faça as seguintes seleções:

    • Mostrar todas as ações de resposta: essa opção está disponível somente no Explorer de Ameaças.

      Por padrão, algumas ações não estão disponíveis/esmaeçadas com base no local de entrega mais recente da mensagem. Para mostrar todas as ações de resposta disponíveis, deslize o alternância para Ativado.

    • Email seção ações de mensagem:

      Você pode selecionar várias ações se tiver selecionado 100 ou menos mensagens na guia Email (exibição) da área de detalhes das exibições Todos os emails, Malware ou Phish quando você selecionou Tomar medidas.

      Você também pode selecionar várias ações se tiver selecionado Tomar medidas no flyout de detalhes depois de clicar no valor assunto de uma entrada.

      Selecione uma ou mais opções disponíveis:

    • Pasta Mover para a caixa de correio: selecione um dos valores disponíveis que aparecem:

      • Lixo eletrônico: mova a mensagem para a pasta Junk Email.
      • Caixa de entrada: mova a mensagem para a caixa de entrada.
      • Itens excluídos: mova a mensagem para a pasta itens excluídos.
      • Itens excluídos suavemente: exclua a mensagem da pasta itens excluídos (mova-se para a pasta Itens Recuperáveis\Exclusões). A mensagem é recuperável pelo usuário e pelos administradores.
      • Itens excluídos com força: limpe a mensagem excluída. Os administradores podem recuperar itens excluídos com força usando a recuperação de um único item. Para obter mais informações sobre itens excluídos e excluídos, confira itens excluídos com exclusão suave e excluídos.

    • Enviar à Microsoft para revisão: selecione um dos valores disponíveis que aparecem:

      • Confirmei que é limpo: selecione esse valor se tiver certeza de que a mensagem está limpo. As seguintes opções aparecem:

        • Permitir mensagens como esta: se você selecionar esse valor, permitir entradas serão adicionadas à Lista de Permissões/Blocos do Locatário para o remetente e quaisquer URLs ou anexos relacionados na mensagem. As seguintes opções também aparecem:
          • Remova a entrada após: o valor padrão é de 1 dia, mas você também pode selecionar 7 dias, 30 dias ou uma data específica que seja menor que 30 dias.
          • Permitir nota de entrada: insira uma nota opcional que contenha informações adicionais.

      • Parece limpo ou parece suspeito: selecione um desses valores se você não tiver certeza e quiser um veredicto da Microsoft.

      • Confirmei que é uma ameaça: selecione esse valor se você tiver certeza de que o item é mal-intencionado e selecione um dos seguintes valores na seção Escolher uma categoria que aparece:

        • Golpe
        • Malware
        • Spam

        Depois de selecionar um desses valores, uma entidade Select para bloquear o flyout é aberta, onde você pode selecionar uma ou mais entidades associadas à mensagem (endereço do remetente, domínio do remetente, URLs ou anexos de arquivo) para adicionar como entradas de bloco à lista Permissão/Bloqueio do Locatário.

        Depois de selecionar os itens a serem bloqueados, selecione Adicionar à regra de bloco para fechar as entidades Selecionar para bloquear o flyout. Ou selecione nenhum item e selecione Cancelar.

        De volta à página Escolher ações de resposta , selecione uma opção de expiração para as entradas do bloco:

        • Expirando: selecione uma data para que as entradas de bloco expirem.
        • Nunca expirar

        O número de entidades bloqueadas é mostrado (por exemplo, 4/4 entidades a serem bloqueadas). Selecione Editar para reabrir a regra Adicionar ao bloco e fazer alterações.

    • Iniciar investigação automatizada: somente Explorer de ameaças. Selecione um dos seguintes valores que aparecem:

      • Investigar email
      • Investigar destinatário
      • Investigar remetente: esse valor se aplica apenas a remetentes em sua organização.
      • Contatar destinatários

    • Propor correção: selecione um dos seguintes valores que aparecem:

      • Create novo: esse valor dispara uma ação pendente de email de exclusão suave que precisa ser aprovada por um administrador no Centro de Ação. Esse resultado também é conhecido como aprovação em duas etapas.

      • Adicione ao existente: use esse valor para aplicar ações a essa mensagem de email de uma correção existente. Na caixa Enviar email para a seguinte caixa de correções , selecione a correção existente.

        Dica

        O pessoal do SecOps que não tem permsões suficientes pode usar essa opção para criar uma correção, mas alguém com permissões precisa aprovar a ação no Centro de Ação.

    Quando terminar na página Escolher ações de resposta , selecione Avançar.

  2. Na página Escolher entidades de destino , configure as seguintes opções:

    • Nome e Descrição: insira um nome exclusivo e descritivo e uma descrição opcional para acompanhar e identificar a ação selecionada.

