Melhorias na caça a ameaças em Explorer de ameaças

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Se sua organização tiver Microsoft Defender para Office 365 e você tiver as permissões necessárias, você terá detecçõesde Explorer de ameaças ou em tempo real (anteriormente relatórios em tempo realveja as novidades!).

Detecções de Explorer de ameaças ou em tempo real ajudam sua equipe de operações de segurança a investigar e responder a ameaças com eficiência. Com este relatório, você pode:

A experiência de caça a ameaças

Introdução à ID de Alerta para alertas de Defender para Office 365 em detecções de Explorer/em tempo real

Hoje, se você navegar de um alerta para o Threat Explorer, ele abrirá uma exibição filtrada no Explorer, com o modo de exibição filtrado pela ID da política de alerta (a ID da política é um identificador exclusivo para uma política de alerta). Estamos tornando essa integração mais relevante, introduzindo a ID de alerta (confira um exemplo de ID de alerta abaixo) em Detecções de Explorer de ameaças e em tempo real para que você veja mensagens relevantes para o alerta específico, bem como uma contagem de emails. Você também poderá ver se uma mensagem fazia parte de um alerta, bem como navegar dessa mensagem para o alerta específico.

Captura de tela da ID de Filtragem para Alerta.

Estendendo a retenção de dados de Explorer (e detecções em tempo real) e o limite de pesquisa para locatários de avaliação de 7 para 30 dias

Como parte dessa alteração, você poderá pesquisar e filtrar dados de email em 30 dias (um aumento em relação aos 7 dias anteriores) em detecções de Explorer/tempo real para locatários de avaliação P1 e P2 Defender para Office 365. Isso não afeta nenhum locatário de produção para clientes P1 e P2/E5, que já têm os recursos de retenção e pesquisa de dados de 30 dias.

Limites atualizados para exportação de registros para Explorer de ameaças

Como parte desta atualização, o número de linhas para registros de Email que podem ser exportados do Threat Explorer é aumentado de 9990 para 200.000 registros. O conjunto de colunas que podem ser exportadas atualmente permanecerá o mesmo, mas o número de linhas aumentará do limite atual.

Marcas no Explorer de ameaças

Observação

O recurso de marcas de usuário está em Versão Prévia, não está disponível para todos e está sujeito a alterações. Para obter informações sobre o cronograma de lançamento, marcar o roteiro do Microsoft 365.

As marcas de usuário identificam grupos específicos de usuários no Microsoft Defender para Office 365. Para obter mais informações sobre marcas, incluindo licenciamento e configuração, consulte Marcas de usuário.

No Threat Explorer, você pode ver informações sobre marcas de usuário nas experiências a seguir.

Email exibição de grade

A coluna Marcas na grade de email contém todas as marcas que foram aplicadas às caixas de correio do remetente ou destinatário. Por padrão, marcas de sistema como contas prioritárias são mostradas primeiro.

Captura de tela das marcas Filtrar no modo de exibição de grade de email.

Filtragem

Você pode usar marcas como um filtro. Pesquise apenas entre contas prioritárias ou cenários específicos de marcas de usuário. Você também pode excluir resultados que tenham determinadas marcas. Combine essa funcionalidade com outros filtros para restringir seu escopo de investigação.

Filtrar marcas.

Captura de tela de marcas que não são filtradas.

Email flyout de detalhes

Para exibir as marcas individuais do remetente e do destinatário, selecione o assunto para abrir o flyout de detalhes da mensagem. Na guia Resumo , as marcas de remetente e destinatário são mostradas separadamente, se estiverem presentes para um email. As informações sobre marcas individuais para remetente e destinatário também se estendem aos dados CSV exportados, onde você pode ver esses detalhes em duas colunas separadas.

Captura de tela das marcas detalhes do Email.

As informações de marcas também são mostradas no flyout de cliques de URL. Para exibi-lo, acesse Phish ou All Email view e, em seguida, para a guia URL Clicks ou URL. Selecione um flyout de URL individual para exibir detalhes adicionais sobre cliques para essa URL, incluindo marcas associadas a esse clique.

Exibição da linha do tempo atualizada

Captura de tela das marcas de URL.

Saiba mais assistindo a este vídeo.

Melhorias futuras na experiência de caça a ameaças

Informações atualizadas sobre ameaças para emails

Focamos em melhorias de plataforma e qualidade de dados para aumentar a precisão e a consistência dos dados para registros de email. As melhorias incluem a consolidação de informações de pré-entrega e pós-entrega, como ações executadas em um email como parte do processo ZAP, em um único registro. Detalhes adicionais como veredicto de spam, ameaças no nível da entidade (por exemplo, qual URL foi mal-intencionada) e locais de entrega mais recentes também estão incluídos.

