Proteção antimalware na EOP

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Nas organizações do Microsoft 365 com caixas de correio em organizações Exchange Online ou Proteção do Exchange Online autónomas (EOP) sem Exchange Online caixas de correio, as mensagens de e-mail são automaticamente protegidas contra software maligno por EOP. Algumas das principais categorias de software maligno são:

  • Vírus que infectam outros programas e dados e se espalham pelo seu computador ou rede à procura de programas para infetar.
  • Spyware que recolhe as suas informações pessoais, como informações de início de sessão e dados pessoais, e envia-os de volta para o autor.
  • Ransomware que encripta os seus dados e exige o pagamento para os desencriptar. O software antimalware não o ajuda a desencriptar ficheiros encriptados, mas pode detetar o payload de software maligno associado ao ransomware.

A EOP oferece proteção contra software maligno de várias camadas concebida para capturar todo o software maligno conhecido no Windows, Linux e Mac que entra ou sai da sua organização. As seguintes opções ajudam a fornecer proteção antimalware:

  • Defesas em camadas contra software maligno: vários motores de análise antimalware ajudam a proteger contra ameaças conhecidas e desconhecidas. Estes motores incluem uma poderosa deteção heurística para fornecer proteção mesmo durante as fases iniciais de um surto de malware. Esta abordagem multimotor demonstrou fornecer significativamente mais proteção do que utilizar apenas um motor antimalware.
  • Resposta a ameaças em tempo real: durante alguns surtos, a equipa antimalware pode ter informações suficientes sobre um vírus ou outra forma de software maligno para escrever regras de política sofisticadas que detetem a ameaça, mesmo antes de uma definição estar disponível a partir de qualquer um dos motores de análise utilizados pelo serviço. Estas regras são publicadas na rede global a cada 2 horas para fornecer à sua organização uma camada adicional de proteção contra ataques.
  • Implementação rápida da definição antimalware: a equipa antimalware mantém relações estreitas com parceiros que desenvolvem motores antimalware. Como resultado, o serviço pode receber e integrar definições e patches de software maligno antes de serem lançados publicamente. A nossa ligação com estes parceiros permite-nos muitas vezes desenvolver os nossos próprios remédios também. O serviço verifica a existência de definições atualizadas para todos os motores antimalware a cada hora.

Na EOP, as mensagens que contêm software maligno em quaisquer anexos são colocadas* em quarentena. Se os destinatários podem ver ou interagir com as mensagens em quarentena é controlado pelas políticas de quarentena. Por predefinição, as mensagens que foram colocadas em quarentena devido a software maligno só podem ser visualizadas e lançadas pelos administradores. Os utilizadores não podem lançar as suas próprias mensagens de software maligno em quarentena, independentemente das definições disponíveis que os administradores configurem. Para mais informações, consulte os seguintes artigos:

* A filtragem de software maligno é ignorada nas caixas de correio SecOps identificadas na política de entrega avançada. Para obter mais informações, consulte Configurar a política de entrega avançada para simulações de phishing de terceiros e entrega de e-mail para caixas de correio secOps.

As políticas antimalware também contêm um filtro de anexos comum. As mensagens que contêm os tipos de ficheiro especificados são automaticamente identificadas como malware. Para obter mais informações, veja a secção Common attachments filter in anti-malware policies (Filtro de anexos comuns em políticas antimalware ) mais à frente neste artigo.

Para obter mais informações sobre a proteção antimalware, consulte as FAQ sobre proteção antimalware.

Para configurar a política antimalware predefinida e para criar, modificar e remover políticas antimalware personalizadas, veja Configurar políticas antimalware. Nas políticas de segurança predefinidas Padrão e Estritas, as definições de política antimalware já estão configuradas e não são modificados, conforme descrito nas definições de política antimalware da EOP.

Sugestão

Se não concordar com o veredicto do software maligno, pode comunicar o anexo da mensagem à Microsoft como um falso positivo (um bom anexo marcado como incorreto) ou um falso negativo (anexo incorreto permitido). Para obter mais informações, consulte Como devo proceder para comunicar um e-mail ou ficheiro suspeito à Microsoft?.

Políticas antimalware

As políticas antimalware controlam as definições configuráveis e as opções de notificação para deteções de software maligno. As definições importantes nas políticas antimalware são descritas nas seguintes subsecções.

Filtros de destinatários em políticas antimalware

Os filtros de destinatários utilizam condições e exceções para identificar os destinatários internos a que a política se aplica. Pelo menos uma condição é necessária em políticas personalizadas. As condições e exceções não estão disponíveis na política predefinida (a política predefinida aplica-se a todos os destinatários). Pode utilizar os seguintes filtros de destinatários para condições e exceções:

  • Utilizadores: uma ou mais caixas de correio, utilizadores de correio ou contactos de correio na organização.
  • Grupos:
    • Membros dos grupos de distribuição especificados ou grupos de segurança com capacidade de correio (os grupos de distribuição dinâmicos não são suportados).
    • O Grupos do Microsoft 365 especificado.
  • Domínios: um ou mais dos domínios aceites configurados no Microsoft 365. O endereço de e-mail principal do destinatário está no domínio especificado.

Pode utilizar uma condição ou exceção apenas uma vez, mas a condição ou exceção pode conter vários valores:

  • Vários valores da mesma condição ou da mesma exceção utilizam lógica OR (por exemplo, <destinatário1> ou <destinatário2>):

    • Condições: se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada aos mesmos.
    • Exceções: se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada aos mesmos.

  • Diferentes tipos de exceções utilizam lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domínio1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada aos mesmos.

  • Diferentes tipos de condições utilizam a lógica AND. O destinatário tem de corresponder a todas as condições especificadas para que a política se aplique às mesmas. Por exemplo, pode configurar uma condição com os seguintes valores:

    • Utilizadores: romain@contoso.com
    • Grupos: Executivos

    A política é aplicada romain@contoso.com se for também membro do grupo Executivos. Caso contrário, a política não lhe é aplicada.

Filtro de anexos comuns em políticas antimalware

Existem determinados tipos de ficheiros que não deve enviar por e-mail (por exemplo, ficheiros executáveis). Por que motivo se preocupa em analisar estes tipos de ficheiros por software maligno quando deve bloqueá-los todos? É aí que entra o filtro de anexos comuns. Os tipos de ficheiro que especificar são identificados automaticamente como software maligno.

É utilizada uma lista de tipos de ficheiro predefinidos na política antimalware predefinida, em políticas antimalware personalizadas que cria e nas políticas antimalware nas políticas de segurança predefinidas Padrão e Estrita.

No portal Microsoft Defender, pode selecionar a partir de uma lista de tipos de ficheiro adicionais ou adicionar os seus próprios valores quando criar ou modificar políticas antimalware no portal do Microsoft Defender.

  • Tipos de ficheiro predefinidos: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

  • Tipos de ficheiro adicionais a selecionar no portal do Defender: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Quando os ficheiros são detetados pelo filtro de anexos comuns, pode optar por Rejeitar a mensagem com um relatório de entrega sem êxito (NDR) ou Colocar a mensagem em quarentena.

Correspondência de tipo verdadeiro no filtro de anexos comuns

O filtro de anexos comuns utiliza a correspondência do tipo verdadeiro de melhor esforço para detetar o tipo de ficheiro, independentemente da extensão de nome de ficheiro. A correspondência de tipos verdadeiros utiliza características de ficheiro para determinar o tipo de ficheiro real (por exemplo, bytes à esquerda e à direita no ficheiro). Por exemplo, se o nome de um exe ficheiro for mudado com uma txt extensão de nome de ficheiro, o filtro de anexos comuns deteta o ficheiro como um exe ficheiro.

A correspondência de tipos verdadeiros no filtro de anexos comuns suporta os seguintes tipos de ficheiro:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Se a correspondência de tipo verdadeiro falhar ou não for suportada para o tipo de ficheiro, será utilizada a correspondência de extensões simples.

Remoção automática de zero horas (ZAP) em políticas antimalware

O ZAP para software maligno coloca em quarentena mensagens que contêm software maligno depois de serem entregues a Exchange Online caixas de correio. Por predefinição, o ZAP para software maligno está ativado e recomendamos que o deixe ativado. Para obter mais informações, veja Remoção automática de zero horas (ZAP) para software maligno.

Políticas de quarentena em políticas antimalware

As políticas de quarentena definem o que os utilizadores são capazes de fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Por predefinição, os destinatários não recebem notificações para mensagens que foram colocadas em quarentena como software maligno e os utilizadores não podem divulgar as suas próprias mensagens de software maligno em quarentena, independentemente das definições disponíveis que os administradores configurarem. Para obter mais informações, veja Anatomia de uma política de quarentena.

Administração notificações em políticas antimalware

Pode especificar um destinatário adicional (um administrador) para receber notificações de software maligno detetado em mensagens de remetentes internos ou externos. Pode personalizar o texto De endereço, assunto e mensagem para notificações internas e externas.

Estas definições não estão configuradas na política antimalware predefinida por predefinição ou nas políticas de segurança predefinidas Padrão ou Estrita.

Sugestão

Administração notificações são enviadas apenas para anexos classificados como software maligno.

A política de quarentena atribuída à política antimalware determina se os destinatários recebem notificações por e-mail para mensagens que foram colocadas em quarentena como software maligno.

Prioridade das políticas antimalware

Se estiverem ativadas, as políticas de segurança predefinidas Padrão e Estrita são aplicadas antes de quaisquer políticas antimalware personalizadas ou a política predefinida (Estrita é sempre a primeira). Se criar várias políticas antimalware personalizadas, pode especificar a ordem em que são aplicadas. O processamento de políticas para após a aplicação da primeira política (a política de prioridade mais alta para esse destinatário).

Para obter mais informações sobre a ordem de precedência e a forma como várias políticas são avaliadas, veja Ordem e precedência da proteção de e-mail e Ordem de precedência para políticas de segurança predefinidas e outras políticas.

Política antimalware predefinida

Todas as organizações têm uma política antimalware incorporada denominada Predefinição que tem as seguintes propriedades:

  • A política é a política predefinida (a propriedade IsDefault tem o valor True) e não pode eliminar a política predefinida.
  • A política é aplicada automaticamente a todos os destinatários na organização e não pode desativá-la.
  • A política é sempre aplicada em último (o valor Prioridade é Mais Baixo e não pode alterá-la).