Guia de operações de segurança Microsoft Defender para Office 365
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
Este artigo fornece uma visão geral dos requisitos e tarefas para Microsoft Defender para Office 365 operacionais com êxito em sua organização. Essas tarefas ajudam a garantir que o SOC (centro de operações de segurança) forneça uma abordagem confiável e de alta qualidade para proteger, detectar e responder a ameaças de segurança relacionadas a email e colaboração.
O restante deste guia descreve as atividades necessárias para o pessoal do SecOps. As atividades são agrupadas em tarefas prescritivas diárias, semanais, mensais e ad hoc.
Um artigo complementar a este guia fornece uma visão geral para gerenciar incidentes e alertas de Defender para Office 365 na página Incidentes no portal Microsoft Defender.
O Guia de Operações de Segurança Microsoft Defender XDR contém informações adicionais que você pode usar para planejamento e desenvolvimento.
Para obter um vídeo sobre essas informações, consulte https://youtu.be/eQanpq9N1Ps.
Atividades diárias
Monitorar a fila de incidentes de Microsoft Defender XDR
A página Incidentes no portal do Microsoft Defender em https://security.microsoft.com/incidents-queue (também conhecida como fila incidentes) permite gerenciar e monitorar eventos das seguintes fontes no Defender para Office 365:
Para obter mais informações sobre a fila Incidentes, consulte Priorizar incidentes no Microsoft Defender XDR.
Seu plano de triagem para monitorar a fila incidentes deve usar a seguinte ordem de precedência para incidentes:
- Um clique de URL potencialmente mal-intencionado foi detectado.
- Usuário impedido de enviar email.
- Padrões de envio de email suspeitos detectados.
- Email relatados pelo usuário como malware ou phish, e Vários usuários relataram email como malware ou phish.
- Email mensagens que contêm arquivo mal-intencionado removido após a entrega, Email mensagens contendo URL mal-intencionada removidas após a entrega e Email mensagens de uma campanha removidas após a entrega.
- Phish entregue devido a uma substituição ETR, Phish entregue porque a pasta Junk Mail de um usuário está desabilitada e Phish entregue devido a uma política de permissão de IP
- O malware não foi atingido porque o ZAP está desabilitado e o Phish não foi atingido porque o ZAP está desabilitado.
O gerenciamento de fila de incidentes e as personas responsáveis são descritos na seguinte tabela:
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Incidentes de triagem na fila Incidentes em https://security.microsoft.com/incidents-queue. | Diariamente | Verifique se todos os incidentes de média e alta gravidade de Defender para Office 365 são triagem. | Equipe de Operações de Segurança |
Investigue e tome ações de resposta em incidentes. | Diariamente | Investigue todos os incidentes e execute ativamente as ações de resposta recomendadas ou manuais. | Equipe de Operações de Segurança |
Resolva incidentes. | Diariamente | Se o incidente tiver sido corrigido, resolve o incidente. A resolução do incidente resolve todos os alertas ativos vinculados e relacionados. | Equipe de Operações de Segurança |
Classifique incidentes. | Diariamente | Classifique os incidentes como verdadeiros ou falsos. Para alertas verdadeiros, especifique o tipo de ameaça. Essa classificação ajuda sua equipe de segurança a ver padrões de ameaça e defender sua organização deles. | Equipe de Operações de Segurança |
Gerenciar detecções falsas positivas e falsas negativas
Em Defender para Office 365, você gerencia falsos positivos (bons emails marcados como ruins) e falsos negativos (emails incorretos permitidos) nos seguintes locais:
- A página Envios (envios de administradores).
- A Lista de Permissões/Blocos do Locatário
- Explorador de Ameaças
Para obter mais informações, consulte a seção Gerenciar detecções falsas positivas e falsas negativas mais adiante neste artigo.
O gerenciamento falso positivo e falso negativo e as personas responsáveis são descritos na tabela a seguir:
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Envie falsos positivos e falsos negativos para a Microsoft em https://security.microsoft.com/reportsubmission. | Diariamente | Forneça sinais à Microsoft relatando detecções incorretas de email, URL e arquivos. | Equipe de Operações de Segurança |
Analise os detalhes do envio do administrador. | Diariamente | Entenda os seguintes fatores para os envios que você faz à Microsoft:
|
Equipe de Operações de Segurança Administração de Segurança |
Adicionar entradas de bloco na Lista de Permissões/Blocos do Locatário em https://security.microsoft.com/tenantAllowBlockList. | Diariamente | Use a Lista de Permissões/Blocos do Locatário para adicionar entradas de bloco para detecções falsas negativas de URL, arquivo ou remetente, conforme necessário. | Equipe de Operações de Segurança |
Libere falso positivo da quarentena. | Diariamente | Depois que o destinatário confirmar que a mensagem foi colocada incorretamente em quarentena, você pode liberar ou aprovar solicitações de liberação para usuários. Para controlar o que os usuários podem fazer com suas próprias mensagens em quarentena (incluindo versão ou liberação de solicitação), consulte Políticas de quarentena. |
Equipe de Operações de Segurança Equipe de Mensagens |
Examinar campanhas de phishing e malware que resultaram em emails entregues
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Examine as campanhas de email. | Diariamente | Examine as campanhas de email direcionadas à sua organização em https://security.microsoft.com/campaigns. Concentre-se em campanhas que resultaram na entrega de mensagens aos destinatários. Remova mensagens de campanhas que existem nas caixas de correio do usuário. Essa ação só é necessária quando uma campanha contém emails que ainda não foram corrigidos por ações de incidentes, zap (limpeza automática de zero hora) ou correção manual. |
Equipe de Operações de Segurança |
Atividades semanais
Examinar tendências de detecção de email em relatórios de Defender para Office 365
Em Defender para Office 365, você pode usar os seguintes relatórios para examinar as tendências de detecção de email em sua organização:
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Examine os relatórios de detecção de email em: | Semanalmente | Examine as tendências de detecção de email para malware, phishing e spam em comparação com um bom email. A observação ao longo do tempo permite que você veja padrões de ameaça e determine se você precisa ajustar suas políticas de Defender para Office 365. | Administração de Segurança Equipe de Operações de Segurança |
Acompanhar e responder a ameaças emergentes usando análise de ameaças
Use a análise de ameaças para examinar ameaças ativas e de tendência.
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Examine as ameaças na análise de ameaças em https://security.microsoft.com/threatanalytics3. | Semanalmente | A análise de ameaças fornece uma análise detalhada, incluindo os seguintes itens:
|
Equipe de Operações de Segurança Equipe de caça a ameaças |
Examinar os principais usuários direcionados para malware e phishing
Use a guia Usuários de destino superior (exibição) na área de detalhes das exibições De email, Malware e Phish no Threat Explorer para descobrir ou confirmar os usuários que são os principais alvos de malware e email de phishing.
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Examine a guia Usuários de destino superior na Explorer de ameaças em https://security.microsoft.com/threatexplorer. | Semanalmente | Use as informações para decidir se você precisa ajustar políticas ou proteções para esses usuários. Adicione os usuários afetados às contas prioritárias para obter os seguintes benefícios:
|
Administração de Segurança Equipe de Operações de Segurança |
Examine as principais campanhas de malware e phishing direcionadas à sua organização
O Campaign Views revela ataques de malware e phishing contra sua organização. Para obter mais informações, consulte Exibições de Campanha no Microsoft Defender para Office 365.
