Investigar email mal-intencionado que foi entregue no Microsoft 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

As organizações do Microsoft 365 que têm Microsoft Defender para Office 365 incluídas em sua assinatura ou compradas como complemento têm Explorer (também conhecido como Explorer de Ameaças) ou detecções em tempo real. Esses recursos são ferramentas poderosas e quase em tempo real para ajudar as equipes de Operações de Segurança (SecOps) a investigar e responder a ameaças. Para obter mais informações, consulte Sobre detecções de Explorer de ameaças e em tempo real no Microsoft Defender para Office 365.

As detecções de ameaças Explorer e em tempo real permitem que você investigue atividades que colocam as pessoas em sua organização em risco e tome medidas para proteger sua organização. Por exemplo:

• Localizar e excluir mensagens.
• Identifique o endereço IP de um remetente de email mal-intencionado.
• Inicie um incidente para uma investigação mais aprofundada.

Este artigo explica como usar detecções de Explorer de ameaças e em tempo real para encontrar emails mal-intencionados em caixas de correio do destinatário.

Dica

Para ir diretamente aos procedimentos de correção, consulte Corrigir email mal-intencionado entregue em Office 365.

Para outros cenários de email usando detecções de Explorer de ameaças e em tempo real, confira os seguintes artigos:

• Caça a ameaças em detecções de Explorer de ameaças e em tempo real em Microsoft Defender para Office 365
• Email segurança com detecções de Explorer de ameaças e em tempo real no Microsoft Defender para Office 365

Do que você precisa saber para começar?

• O Explorer de ameaças está incluído no plano 2 do Defender para Office 365. As detecções em tempo real estão incluídas no Plano 1 do Defender para Office:

  • As diferenças entre detecções de Explorer de ameaças e em tempo real são descritas em Sobre Explorer de Ameaças e detecções em tempo real em Microsoft Defender para Office 365.
  • As diferenças entre Defender para Office 365 Plano 2 e o Plano 1 do Defender para o Office são descritas na folha de fraudes plano 1 vs. Plano 2 Defender para Office 365.

• Para propriedades de filtro que exigem que você selecione um ou mais valores disponíveis, usar a propriedade na condição de filtro com todos os valores selecionados tem o mesmo resultado que não usar a propriedade na condição de filtro.

• Para obter permissões e requisitos de licenciamento para detecções de Explorer e em tempo real, consulte Permissões e licenciamento para detecções de Explorer de ameaças e em tempo real.

Localizar email suspeito que foi entregue

1. Use uma das seguintes etapas para abrir detecções de Explorer de ameaças ou em tempo real:

   • Explorer de ameaças: no portal do Defender em https://security.microsoft.com, acesse Email & Segurança>Explorer. Ou, para ir diretamente para a página Explorer, use https://security.microsoft.com/threatexplorerv3.
   • Detecções em tempo real: no portal do Defender em https://security.microsoft.com, acesse Email & detecções de segurança> emtempo real. Ou, para ir diretamente para a página detecções em tempo real , use https://security.microsoft.com/realtimereportsv3.

2. Na página detecções Explorer ou em tempo real, selecione uma exibição apropriada:

   • Explorer de ameaças: verifique se a exibição de todos os emails está selecionada.
   • Detecções em tempo real: verifique se a exibição de Malware está selecionada ou selecione a exibição phish.

3. Selecione o intervalo de data/hora. O padrão é ontem e hoje.

   

4. Create uma ou mais condições de filtro usando algumas ou todas as propriedades e valores de destino a seguir. Para obter instruções completas, consulte Filtros de propriedade em detecções de Explorer de ameaças e em tempo real. Por exemplo:

   • Ação de entrega: a ação tomada em um email devido a políticas ou detecções existentes. Valores úteis são:

     • Entregue: Email entregues na caixa de entrada do usuário ou em outra pasta em que o usuário pode acessar a mensagem.
     • Descartado: Email entregues à pasta Junk Email do usuário ou à pasta Itens Excluídos em que o usuário pode acessar a mensagem.
     • Bloqueado: Email mensagens que foram colocadas em quarentena, que falharam na entrega ou foram descartadas.

   • Local de entrega original: para onde o email foi antes de qualquer ação pós-entrega automática ou manual pelo sistema ou administradores (por exemplo, ZAP ou movido para quarentena). Valores úteis são:

     • Pasta de itens excluídos
     • Descartada: a mensagem foi perdida em algum lugar no fluxo de email.
     • Falha: a mensagem não atingiu a caixa de correio.
     • Caixa de entrada/pasta
     • Pasta Lixo Eletrônico
     • On-prem/external: a caixa de correio não existe na organização do Microsoft 365.
     • Quarentena
     • Desconhecido: por exemplo, após a entrega, uma regra da Caixa de Entrada moveu a mensagem para uma pasta padrão (por exemplo, Rascunho ou Arquivo) em vez da pasta Caixa de Entrada ou Lixo eletrônico Email.

   • Local de entrega final: onde o email foi encerrado após qualquer ação pós-entrega automática ou manual pelo sistema ou administradores. Os mesmos valores estão disponíveis no local de entrega original.

   • Direcionalidade: os valores válidos são:

     • Entrada
     • Intra-org
     • Saída

     Essas informações podem ajudar a identificar falsificação e representação. Por exemplo, as mensagens de remetentes de domínio interno devem ser Intra-org, não Entrada.

   • Ação adicional: os valores válidos são:

     • Correção automatizada (Defender para Office 365 Plano 2)
     • Entrega Dinâmica: para obter mais informações, consulte Entrega Dinâmica em políticas de Anexos Seguros.
     • Correção manual
     • Nenhum
     • Versão de quarentena
     • Reprocessado: a mensagem foi identificada retroativamente como boa.
     • ZAP: para obter mais informações, consulte ZAP (limpeza automática) de zero hora no Microsoft Defender para Office 365.

   • Substituição primária: se as configurações da organização ou do usuário permitissem ou bloqueavam mensagens que de outra forma teriam sido bloqueadas ou permitidas. Os valores são:

     • Permitido pela política de organização
     • Permitido pela política de usuário
     • Bloqueado pela política de organização
     • Bloqueado pela política de usuário
     • Nenhum

     Essas categorias são ainda mais refinadas pela propriedade de origem de substituição primária .

   • Fonte de substituição primária O tipo de política de organização ou configuração de usuário que permitia ou bloqueava mensagens que de outra forma teriam sido bloqueadas ou permitidas. Os valores são:

     • Filtro de terceiros
     • Administração viagem no tempo iniciada
     • Bloco de política antimalware por tipo de arquivo: anexos comuns filtram em políticas antimalware
     • Configurações de política antispam
     • Política de conexão: configurar a filtragem de conexão
     • Regra de transporte de troca (regra de fluxo de email)
     • Modo exclusivo (substituição de usuário): o único email de confiança de endereços na lista de remetentes e domínios seguros e listas de email segura na coleção de listas de segurança em uma caixa de correio.
     • Filtragem ignorada devido à organização on-prem
     • Filtro de região de IP da política: os destes países filtram em políticas anti-spam.
     • Filtro de linguagem da política: o filtro Contém idiomas específicos em políticas anti-spam.
     • Simulação de phishing: configurar simulações de phishing de terceiros na política de entrega avançada
     • Versão de quarentena: liberar email em quarentena
     • Caixa de correio SecOps: configurar caixas de correio SecOps na política de entrega avançada
     • Lista de endereços do remetente (Administração Substituição): a lista de remetentes permitidos ou a lista de remetentes bloqueados em políticas anti-spam.
     • Lista de endereços do remetente (substituição de usuário): endereços de email do remetente na lista Remetentes Bloqueados na coleção safelist em uma caixa de correio.
     • Lista de domínios do remetente (substituição de Administração): a lista de domínios permitidos ou domínios bloqueados em políticas anti-spam.
     • Lista de domínio do remetente (substituição de usuário): domínios de remetente na lista Remetentes Bloqueados na coleção safelist em uma caixa de correio.
     • Bloco de arquivos Permitir/Bloquear Lista de Locatários: Create entradas de bloco para arquivos
     • Bloco de endereços de email do remetente Permitir/Bloquear Lista de Locatários: Create bloquear entradas para domínios e endereços de email
     • Bloco spoof Allow/Block List do locatário: Create entradas de bloco para remetentes falsificados
     • Bloco url de permissão/bloco de lista de locatários: Create entradas de bloco para URLs
     • Lista de contatos confiáveis (substituição de usuário): o email trust da configuração de meus contatos na coleção de listas de segurança em uma caixa de correio.
     • Bloco de arquivos Permitir/Bloquear Lista de Locatários: Create entradas de bloco para arquivos
     • Domínio confiável (substituição de usuário): domínios de remetente na lista Remetentes Seguros na coleção safelist em uma caixa de correio.
     • Destinatário confiável (substituição de usuário): endereços de email do destinatário ou domínios na lista Destinatários Seguros na coleção safelist em uma caixa de correio.
     • Remetentes confiáveis somente (substituição de usuário): O Safe Listas Only: Somente emails de pessoas ou domínios em sua Lista de Remetentes Seguros ou Lista de Destinatários Seguros serão entregues na configuração da caixa de entrada na coleção safelist em uma caixa de correio.

   • Fonte de substituição: os mesmos valores disponíveis que a fonte de substituição primária.

     Dica

     Na guia Email (exibição) na área de detalhes dos modos de exibição All email, Malware e Phish, as colunas de substituição correspondentes são chamadas substituições de sistema e o sistema substitui a origem.

   • Ameaça de URL: os valores válidos são:

     • Malware
     • Golpe
     • Spam

5. Quando terminar de configurar filtros de data/hora e propriedade, selecione Atualizar.

A guia Email (exibição) na área de detalhes dos modos de exibição All email, Malware ou Phish contém os detalhes necessários para investigar emails suspeitos.

Por exemplo, use a ação de entrega, o local de entrega original e as colunas de localização de última entrega na guia Email (exibição) para obter uma imagem completa de onde as mensagens afetadas foram. Os valores foram explicados na Etapa 4.

Use Exportar para exportar seletivamente até 200.000 resultados filtrados ou não filtrados para um arquivo CSV.

Corrigir email mal-intencionado que foi entregue

Depois de identificar as mensagens de email mal-intencionadas que foram entregues, você poderá removê-las das caixas de correio do destinatário. Para obter instruções, consulte Corrigir email mal-intencionado entregue no Microsoft 365.

Artigos relacionados

Corrigir emails mal-intencionados entregues no Office 365

Obter o Microsoft Defender para Office 365

Exibir relatórios para Defender para Office 365