Proteção antimalware no EOP

Dica

Você sabia que pode experimentar os recursos no Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub Microsoft 365 Defender portal de avaliações. Saiba mais sobre quem pode se inscrever e os termos de avaliação aqui.

Aplica-se a

Em organizações do Microsoft 365 com caixas de correio no Exchange Online ou organizações EOP (Proteção do Exchange Online autônomos) sem caixas de correio Exchange Online, as mensagens de email são automaticamente protegidas contra malware pelo EOP. Algumas das principais categorias de malware são:

  • Vírus que infectam outros programas e dados e se espalham por seu computador ou rede procurando programas para infectar.
  • Spyware que coleta suas informações pessoais, como informações de entrada e dados pessoais, e as envia de volta ao autor.
  • Ransomware que criptografa seus dados e exige pagamento para descriptografá-los. O software antimalware não ajuda você a descriptografar arquivos criptografados, mas pode detectar e remover a carga de malware associada ao ransomware.

O EOP oferece proteção contra malware em várias camadas que foi projetada para capturar todos os malwares conhecidos no Windows, Linux e Mac que viajam para dentro ou para fora da sua organização. As opções a seguir ajudam a fornecer proteção antimalware:

  • Defesas em camada contra malware: vários mecanismos de verificação antimalware ajudam a proteger contra ameaças conhecidas e desconhecidas. Esses mecanismos incluem detecção heurística avançada a fim de fornecer proteção mesmo durante os estágios iniciais de um surto de malware. Essa abordagem de vários mecanismos foi mostrada para fornecer significativamente mais proteção do que usar apenas um mecanismo antimalware.
  • Resposta a ameaças em tempo real: durante alguns surtos, a equipe antimalware pode ter informações suficientes sobre um vírus ou outra forma de malware para escrever regras de política sofisticadas que detectam a ameaça, mesmo antes de uma definição estar disponível em qualquer um dos mecanismos de verificação usados pelo serviço. Essas regras são publicadas na rede global a cada 2 horas para fornecer à sua organização uma camada extra de proteção contra ataques.
  • Implantação rápida de definição antimalware: a equipe antimalware mantém relações estreitas com parceiros que desenvolvem mecanismos antimalware. Como resultado, o serviço pode receber e integrar definições e patches de malware antes de serem liberados publicamente. Nossa conexão com esses parceiros geralmente nos permite desenvolver nossos próprios remédios também. O serviço busca definições atualizadas para todos os mecanismos antimalware a cada hora.

No EOP, as mensagens que são encontradas contendo malware em qualquer anexo são colocadas em quarentena. Se os destinatários podem exibir ou interagir com as mensagens em quarentena são controlados pelas políticas de quarentena. Por padrão, as mensagens que foram colocadas em quarentena devido a malware só podem ser exibidas e liberadas pelos administradores. Para mais informações, confira os seguintes tópicos:

Para obter mais informações sobre a proteção antimalware, consulte as perguntas frequentes sobre a proteção antimalware.

Para configurar políticas antimalware, consulte Configurar políticas antimalware.

Para enviar malware à Microsoft, consulte mensagens e arquivos de relatório para a Microsoft.

Políticas antimalware

As políticas antimalware controlam as configurações e as opções de notificação para detecções de malware. As configurações importantes nas políticas antimalware são:

  • Filtros de destinatário: para políticas antimalware personalizadas, você pode especificar condições de destinatário e exceções que determinam a quem a política se aplica. Você pode usar essas propriedades para condições e exceções:

    • Usuários
    • Grupos
    • Domínios

    Você só pode usar uma condição ou exceção uma vez, mas a condição ou exceção pode conter vários valores. Vários valores da mesma condição ou exceção usam a lógica OU (por exemplo, <recipient1> ou <recipient2>). Para diferentes condições ou exceções, use a lógica E (por exemplo, <recipient1> e <member of group 1>).

    Importante

    Vários tipos diferentes de condições ou exceções não são aditivas; eles são inclusivos. A política é aplicada apenas aos destinatários que correspondem a todos os filtros de destinatário especificados. Por exemplo, você configura uma condição de filtro de destinatário na política com os seguintes valores:

    • Usuários: romain@contoso.com
    • Grupos: Executivos

    A política é aplicada a romain@contoso.com apenas se ele também for membro do grupo de Executivos. Se ele não for membro do grupo, a política não será aplicada a ele.

    Da mesma forma, se você usar o mesmo filtro de destinatário como uma exceção à política, a política não será aplicada a romain@contoso.com apenas se ele também for membro do grupo de Executivos. Se ele não for membro do grupo, a política ainda se aplica a ele.

  • Habilitar o filtro de anexos comuns: há certos tipos de arquivos que você realmente não deve enviar por email (por exemplo, arquivos executáveis). Por que se preocupar em verificar esses tipos de arquivos em busca de malware, quando você provavelmente deve bloquear todos eles, afinal? É aí que entra o filtro de anexos comuns. Os tipos de arquivo especificados são tratados automaticamente como malware.

    • Os tipos de arquivo padrão: ace, apk, app, appx, ani, arj, bat, cab, cmd,com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

    • Tipos de arquivo adicionais que você pode selecionar no Microsoft 365 Defender portal*: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bin, bundle, bz, bz2, bzip2, cab, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dot, dotm, dtox, dylib, font, gz, gzip, hlp, htm, html, imp, inf, ins, ipa, iso, isp, its, jnlp, js, jse, ksh, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, package, pages, pbix, pdb, pdf, php, pkg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shtm, shx, so, tar, tarz, terminal, tgz, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, zi, zip, zipx.

      *Você pode inserir qualquer valor de texto usando o parâmetro FileTypes nos cmdlets New-MalwareFilterPolicy ou Set-MalwareFilterPolicy no Exchange Online PowerShell.

    O filtro de anexos comuns usa o melhor esforço de digitação verdadeira para detectar o tipo de arquivo, independentemente da extensão de nome de arquivo. Se a digitação verdadeira falhar ou não tiver suporte para o tipo de arquivo especificado, a correspondência de extensão simples será usada.

    • Quando esses tipos de arquivo são encontrados: quando os arquivos são detectados pelo filtro de anexos comuns, você pode optar por rejeitar a mensagem com uma notificação de falha na entrega (NDR) ou colocar a mensagem em quarentena.
  • ZAP ( limpeza automática de hora zero) para malware: ZAP para mensagens de quarentena de malware que são encontradas contendo malware depois de serem entregues Exchange Online caixas de correio. Por padrão, o ZAP para malware está ativado e recomendamos que você o deixe ligado.

  • Política de quarentena: selecione a política de quarentena que se aplica às mensagens que estão em quarentena como malware. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Por padrão, os destinatários não recebem notificações para mensagens que foram colocadas em quarentena como malware. Para obter mais informações, confira Políticas de quarentena.

  • Administração notificações: você pode especificar um destinatário adicional (um administrador) para receber notificações de malware detectadas em mensagens de remetentes internos ou externos. Você pode personalizar o endereço, o assunto e o texto da mensagem para notificações internas e externas.

    Observação

    Administração notificações são enviadas apenas para anexos classificados como malware.

    A política de quarentena atribuída à política antimalware determina se os destinatários recebem notificações por email para mensagens que foram colocadas em quarentena como malware.

  • Prioridade: se você criar várias políticas antimalware personalizadas, poderá especificar a ordem em que elas são aplicadas. Duas políticas não podem ter a mesma prioridade, e o processamento da política será interrompido após a primeira política ser aplicada.

    Para obter mais informações sobre a ordem de precedência e como várias políticas são avaliadas e aplicadas, confira Ordem e precedência da proteção de email.

Políticas antimalware no portal Microsoft 365 Defender versus PowerShell

Os elementos básicos de uma política antimalware são:

  • A política de filtro de malware: especifica a notificação do destinatário, a notificação do remetente e do administrador, o ZAP e as configurações de filtro de anexos comuns.
  • A regra de filtro de malware: especifica os filtros de prioridade e de destinatário (a quem a política se aplica) para uma política de filtro de malware.

A diferença entre esses dois elementos não é óbvia quando você gerencia políticas antimalware no portal Microsoft 365 Defender:

  • Ao criar uma política antimalware, você está realmente criando uma regra de filtro de malware e a política de filtro de malware associada ao mesmo tempo usando o mesmo nome para ambos.
  • Quando você modifica uma política antimalware, as configurações relacionadas ao nome, prioridade, habilitado ou desabilitado e filtros de destinatário modificam a regra de filtro de malware. Outras configurações (notificação de destinatário, notificação de remetente e administrador, ZAP e filtro de anexos comuns) modificam a política de filtro de malware associada.
  • Quando você remove uma política antimalware, a regra de filtro de malware e a política de filtro de malware associada são removidas.

No Exchange Online PowerShell ou PowerShell do EOP autônomo, a diferença entre políticas de filtro de malware e regras de filtro de malware é aparente. Você gerencia políticas de filtro de malware * usando os cmdlets -MalwareFilterPolicy e gerencia regras de filtro de malware * usando os cmdlets -MalwareFilterRule.

  • No PowerShell, primeiro você cria a política de filtro de malware e, em seguida, cria a regra de filtro de malware que identifica a política à qual a regra se aplica.
  • No PowerShell, você modifica as configurações na política de filtro de malware e na regra de filtro de malware separadamente.
  • Quando você remove uma política de filtro de malware do PowerShell, a regra de filtro de malware correspondente não é removida automaticamente e vice-versa.

Política antimalware padrão

Cada organização tem uma política antimalware interna chamada Padrão que tem estas propriedades:

  • A política é aplicada a todos os destinatários na organização, mesmo que não haja nenhuma regra de filtro de malware (filtros de destinatário) associada à política.
  • A política tem o valor de prioridade personalizado Menor, que não pode ser modificado (a política é sempre aplicada por último). Quaisquer políticas antimalware personalizadas que você cria sempre têm uma prioridade mais alta do que a política chamada Default.
  • A política é a padrão (a propriedade IsDefault tem o valor True), e não é possível excluir a política padrão.