Informações falsas de inteligência no EOP

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

No Microsoft 365 organizações com caixas de correio em organizações de EOP (Exchange Online ou Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, as mensagens de email de entrada são protegidas automaticamente contra falsificação. O EOP usa a inteligência falsa como parte da defesa geral da sua organização contra phishing. Para obter mais informações, consulte Proteção anti-falsificação no EOP.

Quando um remetente falsifica um endereço de email, ele parece ser um usuário em um dos domínios da sua organização ou um usuário em um domínio externo que envia emails para sua organização. Os invasores que falsificam remetentes para enviar email de spam ou phishing precisam ser bloqueados. Mas há cenários em que remetentes legítimos estão falsificando. Por exemplo:

  • Cenários legítimos para falsificação de domínios internos:

    • Remetentes de terceiros usam seu domínio para enviar emails em massa para seus próprios funcionários para votações da empresa.
    • Uma empresa externa gera e envia anúncios ou atualizações de produtos em seu nome.
    • Um assistente que deve enviar emails regularmente para outra pessoa em sua organização.
    • Um aplicativo interno envia notificações por email.
  • Cenários legítimos para falsificação de domínios externos:

    • O remetente está em uma lista de endereçamento (também conhecida como lista de discussão) que está retransmitindo o email do remetente original para todos os participantes contidos nela.
    • Uma empresa externa está enviando emails para outra empresa (por exemplo, um relatório automatizado ou uma empresa de software como serviço).

Você pode usar o insight de inteligência falsa no portal Microsoft Defender para identificar rapidamente remetentes falsificados que estão enviando legitimamente emails não autenticados (mensagens de domínios que não passam verificações SPF, DKIM ou DMARC) e permitem manualmente esses remetentes.

Ao permitir que remetentes conhecidos enviem mensagens falsificadas de locais conhecidos, você pode reduzir falsos positivos (um bom email marcado como ruim). Ao monitorar os remetentes falsificados permitidos, você fornece uma camada adicional de segurança para impedir que mensagens não seguras cheguem à sua organização.

Da mesma forma, você pode usar o insight de inteligência falsa para examinar remetentes falsificados que foram permitidos pela inteligência falsa e bloquear manualmente esses remetentes.

O restante deste artigo explica como usar o insight de inteligência falsa no portal do Microsoft Defender e no PowerShell (Exchange Online PowerShell para organizações do Microsoft 365 com caixas de correio em Exchange Online; EOP PowerShell autônomo para organizações sem Exchange Online caixas de correio).

Observação

  • Somente os remetentes falsificados que foram detectados pela inteligência contra falsificação aparecem no insight de inteligência de falsificação. Quando você substitui o veredicto permitir ou bloquear no insight, o remetente falsificado se torna uma entrada manual de permissão ou bloqueio que aparece apenas na guia Remetentes Falsificados na página Permitir/Bloquear Listas de Locatário em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Você também pode criar manualmente entradas de permissão ou bloqueio para remetentes falsificados antes que eles sejam detectados pela inteligência contra falsificação. Para obter mais informações, confira Remetentes falsificados na Lista de Permissões/Blocos do Locatário.

  • O insight de inteligência falsa e a guia Remetentes Falsificados na lista Permitir/Bloquear de Locatário substituem a funcionalidade da política de inteligência falsa que estava disponível na página de política anti-spam na Central de Conformidade de Segurança &.

  • O insight de inteligência falsa mostra 7 dias de dados. O cmdlet Get-SpoofIntelligenceInsight mostra 30 dias de dados.

Do que você precisa saber para começar?

Localizar o insight de inteligência falsa no portal do Microsoft Defender

  1. No portal do Microsoft Defender em https://security.microsoft.com, acesse Email & Políticas de Colaboração>& Regras>Políticas> de ameaçaPermitir/Bloquear Listas na seção Regras. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

  2. Selecione a guia Remetentes falsificados .

  3. Na guia Remetentes falsificados , o insight de inteligência falsa tem a seguinte aparência:

    O insight de inteligência spoof na página política anti-phishing

    O insight tem dois modos:

    • Modo insight: se a inteligência falsa estiver habilitada, o insight mostrará quantas mensagens foram detectadas pela inteligência falsa nos últimos sete dias.
    • E se o modo: se a inteligência falsa estiver desabilitada, o insight mostrará quantas mensagens teriam sido detectadas pela inteligência falsa nos últimos sete dias.

Para exibir informações sobre as detecções de inteligência falsa, selecione Exibir atividade de falsificação no insight de inteligência falsa para acessar a página de insights de inteligência do Spoof .

Exibir informações sobre detecções de falsificação

Observação

Lembre-se de que somente remetentes falsificados detectados pela inteligência falsa aparecem nesta página.

A página https://security.microsoft.com/spoofintelligencede insights de inteligência spoof em está disponível quando você seleciona Exibir atividade de falsificação na visão de inteligência falsa na guia Remetentes Falsificados na página Permitir/Bloquear Listas de Locatário.