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Use exibições de campanha em https://security.microsoft.com/campaigns para examinar ataques de malware e phishing que afetam você. | Semanalmente | Saiba mais sobre os ataques e técnicas e quais Defender para Office 365 foi capaz de identificar e bloquear. Use Baixar relatório de ameaças no Modos de Exibição de Campanha para obter informações detalhadas sobre uma campanha. |
Equipe de Operações de Segurança |
Atividades Ad-hoc
Investigação manual e remoção de email
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Investigue e remova emails incorretos no Explorer de Ameaças com base em https://security.microsoft.com/threatexplorer solicitações de usuário. | Ad-hoc | Use a ação Disparar investigação no Threat Explorer para iniciar uma investigação automatizada e um guia estratégico de resposta em qualquer email dos últimos 30 dias. Disparar manualmente uma investigação economiza tempo e esforço, incluindo centralmente:
Para obter mais informações, confira Exemplo: uma mensagem de phish relatada pelo usuário inicia um guia estratégico de investigação Ou você pode usar o Threat Explorer para investigar manualmente emails com recursos avançados de pesquisa e filtragem e tomar medidas de resposta manuais diretamente do mesmo lugar. Ações manuais disponíveis:
|
Equipe de Operações de Segurança |
Buscar proativamente por ameaças
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Busca regular e proativa por ameaças em:. | Ad-hoc | Pesquisa para ameaças usando Explorer de ameaças e caça avançada. | Equipe de Operações de Segurança Equipe de caça a ameaças |
Compartilhe consultas de caça. | Ad-hoc | Compartilhe ativamente consultas úteis e usadas com frequência na equipe de segurança para a busca e correção de ameaças manuais mais rápidas. Use rastreadores de ameaças e consultas compartilhadas na caça avançada. |
Equipe de Operações de Segurança Equipe de caça a ameaças |
Create regras de detecção personalizadas em https://security.microsoft.com/custom_detection. | Ad-hoc | Create regras de detecção personalizadas para monitorar proativamente eventos, padrões e ameaças com base em dados Defender para Office 365 na Caça Avançada. As regras de detecção contêm consultas de caça avançadas que geram alertas com base nos critérios correspondentes. | Equipe de Operações de Segurança Equipe de caça a ameaças |
Examinar Defender para Office 365 configurações de política
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Examine a configuração das políticas de Defender para Office 365 em https://security.microsoft.com/configurationAnalyzer. | Ad-hoc Mensal |
Use o analisador de configuração para comparar as configurações de política existentes com os valores padrão ou rígido recomendados para Defender para Office 365. O analisador de configuração identifica alterações acidentais ou mal-intencionadas que podem reduzir a postura de segurança da sua organização. Ou você pode usar a ferramenta ORCA baseada no PowerShell. |
Administração de Segurança Equipe de Mensagens |
Revisar substituições de detecção no Defender para Office 365 emhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad-hoc Mensal |
Use a exibição de dados por divisão > de gráfico por sistema norelatório Proteção contra Ameaças status para examinar emails detectados como phishing, mas entregues devido às configurações de substituição de política ou usuário. Investigue ativamente, remova ou ajuste fino substitui para evitar a entrega de email que foi determinado como mal-intencionado. |
Administração de Segurança Equipe de Mensagens |
Examinar detecções de falsificação e representação
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Examine o insight de inteligência spoof e os insights de detecção de representação em. | Ad-hoc Mensal |
Use o insight de inteligência falsa e o insight de representação para ajustar a filtragem para detecções de falsificação e representação. | Administração de Segurança Equipe de Mensagens |
Examinar a associação de conta prioritária
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Examine quem é definido como uma conta de prioridade em https://security.microsoft.com/securitysettings/userTags. | Ad-hoc | Mantenha a associação de contas prioritárias atualmente com alterações organizacionais para obter os seguintes benefícios para esses usuários:
Use marcas de usuário personalizadas para outros usuários obterem:
|
Equipe de Operações de Segurança |
Apêndice
Saiba mais sobre Microsoft Defender para Office 365 ferramentas e processos
As operações de segurança e os membros da equipe de resposta precisam integrar Defender para Office 365 ferramentas e recursos em investigações e processos de resposta existentes. Aprender sobre novas ferramentas e funcionalidades pode levar tempo, mas é uma parte crítica do processo de embarque. A maneira mais simples para os membros da equipe de segurança de email e SecOps aprenderem sobre Defender para Office 365 é usar o conteúdo de treinamento disponível como parte do conteúdo de treinamento ninja no https://aka.ms/mdoninja.
O conteúdo é estruturado para diferentes níveis de conhecimento (Fundamentals, Intermediários e Avançados) com vários módulos por nível.
Vídeos curtos para tarefas específicas também estão disponíveis no Microsoft Defender para Office 365 canal do YouTube.
Permissões para atividades e tarefas Defender para Office 365
As permissões para gerenciar Defender para Office 365 no portal Microsoft Defender e no PowerShell são baseadas no modelo de permissões RBAC (controle de acesso baseado em função). RBAC é o mesmo modelo de permissões usado pela maioria dos serviços do Microsoft 365. Para obter mais informações, consulte Permissões no portal Microsoft Defender.
Observação
Privileged Identity Management (PIM) no Microsoft Entra ID também é uma maneira de atribuir permissões necessárias ao pessoal do SecOps. Para obter mais informações, consulte Privileged Identity Management (PIM) e por que usá-lo com Microsoft Defender para Office 365.
As seguintes permissões (funções e grupos de funções) estão disponíveis em Defender para Office 365 e podem ser usadas para conceder acesso aos membros da equipe de segurança:
Microsoft Entra ID: Funções centralizadas que atribuem permissões para todos os serviços do Microsoft 365, incluindo Defender para Office 365. Você pode exibir as funções Microsoft Entra e os usuários atribuídos no portal Microsoft Defender, mas não pode gerenciá-las diretamente lá. Em vez disso, você gerencia Microsoft Entra funções e membros em https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. As funções mais frequentes usadas pelas equipes de segurança são:
Exchange Online e Email & colaboração: funções e grupos de funções que concedem permissão específica para Microsoft Defender para Office 365. As seguintes funções não estão disponíveis no Microsoft Entra ID, mas podem ser importantes para as equipes de segurança:
Função de visualização (Email & colaboração): atribua essa função aos membros da equipe que precisam visualizar ou baixar mensagens de email como parte das atividades de investigação. Permite que os usuários visualizem e baixem mensagens de email de caixas de correio de nuvem usando Explorer de ameaças (Explorer) ou detecções em tempo real e a página Email entidade.
Por padrão, a função Preview é atribuída apenas aos seguintes grupos de funções:
- Pesquisador de Dados
- Gerente de Descoberta Eletrônica
Você pode adicionar usuários a esses grupos de funções ou criar um novo grupo de funções com a função Preview atribuída e adicionar os usuários ao grupo de funções personalizado.
Pesquisa e Limpar função (Email & colaboração): aprove a exclusão de mensagens mal-intencionadas conforme recomendado pela AIR ou tome medidas manuais sobre mensagens em experiências de caça, como o Threat Explorer.
Por padrão, a função Pesquisa e Purgação é atribuída apenas aos seguintes grupos de funções:
- Pesquisador de Dados
- Gerenciamento de Organização
Você pode adicionar usuários a esses grupos de funções ou criar um novo grupo de funções com a função Pesquisa e Limpar atribuída e adicionar os usuários ao grupo de funções personalizado.
Gerenciador AllowBlockList do Locatário (Exchange Online): Gerenciar entradas de permissão e bloqueio na Lista de Permissões/Blocos do Locatário. Bloquear URLs, arquivos (usando hash de arquivo) ou remetentes é uma ação de resposta útil a ser tomada ao investigar emails mal-intencionados que foram entregues.
Por padrão, essa função é atribuída apenas ao grupo de funções operador de segurança no Exchange Online, não em Microsoft Entra ID. A associação à função Operador de Segurança no Microsoft Entra IDnão permite que você gerencie entradas da Lista de Permissões/Blocos do Locatário.
Os membros das funções de gerenciamento do Administrador de Segurança ou da Organização no Microsoft Entra ID ou nos grupos de funções correspondentes em Exchange Online podem gerenciar entradas na Lista de Permissões/Blocos do Locatário.
Integração SIEM/SOAR
Defender para Office 365 expõe a maioria de seus dados por meio de um conjunto de APIs programáticas. Essas APIs ajudam você a automatizar fluxos de trabalho e fazer uso completo de recursos de Defender para Office 365. Os dados estão disponíveis por meio das APIs Microsoft Defender XDR e podem ser usados para integrar Defender para Office 365 às soluções SIEM/SOAR existentes.
API de incidentes: Defender para Office 365 alertas e investigações automatizadas são partes ativas de incidentes no Microsoft Defender XDR. As equipes de segurança podem se concentrar no que é crítico agrupando todo o escopo de ataque e todos os ativos afetados juntos.
API de streaming de eventos: permite o envio de eventos e alertas em tempo real para um único fluxo de dados à medida que eles acontecem. Os tipos de eventos com suporte no Defender para Office 365 incluem:
Os eventos contêm dados do processamento de todos os emails (incluindo mensagens intra-org) nos últimos 30 dias.
API de Caça Avançada: permite a caça de ameaças entre produtos.
API de Avaliação de Ameaças: pode ser usada para relatar spam, URLs de phishing ou anexos de malware diretamente à Microsoft.
Para conectar Defender para Office 365 incidentes e dados brutos com o Microsoft Sentinel, você pode usar o conector M365D (Microsoft Defender XDR)
Você pode usar o seguinte exemplo de "Olá, Mundo" para testar o acesso à API para Microsoft Defender APIs: Olá, Mundo para Microsoft Defender XDR API REST.
Para obter mais informações sobre a integração de ferramentas SIEM, consulte Integrar suas ferramentas SIEM com Microsoft Defender XDR.
Abordar falsos positivos e falsos negativos no Defender para Office 365
Mensagens relatadas pelo usuário e envios de mensagens de email de administrador são sinais de reforço positivos críticos para nossos sistemas de detecção de machine learning. Os envios nos ajudam a examinar, triagem, aprender rapidamente e mitigar ataques. Relatar ativamente falsos positivos e falsos negativos é uma atividade importante que fornece comentários para Defender para Office 365 quando erros são cometidos durante a detecção.
As organizações têm várias opções para configurar mensagens relatadas pelo usuário. Dependendo da configuração, as equipes de segurança podem ter um envolvimento mais ativo quando os usuários enviam falsos positivos ou falsos negativos para a Microsoft:
As mensagens relatadas pelo usuário são enviadas à Microsoft para análise quando as configurações relatadas pelo usuário são configuradas com uma das seguintes configurações:
- Envie as mensagens relatadas para: somente Microsoft.
- Envie as mensagens relatadas para: Microsoft e minha caixa de correio de relatório.
Os membros das equipes de segurança devem fazer envios de administradores add-hoc quando a equipe de operações descobrir falsos positivos ou falsos negativos que não foram relatados pelos usuários.
Quando as mensagens relatadas pelo usuário são configuradas para enviar mensagens apenas para a caixa de correio da organização, as equipes de segurança devem enviar ativamente falsos positivos relatados pelo usuário e falsos negativos para a Microsoft por meio de envios de administradores.
Quando um usuário relata uma mensagem como phishing, Defender para Office 365 gera um alerta e o alerta dispara um guia estratégico AIR. A lógica de incidente correlaciona essas informações a outros alertas e eventos sempre que possível. Essa consolidação de informações ajuda as equipes de segurança a triagem, investigação e resposta às mensagens relatadas pelo usuário.
O pipeline de envio no serviço segue um processo fortemente integrado quando o usuário relata mensagens e os administradores enviam mensagens. Esse processo inclui:
- Redução de ruído.
- Triagem automatizada.
- Classificação por analistas de segurança e soluções baseadas em machine learning com parceiros humanos.
Para obter mais informações, consulte Relatar um email em Defender para Office 365 - Microsoft Tech Community.
Os membros da equipe de segurança podem fazer envios de vários locais no portal do Microsoft Defender em https://security.microsoft.com:
Administração envio: use a página Envios para enviar spam, phishing, URLs e arquivos suspeitos para a Microsoft.
Diretamente do Explorer de Ameaças usando uma das seguintes ações de mensagem:
- Relatório limpo
- Relatar phishing
- Relatar malware
- Relatar spam
Você pode selecionar até 10 mensagens para executar um envio em massa. Administração envios criados usando esses métodos estão visíveis nas respectivas guias na página Envios.
Para a mitigação de curto prazo de falsos negativos, as equipes de segurança podem gerenciar diretamente entradas de bloco para arquivos, URLs e domínios ou endereços de email na Lista de Permissões/Blocos do Locatário.
Para a mitigação de curto prazo de falsos positivos, as equipes de segurança não podem gerenciar diretamente entradas de permissão para domínios e endereços de email na Lista de Permissões/Blocos de Locatários. Em vez disso, eles precisam usar envios de administrador para relatar a mensagem de email como um falso positivo. Para obter instruções, consulte Relatar um bom email para a Microsoft.
A quarentena em Defender para Office 365 contém mensagens e arquivos potencialmente perigosos ou indesejados. As equipes de segurança podem exibir, liberar e excluir todos os tipos de mensagens em quarentena para todos os usuários. Essa funcionalidade permite que as equipes de segurança respondam efetivamente quando uma mensagem ou arquivo falso positivo é colocado em quarentena.
Integrar ferramentas de relatórios de terceiros com mensagens relatadas pelo usuário Defender para Office 365
Se sua organização usar uma ferramenta de relatório de terceiros que permite que os usuários denunciem internamente emails suspeitos, você pode integrar a ferramenta com os recursos de mensagem relatados pelo usuário de Defender para Office 365. Essa integração fornece os seguintes benefícios para as equipes de segurança:
- Integração com as funcionalidades AIR do Defender para Office 365.
- Triagem simplificada.
- Redução do tempo de investigação e resposta.
Designe a caixa de correio de relatório em que as mensagens relatadas pelo usuário são enviadas na página Configurações relatadas pelo usuário no portal de Microsoft Defender em https://security.microsoft.com/securitysettings/userSubmission. Para obter mais informações, consulte Configurações relatadas pelo usuário.
Observação
- A caixa de correio de relatório deve ser uma caixa de correio Exchange Online.
- A ferramenta de relatório de terceiros deve incluir a mensagem relatada original como um não compactado . EML ou . Anexo MSG na mensagem enviada para a caixa de correio de relatório (não basta encaminhar a mensagem original para a caixa de correio de relatório). Para obter mais informações, consulte Formato de envio de mensagens para ferramentas de relatório de terceiros.
- A caixa de correio de relatório requer pré-requisitos específicos para permitir que mensagens potencialmente ruins sejam entregues sem serem filtradas ou alteradas. Para obter mais informações, consulte Requisitos de configuração para a caixa de correio de relatório.
Quando uma mensagem relatada pelo usuário chega na caixa de correio de relatório, Defender para Office 365 gera automaticamente o alerta chamado Email relatado pelo usuário como malware ou phish. Esse alerta inicia um guia estratégico air. O guia estratégico executa uma série de etapas de investigações automatizadas:
- Colete dados sobre o email especificado.
- Colete dados sobre as ameaças e entidades relacionadas a esse email (por exemplo, arquivos, URLs e destinatários).
- Forneça ações recomendadas para que a equipe do SecOps tome com base nas conclusões da investigação.
Email relatados pelo usuário como alertas de malware ou phish, investigações automatizadas e suas ações recomendadas estão automaticamente correlacionadas a incidentes em Microsoft Defender XDR. Essa correlação simplifica ainda mais o processo de triagem e resposta para equipes de segurança. Se vários usuários relatarem as mesmas mensagens ou semelhantes, todos os usuários e mensagens serão correlacionados no mesmo incidente.
Dados de alertas e investigações em Defender para Office 365 são automaticamente comparados a alertas e investigações nos outros produtos Microsoft Defender XDR:
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Identidade
Se uma relação for descoberta, o sistema criará um incidente que dá visibilidade para todo o ataque.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de