Email segurança com detecções de Explorer de ameaças e em tempo real no Microsoft Defender para Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

As organizações do Microsoft 365 que têm Microsoft Defender para Office 365 incluídas em sua assinatura ou compradas como complemento têm Explorer (também conhecido como Explorer de Ameaças) ou detecções em tempo real. Esses recursos são ferramentas poderosas e quase em tempo real para ajudar as equipes de Operações de Segurança (SecOps) a investigar e responder a ameaças. Para obter mais informações, consulte Sobre detecções de Explorer de ameaças e em tempo real no Microsoft Defender para Office 365.

Este artigo explica como exibir e investigar tentativas detectadas de malware e phishing no email usando detecções de Explorer de ameaças ou em tempo real.

Dica

Para outros cenários de email usando detecções de Explorer de ameaças e em tempo real, confira os seguintes artigos:

• Caça a ameaças em detecções de Explorer de ameaças e em tempo real em Microsoft Defender para Office 365
• Investigar email mal-intencionado que foi entregue no Microsoft 365

Do que você precisa saber para começar?

• O Explorer de ameaças está incluído no plano 2 do Defender para Office 365. As detecções em tempo real estão incluídas no Plano 1 do Defender para Office:

  • As diferenças entre detecções de Explorer de ameaças e em tempo real são descritas em Sobre Explorer de Ameaças e detecções em tempo real em Microsoft Defender para Office 365.
  • As diferenças entre Defender para Office 365 Plano 2 e o Plano 1 do Defender para o Office são descritas na folha de fraudes plano 1 vs. Plano 2 Defender para Office 365.

• Para obter permissões e requisitos de licenciamento para detecções de Explorer e em tempo real, consulte Permissões e licenciamento para detecções de Explorer de ameaças e em tempo real.

Exibir email de phishing enviado para usuários e domínios representados

Para obter mais informações sobre a proteção de representação de usuário e domínio em políticas anti-phishing no Defender para Office 365, consulte Configurações de representação em políticas anti-phishing no Microsoft Defender para Office 365.

Nas políticas anti-phishing padrão ou personalizadas, você precisa especificar os usuários e domínios para proteger contra representação, incluindo domínios que você possui (domínios aceitos). Nas políticas de segurança predefinidas Standard ou Strict, os domínios que você possui recebem automaticamente a proteção contra representação, mas você precisa especificar quaisquer usuários ou domínios personalizados para proteção de representação. Para obter instruções, confira os seguintes artigos:

• Políticas de segurança predefinidas no EOP e Microsoft Defender para Office 365
• Configurar políticas anti-phishing no Microsoft Defender para Office 365

Use as etapas a seguir para revisar mensagens de phishing e pesquisar usuários ou domínios representados.

1. Use uma das seguintes etapas para abrir detecções de Explorer de ameaças ou em tempo real:

   • Explorer de ameaças: no portal do Defender em https://security.microsoft.com, acesse Email & Segurança>Explorer. Ou, para ir diretamente para a página Explorer, use https://security.microsoft.com/threatexplorerv3.
   • Detecções em tempo real: no portal do Defender em https://security.microsoft.com, acesse Email & detecções de segurança> emtempo real. Ou, para ir diretamente para a página detecções em tempo real , use https://security.microsoft.com/realtimereportsv3.

2. Na página detecções Explorer ou em tempo real, selecione a exibição Phish. Para obter mais informações sobre a exibição de Phish, consulte Exibição de phish em detecções de Explorer de ameaças e em tempo real.

3. Selecione o intervalo de data/hora. O padrão é ontem e hoje.

4. Faça qualquer uma das seguintes etapas:

   • Encontre qualquer tentativa de representação de usuário ou domínio:

     • Selecione a caixa Endereço do Remetente (propriedade) e selecione Tecnologia de detecção na seção Básica da lista suspensa.
     • Verificar Igual a qualquer um dos está selecionado como o operador de filtro.
     • Na caixa valor da propriedade, selecione Domínio de representação e usuário de representação

   • Encontre tentativas específicas de usuário representadas:

     • Selecione a caixa Endereço do Remetente (propriedade) e selecione Usuário representado na seção Básica da lista suspensa.
     • Verificar Igual a qualquer um dos está selecionado como o operador de filtro.
     • Na caixa valor da propriedade, insira o endereço de email completo do destinatário. Separe vários valores de destinatário por vírgulas.

   • Encontre tentativas de domínio representadas específicas:

     • Selecione a caixa Endereço do Remetente (propriedade) e selecione Domínio representado na seção Básica da lista suspensa.
     • Verificar Igual a qualquer um dos está selecionado como o operador de filtro.
     • Na caixa valor da propriedade, insira o domínio (por exemplo, contoso.com). Separe vários valores de domínio por vírgulas.

5. Insira mais condições usando outras propriedades filtradas conforme necessário. Para obter instruções, consulte Filtros de propriedade em detecções de Explorer de ameaças e em tempo real.

6. Quando terminar de criar as condições de filtro, selecione Atualizar.

7. Na área de detalhes abaixo do gráfico, verifique se a guia Email (exibição) está selecionada.

   Você pode classificar as entradas e mostrar mais colunas conforme descrito no modo de exibição Email para a área de detalhes do modo de exibição phish em Detecções de Explorer de ameaças e em tempo real.

   • Se você selecionar o valor assunto de uma entrada na tabela, um flyout de detalhes de email será aberto. Esse flyout de detalhes é conhecido como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página Email entidade para a mensagem.

     Para obter detalhes sobre as informações no painel de resumo Email, consulte O painel de resumo Email.

     Para obter informações sobre as ações disponíveis na parte superior do painel de resumo do Email para detecções de Explorer ameaças e em tempo real, consulte Email detalhes da exibição Email da área de detalhes no modo de exibição Todos os emails (as mesmas ações também estão disponíveis na exibição phish).

   • Se você selecionar o valor destinatário de uma entrada na tabela, um flyout de detalhes diferente será aberto. Para obter mais informações, consulte Detalhes do destinatário da exibição Email da área de detalhes na exibição phish.

Exportar dados de clique em URL

Você pode exportar dados de URL clique em um arquivo CSV para exibir a ID da Mensagem de Rede e Clique em valores de veredicto, o que ajuda a explicar de onde veio o tráfego de clique na URL.

1. Use uma das seguintes etapas para abrir detecções de Explorer de ameaças ou em tempo real:

   • Explorer de ameaças: no portal do Defender em https://security.microsoft.com, acesse Email & Segurança>Explorer. Ou, para ir diretamente para a página Explorer, use https://security.microsoft.com/threatexplorerv3.
   • Detecções em tempo real: no portal do Defender em https://security.microsoft.com, acesse Email & detecções de segurança> emtempo real. Ou, para ir diretamente para a página detecções em tempo real , use https://security.microsoft.com/realtimereportsv3.

2. Na página detecções Explorer ou em tempo real, selecione a exibição Phish. Para obter mais informações sobre a exibição de Phish, consulte Exibição de phish em detecções de Explorer de ameaças e em tempo real.

3. Selecione o intervalo de data/hora e selecione Atualizar. O padrão é ontem e hoje.

4. Na área de detalhes, selecione a guia Urls Superior ou Top clicks (exibição).

5. Na exibição Urls superior ou Top clicks, selecione uma ou mais entradas da tabela selecionando a caixa marcar ao lado da primeira coluna e selecione Exportar. > Explorer Foto> clicanas URLssuperiores> ou nos cliques superiores> da URL, selecione qualquer registro para abrir o flyout da URL.

Você pode usar o valor da ID da Mensagem de Rede para pesquisar mensagens específicas no Explorer de ameaças ou detecções em tempo real ou ferramentas externas. Essas pesquisas identificam a mensagem de email associada a um resultado de clique. Ter a ID de Mensagem de Rede correlacionada torna a análise mais rápida e poderosa.

Exibir malware detectado em email

Use as etapas a seguir em Detecções de Explorer de ameaças ou em tempo real para ver o malware detectado no email pelo Microsoft 365.

1. Use uma das seguintes etapas para abrir detecções de Explorer de ameaças ou em tempo real:

   • Explorer de ameaças: no portal do Defender em https://security.microsoft.com, acesse Email & Segurança>Explorer. Ou, para ir diretamente para a página Explorer, use https://security.microsoft.com/threatexplorerv3.
   • Detecções em tempo real: no portal do Defender em https://security.microsoft.com, acesse Email & detecções de segurança> emtempo real. Ou, para ir diretamente para a página detecções em tempo real , use https://security.microsoft.com/realtimereportsv3.

2. Na página detecções Explorer ou em tempo real, selecione a exibição malware. Para obter mais informações sobre a exibição de Phish, consulte Exibição de malware em detecções de Explorer de ameaças e em tempo real.

3. Selecione o intervalo de data/hora. O padrão é ontem e hoje.

4. Selecione a caixa Endereço do Remetente (propriedade) e selecione Tecnologia de detecção na seção Básica da lista suspensa.

   • Verificar Igual a qualquer um dos está selecionado como o operador de filtro.
   • Na caixa valor da propriedade, selecione um ou mais dos seguintes valores:
     • Proteção antimalware
     • Detonação de arquivo
     • Reputação da detonação de arquivo
     • Reputação de arquivos
     • Correspondência de impressão digital

5. Insira mais condições usando outras propriedades filtradas conforme necessário. Para obter instruções, consulte Filtros de propriedade em detecções de Explorer de ameaças e em tempo real.

6. Quando terminar de criar as condições de filtro, selecione Atualizar.

O relatório mostra os resultados que o malware detectou no email, usando as opções de tecnologia selecionadas. A partir daqui, você pode realizar uma análise mais detalhada.

Relatar mensagens como limpo

Você pode usar a página Envios no https://security.microsoft.com/reportsubmission portal do Defender para relatar mensagens como limpo (falsos positivos) para a Microsoft. Mas você também pode enviar mensagens como limpo para a Microsoft de detecções de Explorer ou em tempo real.

Para obter instruções, consulte Caça a ameaças: Email correção.

Para resumir:

• Selecione Tomar medidas usando um dos seguintes métodos:

  • Selecione uma ou mais mensagens na tabela de detalhes na guia Email (exibição) nas exibições Todos os emails, Malware ou Phish selecionando as caixas de marcar para as entradas.

  Ou

  • No flyout de detalhes depois de selecionar uma mensagem na tabela de detalhes na guia Email (exibição) nas exibições Todos os emails, Malware ou Phish clicando no valor Assunto.

• No assistente de ação Tomar, selecione Enviar à Microsoft para revisão>Confirmei que é limpo.

Exibir URL de phishing e clicar em dados de veredicto

A proteção de Links Seguros rastreia URLs permitidas, bloqueadas e substituídas. A proteção de Links Seguros está ativada por padrão, graças à proteção interna em políticas de segurança predefinidas. A proteção de Links Seguros está ativada nas políticas de segurança predefinidas Standard e Strict. Você também pode criar e configurar a proteção de Links Seguros em políticas personalizadas de Links Seguros. Para obter mais informações sobre as configurações de política de Links Seguros, consulte Configurações de política de Links Seguros.

Use as etapas a seguir para ver tentativas de phishing usando URLs em mensagens de email.

1. Use uma das seguintes etapas para abrir detecções de Explorer de ameaças ou em tempo real:

   • Explorer de ameaças: no portal do Defender em https://security.microsoft.com, acesse Email & Segurança>Explorer. Ou, para ir diretamente para a página Explorer, use https://security.microsoft.com/threatexplorerv3.
   • Detecções em tempo real: no portal do Defender em https://security.microsoft.com, acesse Email & detecções de segurança> emtempo real. Ou, para ir diretamente para a página detecções em tempo real , use https://security.microsoft.com/realtimereportsv3.

2. Na página detecções Explorer ou em tempo real, selecione a exibição Phish. Para obter mais informações sobre a exibição de Phish, consulte Exibição de phish em detecções de Explorer de ameaças e em tempo real.

3. Selecione o intervalo de data/hora. O padrão é ontem e hoje.

4. Selecione a caixa Endereço do Remetente (propriedade) e selecione Clicar em veredicto na seção URLs da lista suspensa.

   • Verificar Igual a qualquer um dos está selecionado como o operador de filtro.
   • Na caixa valor da propriedade, selecione um ou mais dos seguintes valores:
     • Bloqueado
     • Substituído bloqueado

   Para obter explicações sobre os valores de veredicto clique em Clicar em veredicto em Propriedades filtreáveis no modo de exibição Todos os emails no Threat Explorer.

5. Insira mais condições usando outras propriedades filtradas conforme necessário. Para obter instruções, consulte Filtros de propriedade em detecções de Explorer de ameaças e em tempo real.

6. Quando terminar de criar as condições de filtro, selecione Atualizar.

A guia URLs superior (exibição) na área de detalhes abaixo do gráfico mostra a contagem de Mensagens bloqueadas, Mensagens descartadas e Mensagens entregues para as cinco principais URLs. Para obter mais informações, confira Exibição de URLs superiores para a área de detalhes da exibição phish em detecções de Explorer de ameaças e em tempo real.

A guia Cliques superiores (exibição) na área de detalhes abaixo do gráfico mostra os cinco principais links clicados que foram encapsulados por Links Seguros. Os cliques de URL em links desembrulhados não aparecem aqui. Para obter mais informações, confira Exibição de cliques superiores para a área de detalhes da exibição phish em Detecções de Explorer de ameaças e em tempo real.

Essas tabelas de URL mostram URLs bloqueadas ou visitadas apesar de um aviso. Essas informações mostram os potenciais links ruins que foram apresentados aos usuários. A partir daqui, você pode realizar uma análise mais detalhada.

Selecione uma URL de uma entrada no modo de exibição para obter detalhes. Para obter mais informações, confira Detalhes de URL para as guias Principais URLs e Principais cliques na exibição phish.

Dica

No flyout de detalhes da URL, a filtragem em mensagens de email é removida para mostrar a exibição completa da exposição da URL em seu ambiente. Esse comportamento permite filtrar mensagens de email específicas, localizar URLs específicas que são ameaças potenciais e, em seguida, expandir sua compreensão sobre a exposição à URL em seu ambiente sem precisar adicionar filtros de URL no modo de exibição phish .

Interpretação de veredictos de clique

Os resultados da propriedade Click verdict estão visíveis nos seguintes locais:

• Clique em dinâmica do gráfico de veredictos para a exibição de cliques de URL da área de detalhes do modo de exibição Todos os emails (somente ameaças Explorer) ou modo de exibição phish
• Exibição de cliques principais para a área de detalhes do modo de exibição Todos os emails no Threat Explorer
• Exibição de cliques principais para a área de detalhes do modo de exibição phish em detecções de Explorer de ameaças e em tempo real
• Exibição de cliques principais para a área de detalhes da exibição de cliques de URL no Threat Explorer

Os valores do veredicto são descritos na seguinte lista:

• Permitido: o usuário tinha permissão para abrir a URL.
• Bloqueio substituído: o usuário foi impedido de abrir diretamente a URL, mas ele derrubou o bloco para abrir a URL.
• Bloqueado: o usuário foi impedido de abrir a URL.
• Erro: o usuário foi apresentado com a página de erro ou ocorreu um erro ao capturar o veredicto.
• Falha: ocorreu uma exceção desconhecida durante a captura do veredicto. O usuário pode ter aberto a URL.
• Nenhum: não é possível capturar o veredicto da URL. O usuário pode ter aberto a URL.
• Veredicto pendente: o usuário foi presenteado com a página pendente de detonação.
• Veredicto pendente ignorado: o usuário foi presenteado com a página de detonação, mas eles derrubaram a mensagem para abrir a URL.

Iniciar investigação e resposta automatizadas no Explorer de ameaças

A investigação e a resposta automatizadas (AIR) no Plano 2 de Defender para Office 365 podem economizar tempo e esforço à medida que você investiga e mitiga ataques cibernéticos. Você pode configurar alertas que disparam um guia estratégico de segurança e pode iniciar o AIR no Threat Explorer. Para obter detalhes, confira Exemplo: um administrador de segurança dispara uma investigação de Explorer.

Outros artigos

Investigar email com a página entidade Email