Na página Insights de inteligência spoof , você pode classificar as entradas clicando em um cabeçalho de coluna disponível. As seguintes colunas estão disponíveis:

  • Usuário falsificado: o domínio do usuário falsificado exibido na caixa De em clientes de email. O endereço From também é conhecido como o 5322.From endereço.
  • Enviando infraestrutura: também conhecida como infraestrutura. A infraestrutura de envio é um dos seguintes valores:
    • O domínio encontrado em uma pesquisa inversa de DNS (registro PTR) do endereço IP do servidor de email de origem.
    • Se o endereço IP de origem não tiver nenhum registro PTR, a infraestrutura de envio será identificada como< IP de origem>/24 (por exemplo, 192.168.100.100/24).
    • Um domínio DKIM verificado.
  • Contagem de mensagens: o número de mensagens da combinação do domínio falsificado e a infraestrutura de envio à sua organização nos últimos sete dias.
  • Visto pela última vez: a última data em que uma mensagem foi recebida da infraestrutura de envio que contém o domínio falsificado.
  • Tipo de falsificação: um dos seguintes valores:
    • Interno: o remetente falsificado está em um domínio que pertence à sua organização (um domínio aceito).
    • Externo: o remetente falsificado está em um domínio externo.
  • Ação: esse valor é permitido ou bloqueado:
    • Permitido: o domínio falhou em verificações de autenticação de email explícita SPF, DKIM e DMARC. No entanto, o domínio passou em nossas verificações de autenticação de email implícitas (autenticação composta). Como resultado, nenhuma ação contra falsificação foi executada na mensagem.
    • Bloqueado: as mensagens da combinação do domínio falsificado e da infraestrutura de envio são marcadas como ruins pela inteligência falsa. A ação tomada nas mensagens falsificadas é controlada pela política anti-phishing padrão ou políticas anti-phishing personalizadas (o valor padrão é Mover mensagem para a pasta Junk Email). Para obter mais informações, consulte Configurar políticas antiphishing no Microsoft Defender para Office 365.

Para alterar a lista de remetentes falsificados de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis no flyout filtro que é aberto:

  • Tipo de falsificação: os valores disponíveis são Internos e Externos.
  • Ação: os valores disponíveis são Permitir e Bloquear

Quando terminar no flyout filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Use a caixa Pesquisa e um valor correspondente para localizar entradas específicas.

Use Exportar para exportar a lista de detecções de falsificação para um arquivo CSV.

Exibir detalhes sobre detecções de falsificação

Quando você seleciona uma detecção de falsificação na lista clicando em qualquer lugar da linha diferente da caixa marcar ao lado da primeira coluna, um flyout de detalhes é aberto que contém as seguintes informações:

  • Por que pegamos isso? seção: por que detectamos esse remetente como falsificação e o que você pode fazer para obter mais informações.

  • Seção resumo do domínio: inclui as mesmas informações da página de insights de inteligência do main Spoof.

  • Seção de dados whoIs : informações técnicas sobre o domínio do remetente.

  • Explorer seção investigação: em Defender para Office 365 organização, esta seção contém um link para abrir o Threat Explorer para ver detalhes adicionais sobre o remetente na guia Phish.

  • Seção Emails semelhantes : contém as seguintes informações sobre a detecção de falsificação:

    • Date
    • Assunto
    • Recipiente
    • Sender
    • IP do remetente

    Selecione Personalizar colunas para remover as colunas mostradas. Quando terminar, selecione Aplicar.

Dica

Para ver detalhes sobre outras entradas sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

Para alterar a detecção de falsificação de Permitirbloquear ou vice-versa, confira a próxima seção.

Substituir o veredicto de inteligência falsa

Na página de insights de inteligência spoof no https://security.microsoft.com/spoofintelligence, use qualquer um dos seguintes métodos para substituir o veredicto de inteligência falsa:

  • Selecione uma ou mais entradas da lista selecionando a caixa marcar ao lado da primeira coluna.

    1. Selecione a ação Ações em massa exibida.
    2. No flyout de ações em massa que é aberto, selecione Permitir falsificar ou Bloquear na falsificação e selecione Aplicar.
  • Selecione a entrada na lista clicando em qualquer lugar da linha que não seja a caixa marcar.

    No flyout de detalhes que é aberto, selecione Permitir falsificar ou Bloquear da falsificação na parte superior do flyout e selecione Aplicar.

De volta à página de insights de inteligência spoof, a entrada é removida da lista e é adicionada à guia Remetentes Falsificados na página Permitir/Bloquear Listas do Locatário em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Sobre remetentes falsificados permitidos

As mensagens de um remetente falsificado permitido (automaticamente detectado ou configurado manualmente) são permitidas apenas usando a combinação do domínio falsificado e da infraestrutura de envio. Por exemplo, o remetente falsificado a seguir tem permissão para falsificar:

  • Domínio: gmail.com
  • Infraestrutura: tms.mx.com

Somente o email desse par de infraestrutura de domínio/envio tem permissão para falsificar. Outros remetentes que tentam falsificar gmail.com não são permitidos automaticamente. As mensagens de remetentes em outros domínios originados de tms.mx.com ainda são verificadas pela inteligência contra falsificação e podem ser bloqueadas.

Use o insight de inteligência falsa no Exchange Online PowerShell ou no EOP PowerShell autônomo

No PowerShell, você usa o cmdlet Get-SpoofIntelligenceInsight para exibir remetentes falsificados permitidos e bloqueados detectados pela inteligência falsa. Para permitir ou bloquear manualmente os remetentes falsificados, você precisa usar o cmdlet New-TenantAllowBlockListSpoofItems . Para obter mais informações, confira Usar o PowerShell para criar entradas de permissão para remetentes falsificados na Lista de Permissões/Blocos de Locatário e usar o PowerShell para criar entradas de bloco para remetentes falsificados na Lista de Permissões/Blocos do Locatário.

Para exibir as informações no insight de inteligência falsa, execute o seguinte comando:

Get-SpoofIntelligenceInsight

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-SpoofIntelligenceInsight.

Outras maneiras de gerenciar falsificação e phishing

Seja diligente com a falsificação e a proteção contra phishing. Aqui estão maneiras relacionadas de marcar em remetentes que estão falsificando seu domínio e ajudar a evitar que eles prejudiquem sua organização: