Campanhas no Microsoft Defender para Office 365
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
No Microsoft 365 organizações com Microsoft Defender para Office 365 Plano 2, o recurso de campanhas identifica e categoriza ataques coordenados de phishing e email de malware. A categorização da Microsoft de ataques de email em campanhas discretas ajuda você a:
- Investigue e responda com eficiência a ataques de email.
- Entenda melhor o escopo do ataque por email direcionado à sua organização.
- Mostre o valor de Microsoft Defender para Office 365 aos tomadores de decisão na prevenção de ameaças de email.
O recurso de campanhas permite que você veja a imagem geral de um ataque de email mais rápido e completamente do que qualquer humano.
Assista a este pequeno vídeo sobre como as campanhas no Microsoft Defender para Office 365 ajudá-lo a entender os ataques de email coordenados direcionados à sua organização.
O que é uma campanha?
Uma campanha é um ataque coordenado por email contra uma ou várias organizações. Email ataques que roubam credenciais e dados da empresa são uma indústria grande e lucrativa. À medida que as tecnologias aumentam para parar ataques, os invasores modificam seus métodos para garantir o sucesso contínuo.
A Microsoft aplica as grandes quantidades de dados anti-phishing, anti-spam e anti-malware de todo o serviço para identificar campanhas. Analisamos e classificamos as informações de ataque de acordo com vários fatores. Por exemplo:
- Fonte de ataque: os endereços IP de origem e os domínios de email do remetente.
- Propriedades da mensagem: o conteúdo, o estilo e o tom das mensagens.
- Destinatários de mensagens: como os destinatários estão relacionados. Por exemplo, domínios de destinatário, funções de trabalho de destinatário (administradores, executivos etc.), tipos de empresa (grandes, pequenos, públicos, privados etc.) e setores.
- Carga de ataque: links mal-intencionados, anexos ou outras cargas nas mensagens.
Uma campanha pode ter vida curta ou pode abranger vários dias, semanas ou meses com períodos ativos e inativos. Uma campanha pode ser lançada contra sua organização especificamente, ou sua organização pode fazer parte de uma campanha maior entre várias empresas.
Licenças e permissões necessárias
- O recurso de campanhas está disponível em organizações com Defender para Office 365 Plano 2 (licenças de complemento ou incluídas em assinaturas como Microsoft 365 E5).
- Você precisa receber permissões para exibir informações sobre campanhas, conforme descrito neste artigo. Você tem as seguintes opções:
- Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell): operações de segurança/dados brutos (colaboração de email &)/cabeçalhos de mensagem Email (leitura).
- Email & permissões de colaboração no portal Microsoft Defender: Associação no grupo de funções Gerenciamento de Organização, Administrador de Segurança ou Leitor de Segurança.
- Microsoft Entra permissões: a associação nas funções Administrador Global, Administrador de Segurança ou Leitor de Segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.
Página campanhas no portal Microsoft Defender
Para abrir a página Campanhas no portal do Microsoft Defender em https://security.microsoft.com, acesse Email &campanhas decolaboração>. Ou, para ir diretamente para a página Campanhas , use https://security.microsoft.com/campaigns.
A página Campanhas consiste nos seguintes elementos:
- Um construtor de filtros/consultas na parte superior da página.
- Uma área de gráfico em que você pode usar os pivôs disponíveis para organizar o gráfico de diferentes maneiras. Por padrão, o gráfico usa o pivô Tipo de Campanha , mesmo que esse pivô não pareça estar selecionado.
- Uma área de detalhes, que é definida como a guia Campanha por padrão
Dica
Se você não vir nenhum dado de campanha ou dados muito limitados, tente alterar o intervalo de datas ou filtros.
Você também pode exibir as mesmas informações sobre campanhas no Explorer de Ameaças em https://security.microsoft.com/threatexplorerv3:
- Exibição de campanhas .
- Todos os emails exibem > a guia Campanha na área de detalhes abaixo do gráfico.
- Exibição de> malware Guia campanha na área de detalhes abaixo do gráfico.
- Exibição> de phish A guia Campanha na área de detalhes abaixo do gráfico.
Se você tiver uma assinatura Microsoft Defender para Ponto de Extremidade, as informações das campanhas estarão conectadas com Microsoft Defender para Ponto de Extremidade.
Área do gráfico na página Campanhas
Na página Campanhas , a área do gráfico mostra um gráfico de barras que mostra o número de destinatários por dia. Por padrão, o gráfico mostra dados de Malware e Phish .
Para filtrar as informações mostradas no gráfico e na tabela de detalhes, altere os filtros.
Altere a organização do gráfico selecionando Tipo de Campanha e selecionando um dos seguintes valores na lista suspensa:
- Nome da campanha
- Subtipo de campanha
- Domínio do remetente
- IP do remetente
- Ação de entrega
- Tecnologia de detecção
- URL completa
- Domínio URL
- Domínio e caminho da URL
Use Exportar dados do gráfico para exportar os dados no gráfico para um arquivo CSV.
Para remover o gráfico da página (que maximiza o tamanho da área de detalhes), faça uma das seguintes etapas:
- Selecione Exibição deLista de Exibição> de Gráfico na parte superior da página.
- Selecione Mostrar exibição de lista entre o gráfico e as exibições da tabela de detalhes.
Área de detalhes na página Campanhas
Para filtrar as informações mostradas no gráfico e na tabela de detalhes, altere os filtros.
Na página Campanhas , a guia Campanha abaixo do gráfico mostra as seguintes informações na tabela de detalhes:
- Nome
- Exemplo de assunto: a linha de assunto de uma das mensagens na campanha. Todas as mensagens na campanha não têm necessariamente o mesmo assunto.
- Destino: o percentual calculado por: (o número de destinatários de campanha em sua organização) / (o número total de destinatários na campanha em todas as organizações do serviço). Esse valor indica o grau em que a campanha é direcionada apenas à sua organização (um valor mais alto) versus também direcionada a outras organizações no serviço (um valor menor).
- Tipo: o valor é Phish ou Malware.
- Subtipo: o valor contém mais detalhes sobre a campanha. Por exemplo:
- Phish: quando disponível, a marca que está sendo phished por esta campanha. Por exemplo,
Microsoft
,365
,Unknown
,Outlook
ouDocuSign
. Quando a detecção é impulsionada por Defender para Office 365 tecnologia, o ATP de prefixo é adicionado ao valor do subtipo. - Malware: por exemplo,
W32/<MalwareFamilyName>
ouVBS/<MalwareFamilyName>
.
- Phish: quando disponível, a marca que está sendo phished por esta campanha. Por exemplo,
- Marcas: para obter mais informações sobre marcas de usuário, consulte Marcas de usuário.
- Destinatários: o número de usuários que foram alvos desta campanha.
- Inboxed: o número de usuários que receberam mensagens desta campanha em sua caixa de entrada (não entregues à pasta Junk Email).
- Clique em: o número de usuários que selecionaram a URL ou abriram o anexo na mensagem de phishing.
- Taxa de clique: em campanhas de phishing, o percentual calculado por "Caixa de Entrada clicada / ". Esse valor é um indicador da eficácia da campanha. Em outras palavras, os destinatários foram capazes de identificar a mensagem como phishing e, portanto, evitaram a URL de carga? A taxa de clique não é usada em campanhas de malware.
- Visitado: quantos usuários realmente chegaram ao site de carga. Se houver valores clicados , mas links seguros bloquearem o acesso ao site, esse valor será zero.
Selecione um cabeçalho de coluna para classificar por essa coluna. Para remover colunas, selecione Personalizar colunas. Por padrão, todas as colunas disponíveis são selecionadas.
Use Exportar para exportar os dados na tabela de detalhes para um arquivo CSV.
Na página Campanhas , a guia Origem da campanha abaixo do gráfico mostra as fontes de mensagem em um mapa do mundo.
Filtros na página Campanhas
Na parte superior da página Campanha , há várias configurações de filtro para ajudá-lo a encontrar e isolar campanhas específicas. Os filtros selecionados afetam o gráfico e a tabela de detalhes.
Por padrão, o modo de exibição é filtrado por ontem e hoje. Para alterar o filtro de data, selecione o intervalo de datas e selecione Valores de data e data de término de início até 30 dias atrás.
Você também pode filtrar os resultados por uma ou mais propriedades de mensagem ou campanha. A sintaxe básica é:
<Propriedade><Igual a qualquer um de | Igual nenhum valorou valor de ><propriedade>
- Selecione a mensagem ou a propriedade de campanha na lista suspensa Tipo de Campanha (Tipo de Campanha é o valor padrão selecionado).
- Os valores de propriedade que você precisa inserir dependem completamente da propriedade. Algumas propriedades permitem texto de forma gratuita com vários valores separados por vírgulas e algumas propriedades permitem vários valores selecionados em uma lista.
As propriedades disponíveis e seus valores associados são descritos na seguinte tabela:
Propriedade | Tipo |
---|---|
Básica | |
Tipo de campanha | Selecione um ou mais valores¹:
|
Nome da campanha | Texto. Separe vários valores por vírgulas. |
Subtipo de campanha | Texto. Separe vários valores por vírgulas. |
Endereço do remetente. | Texto. Separe vários valores por vírgulas. |
Destinatários | Texto. Separe vários valores por vírgulas. |
Domínio do remetente | Texto. Separe vários valores por vírgulas. |
Domínio destinatário | Texto. Separe vários valores por vírgulas. |
Assunto | Texto. Separe vários valores por vírgulas. |
Nome da exibição do remetente | Texto. Separe vários valores por vírgulas. |
Email do remetente do endereço | Texto. Separe vários valores por vírgulas. |
Email do remetente do domínio | Texto. Separe vários valores por vírgulas. |
Família malware | Texto. Separe vários valores por vírgulas. |
Marcações | Texto. Separe vários valores por vírgulas. Para obter mais informações sobre marcas de usuário, consulte Marcas de usuário. |
Ação de entrega | Selecione um ou mais valores¹:
|
Ação adicional | Selecione um ou mais valores¹:
|
Directionality | Selecione um ou mais valores¹:
|
Tecnologia de detecção | Selecione um ou mais valores¹:
|
Local de entrega original | Selecione um ou mais valores¹:
|
Local de entrega mais recente | Mesmos valores que o local de entrega original |
Substituições do sistema | Selecione um ou mais valores¹:
|
Fonte de substituição do sistema | Selecione um ou mais valores¹:
|
Avançado | |
ID da Mensagem da Internet | Texto. Separe vários valores por vírgulas. Disponível no campo cabeçalho ID de mensagem no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (observe os colchetes de ângulo). |
ID da Mensagem de Rede | Texto. Separe vários valores por vírgulas. Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem. |
IP do remetente | Texto. Separe vários valores por vírgulas. |
Anexo SHA256 | Texto. Separe vários valores por vírgulas. Para localizar o valor de hash SHA256 de um arquivo no Windows, execute o seguinte comando em um Prompt de Comando: certutil.exe -hashfile "<Path>\<Filename>" SHA256 . |
Cluster ID | Texto. Separe vários valores por vírgulas. |
ID do alerta | Texto. Separe vários valores por vírgulas. |
ID da Política de Alerta | Texto. Separe vários valores por vírgulas. |
ID da campanha | Texto. Separe vários valores por vírgulas. |
Sinal de URL ZAP | Texto. Separe vários valores por vírgulas. |
URLs | |
Domínio URL | Texto. Separe vários valores por vírgulas. |
Domínio e caminho da URL | Texto. Separe vários valores por vírgulas. |
URL | Texto. Separe vários valores por vírgulas. |
Caminho da URL | Texto. Separe vários valores por vírgulas. |
Clique em veredicto | Selecione um ou mais valores¹:
|
Arquivo | |
Nome do arquivo anexo | Texto. Separe vários valores por vírgulas. |
¹ Não usar esse filtro de propriedade ou usar esse filtro de propriedade sem valores selecionados tem o mesmo resultado que usar esse filtro de propriedade com todos os valores selecionados.
