Proteção passo a passo contra ameaças no Microsoft Defender para Office 365

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação do Defender para Office 365 de 90 dias no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Este artigo descreve a pilha de proteção (também conhecida como pilha de filtragem) no Microsoft Defender para Office 365. A pilha tem quatro fases. Normalmente, o correio recebido passa pelas quatro fases antes da entrega, mas o caminho real depende da configuração do Defender para Office 365 da sua organização.

Dica

Fique atento ao final deste artigo para obter um gráfico unificado das quatro fases da proteção do Defender para Office 365.

Fase 1: Proteção do Edge

Infelizmente, os blocos do Edge são agora relativamente simples para os atacantes ultrapassarem. Embora haja menos tráfego bloqueado aqui do que em anos anteriores, a proteção do Edge continua a ser uma parte importante da pilha.

Os blocos edge foram concebidos para serem automáticos. Para falsos positivos (correio válido marcado como incorreto), os remetentes são notificados com informações para resolver os problemas. Os conectores de parceiros fidedignos com reputação limitada podem garantir a capacidade de entrega ou podem ser implementadas substituições temporárias ao integrar novos pontos finais.

A filtragem fase-1 no Defender para Office 365

  1. A limitação de rede protege a infraestrutura do Microsoft 365 e os clientes contra ataques denial-of-service (DoS) ao limitar o número de mensagens que um conjunto específico de infraestrutura pode submeter.

  2. A reputação e limitação do IP bloqueiam as mensagens de endereços IP de ligação conhecidos e incorretos. Se um IP específico enviar muitas mensagens num curto espaço de tempo, o IP será limitado.

  3. A reputação de domínio bloqueia mensagens de domínios conhecidos e incorretos.

  4. A filtragem de borda baseada em diretório bloqueia as tentativas de coletar as informações de diretório de uma organização por meio do SMTP.

  5. A detecção de backscatter evita que uma organização seja atacada por meio de relatórios de falha na entrega (NDRs) inválidos.

  6. A Filtragem Avançada de Conectores (também conhecida como ignorar listagem) preserva as informações de autenticação quando o correio passa por um serviço ou dispositivo antes da entrega no Microsoft 365. Esta capacidade melhora a precisão da pilha de filtragem, incluindo modelos de clustering heurísticos, anti-spoofing e machine learning anti-phishing, mesmo em cenários de encaminhamento complexos ou híbridos.

Fase 2: Inteligência do Remetente

As funcionalidades na inteligência do remetente são fundamentais para a captura de mensagens de spam, em massa, de representação e de spoof não autorizadas e também têm em conta a deteção de phishing. A maioria destas funcionalidades são configuráveis individualmente.

Fase 2 da filtragem no Defender para Office 365 é a Inteligência do remetente

  1. A deteção de compromisso da conta gera alertas quando uma conta tem um comportamento anómalo consistente com o compromisso. Em alguns casos, a conta de utilizador é impedida de enviar e-mails até que o problema seja resolvido pela equipa de operações de segurança da organização.

  2. Email autenticação envolve métodos configurados pelo cliente e métodos configurados na nuvem para garantir que os remetentes são autorizados e os correios autênticos. Estes métodos resistem ao spoofing.

    • O SPF pode rejeitar correio com base em registos TXT DNS que listam endereços IP e servidores autorizados a enviar correio em nome da organização.
    • O DKIM fornece uma assinatura encriptada que autentica o remetente.
    • O DMARC permite que os administradores marquem o SPF e o DKIM conforme necessário para o respetivo domínio e impõe o alinhamento entre os resultados destas duas tecnologias.
    • O ARC baseia-se no DMARC para trabalhar com o reencaminhamento em listas de correio enquanto grava uma cadeia de autenticação.

  3. A inteligência spoof filtra remetentes que têm permissão para "spoof" (enviar correio em nome de outra conta ou reencaminhar para uma lista de correio) de remetentes maliciosos que imitam domínios externos organizacionais ou conhecidos. Separa o correio legítimo "em nome de" dos remetentes que falsificam para entregar mensagens de spam e phishing.

    A inteligência spoof intra-org deteta e bloqueia tentativas de spoof de domínios dentro da organização.

  4. A inteligência spoof entre domínios deteta e bloqueia tentativas de spoof de domínios fora da organização.

  5. A filtragem em massa permite aos administradores configurar um limiar de nível de reclamação em massa (BCL) que indica se a mensagem foi enviada de um remetente em massa. Os administradores podem utilizar o limiar BCL em políticas antisspam para decidir que nível de correio em massa tratar como spam.

  6. A inteligência de caixa de correio aprende com os comportamentos de email padrão do usuário. Utiliza o grafo de comunicação de um utilizador para detetar quando um remetente apenas parece ser alguém com quem o utilizador comunica normalmente, mas na verdade é malicioso. Este método deteta a representação.

  7. A representação de informações de caixa de correio ativa ou desativa os resultados de representação melhorados com base no mapa do remetente individual de cada utilizador. Quando ativada, esta funcionalidade ajuda a identificar a representação.

  8. A representação do utilizador permite que um administrador crie uma lista de destinos de valor elevado que provavelmente serão representados. Se chegar uma mensagem em que o remetente parece ter apenas o mesmo nome e endereço que a conta de valor elevado protegida, a mensagem é marcada ou marcada (por exemplo, trα cye@contoso.com para tracye@contoso.com).

  9. A representação de domínio deteta domínios semelhantes ao domínio do destinatário e que tentam parecer um domínio interno. Por exemplo, esta representação tracye@liw α re.com para tracye@litware.com.

Fase 3: Filtragem de Conteúdo

Nesta fase, a pilha de filtragem processa os conteúdos específicos da mensagem, incluindo as respetivas hiperligações e anexos.