Após essas atualizações, você verá uma única entrada para cada mensagem, independentemente dos diferentes eventos pós-entrega que afetam a mensagem. As ações podem incluir ZAP, correção manual (o que significa ação de administrador), Entrega Dinâmica e assim por diante.

Além de mostrar ameaças de malware e phishing, você verá o veredicto de spam associado a um email. No email, confira todas as ameaças associadas ao email junto com as tecnologias de detecção correspondentes. Um email pode ter zero, uma ou várias ameaças. Você verá as ameaças atuais na seção Detalhes do flyout de email. Para várias ameaças (como malware e phishing), o campo tecnologia de detecção mostra o mapeamento de detecção de ameaças, que é a tecnologia de detecção que identificou a ameaça.

O conjunto de tecnologias de detecção agora inclui novos métodos de detecção, bem como tecnologias de detecção de spam. Você pode usar o mesmo conjunto de tecnologias de detecção para filtrar os resultados nas diferentes exibições de email (Malware, Phish, All Email).

Observação

A análise do veredicto pode não estar necessariamente ligada a entidades. Como exemplo, um email pode ser classificado como phish ou spam, mas não há URLs carimbadas com um veredicto de phish/spam. Isso ocorre porque os filtros também avaliam o conteúdo e outros detalhes de um email antes de atribuir um veredicto.

Ameaças em URLs

Agora você pode ver a ameaça específica para uma URL na guia Detalhes do sobrevoo de email. A ameaça pode ser malware, phish, spam ou nenhum.)

Captura de tela das ameaças de URL.

Exibição de linha do tempo atualizada (próximo)

Captura de tela do Modo de Exibição da Linha do Tempo atualizado.

A exibição da linha do tempo identifica todos os eventos de entrega e pós-entrega. Ele inclui informações sobre a ameaça identificada nesse momento para um subconjunto desses eventos. A exibição da linha do tempo também fornece informações sobre qualquer ação adicional tomada (como ZAP ou correção manual), juntamente com o resultado dessa ação. As informações de exibição da linha do tempo incluem:

  • Fonte: Fonte do evento. Ele pode ser administrador/sistema/usuário.
  • Evento: Inclui eventos de nível superior, como entrega original, correção manual, ZAP, envios e Entrega Dinâmica.
  • Ação: A ação específica que foi tomada como parte da ação zap ou administrador (por exemplo, exclusão suave).
  • Ameaças: Aborda as ameaças (malware, phish, spam) identificadas nesse momento.
  • Resultado/detalhes: Mais informações sobre o resultado da ação, como se ela foi executada como parte da ação ZAP/administrador.

Local de entrega original e mais recente

Atualmente, apresentamos o local de entrega na grade de email e no flyout de email. O campo Local de entrega está sendo renomeado local de entrega original. E estamos apresentando outro campo, o local de entrega mais recente.

O local de entrega original fornecerá mais informações sobre onde um email foi entregue inicialmente. O local de entrega mais recente afirmará onde um email pousou após ações do sistema, como ZAP ou ações de administrador, como Mover para itens excluídos. O local de entrega mais recente destina-se a informar aos administradores o último local conhecido da mensagem pós-entrega ou qualquer ação de sistema/administrador. Ele não inclui nenhuma ação do usuário final no email. Por exemplo, se um usuário excluiu uma mensagem ou moveu a mensagem para arquivo/pst, o local de "entrega" da mensagem não será atualizado. Mas se uma ação do sistema atualizasse o local (por exemplo, ZAP resultando em um email passando para quarentena), o local de entrega mais recente mostraria como "quarentena".

Captura de tela dos locais de entrega atualizados.

Observação

Há alguns casos em que o local de entrega e a ação delivery podem ser mostrados como "desconhecidos":

  • Você pode ver o local de entrega como "entregue" e o local de entrega como "desconhecido" se a mensagem foi entregue, mas uma regra de caixa de entrada moveu a mensagem para uma pasta padrão (como Rascunho ou Arquivo) em vez de para a pasta Caixa de Entrada ou Lixo eletrônico Email.

  • O local de entrega mais recente pode ser "Pasta de itens excluídos" se uma ação de administrador/sistema (como ZAP) foi tentada, mas a mensagem não foi encontrada. Normalmente, a ação acontece depois que o usuário moveu ou excluiu a mensagem. Nesses casos, verifique a coluna Resultado/Detalhes no modo de exibição linha do tempo. Procure a instrução "Mensagem movida ou excluída pelo usuário".