Depois de selecionar uma propriedade na lista suspensa Tipo de Campanha , selecione Igual a qualquer uma ouNão igual a nenhuma e, em seguida, insira ou selecione um valor na caixa de propriedade, a consulta de filtro será exibida abaixo da área do filtro.
Para adicionar mais condições, selecione outro par de propriedade/valor e selecione AND ou OR. Repita essas etapas quantas vezes for necessário.
Para remover pares de propriedade/valor existentes, selecione ao lado da entrada.
Quando terminar de criar sua consulta de filtro, selecione Atualizar.
Para salvar sua consulta de filtro, selecione Salvar consulta>Salvar consulta. No flyout Salvar consulta que é aberto, configure as seguintes configurações:
- Nome da consulta: insira um valor exclusivo.
- Selecione um dos seguintes valores:
- Datas exatas: selecione o intervalo de datas.
- Datas relativas: selecione de um a 30 dias.
- Acompanhar essa consulta
Quando terminar no flyout Salvar consulta , selecione Salvar e selecione OK na caixa de diálogo de confirmação.
Ao retornar à página Campanhas , você pode carregar um filtro salvo selecionando Salvar>configurações de consulta salva.
Detalhes da campanha
Quando você seleciona uma entrada na tabela de detalhes clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome, um flyout é aberto que contém detalhes sobre a campanha.
O que é mostrado no flyout de detalhes da campanha é descrito nas subseções a seguir.
Informações da campanha
Na parte superior do flyout de detalhes da campanha, as seguintes informações de campanha estão disponíveis:
- ID da campanha: o identificador de campanha exclusivo.
- Atividade: a duração e a atividade da campanha.
- Os dados a seguir para o filtro de intervalo de datas selecionado (ou que você seleciona no linha do tempo):
- Impacto
- Mensagens: o número total de destinatários.
- Inboxed: o número de mensagens que foram entregues na caixa de entrada, não para a pasta Junk Email.
- Link clicado: quantos usuários selecionaram a URL de carga na mensagem de phishing.
- Link visitado: quantos usuários visitaram a URL.
- Destino(%): o percentual calculado por: (o número de destinatários de campanha em sua organização) / (o número total de destinatários na campanha em todas as organizações do serviço). Esse valor é calculado durante todo o tempo de vida da campanha e não é alterado por filtros de data.
- Iniciar filtros de data/hora e término de dados/hora para o fluxo de campanha, conforme descrito na próxima seção.
- Uma linha do tempo interativa da atividade de campanha: o linha do tempo mostra a atividade durante todo o tempo de vida da campanha. Você pode passar o mouse sobre os pontos de dados no grafo para ver o número de mensagens detectadas.
Fluxo de campanha
No meio do flyout de detalhes da campanha, detalhes importantes sobre a campanha são apresentados em um diagrama de fluxo horizontal (conhecido como diagrama de Sankey ). Esses detalhes ajudam você a entender os elementos da campanha e o potencial impacto em sua organização.
Dica
As informações exibidas no diagrama de fluxo são controladas pelo filtro de intervalo de datas no linha do tempo conforme descrito na seção anterior.
Se você passar o mouse sobre uma faixa horizontal no diagrama, verá o número de mensagens relacionadas (por exemplo, mensagens de um IP de origem específico, mensagens do IP de origem usando o domínio do remetente especificado etc.).