A filtragem fase 3 no MDO é a Filtragem de Conteúdo

  1. As regras de transporte (também conhecidas como regras de fluxo de correio) permitem que um administrador efetue um vasto leque de ações quando uma grande variedade de condições é cumprida para uma mensagem. Todas as mensagens que fluem através da sua organização são avaliadas em relação às regras de fluxo de correio ativadas.

  2. Microsoft Defender Antivírus é utilizado para detetar todo o software maligno conhecido em anexos.

  3. O motor antivírus utiliza correspondência de tipo verdadeiro para detetar o tipo de ficheiro, independentemente da extensão de nome de ficheiro (por exemplo, exe os ficheiros cujo nome foi mudado txt são detetados como exe ficheiros). Esta capacidade permite que o bloqueio de tipos (também conhecido como filtro de anexo comum) bloqueie corretamente os tipos de ficheiro especificados pelos administradores. Para obter a lista de tipos de ficheiro suportados, veja Correspondência de tipos verdadeiros no filtro de anexos comuns.

  4. Quando Microsoft Defender para Office 365 deteta um anexo malicioso, o hash do ficheiro e um hash do respetivo conteúdo ativo são identificados. A reputação de anexos a bloquear bloqueia esse ficheiro no Microsoft 365 e nos pontos finais através de Microsoft Defender chamadas na cloud antivírus.

  5. O cluster heurístico determina que um arquivo é suspeito com base na heurística de entrega. Quando é encontrado um anexo suspeito, toda a campanha é colocada em pausa e o ficheiro é colocado em sandbox. Se o ficheiro for considerado malicioso, toda a campanha será bloqueada.

  6. Os modelos de aprendizado de máquina atuam no cabeçalho, no conteúdo do corpo e nas URLs de uma mensagem para detectar tentativas de phishing.

  7. A Microsoft utiliza uma determinação da reputação do sandboxing de URL e da reputação de URL de feeds não Microsoft em bloqueio de reputação de URL, para bloquear qualquer mensagem com um URL malicioso conhecido.

  8. A heurística de conteúdo detecta mensagens suspeitas com base na estrutura e na frequência das palavras no corpo da mensagem, usando modelos de aprendizado de máquina.

  9. Anexos Seguros sandboxes anexos para o Defender para Office 365 clientes, utilizando a análise dinâmica para detetar ameaças nunca antes vistas.

  10. A detonação de conteúdo vinculado trata todas as URLs vinculadas a um arquivo de um email como um anexo, colocando em sandbox de maneira assíncrona o arquivo no momento da entrega.

  11. A detonação de URL ocorre quando a tecnologia anti-phishing upstream encontra uma mensagem ou URL suspeita. A detonação de URLs detona os URLs na mensagem no momento da entrega.

Fase 4: Proteção pós-entrega

A última fase ocorre após a entrega de correio ou ficheiro, atuando em correio em várias caixas de correio e em ficheiros e ligações que aparecem em clientes como o Microsoft Teams.

A filtragem fase 4 no Defender para Office 365 é proteção pós-entrega

  1. Links seguros é a proteção de tempo de clique do Defender para Office 365. Os URLs nas mensagens são verificados relativamente à reputação mais recente quando um utilizador clica nos mesmos antes de o utilizador ser redirecionado para o site de destino. O URL é assíncrono em sandbox para atualizar a sua reputação.

  2. A remoção automática de zero horas (ZAP) para phishing deteta e neutraliza retroativamente mensagens de phishing maliciosas que já foram entregues em caixas de correio Exchange Online.

  3. O ZAP para software maligno deteta e neutraliza retroativamente mensagens de software maligno que já foram entregues a caixas de correio Exchange Online.

  4. O ZAP para spam deteta e neutraliza retroativamente mensagens de spam que já foram entregues em caixas de correio Exchange Online.

  5. As Vistas de Campanha permitem que os administradores vejam o panorama geral de um ataque mais rápido e completamente do que qualquer equipa poderia sem automatização. A Microsoft utiliza as grandes quantidades de dados anti-phishing, anti-spam e antimalware no serviço para identificar campanhas e, em seguida, permite que os administradores os investiguem do início ao fim, incluindo destinos, impactos e fluxos. Estas informações também estão disponíveis numa escrita de campanha transferível.

  6. O botão Relatório incorporado nasversões suportadas do Outlook permite que as pessoas comuniquem facilmente falsos positivos (e-mails bons marcados por engano como incorretos) ou falsos negativos (e-mail incorreto marcado como bom) à Microsoft para análise adicional.

  7. As Ligações Seguras para clientes do Office oferecem a mesma proteção de tempo de clique das Ligações Seguras, nativamente, dentro de aplicações do Office suportadas, como Word, PowerPoint e Excel.

  8. A proteção para o OneDrive, SharePoint e Teams oferece a mesma proteção de Anexos Seguros contra ficheiros maliciosos, nativamente, no OneDrive, SharePoint e Microsoft Teams.

  9. Quando um URL que aponta para um ficheiro é selecionado após a entrega, a detonação de conteúdo ligado apresenta uma página de aviso até que o sandboxing do ficheiro esteja concluído e o URL seja considerado seguro.

O diagrama da pilha de filtragem

O diagrama final (tal como acontece com todas as partes do diagrama) está sujeito a alterações à medida que o produto cresce e se desenvolve. Marque esta página e utilize a opção de feedback na parte inferior da página se precisar de perguntar sobre as atualizações. O diagrama seguinte mostra a pilha com todas as fases por ordem:

Todas as fases da filtragem no Defender para Office 365 por ordem, de 1 a 4

Agradecimentos especiais da MSFTTracyP e da equipa de escrita de documentos a Giulian Garruba por este conteúdo.

  • Last updated on