Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
Aplica-se a
- Proteção do Exchange Online
- Microsoft Defender para Office 365 Plano 1 e Plano 2
- Microsoft Defender XDR
Este artigo fornece perguntas e respostas frequentes sobre a proteção anti-malware para organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações EOP (Proteção do Exchange Online autônomas) sem caixas de correio Exchange Online.
Para obter perguntas e respostas sobre a quarentena, veja Perguntas Frequentes sobre a Quarentena.
Para obter perguntas e respostas sobre proteção anti-spam, consulte Perguntas frequentes sobre proteção contra spam.
Para obter perguntas e respostas sobre proteção anti-falsificação, consulte Perguntas frequentes sobre proteção contra falsificação.
Quais são as recomendações de prática recomendada para configurar e usar o serviço para combater o malware?
Com que frequência as definições de malware são atualizadas?
Cada servidor verifica a cada hora a existência de novas definições de malware de nossos parceiros antimalware.
Quantos parceiros antimalware você tem? Posso quais mecanismos de malware usar?
Temos parcerias com vários provedores de tecnologia anti-malware. As mensagens são examinadas com os mecanismos anti-malware da Microsoft, um mecanismo baseado em assinatura adicional e verificações de reputação de arquivos e URL de várias fontes. Nossos parceiros estão sujeitos a alterações, mas o EOP sempre usa a proteção anti-malware contra vários parceiros. Você não pode escolher um mecanismo anti-malware em vez de outro.
Onde ocorre a verificação de malware?
Verificamos o malware em mensagens enviadas ou enviadas de uma caixa de correio (mensagens em trânsito). Para caixas de correio Exchange Online, também temos ZAP (limpeza automática) de zero hora para malware verificar mensagens que já foram entregues. Se você reenviar uma mensagem de uma caixa de correio, ela será digitalizada novamente (porque ela está em trânsito).
Se eu fizer uma alteração em uma política anti-malware, quanto tempo demora para que as alterações façam efeito após eu salvá-las?
Pode levar até 1 hora para que as alterações entrem em vigor.
O serviço examina mensagens internas e busca de malware?
Para organizações com caixas de correio Exchange Online, o serviço verifica o malware em todas as mensagens de entrada e saída, incluindo mensagens enviadas entre destinatários internos.
Uma assinatura EOP autônoma verifica as mensagens quando elas entram ou saem da organização de email local. As mensagens enviadas entre destinatários locais internos não são verificadas em busca de malware. No entanto, você pode usar os recursos internos de verificação anti-malware do Exchange Server. Para obter mais informações, consulte Proteção anti-malware no Exchange Server.
Todos os mecanismos antimalware usados pelo serviço têm o exame heurístico habilitado?
Sim. Verificações heurísticas para malware conhecido (assinatura) e desconhecido (suspeito).
O serviço pode examinar arquivos compactados (como arquivos .zip)?
Sim. Os mecanismos anti-malware podem detalhar arquivos compactados (arquivo).
O suporte ao exame de anexo compactado é recursivo (.zip dentro de um .zip dentro de um .zip) e, se for, qual o nível de profundidade máximo?
Sim, a verificação recursiva de arquivos compactados verifica muitas camadas profundas.
O serviço funciona com versões herdadas do Exchange e ambientes que não são do Exchange?
Sim, o serviço não reconhece o servidor.
O que é um vírus de zero dia e como ele é tratado pelo serviço?
Um vírus de dia zero é uma variante de primeira geração, até então desconhecida, de malware que nunca foi capturado ou analisado.
Depois que um exemplo de vírus de zero dia é capturado e analisado por nossos mecanismos anti-malware, uma definição e uma assinatura exclusiva são criadas para detectar o malware.
Quando existe uma definição ou assinatura para o malware, ele não é mais considerado o dia zero.
Como posso configurar o serviço para bloquear arquivos executáveis específicos (como \*.exe) que temo que possam conter malware?
Você pode habilitar e configurar o filtro de anexos comuns (também conhecido como bloqueio comum de anexos), conforme descrito no filtro anexos comuns em políticas anti-malware.
Você também pode criar uma regra de fluxo de email do Exchange (também conhecida como regra de transporte) que bloqueia qualquer anexo de email que tenha conteúdo executável.
Siga as etapas em Como reduzir ameaças de malware por meio do bloqueio de anexo de arquivo em Proteção do Exchange Online bloquear os tipos de arquivo listados em tipos de arquivo com suporte para inspeção de conteúdo de regra de fluxo de email em Exchange Online.
Para aumentar a proteção, também recomendamos usar a extensão qualquer arquivo de anexo inclui estas condições de palavras nas regras de fluxo de email para bloquear algumas ou todas as seguintes extensões: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Por que um malware específico passou pelos filtros?
O malware que você recebeu é uma nova variante (confira O que é um vírus de zero dia e como ele é tratado pelo serviço?). O tempo necessário para uma atualização de definição de malware depende de nossos parceiros anti-malware.
Lembre-se de que nenhuma configuração configurável por usuário ou administrador pode isentar anexos de email de serem verificados pela proteção anti-malware.
Como posso enviar malware que passou dos filtros para a Microsoft? Além disso, como posso enviar um arquivo que acredito ter sido detectado incorretamente como malware?
Recebi uma mensagem de email com um anexo desconhecido. Isso é malware ou eu posso desconsiderar esse anexo?
Recomendamos fortemente que você não abra nenhum anexo que não reconheça. Se você quiser que investiguemos o anexo, denuncie o arquivo à Microsoft.
Onde posso obter mensagens que foram excluídas pelos filtros de malware?
As mensagens contêm código mal-intencionado ativo e, portanto, não permitimos acesso a essas mensagens. Eles são excluídos sem cerimônia.
Não consigo receber um anexo específico porque ele está sendo falsamente identificado como malware. Posso permitir esse anexo por meio de regras de fluxo de email?
Não. Você não pode usar regras de fluxo de email do Exchange para ignorar a filtragem de malware. A única maneira de ignorar a filtragem de malware para um destinatário é identificar a caixa de correio como uma caixa de correio SecOps. Para obter mais informações, consulte Usar o portal Microsoft Defender para configurar caixas de correio SecOps na política de entrega avançada.
Posso obter dados de relatórios sobre detecções de malware?
Sim, você pode acessar relatórios no portal Microsoft Defender. Para obter mais informações, confira Exibir relatórios de segurança de email no portal do Microsoft Defender.
Há uma ferramenta que eu possa usar para seguir uma mensagem com malware detectado pelo serviço?
Sim, a ferramenta de rastreamento de mensagem permite que você siga mensagens de email à medida que elas passam pelo serviço. Para obter mais informações sobre como usar a ferramenta de rastreamento de mensagens para descobrir por que uma mensagem foi detectada para conter malware, consulte Rastreamento de mensagens no centro de administração do Exchange moderno.
Posso usar um provedor anti-spam e anti-malware de terceiros com Exchange Online?
Sim. Na maioria dos casos, recomendamos que você aponte seus registros MX para (ou seja, envie email diretamente para) EOP. Se você precisar encaminhar seu email para outro lugar primeiro, você precisará habilitar a Filtragem Aprimorada para Conectores para que o EOP possa usar a verdadeira fonte de mensagem nas decisões de filtragem.
As mensagens de spam e malware são investigadas para identificar quem as enviou ou são transferidas para entidades legais?
O objetivo do serviço é detectar e remover spam e malware, embora possamos, de vez em quando, investigar campanhas de spam ou de ataque particularmente perigosas ou prejudiciais, e processar legalmente os responsáveis.
Muitas vezes trabalhamos com nossas unidades de crimes legais e digitais para tomar as seguintes ações:
- Derrube uma botnet de spam.
- Bloqueie um invasor de usar o serviço.
- Passe as informações para a polícia para processo criminal.