Proteção anti-malware no EOP

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Em organizações do Microsoft 365 com caixas de correio no Exchange Online ou em um cliente independente da EOP (Proteção do Exchange Online), ou em organizações sem caixas de correio do Exchange Online, as mensagens de email de entrada serão automaticamente protegidas contra spam pela EOP. Algumas das principais categorias de malware são:

• Vírus que infectam outros programas e dados e se espalham pelo computador ou rede à procura de programas para infectar.
• Spyware que coleta suas informações pessoais, como informações de entrada e dados pessoais, e envia-as de volta para seu autor.
• Ransomware que criptografa seus dados e exige pagamento para descriptografá-los. O software anti-malware não ajuda você a descriptografar arquivos criptografados, mas pode detectar a carga de malware associada ao ransomware.

O EOP oferece proteção contra malware em várias camadas projetada para capturar todos os malwares conhecidos no Windows, Linux e Mac que viajam para dentro ou fora de sua organização. As opções a seguir ajudam a fornecer proteção antimalware:

• Defesas em camada contra malware: vários mecanismos de verificação antimalware ajudam a proteger contra ameaças conhecidas e desconhecidas. Esses mecanismos incluem detecção heurística avançada a fim de fornecer proteção mesmo durante os estágios iniciais de um surto de malware. Essa abordagem multimotor tem sido mostrada para fornecer significativamente mais proteção do que usar apenas um mecanismo anti-malware.
• Resposta a ameaças em tempo real: durante alguns surtos, a equipe anti-malware pode ter informações suficientes sobre um vírus ou outra forma de malware para escrever regras políticas sofisticadas que detectam a ameaça, mesmo antes de uma definição estar disponível de qualquer um dos mecanismos de verificação usados pelo serviço. Essas regras são publicadas na rede global a cada 2 horas para fornecer à sua organização uma camada extra de proteção contra ataques.
• Implantação rápida de definição anti-malware: a equipe anti-malware mantém relações próximas com parceiros que desenvolvem mecanismos anti-malware. Como resultado, o serviço pode receber e integrar definições e patches de malware antes de serem liberados publicamente. Nossa conexão com esses parceiros muitas vezes nos permite desenvolver nossos próprios remédios também. O serviço busca definições atualizadas para todos os mecanismos antimalware a cada hora.

No EOP, as mensagens encontradas para conter malware em todos os anexos são colocadas^* em quarentena. Se os destinatários podem exibir ou interagir com as mensagens em quarentena é controlado por políticas de quarentena. Por padrão, as mensagens que foram colocadas em quarentena devido ao malware só podem ser exibidas e liberadas por administradores. Os usuários não podem liberar suas próprias mensagens de malware em quarentena, independentemente de qualquer configuração disponível que os administradores configurem. Para saber mais, confira os seguintes artigos:

^* A filtragem de malware é ignorada nas caixas de correio SecOps que são identificadas na política de entrega avançada. Para obter mais informações, consulte Configurar a política de entrega avançada para simulações de phishing de terceiros e entrega de email para caixas de correio SecOps.

• Anatomia de uma política de quarentena
• Gerenciar mensagens e arquivos em quarentena como um administrador no EOP.

As políticas anti-malware também contêm um filtro de anexos comum. As mensagens que contêm os tipos de arquivo especificados são identificadas automaticamente como malware. Para obter mais informações, consulte a seção Anexos comuns na seção políticas anti-malware posteriormente neste artigo.

Para obter mais informações sobre a proteção anti-malware, consulte as perguntas frequentes sobre proteção contra malware.

Para configurar a política anti-malware padrão e criar, modificar e remover políticas anti-malware personalizadas, consulte Configurar políticas anti-malware. Nas políticas de segurança predefinidas Standard e Strict, as configurações de política anti-malware já estão configuradas e inmodificáveis, conforme descrito nas configurações de política anti-malware do EOP.

Dica

Se você discordar do veredicto de malware, poderá relatar o anexo da mensagem à Microsoft como um falso positivo (um bom anexo marcado como ruim) ou um falso negativo (anexo incorreto permitido). Para obter mais informações, consulte Como fazer relatar um email ou arquivo suspeito para a Microsoft?.

Políticas antimalware

As políticas anti-malware controlam as configurações configuráveis e as opções de notificação para detecções de malware. As configurações importantes em políticas anti-malware são descritas nas subseções a seguir.

Filtros de destinatário em políticas anti-malware

Os filtros de destinatário usam condições e exceções para identificar os destinatários internos aos quais a política se aplica. Pelo menos uma condição é necessária em políticas personalizadas. Condições e exceções não estão disponíveis na política padrão (a política padrão se aplica a todos os destinatários). Você pode usar os seguintes filtros de destinatário para condições e exceções:

• Usuários: uma ou mais caixas de correio, usuários de email ou contatos de email na organização.
• Grupos:
  • Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
  • Os Grupos do Microsoft 365 especificados.
• Domínios: um ou mais dos domínios aceitos configurados no Microsoft 365. O endereço de email principal do destinatário está no domínio especificado.

Você pode usar uma condição ou exceção apenas uma vez, mas a condição ou exceção pode conter vários valores:

• Vários valores da mesma condição ou exceção usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>):

  • Condições: se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada a eles.
  • Exceções: se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada a eles.

• Diferentes tipos de exceções usam a lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domain1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada a eles.

• Diferentes tipos de condições usam a lógica AND. O destinatário deve corresponder a todas as condições especificadas para que a política se aplique a elas. Por exemplo, você configura uma condição com os seguintes valores:

  • Usuários: romain@contoso.com
  • Grupos: Executivos

  A política só será aplicada romain@contoso.com se ele também for membro do grupo Executivos. Caso contrário, a política não é aplicada a ele.

Filtro de anexos comuns em políticas anti-malware

Há certos tipos de arquivos que você realmente não deve enviar por email (por exemplo, arquivos executáveis). Por que se preocupar em examinar esses tipos de arquivos em busca de malware quando você deve bloquear todos eles, afinal? É aí que entra o filtro de anexos comuns. Os tipos de arquivo que você especificar são identificados automaticamente como malware.

Uma lista de tipos de arquivo padrão é usada na política anti-malware padrão, em políticas anti-malware personalizadas que você cria e nas políticas anti-malware nas políticas de segurança predefinidas Standard e Strict.

No portal Microsoft Defender, você pode selecionar em uma lista de tipos de arquivo adicionais ou adicionar seus próprios valores ao criar ou modificar políticas anti-malware no portal Microsoft Defender.

• Tipos de arquivo padrão: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Tipos de arquivo adicionais a serem selecionados no portal do Defender: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Quando os arquivos são detectados pelo filtro de anexos comuns, você pode optar por Rejeitar a mensagem com um NDR (relatório de não entrega) ou Colocar em quarentena a mensagem.

Correspondência de tipo verdadeiro no filtro de anexos comuns

O filtro de anexos comuns usa a melhor correspondência de tipo verdadeiro de esforço para detectar o tipo de arquivo, independentemente da extensão de nome de arquivo. A correspondência de tipo verdadeiro usa características de arquivo para determinar o tipo de arquivo real (por exemplo, bytes à direita e à direita no arquivo). Por exemplo, se um exe arquivo for renomeado com uma txt extensão de nome de arquivo, o filtro de anexos comuns detectará o arquivo como um exe arquivo.

A correspondência de tipo verdadeiro no filtro de anexos comuns dá suporte aos seguintes tipos de arquivo:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Se a correspondência de tipo verdadeiro falhar ou não tiver suporte para o tipo de arquivo, a correspondência de extensão simples será usada.

ZAP (limpeza automática de hora zero) em políticas anti-malware

O ZAP para malware coloca em quarentena mensagens que são encontradas para conter malware depois de serem entregues em caixas de correio Exchange Online. Por padrão, o ZAP para malware está ativado e é recomendável deixá-lo ligado. Para obter mais informações, consulte ZAP (limpeza automática) de zero hora para malware.

Políticas de quarentena em políticas anti-malware

As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Por padrão, os destinatários não recebem notificações por mensagens que foram colocadas em quarentena como malware, e os usuários não podem liberar suas próprias mensagens de malware em quarentena, independentemente de qualquer configuração disponível que os administradores configurem. Para obter mais informações, consulte Anatomia de uma política de quarentena.

Administração notificações em políticas anti-malware

Você pode especificar um destinatário adicional (um administrador) para receber notificações de malware detectadas em mensagens de remetentes internos ou externos. Você pode personalizar o texto De endereço, assunto e mensagem para notificações internas e externas.

Essas configurações não são configuradas na política anti-malware padrão por padrão ou nas políticas de segurança predefinidas Standard ou Strict.

Dica

As notificações de administração são enviadas somente para anexos classificados como malware.

A política de quarentena atribuída à política anti-malware determina se os destinatários recebem notificações por email por mensagens que foram colocadas em quarentena como malware.

Prioridade das políticas anti-malware

Se estiverem ativadas, as políticas de segurança predefinidas Standard e Strict serão aplicadas antes de qualquer política anti-malware personalizada ou a política padrão (Strict é sempre a primeira). Se você criar várias políticas anti-malware personalizadas, poderá especificar a ordem em que elas são aplicadas. O processamento de política para depois que a primeira política é aplicada (a política de maior prioridade para esse destinatário).

Para obter mais informações sobre a ordem de precedência e como várias políticas são avaliadas, consulte Ordem e precedência de proteção por email e Ordem de precedência para políticas de segurança predefinidas e outras políticas.

Política anti-malware padrão

Cada organização tem uma política anti-malware interna chamada Default que tem as seguintes propriedades:

• A política é a padrão (a propriedade IsDefault tem o valor True), e não é possível excluir a política padrão.
• A política é aplicada automaticamente a todos os destinatários da organização e você não pode desativá-la.
• A política é sempre aplicada por último (o valor de prioridade é mais baixo e você não pode alterá-la).