O diagrama contém as seguintes informações:
IPs do remetente
Domínios do remetente
Veredictos de filtro: os valores de veredicto estão relacionados aos veredictos disponíveis de phishing e filtragem de spam, conforme descrito em cabeçalhos de mensagens anti-spam. Os valores disponíveis são descritos na tabela a seguir:
Valor Veredicto do filtro de spam Descrição Permitido SFV:SKN
<Br/SFV:SKI
A mensagem foi marcada como não spam e/ou filtragem ignorada antes de ser avaliada pela filtragem de spam. Por exemplo, a mensagem foi marcada como não spam por uma regra de fluxo de email (também conhecida como regra de transporte).
<br/ A mensagem ignorou a filtragem de spam por outros motivos. Por exemplo, o remetente e o destinatário parecem estar na mesma organização.Bloqueado SFV:SKS
A mensagem foi marcada como spam antes de ser avaliada pela filtragem de spam. Por exemplo, por uma regra de fluxo de email. Detectado SFV:SPM
A mensagem foi marcada como spam pela filtragem de spam. Não detectado SFV:NSPM
A mensagem foi marcada como não spam pela filtragem de spam. Lançamento SFV:SKQ
A mensagem ignorou a filtragem de spam porque foi liberada da quarentena. Tenant Allow¹ SFV:SKA
A mensagem ignorou a filtragem de spam devido às configurações em uma política anti-spam. Por exemplo, o remetente estava na lista de remetentes permitidos ou na lista de domínios permitidos. Locatário Block² SFV:SKA
A mensagem foi bloqueada pela filtragem de spam devido às configurações em uma política anti-spam. Por exemplo, o remetente estava na lista de remetentes permitidos ou na lista de domínios permitidos. Permissão do usuário¹ SFV:SFE
A mensagem ignorou a filtragem de spam porque o remetente estava na lista remetentes seguros de um usuário. Bloco de Usuários² SFV:BLK
A mensagem foi bloqueada pela filtragem de spam porque o remetente estava na lista de Remetentes Bloqueados de um usuário. ZAP n/d O ZAP (limpeza automática) de zero hora moveu a mensagem entregue para a pasta junk Email ou quarentena. Você configura a ação em políticas anti-spam. ¹ Examine suas políticas anti-spam, pois a mensagem permitida provavelmente teria sido bloqueada pelo serviço.
² Examine suas políticas anti-spam, pois essas mensagens devem ser colocadas em quarentena, não entregues.
Destinos de mensagens: investigue as mensagens entregues aos destinatários (na caixa de entrada ou na pasta Junk Email), mesmo que os usuários não tenham selecionado a URL de carga na mensagem. Você também pode remover as mensagens em quarentena da quarentena. Para obter mais informações, consulte Mensagens de email em quarentena no EOP.
- Pasta excluída
- Deixou cair
- Externo: o destinatário está localizado em sua organização de email local em ambientes híbridos.
- Falhou
- Encaminhado
- Caixa de Entrada
- Pasta Lixo Eletrônico
- Quarentena
- Unknown
Cliques em URL: esses valores são descritos na próxima seção.
Observação
Em todas as camadas que contêm mais de 10 itens, os 10 principais itens são mostrados, enquanto o restante é empacotado em Outros.
Cliques na URL
Quando uma mensagem de phishing é entregue na pasta Caixa de Entrada ou lixo Email eletrônico de um destinatário, há sempre uma chance de que o usuário selecione a URL de carga. Não selecionar a URL é uma pequena medida de sucesso, mas você precisa determinar por que a mensagem de phishing foi entregue à caixa de correio em primeiro lugar.
Se um usuário selecionou a URL de carga na mensagem de phishing, as ações serão exibidas na área de cliques de URL do diagrama na exibição de detalhes da campanha.
- Permitido
- BlockPage: o destinatário selecionou a URL de carga, mas seu acesso ao site mal-intencionado foi bloqueado por uma política de Links Seguros em sua organização.
- BlockPageOverride: o destinatário selecionou a URL de carga na mensagem, links seguros tentaram pará-los, mas eles foram autorizados a substituir o bloco. Inspecione suas políticas de Links Seguros para ver por que os usuários podem substituir o veredicto de Links Seguros e continuar no site mal-intencionado.
- PendingDetonationPage: Anexos seguros no Microsoft Defender para Office 365 está abrindo e investigando a URL de carga em um ambiente virtual.
- PendingDetonationPageOverride: o destinatário foi autorizado a substituir o processo de detonação de carga e abrir a URL sem aguardar os resultados.
Guias
Dica
As informações exibidas nas guias são controladas pelo filtro de intervalo de datas no flyout de detalhes da campanha, conforme descrito na seção Informações da campanha .
As guias no flyout de detalhes da campanha permitem que você investigue ainda mais a campanha. As seguintes guias estão disponíveis:
Clique em URL: se os usuários não selecionarem a URL de carga na mensagem, esta seção ficará em branco. Se um usuário foi capaz de selecionar a URL, os seguintes valores serão preenchidos:
- Usuário*
- Marcas
- URL*
- Clique na hora
- Clique em veredicto
IPs do remetente
- IP do remetente*
- Contagem total
- Inboxed
- Não na caixa de entrada
- SPF passado: o remetente foi autenticado pelo SPF (Sender Policy Framework). Um remetente que não passa pela validação SPF indica um remetente não autenticado ou a mensagem está falsificando um remetente legítimo.
Remetentes
- Remetente: este é o endereço remetente real no comando SMTP MAIL FROM , que não é necessariamente o endereço de email Do: que os usuários veem em seus clientes de email.
- Contagem total
- Inboxed
- Não na caixa de entrada
- DKIM passado: o remetente foi autenticado pelo DKIM (Domain Keys Identified Mail). Um remetente que não passa pela validação DKIM indica um remetente não autenticado ou a mensagem está falsificando um remetente legítimo.
- DMARC passado: o remetente foi autenticado pela DMARC (Autenticação de Mensagem, Relatório e Conformidade) baseada em domínio. Um remetente que não passa pela validação DMARC indica um remetente não autenticado ou a mensagem está falsificando um remetente legítimo.
Anexos
- Filename
- SHA256
- Família malware
- Contagem total
Urls
- URL*
- Contagem total
* Selecionar esse valor abre um novo flyout que contém mais detalhes sobre o item especificado (usuário, URL etc.) além da exibição de detalhes da campanha. Para retornar ao flyout de detalhes da campanha, selecione Feito no novo flyout.
Em cada guia, selecione um cabeçalho de coluna para classificar por essa coluna. Para remover colunas, selecione Personalizar colunas. Por padrão, todas as colunas disponíveis em cada guia são selecionadas.
Ações adicionais
As ações na parte inferior do flyout de detalhes da campanha permitem que você investigue e registre detalhes sobre a campanha:
- Selecione Sim ou Não em Você acha que essa campanha agrupa essas mensagens com precisão?.
- Explorar mensagens: use o poder do Threat Explorer para investigar ainda mais a campanha selecionando um dos seguintes valores na lista suspensa:
- Todas as mensagens: abre uma nova guia de pesquisa Explorer ameaça usando o valor da ID da campanha como o filtro de pesquisa.
- Mensagens em caixa de entrada: abre uma nova guia de pesquisa Explorer ameaça usando a ID da campanha e o local de entrega: caixa de entrada como o filtro de pesquisa.
- Mensagens internas: abre uma nova guia de pesquisa Explorer ameaça usando a ID de campanha e a direcionalidade: intra-org como o filtro de pesquisa.
- Baixar relatório de ameaças: baixe os detalhes da campanha em um documento Word (por padrão, chamado CampaignReport.docx). O download contém detalhes durante todo o tempo de vida da campanha (não apenas o filtro de data selecionado).
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de