    O restante da página é uma tabela que lista os ativos afetados. A tabela é organizada pelas seguintes colunas:

    • Ativo afetado: os ativos afetados da página anterior. Por exemplo:
      • Endereço de email do destinatário
      • Locatário inteiro
    • Ação: as ações selecionadas para os ativos da página anterior. Por exemplo:
      • Valores de Enviar à Microsoft para revisão:
        • Relatório como limpo
        • Report
        • Relatório como malware, Relatório como spam ou Relatório como phishing
        • Bloquear remetente
        • Bloquear domínio do remetente
        • Bloquear URL
        • Bloquear anexo
      • Valores de Iniciar investigação automatizada:
        • Investigar email
        • Investigar destinatário
        • Investigar remetente
        • Contatar destinatários
      • Valores de Propor correção:
        • Create nova correção
        • Adicionar à correção existente
    • Entidade de destino: por exemplo:
      • O valor da ID da Mensagem de Rede da mensagem de email.
      • O endereço de email do remetente bloqueado.
      • O domínio do remetente bloqueado.
      • A URL bloqueada.
      • O anexo bloqueado.
    • Expira em: os valores existem apenas para permitir ou bloquear entradas na Lista de Blocos de Locatário/Permissão. Por exemplo:
      • Nunca expire para entradas de bloco.
      • A data de validade para permitir ou bloquear entradas.
    • Escopo: normalmente, esse valor é MDO.

    Nesta fase, você também pode desfazer algumas ações. Por exemplo, se você quiser apenas criar uma entrada de bloco na Lista de Permissões/Blocos de Locatários sem enviar a entidade para a Microsoft, você poderá fazer isso aqui.

    Quando terminar na página Escolher entidades de destino , selecione Avançar.

  3. Na página Examinar e enviar , examine suas seleções anteriores.

    Selecione Exportar para exportar os ativos afetados para um arquivo CSV. Por padrão, o nome do arquivo é Impacted assets.csv localizado na pasta Downloads .

    Selecione Voltar para voltar e alterar suas seleções.

    Quando terminar na página Examinar e enviar , selecione Enviar.

Dica

As ações podem levar tempo para aparecer nas páginas relacionadas, mas a velocidade da correção não é afetada.

A experiência de caça a ameaças usando detecções de Explorer e em tempo real

Detecções de Explorer de ameaças ou em tempo real ajudam sua equipe de operações de segurança a investigar e responder a ameaças com eficiência. As subseções a seguir explicam como detecções de Explorer de ameaças e em tempo real podem ajudá-lo a encontrar ameaças.

Caça de ameaças de alertas

A página Alertas está disponível no portal do Defender em Alertas de alertas de & de incidentes> ou diretamente no .https://security.microsoft.com/alerts

Muitos alertas com o valor de origem de detecçãoMDO têm as mensagens Exibir em Explorer ação disponíveis na parte superior do flyout de detalhes do alerta.

O flyout de detalhes do alerta é aberto quando você clica em qualquer lugar no alerta diferente da caixa marcar ao lado da primeira coluna. Por exemplo:

  • Um clique de URL potencialmente mal-intencionado foi detectado
  • Administração resultado de envio concluído
  • Email mensagens que contêm URL mal-intencionada removidas após a entrega
  • Mensagens de email removidas após a entrega
  • Mensagens contendo entidade mal-intencionada não removidas após a entrega
  • Phish não zapped porque ZAP está desabilitado

Captura de tela das ações disponíveis no flyout de detalhes do alerta com o valor de origem detecções MDO da página Alertas no portal do Defender.

Selecionar Exibir mensagens no Explorer abre o Explorer de Ameaças no modo de exibição Todos os emails com a ID de Alerta do filtro de propriedade selecionada para o alerta. O valor da ID de Alerta é um valor GUID exclusivo para o alerta (por exemplo, 89e00cdc-4312-7774-6000-08dc33a24419).

A ID do alerta é uma propriedade filtrada nas seguintes exibições em detecções de Explorer de ameaças e em tempo real:

Nessas exibições, a ID do Alerta está disponível como uma coluna selecionável na área de detalhes abaixo do gráfico nas seguintes guias (exibições):

No flyout de detalhes de email que é aberto quando você clica em um valor Subject de uma das entradas, o link ID de Alerta está disponível na seção Email detalhes do flyout. A seleção do link ID de Alerta abre a página Exibir alertas com https://security.microsoft.com/viewalertsv2 o alerta selecionado e o flyout de detalhes aberto para o alerta.

Captura de tela do sobrevoo de detalhes do alerta na página Exibir alertas depois que você selecionar uma ID de Alerta no flyout de detalhes de email de uma entrada na guia Email das exibições All email, Malware ou Phish em Detecções de ameaças Explorer ou em tempo real.