Captura de tela dos locais de entrega para linha do tempo.

Ações adicionais

Ações adicionais foram aplicadas após a entrega do email. Eles podem incluir ZAP, correção manual (ação tomada por um Administração como exclusão automática), Entrega Dinâmica e reprocessado (para um email que foi detectado retroativamente como bom).

Observação

Como parte das alterações pendentes, o valor "Removido por ZAP" atualmente exibido no filtro Ação de Entrega está desaparecendo. Você terá uma maneira de pesquisar por todos os emails com a tentativa ZAP por meio de ações adicionais.

Captura de tela das ações adicionais no Explorer.

Substituições do sistema

As substituições do sistema permitem que você faça exceções ao local de entrega pretendido de uma mensagem. Você substitui o local de entrega fornecido pelo sistema, com base nas ameaças e em outras detecções identificadas pela pilha de filtragem. As substituições do sistema podem ser definidas por meio da política de locatário ou usuário para entregar a mensagem conforme sugerido pela política. Substituições podem identificar a entrega não intencional de mensagens mal-intencionadas devido a lacunas de configurações, como uma política de Remetente Seguro excessivamente ampla definida por um usuário. Esses valores de substituição podem ser:

  • Permitido pela política de usuário: um usuário cria políticas no nível da caixa de correio para permitir domínios ou remetentes.

  • Bloqueado pela política de usuário: um usuário cria políticas no nível da caixa de correio para bloquear domínios ou remetentes.

  • Permitido pela política de organização: as equipes de segurança da organização definem políticas ou regras de fluxo de email do Exchange (também conhecidas como regras de transporte) para permitir remetentes e domínios para usuários em sua organização. Isso pode ser para um conjunto de usuários ou toda a organização.

  • Bloqueado pela política de organização: as equipes de segurança da organização definem políticas ou regras de fluxo de email para bloquear remetentes, domínios, idiomas de mensagens ou IPs de origem para usuários em sua organização. Isso pode ser aplicado a um conjunto de usuários ou a toda a organização.

  • Extensão de arquivo bloqueada pela política de organização: a equipe de segurança de uma organização bloqueia uma extensão de nome de arquivo por meio das configurações de política anti-malware. Esses valores agora serão exibidos em detalhes de email para ajudar nas investigações. As equipes de Secops também podem usar a funcionalidade de filtragem avançada para filtrar em extensões de arquivo bloqueadas.

Substituições do sistema em Explorer.

Captura de tela da Grade de Substituições do Sistema no Explorer.

Melhorias para a experiência de URL e cliques

As melhorias incluem:

  • Mostrar a URL clicada completa (incluindo todos os parâmetros de consulta que fazem parte da URL) na seção Cliques do flyout da URL. Atualmente, o domínio e o caminho da URL aparecem na barra de título. Estamos estendendo essas informações para mostrar a URL completa.

  • Correções entre filtros de URL (domínio url versus domínio de URL versus domínio de URL e caminho): As atualizações afetam a busca de mensagens que contêm um veredicto de URL/clique. Habilitamos o suporte para pesquisas agnósticas de protocolo, para que você possa pesquisar uma URL sem usar http. Por padrão, a pesquisa de URL é mapeada para http, a menos que outro valor seja especificado explicitamente. Por exemplo:

    • Pesquise com e sem o http:// prefixo nos campos de filtro URL, URL Domain e URL . As pesquisas devem mostrar os mesmos resultados.
    • Pesquise o https:// prefixo na URL. Quando nenhum valor é especificado, o http:// prefixo é assumido.
    • / é ignorado no início e no final do caminho da URL, domínio de URL, domínio de URL e campos de caminho . / no final do campo de URL é ignorado.

Nível de confiança de phish

O nível de confiança de phish ajuda a identificar o grau de confiança com o qual um email foi categorizado como "phish". Os dois valores possíveis são Alto e Normal. Nos estágios iniciais, esse filtro estará disponível apenas na exibição phish do Threat Explorer.

Nível de confiança de phish no Explorer.

Sinal de URL ZAP

O sinal de URL ZAP normalmente é usado para cenários de alerta de phish zap em que um email foi identificado como Phish e removido após a entrega. Esse sinal conecta o alerta com os resultados correspondentes em Explorer. É um dos IOCs para o alerta.

Para melhorar o processo de caça, atualizamos detecções de Explorer de ameaças e em tempo real para tornar a experiência de caça mais consistente. As alterações são descritas aqui:

Filtrar por marcas de usuário

Agora você pode classificar e filtrar no sistema ou marcas de usuário personalizadas para compreender rapidamente o escopo das ameaças. Para saber mais, confira Marcas de usuário.

Importante

A filtragem e a classificação por marcas de usuário estão atualmente em versão prévia pública. Essa funcionalidade pode ser substancialmente modificada antes de ser lançada comercialmente. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas sobre ela.

Captura de tela da coluna Marcas no Explorer.

Melhorias de fuso horário

Você verá o fuso horário dos registros de email no Portal, bem como para dados exportados. Ele ficará visível entre experiências como Email Grid, Detalhamento, Linha do Tempo Email e Emails Semelhantes, portanto, o fuso horário para o conjunto de resultados é claro.

Captura de tela do fuso horário Exibir no Explorer.

Atualizar no processo de atualização

Alguns usuários comentaram sobre a confusão com a atualização automática (por exemplo, assim que você altera a data, a página é atualizada) e a atualização manual (para outros filtros). Da mesma forma, a remoção de filtros leva à atualização automática. A alteração de filtros ao modificar a consulta pode causar experiências de pesquisa inconsistentes. Para resolve esses problemas, estamos migrando para um mecanismo de filtragem manual.

Do ponto de vista da experiência, o usuário pode aplicar e remover o intervalo diferente de filtros (do conjunto de filtros e da data) e selecionar o botão de atualização para filtrar os resultados depois de definir a consulta. O botão de atualização também agora é enfatizado na tela. Também atualizamos as dicas de ferramentas relacionadas e a documentação no produto.

Captura de tela do botão Atualizar para filtrar resultados.

Detalhamento do gráfico para adicionar a filtros

Agora você pode mapear valores de legenda para adicioná-los como filtros. Selecione o botão Atualizar para filtrar os resultados.

Captura de tela do Detalhamento por meio de gráficos para Filtrar.

Atualizações de informações no produto

Detalhes adicionais agora estão disponíveis no produto, como o número total de resultados de pesquisa na grade (confira abaixo). Aprimoramos rótulos, mensagens de erro e dicas de ferramentas para fornecer mais informações sobre os filtros, a experiência de pesquisa e o conjunto de resultados.

Captura de tela mostrando as informações no produto a serem exibidas.

Recursos estendidos no Explorer de Ameaças

Principais usuários direcionados

Hoje, expõemos a lista dos principais usuários direcionados na exibição malware para emails, na seção Principais Famílias de Malware . Também estenderemos essa exibição nos modos de exibição Phish e All Email. Você poderá ver os cinco principais usuários direcionados, juntamente com o número de tentativas para cada usuário para a exibição correspondente. Por exemplo, para exibição de Phish, você verá o número de tentativas de Phish.

Você poderá exportar a lista de usuários-alvo, até um limite de 3.000, juntamente com o número de tentativas de análise offline para cada exibição de email. Além disso, selecionar o número de tentativas (por exemplo, 13 tentativas na imagem abaixo) abrirá uma exibição filtrada no Threat Explorer, para que você possa ver mais detalhes em emails e ameaças para esse usuário.

Captura de tela dos usuários de destino superior.

Regras de transporte de troca

Como parte do enriquecimento de dados, você poderá ver todas as diferentes regras de transporte do Exchange (ETR) que foram aplicadas a uma mensagem. Essas informações estarão disponíveis no modo de exibição de grade Email. Para exibi-lo, selecione Opções de coluna na grade e adicione a Regra de Transporte do Exchange nas opções de coluna. Ele também ficará visível no flyout detalhes no email.

Você poderá ver o GUID e o nome das regras de transporte que foram aplicadas à mensagem. Você poderá pesquisar as mensagens usando o nome da regra de transporte. Esta é uma pesquisa "Contém", o que significa que você também pode fazer pesquisas parciais.

Importante

A pesquisa ETR e a disponibilidade do nome dependem da função específica atribuída a você. Você precisa ter uma das seguintes funções/permissões para exibir os nomes e a pesquisa do ETR. Se você não tiver nenhuma dessas funções atribuídas a você, não poderá ver os nomes das regras de transporte ou pesquisar mensagens usando nomes ETR. No entanto, você pode ver o rótulo ETR e as informações GUID nos Detalhes do Email. Outras experiências de exibição de registros em Email Grids, Email flyouts, Filtros e Exportação não são afetadas.

  • Somente EXO - prevenção contra perda de dados: Todos
  • Somente EXO - O365SupportViewConfig: Todos
  • Microsoft Entra ID ou EXO – Administração de segurança: tudo
  • Microsoft Entra ID ou EXO – Leitor de Segurança: Todos
  • Somente EXO – Regras de transporte: todos
  • Somente EXO – configuração de View-Only: tudo

Na grade de email, no flyout detalhes e no CSV exportado, os ETRs são apresentados com um Nome/GUID, conforme mostrado abaixo.

Captura de tela das regras de transporte do Exchange.

Conectores de entrada

Os conectores são uma coleção de instruções que personalizam como seu email flui de e para sua organização do Microsoft 365 ou Office 365. Eles permitem que você aplique quaisquer restrições de segurança ou controles. No Threat Explorer, agora você pode exibir os conectores relacionados a um email e pesquisar emails usando nomes de conector.

A pesquisa por conectores é "contém" por natureza, o que significa que pesquisas parciais de palavra-chave também devem funcionar. Na exibição de grade principal, no flyout Detalhes e no CSV Exportado, os conectores são mostrados no formato Nome/GUID, conforme mostrado aqui:

Captura de tela dos detalhes do Conector.

Novos recursos em detecções de Explorer de ameaças e em tempo real

Exibir emails de phishing enviados para usuários e domínios representados

Para identificar tentativas de phishing contra usuários e domínios representados, os usuários devem ser adicionados à lista de usuários a serem protegidos. Para domínios, os administradores devem habilitar domínios da organização ou adicionar um nome de domínio aos Domínios para proteger. Os domínios a serem protegidos são encontrados na página política anti-phishing na seção Representação .

Para examinar mensagens de phish e pesquisar usuários ou domínios representados, use a exibição Email > Phish de Explorer.

Este exemplo usa o Explorer de Ameaças.

  1. No portal Microsoft Defender (https://security.microsoft.com), escolha Gerenciamento> de ameaças Explorer (ou detecções em tempo real).

  2. No menu Exibir, escolha Phish.

    Aqui você pode escolher o domínio representado ou o usuário representado.

  3. SelecioneDomínio representado e digite um domínio protegido na caixa de texto.

    Por exemplo, pesquise nomes de domínio protegidos como contoso, contoso.com ou contoso.com.au.

  4. Selecione o Assunto de qualquer mensagem na guia detalhes da guia > Email para ver informações adicionais de representação, como Domínio Representado/Local detectado.

    OU

    Selecione Usuário representado e digite o endereço de email de um usuário protegido na caixa de texto.

    Dica

    Para obter melhores resultados, use endereços de email completos para pesquisar usuários protegidos. Você encontrará seu usuário protegido mais rapidamente e com mais êxito se pesquisar firstname.lastname@contoso.compor , por exemplo, ao investigar a representação do usuário. Ao pesquisar um domínio protegido, a pesquisa usará o domínio raiz (contoso.com, por exemplo) e o nome de domínio (contoso). A pesquisa do domínio raiz contoso.com retornará representações de contoso.com e do nome de domínio contoso.

  5. Selecione o Assunto de qualquer mensagem naguia Detalhesda guia> Email para ver informações adicionais de representação sobre o usuário ou domínio e o local detectado.

    Captura de tela do painel de detalhes do Explorer de Ameaças para um usuário protegido mostrando o local de detecção e a ameaça detectada (aqui, representação de phish de um usuário).

Observação

Na etapa 3 ou 5, se você escolher Tecnologia de Detecção e selecionar Domínio de representação ou usuário de representação, respectivamente, as informações na guia>Email Detalhes sobre o usuário ou domínio e o local detectado serão mostrados apenas nas mensagens relacionadas ao usuário ou domínio listados na página política Anti-Phishing.

Visualizar o cabeçalho de email e baixar o corpo do email

Agora você pode visualizar um cabeçalho de email e baixar o corpo do email no Threat Explorer. Os administradores podem analisar cabeçalhos/mensagens de email baixadas em busca de ameaças. Como baixar mensagens de email pode arriscar a exposição de informações, esse processo é controlado pelo RBAC (controle de acesso baseado em função). Uma nova função, Preview, é necessária para conceder a capacidade de baixar emails no modo de exibição de mensagens de email. No entanto, exibir o cabeçalho de email não requer nenhuma função adicional (diferente do necessário para exibir mensagens no Threat Explorer). Para criar um novo grupo de funções com a função Preview:

  1. Selecione um grupo de funções interna que tenha apenas a função Preview, como Pesquisador de Dados ou Gerenciador de Descoberta Eletrônica.
  2. Selecione Copiar grupo de funções.
  3. Escolha um nome e uma descrição para seu novo grupo de funções e selecione Avançar.
  4. Modifique as funções adicionando e removendo funções conforme necessário, mas deixando a função Preview.
  5. Adicione membros e selecione Criar grupo de funções.

Explorer e detecções em tempo real também receberão novos campos que fornecem uma imagem mais completa de onde suas mensagens de email chegam. Essas alterações facilitam a busca por Operações de Segurança. Mas o resultado main é que você pode saber o local das mensagens de email problemáticas rapidamente.

Como isso é feito? O status de entrega agora está dividido em duas colunas:

  • Ação de entrega – Status do email.
  • Local de entrega – para onde o email foi roteado.

A ação de entrega é a ação tomada em um email devido a políticas ou detecções existentes. Aqui estão as possíveis ações para um email:

Entregue: Junked Blocked Substituído
Email foi entregue na caixa de entrada ou pasta de um usuário e o usuário pode acessá-lo. Email foi enviado para a pasta Junk ou Deleted do usuário e o usuário pode acessá-la. Emails que estão em quarentena, que falharam ou foram descartados. Esses emails são inacessíveis para o usuário. Email tinha anexos mal-intencionados substituídos por arquivos .txt que afirmam que o anexo era mal-intencionado.

Aqui está o que o usuário pode ou não ver:

Acessível aos usuários finais Inacessível para usuários finais
Entregue: Blocked
Junked Substituído

O local de entrega mostra os resultados de políticas e detecções que executam pós-entrega. Está vinculado à ação Delivery. Estes são os valores possíveis:

  • Caixa de entrada ou pasta: o email está na caixa de entrada ou em uma pasta (de acordo com suas regras de email).
  • Local ou externo: a caixa de correio não existe na nuvem, mas é local.
  • Pasta lixo eletrônico: o email está na pasta Lixo Eletrônico de um usuário.
  • Pasta de itens excluídos: o email na pasta itens Excluídos de um usuário.
  • Quarentena: o email está em quarentena e não na caixa de correio de um usuário.
  • Falha: o email não chegou à caixa de correio.
  • Descartado: o email se perdeu em algum lugar no fluxo de email.

Email linha do tempo

O Email linha do tempo é um novo recurso de Explorer que melhora a experiência de busca de administradores. Ele reduz o tempo gasto verificando locais diferentes para tentar entender o evento. Quando vários eventos acontecem no ou perto da mesma hora em que um email chega, esses eventos são exibidos em uma exibição linha do tempo. Alguns eventos que acontecem com seu email pós-entrega são capturados na coluna Ação Especial . Os administradores podem combinar informações do linha do tempo com a ação especial tomada no correio pós-entrega para obter informações sobre como suas políticas funcionam, onde o email foi finalmente roteado e, em alguns casos, qual foi a avaliação final.

Para obter mais informações, consulte Investigar e corrigir emails mal-intencionados que foram entregues em Office 365.

Exportar dados de clique em URL

Agora você pode exportar relatórios para cliques de URL no Microsoft Excel para exibir sua ID de mensagem de rede e clicar em veredicto, o que ajuda a explicar de onde o tráfego de cliques na URL se originou. Veja como funciona: No Gerenciamento de Ameaças na barra de lançamento rápido Office 365, siga esta cadeia:

> Explorer Foto> clicanas URLssuperiores> ou nos cliques superiores> da URL, selecione qualquer registro para abrir o flyout da URL.

Ao selecionar uma URL na lista, você verá um novo botão Exportar no painel fly-out. Use este botão para mover dados para uma planilha do Excel para obter relatórios mais fáceis.

Siga este caminho para chegar ao mesmo local no relatório de detecções em tempo real:

> Explorer Detecções>> de tempo realURLsprincipais urls> ou cliques> principais Selecione qualquer registro para abrir o flyout > da URL navegue até a guia Cliques.

Dica

A ID da Mensagem de Rede mapeia o clique de volta para emails específicos quando você pesquisa na ID por meio de ferramentas de terceiros Explorer ou associadas. Essas pesquisas identificam o email associado a um resultado de clique. Ter a ID de Mensagem de Rede correlacionada torna a análise mais rápida e poderosa.

Captura de tela da guia Cliques no Explorer.

Consulte malware detectado em email por tecnologia

Suponha que você queira ver malware detectado em email classificado pela tecnologia do Microsoft 365. Para fazer isso, use a exibição malware de Explorer (ou detecções em tempo real).

  1. No portal Microsoft Defender (https://security.microsoft.com), escolha Gerenciamento> de ameaças Explorer (ou detecções em tempo real). (Este exemplo usa Explorer.)

  2. No menu Exibir , escolha Malware.

    Captura de tela do menu Exibir para Explorer.

  3. Clique em Remetente e escolhaTecnologia de DetecçãoBásica>.

    Suas tecnologias de detecção agora estão disponíveis como filtros para o relatório.

    Captura de tela das tecnologias de detecção de malware.

  4. Escolha uma opção. Em seguida, selecione o botão Atualizar para aplicar esse filtro.

    Captura de tela da tecnologia de detecção selecionada.

O relatório é atualizado para mostrar os resultados que o malware detectou no email, usando a opção de tecnologia selecionada. A partir daqui, você pode realizar uma análise mais detalhada.

Exibir URL de phishing e clicar em dados de veredicto

Suponha que você queira ver tentativas de phishing por meio de URLs no email, incluindo uma lista de URLs permitidas, bloqueadas e substituídas. Para identificar URLs clicadas, links seguros devem ser configurados. Certifique-se de configurar políticas de Links Seguros para proteção de tempo de clique e registro em log de veredictos de clique por Links Seguros.

Para examinar URLs de phish em mensagens e cliques em URLs em mensagens de phish, use a exibição phish de detecções de Explorer ou em tempo real.

  1. No portal Microsoft Defender (https://security.microsoft.com), escolha Gerenciamento> de ameaças Explorer (ou detecções em tempo real). (Este exemplo usa Explorer.)

  2. No menu Exibir, escolha Email>Fish.

    Captura de tela do menu Exibir para Explorer no contexto de phishing.

  3. Clique em Remetente e escolha URLs>Clique em veredicto.

  4. Selecione uma ou mais opções, como Bloqueado e Bloquear substituído, e selecione o botão Atualizar na mesma linha que as opções para aplicar esse filtro. (Não atualize a janela do navegador.)

    As URLs e clique em veredictos

    O relatório é atualizado para mostrar duas tabelas de URL diferentes na guia URL no relatório:

    • As URLs superiores são as URLs nas mensagens filtradas e a ação de entrega de email conta para cada URL. No modo de exibição de email phish, essa lista normalmente contém URLs legítimas. Os invasores incluem uma mistura de URLs boas e ruins em suas mensagens para tentar entregá-las, mas eles fazem com que os links mal-intencionados pareçam mais interessantes. A tabela de URLs é classificada pela contagem total de emails, mas esta coluna está oculta para simplificar o modo de exibição.

    • Os principais cliques são as URLs encapsuladas por Links Seguros que foram clicadas, classificadas pela contagem total de cliques. Esta coluna também não é exibida, para simplificar o modo de exibição. As contagens totais por coluna indicam que os Links Seguros clicam na contagem de veredictos para cada URL clicada. No modo de exibição de email phish, geralmente são URLs suspeitas ou mal-intencionadas. Mas a exibição pode incluir URLs que não são ameaças, mas estão em mensagens de phish. Os cliques de URL em links desembrulhados não aparecem aqui.

    As duas tabelas de URL mostram as principais URLs em mensagens de email de phishing por ação de entrega e local. As tabelas mostram cliques de URL que foram bloqueados ou visitados apesar de um aviso, para que você possa ver quais potenciais links ruins foram apresentados aos usuários e que o usuário clicou. A partir daqui, você pode realizar uma análise mais detalhada. Por exemplo, abaixo do gráfico, você pode ver as URLs superiores em mensagens de email bloqueadas no ambiente da sua organização.

    As URLs Explorer que foram bloqueadas

    Selecione uma URL para exibir informações mais detalhadas.

    Observação

    Na caixa de diálogo de sobrevoo de URL, a filtragem em mensagens de email é removida para mostrar a exibição completa da exposição da URL em seu ambiente. Isso permite filtrar mensagens de email com as quais você está preocupado em Explorer, encontrar URLs específicas que são ameaças potenciais e, em seguida, expandir sua compreensão sobre a exposição à URL em seu ambiente (por meio da caixa de diálogo detalhes da URL) sem precisar adicionar filtros de URL à própria exibição Explorer.

Interpretação de veredictos de clique

Nos flyouts de Email ou URL, Os Principais Cliques, bem como em nossas experiências de filtragem, você verá diferentes valores de veredicto de clique:

  • Nenhum: Não é possível capturar o veredicto da URL. O usuário pode ter clicado na URL.
  • Permitido: O usuário foi autorizado a navegar até a URL.
  • Bloqueado: O usuário foi impedido de navegar até a URL.
  • Veredicto pendente: O usuário foi presenteado com a página pendente de detonação.
  • Substituído bloqueado: O usuário foi impedido de navegar diretamente para a URL. Mas o usuário derrubou o bloco para navegar até a URL.
  • Veredicto pendente ignorado: O usuário foi presenteado com a página de detonação. Mas o usuário derrubou a mensagem para acessar a URL.
  • Erro: O usuário foi apresentado com a página de erro ou ocorreu um erro ao capturar o veredicto.
  • Falha: Uma exceção desconhecida ocorreu durante a captura do veredicto. O usuário pode ter clicado na URL.

Examinar as mensagens de email relatadas pelos usuários

Suponha que você queira ver mensagens de email que os usuários da sua organização relataram como Lixo Eletrônico, Não Lixo Eletrônico ou Phishing por meio dos suplementos Mensagem de Relatório da Microsoft ou Phishing de Relatório, use a exibição Todos os emails de Explorer (ou detecções em tempo real).

  1. No portal Microsoft Defender (https://security.microsoft.com), escolha Gerenciamento> de ameaças Explorer (ou detecções em tempo real). (Este exemplo usa Explorer.)

  2. No menu Exibir, escolha Email>Submissões.

    O menu Exibir para Explorer para emails

  3. Clique em Remetente e escolhaTipo de RelatórioBásico>.

  4. Selecione uma opção, como Phish, e selecione o botão Atualizar .

    O phish relatado pelo usuário

O relatório é atualizado para mostrar dados sobre mensagens de email que as pessoas em sua organização relataram como uma tentativa de phishing. Você pode usar essas informações para realizar análises adicionais e, se necessário, ajustar suas políticas anti-phishing em Microsoft Defender para Office 365.

Iniciar investigação e resposta automatizadas

Observação

Os recursos automatizados de investigação e resposta estão disponíveis em Microsoft Defender para Office 365 Plano 2 e Office 365 E5.

A investigação e a resposta automatizadas podem salvar o tempo e o esforço da equipe de operações de segurança gastos investigando e mitigando ataques cibernéticos. Além de configurar alertas que podem disparar um guia estratégico de segurança, você pode iniciar um processo automatizado de investigação e resposta de uma exibição no Explorer. Para obter detalhes, confira Exemplo: um administrador de segurança dispara uma investigação de Explorer.

Mais maneiras de usar detecções de Explorer e em tempo real

Além dos cenários descritos neste artigo, você tem muitas outras opções de relatório disponíveis com Explorer (ou detecções em tempo real). Confira os seguintes artigos:

Licenças e permissões necessárias

Você deve ter Microsoft Defender para Office 365 para usar detecções Explorer ou em tempo real.

  • Explorer está incluído no Plano 2 do Defender para Office 365.
  • O relatório de detecções em tempo real está incluído no plano 1 Defender para Office 365.
  • Planeje atribuir licenças para todos os usuários que devem ser protegidos por Defender para Office 365. Explorer e detecções em tempo real mostram dados de detecção para usuários licenciados.

Para exibir e usar Explorer ou detecções em tempo real, você deve ter permissões apropriadas, como aquelas concedidas a um administrador de segurança ou leitor de segurança.

  • Para o portal Microsoft Defender, você deve ter uma das seguintes funções atribuídas:

    • Gerenciamento de Organização
    • Administrador de segurança (isso pode ser atribuído no centro de administração do Microsoft Entra (https://aad.portal.azure.com)
    • Leitor de Segurança
  • Para Exchange Online, você deve ter uma das seguintes funções atribuídas no Centro de Administração do Exchange (EAC) ou Exchange Online PowerShell:

    • Gerenciamento de Organização
    • Gerenciamento da Organização Somente para Exibição
    • Destinatários Somente para Exibição
    • Gerenciamento de Conformidade

Para saber mais sobre funções e permissões, confira os seguintes recursos:

Diferenças entre detecções de Explorer de ameaças e em tempo real

  • O relatório de detecções em tempo real está disponível em Defender para Office 365 Plano 1. O Explorer de ameaças está disponível no plano 2 do Defender para Office 365.
  • O relatório de detecções em tempo real permite exibir detecções em tempo real. O Explorer de ameaças também faz isso, mas também fornece detalhes adicionais para um determinado ataque.
  • Uma exibição de email All está disponível no Explorer de Ameaças, mas não no relatório detecções em tempo real.
  • Mais recursos de filtragem e ações disponíveis estão incluídos no Explorer de Ameaças. Para obter mais informações, consulte descrição do serviço Microsoft Defender para Office 365: Disponibilidade de recursos nos planos do Defender para Office 365.

Investigar emails com a Página da Entidade Email