Marcas no Explorer de ameaças

Em Defender para Office 365 Plano 2, se você usar marcas de usuário para marcar contas de destino de alto valor (por exemplo, a marca de conta de prioridade) você poderá usar essas marcas como filtros. Esse método mostra tentativas de phishing direcionadas a contas de destino de alto valor durante um período de tempo específico. Para obter mais informações sobre marcas de usuário, consulte Marcas de usuário.

As marcas de usuário estão disponíveis nos seguintes locais no Explorer de Ameaças:

Informações sobre ameaças para mensagens de email

As ações de pré-entrega e pós-entrega em mensagens de email são consolidadas em um único registro, independentemente dos diferentes eventos pós-entrega que afetaram a mensagem. Por exemplo:

O sobrevoo de detalhes de email da guia Email (exibição) nas exibições De email, Malware ou Phish mostra as ameaças associadas e as tecnologias de detecção correspondentes associadas à mensagem de email. Uma mensagem pode ter zero, uma ou várias ameaças.

  • Na seção Detalhes de entrega , a propriedade tecnologia de detecção mostra a tecnologia de detecção que identificou a ameaça. A tecnologia de detecção também está disponível como um pivô de gráfico ou uma coluna na tabela de detalhes para muitas exibições em detecções de Explorer de ameaças e em tempo real.

  • A seção URLs mostra informações específicassobre ameaças para quaisquer URLs na mensagem. Por exemplo, Malware, Phish, **Spam ou Nenhum.

Dica

A análise do veredicto pode não estar necessariamente ligada a entidades. Os filtros avaliam o conteúdo e outros detalhes de uma mensagem de email antes de atribuir um veredicto. Por exemplo, uma mensagem de email pode ser classificada como phishing ou spam, mas nenhuma URL na mensagem é carimbada com um veredicto de phishing ou spam.

Selecione Abrir entidade de email na parte superior do flyout para ver detalhes exaustivos sobre a mensagem de email. Para obter mais informações, consulte A página entidade Email no Microsoft Defender para Office 365.

Captura de tela do sobrevoo de detalhes do email depois de selecionar um valor Assunto na guia Email da área de detalhes na exibição Todos os emails.

Recursos estendidos no Explorer de Ameaças

As subseções a seguir descrevem filtros exclusivos do Threat Explorer.

Regras de fluxo de email do Exchange (regras de transporte)

Para encontrar mensagens afetadas pelas regras de fluxo de email do Exchange (também conhecidas como regras de transporte), você tem as seguintes opções nas exibições De email, Malware e Phish em Explorer de Ameaças (não em detecções em tempo real):

  • A regra de transporte de troca é um valor selecionável para as propriedades filtraveis de origem de substituição primária, origem de substituição e tipo de política .
  • A regra de transporte de troca é uma propriedade filtrada. Insira um valor de texto parcial para o nome da regra.

Para obter mais informações, consulte os seguintes links:

A guia Email (exibição) para a área de detalhes das exibições De email, Malware e Phish no Threat Explorer também tem a regra de transporte do Exchange como uma coluna disponível que não está selecionada por padrão. Esta coluna mostra o nome da regra de transporte. Para obter mais informações, consulte os seguintes links:

Dica

Para obter as permissões necessárias para pesquisar regras de fluxo de email pelo nome em Explorer de Ameaças, consulte Permissões e licenciamento para detecções de Explorer de ameaças e em tempo real. Nenhuma permissão especial é necessária para ver nomes de regras em flyouts de detalhes de email, tabelas de detalhes e resultados exportados.

Conectores de entrada

Os conectores de entrada especificam configurações específicas para fontes de email para o Microsoft 365. Para obter mais informações, confira Configurar o fluxo de emails usando conectores no Exchange Online.

Para encontrar mensagens afetadas por conectores de entrada, você pode usar a propriedade filtre do Conector para pesquisar conectores pelo nome nas exibições All email, Malware e Phish no Threat Explorer (não em detecções em tempo real). Insira um valor de texto parcial para o nome do conector. Para obter mais informações, consulte os seguintes links:

A guia Email (exibição) para a área de detalhes das exibições De email, Malware e Phish no Threat Explorer também tem o Conector como uma coluna disponível que não está selecionada por padrão. Esta coluna mostra o nome do conector. Para obter mais informações, consulte os seguintes links:

Email cenários de segurança em detecções de Explorer de ameaças e em tempo real

Para cenários específicos, confira os seguintes artigos:

Mais maneiras de usar detecções de Explorer de ameaças e em tempo real

Além dos cenários descritos neste artigo, você tem mais opções em detecções de Explorer ou em tempo real. Para saber mais, confira os seguintes artigos: