Experimente Microsoft Defender para Office 365
Como um cliente existente do Microsoft 365, as páginas Avaliações e Avaliação no portal https://security.microsoft.com do Microsoft Defender permitem que você experimente os recursos do Plano 2 Microsoft Defender para Office 365 antes de comprar.
Antes de tentar Defender para Office 365 Plano 2, há algumas perguntas importantes que você precisa fazer a si mesmo:
- Quero observar passivamente o que Defender para Office 365 Plano 2 pode fazer por mim (auditoria) ou quero que Defender para Office 365 Plano 2 tome medidas diretas sobre os problemas que ele encontra (bloquear)?
- De qualquer forma, como posso dizer o que Defender para Office 365 Plano 2 está fazendo por mim?
- Quanto tempo tenho antes de precisar tomar a decisão de manter Defender para Office 365 Plano 2?
Este artigo ajuda você a responder a essas perguntas para que você possa tentar Defender para Office 365 Plano 2 de uma maneira que atenda melhor às necessidades da sua organização.
Para obter um guia complementar de como usar sua avaliação, consulte Guia de Avaliação do Usuário: Microsoft Defender para Office 365.
Observação
As avaliações e avaliações de Defender para Office 365 não estão disponíveis em organizações do governo dos EUA (Microsoft 365 GCC, GCC High e DoD) ou Microsoft 365 Education organizações.
Visão geral do Defender para Office 365
Defender para Office 365 ajuda as organizações a proteger sua empresa oferecendo uma lista abrangente de recursos. Para obter mais informações, consulte Microsoft Defender para Office 365.
Você também pode saber mais sobre Defender para Office 365 neste guia interativo.
Assista a este pequeno vídeo para saber mais sobre como você pode fazer mais em menos tempo com Microsoft Defender para Office 365.
Para obter informações sobre preços, consulte Microsoft Defender para Office 365.
Como as avaliações e avaliações funcionam para Defender para Office 365
Políticas
Defender para Office 365 inclui os recursos de Proteção do Exchange Online (EOP), que estão presentes em todas as organizações do Microsoft 365 com caixas de correio Exchange Online e recursos exclusivos para Defender para Office 365.
Os recursos de proteção de EOP e Defender para Office 365 são implementados usando políticas. As políticas exclusivas para Defender para Office 365 são criadas para você conforme necessário:
- Proteção de personificação nas políticas anti-phishing
- Anexos seguros para mensagens de email
- Links seguros para mensagens de email e Microsoft Teams
- Links Seguros detona URLs durante o fluxo de email. Para evitar que URLs específicas sejam detonadas, envie as URLs para a Microsoft como boas URLs. Para obter instruções, consulte Relatar boas URLs à Microsoft.
- Links seguros não envolvem links de URL em corpos de mensagens de email.
Sua qualificação para uma avaliação ou avaliação significa que você já tem EOP. Nenhuma política EOP nova ou especial é criada para sua avaliação ou avaliação de Defender para Office 365 Plano 2. As políticas de EOP existentes em sua organização do Microsoft 365 permanecem capazes de agir em mensagens (por exemplo, enviar mensagens para a pasta Junk Email ou para a quarentena):
- Políticas antimalware
- Proteção anti-spam de entrada
- Proteção anti-falsificação em políticas anti-phishing
As políticas padrão para esses recursos EOP estão sempre ativadas, aplicam-se a todos os destinatários e são sempre aplicadas por último após quaisquer políticas personalizadas.
Modo de auditoria versus modo de bloqueio para Defender para Office 365
Deseja que sua experiência Defender para Office 365 seja ativa ou passiva? Os seguintes modos estão disponíveis:
Modo de auditoria: políticas de avaliação especiais são criadas para anti-phishing (que inclui proteção contra representação), Anexos Seguros e Links Seguros. Essas políticas de avaliação são configuradas apenas para detectar ameaças. Defender para Office 365 detecta mensagens prejudiciais para relatórios, mas as mensagens não são executadas (por exemplo, as mensagens detectadas não estão em quarentena). As configurações dessas políticas de avaliação são descritas na seção Políticas no modo de auditoria posteriormente neste artigo. Também ativamos automaticamente o tempo do SafeLinks de clique em proteção no modo de auditoria para cargas de trabalho não-email (por exemplo, Microsoft Teams, SharePoint e OneDrive for Business)
Você também pode ativar ou desativar seletivamente a proteção anti-phishing (falsificação e representação), proteção de Links Seguros e proteção de Anexos Seguros. Para obter instruções, consulte Gerenciar configurações de avaliação.
O modo de auditoria fornece relatórios especializados para ameaças detectadas pelas políticas de avaliação na página de avaliação Microsoft Defender para Office 365 em https://security.microsoft.com/atpEvaluation. Esses relatórios são descritos na seção Relatórios para modo de auditoria posteriormente neste artigo.
Modo de bloqueio: o modelo Standard para políticas de segurança predefinidas é ativado e usado para a avaliação e os usuários que você especifica incluir na avaliação são adicionados à política de segurança predefinida Standard. Defender para Office 365 detecta e toma medidas em mensagens nocivas (por exemplo, as mensagens detectadas estão em quarentena).
A seleção padrão e recomendada é escopo dessas políticas Defender para Office 365 para todos os usuários da organização. Mas durante ou após a configuração de sua avaliação, você pode alterar a atribuição de política para usuários, grupos ou domínios de email específicos no portal Microsoft Defender ou em Exchange Online PowerShell.
Informações sobre ameaças detectadas por Defender para Office 365 estão disponíveis nos relatórios regulares e nos recursos de investigação do plano 2 de Defender para Office 365, que são descritos na seção Relatórios para modo de bloqueio posteriormente neste artigo.
Os principais fatores que determinam quais modos estão disponíveis para você são:
Se você tem ou não Defender para Office 365 (Plano 1 ou Plano 2), conforme descrito na próxima seção.
Como o email é entregue à sua organização do Microsoft 365, conforme descrito nos seguintes cenários:
O email da Internet flui diretamente do Microsoft 365, mas sua assinatura atual tem apenas Proteção do Exchange Online (EOP) ou Defender para Office 365 Plano 1.
Nesses ambientes, o modo de auditoria ou o modo de bloqueio estão disponíveis, dependendo do licenciamento, conforme explicado na próxima seção
Atualmente, você está usando um serviço ou dispositivo de terceiros para proteção por email de suas caixas de correio do Microsoft 365. O email da Internet flui pelo serviço de proteção antes da entrega em sua organização do Microsoft 365. A proteção do Microsoft 365 é o mais baixa possível (nunca está completamente desativada; por exemplo, a proteção contra malware é sempre imposta).
Nesses ambientes, somente o modo de auditoria está disponível. Você não precisa alterar seu fluxo de email (registros MX) para avaliar Defender para Office 365 Plano 2.
Avaliação versus avaliação para Defender para Office 365
Qual é a diferença entre uma avaliação e uma avaliação de Defender para Office 365 Plano 2? Não são a mesma coisa? Bem, sim e não. O licenciamento em sua organização do Microsoft 365 faz toda a diferença:
Nenhum Defender para Office 365 Plano 2: se você ainda não tiver Defender para Office 365 Plano 2 (por exemplo, você tem EOP autônomo, Microsoft 365 E3, Microsoft 365 Business Premium ou um Defender para Office 365 Assinatura de complemento do Plano 1), você pode iniciar a experiência Defender para Office 365 Plano 2 a partir dos seguintes locais no portal Microsoft Defender:
- A página de avaliações do Microsoft 365 em https://security.microsoft.com/trialHorizontalHub.
- A página de avaliação Microsoft Defender para Office 365 em https://security.microsoft.com/atpEvaluation.
Você pode selecionar o modo de auditoria (políticas de avaliação) ou o modo de bloqueio (política de segurança predefinida padrão) durante a configuração da avaliação ou avaliação.
Independentemente do local usado, provisionamos automaticamente todas as licenças necessárias Defender para Office 365 Plano 2 quando você se registra. Não é necessário obter e atribuir manualmente licenças do Plano 2 no Centro de administração do Microsoft 365.
As licenças provisionadas automaticamente são boas por 90 dias. O que esse período de 90 dias significa depende do licenciamento existente em sua organização:
Nenhum plano de Defender para Office 365 1: para organizações sem Defender para Office 365 Plano 1 (por exemplo, EOP autônomo ou Microsoft 365 E3) todos os Defender para Office 365 Os recursos do plano 2 (em particular, as políticas de segurança) estão disponíveis somente durante o período de 90 dias.
Defender para Office 365 Plano 1: organizações com Defender para Office 365 Plano 1 (por exemplo, Microsoft 365 Business Premium ou assinaturas de complemento) já têm as mesmas políticas de segurança disponíveis no Defender para Office 365 Plano 2: proteção contra representação em políticas anti-phishing, políticas de Anexos Seguros e políticas de Links Seguros.
As políticas de segurança do modo de auditoria (políticas de avaliação) ou do modo de bloqueio (política de segurança predefinida padrão) não expiram ou param de funcionar após 90 dias. O que termina após 90 dias são as funcionalidades de automação, investigação, correção e educação de Defender para Office 365 Plano 2 que não estão disponíveis no Plano 1.
Se você configurar sua avaliação ou avaliação no modo de auditoria (políticas de avaliação), poderá converter posteriormente no modo de bloqueio (política de segurança predefinida padrão). Para obter instruções, consulte a seção Converter em Proteção Padrão mais adiante neste artigo.
Defender para Office 365 Plano 2: se você já tiver Defender para Office 365 Plano 2 (por exemplo, como parte de uma assinatura Microsoft 365 E5), Defender para Office 365 não estará disponível para selecionar na Microsoft Página de avaliações 365 em https://security.microsoft.com/trialHorizontalHub.
Sua única opção é configurar uma avaliação de Defender para Office 365 na página de avaliação Microsoft Defender para Office 365 em https://security.microsoft.com/atpEvaluation. Além disso, a avaliação é configurada automaticamente no modo Auditoria (políticas de avaliação).
Posteriormente, você pode converter no modo de bloqueio (política de segurança predefinida padrão) usando a ação Converter em padrão na página de avaliação Microsoft Defender para Office 365 ou desativando a avaliação na avaliação Microsoft Defender para Office 365 página e, em seguida, configurando a política de segurança predefinida Standard.
Por definição, as organizações com Defender para Office 365 Plano 2 não exigem licenças adicionais para avaliar Defender para Office 365 Plano 2, portanto, as avaliações nessas organizações são ilimitadas em duração.
As informações da lista anterior são resumidas na seguinte tabela:
Organização | Registrar-se de a página Avaliações? |
Registrar-se de a página Avaliação? |
Modos disponíveis | Avaliação ponto |
---|---|---|---|---|
EOP autônomo (sem caixas de correio Exchange Online) Microsoft 365 E3 |
Sim | Sim | Modo de auditoria Modo de bloqueio¹ |
90 dias |
Microsoft Defender para Office 365 Plano 1 Microsoft 365 Business Premium |
Sim | Sim | Modo de auditoria Modo de bloqueio¹ |
90 dias² |
Microsoft 365 E5 | Não | Sim | Modo de auditoria Modo de bloqueio¹ ³ |
Ilimitado |
¹ Conforme descrito anteriormente, o modo de bloqueio (política de segurança predefinida padrão) não estará disponível se o email da Internet fluir por meio de um serviço de proteção de terceiros ou dispositivo antes da entrega ao Microsoft 365.
² As políticas de segurança do modo de auditoria (políticas de avaliação) ou do modo de bloqueio (política de segurança predefinida padrão) não expiram ou param de funcionar após 90 dias. As funcionalidades de automação, investigação, correção e educação exclusivas para Defender para Office 365 Plano 2 param de funcionar após 90 dias.
³ A avaliação é configurada no modo de auditoria (políticas de avaliação). A qualquer momento após a conclusão da instalação, você pode converter em modo de bloqueio (política de segurança predefinida padrão) conforme descrito em Converter para proteção Standard.
Agora que você entende as diferenças entre avaliações, avaliações, modo de auditoria e modo de bloqueio, está pronto para configurar sua avaliação ou avaliação, conforme descrito nas próximas seções.
Configurar uma avaliação ou avaliação no modo de auditoria
Lembre-se de que, quando você avalia ou tenta Defender para Office 365 no modo de auditoria, políticas de avaliação especiais são criadas para que Defender para Office 365 possa detectar ameaças. As configurações dessas políticas de avaliação são descritas na seção Políticas no modo de auditoria posteriormente neste artigo.
Inicie a avaliação em qualquer um dos locais disponíveis no portal do Microsoft Defender em https://security.microsoft.com. Por exemplo:
- Na faixa na parte superior de qualquer Defender para Office 365 página de recursos, selecione Iniciar avaliação gratuita.
- Na página de avaliações do Microsoft 365 em https://security.microsoft.com/trialHorizontalHub, localize e selecione Defender para Office 365.
- Na página de avaliação Microsoft Defender para Office 365 em https://security.microsoft.com/atpEvaluation, selecione Iniciar avaliação.
A caixa de diálogo Ativar proteção não está disponível em organizações com Defender para Office 365 Plano 1 ou Plano 2.
Na caixa de diálogo Ativar proteção , selecione Não, só quero relatórios e selecione Continuar.
Na caixa de diálogo Selecionar os usuários que você deseja incluir , configure as seguintes configurações:
Todos os usuários: essa é a opção padrão e recomendada.
Usuários específicos: se você selecionar essa opção, precisará selecionar os destinatários internos aos quais a avaliação se aplica:
- Usuários: As caixas de correio, usuários de email ou contatos de email especificados.
- Grupos:
- Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
- Os Grupos do Microsoft 365 especificados.
- Domínios: todos os destinatários da organização com um endereço de email principal no domínio aceito especificado.
Clique na caixa, comece a digitar um valor e selecione o valor nos resultados abaixo da caixa. Repita esse processo quantas vezes for necessário. Para remover um valor existente, selecione ao lado do valor na caixa.
Para usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de email, nome da conta etc.), mas o nome de exibição correspondente será mostrado nos resultados. Para usuários, insira um asterisco (*) para ver todos os valores disponíveis.
Você pode usar uma condição de destinatário apenas uma vez, mas a condição pode conter vários valores:
Vários valores da mesma condição usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada a eles.
Diferentes tipos de condições usam a lógica AND. O destinatário deve corresponder a todas as condições especificadas para que a política se aplique a elas. Por exemplo, você configura uma condição com os seguintes valores:
- Usuários:
romain@contoso.com
- Grupos: Executivos
A política só será aplicada
romain@contoso.com
se ele também for membro do grupo Executivos. Caso contrário, a política não é aplicada a ele.- Usuários:
Quando terminar na caixa de diálogo Selecionar os usuários que deseja incluir , selecione Continuar.
Na caixa de diálogo Ajudar-nos a entender o fluxo de email , configure as seguintes opções:
Uma das seguintes opções é selecionada automaticamente com base na detecção do registro MX para seu domínio:
Estou usando um provedor de serviços local e/ou de terceiros: o registro MX para seus pontos de domínio em algum lugar diferente do Microsoft 365. Verifique ou configure as seguintes configurações:
Serviço de terceiros que sua organização está usando: Verifique ou selecione um dos seguintes valores:
Outro: esse valor também requer informações em Se suas mensagens de email passarem por vários gateways, liste cada endereço IP do gateway, que está disponível apenas para o valor Outro. Use esse valor se estiver usando um provedor de serviços local.
Insira uma lista separada por vírgulas dos endereços IP usados pelo serviço ou dispositivo de proteção de terceiros para enviar emails para o Microsoft 365.
Barracuda
IronPort
Mimecast
Ponto de Prova
Sophos
Symantec
Trend Micro
O conector para aplicar essa avaliação a: selecione o conector usado para o fluxo de email no Microsoft 365.
A Filtragem Aprimorada para Conectores (também conhecida como listagem de saltos) é configurada automaticamente no conector especificado.
Quando um serviço ou dispositivo de terceiros fica na frente do email que flui para o Microsoft 365, a Filtragem Aprimorada para Conectores identifica corretamente a origem das mensagens da Internet e melhora consideravelmente a precisão da pilha de filtragem da Microsoft (especialmente inteligência falsa, bem como os recursos pós-violação no Explorer de Ameaças e na Resposta & de Investigação Automatizada (AIR).
Só estou usando Microsoft Exchange Online: os registros MX do seu domínio apontam para o Microsoft 365. Não há mais nada para configurar, portanto, selecione Concluir.
Compartilhar dados com a Microsoft: essa opção não é selecionada por padrão, mas você pode selecionar a caixa marcar, se quiser.
Quando você terminar na caixa de diálogo Ajudar-nos a entender o fluxo de email , selecione Concluir.
Quando a configuração for concluída, você receberá uma caixa de diálogo Deixe-nos mostrar a você . Selecione Iniciar tour ou Descartar.
Configurar uma avaliação ou avaliação no modo de bloqueio
Lembre-se de que, quando você tenta Defender para Office 365 no modo de bloqueio, a segurança predefinida Standard é ativada e os usuários especificados (alguns ou todos) são incluídos na política de segurança predefinida Standard. Para obter mais informações sobre a política de segurança predefinida standard, consulte Políticas de segurança predefinidas.
Inicie a avaliação em qualquer um dos locais disponíveis no portal do Microsoft Defender em https://security.microsoft.com. Por exemplo:
- Na faixa na parte superior de qualquer Defender para Office 365 página de recursos, selecione Iniciar avaliação gratuita.
- Na página de avaliações do Microsoft 365 em https://security.microsoft.com/trialHorizontalHub, localize e selecione Defender para Office 365.
- Na página de avaliação Microsoft Defender para Office 365 em https://security.microsoft.com/atpEvaluation, selecione Iniciar avaliação.
A caixa de diálogo Ativar proteção não está disponível em organizações com Defender para Office 365 Plano 1 ou Plano 2.
Na caixa de diálogo Ativar proteção , selecione Sim, proteja minha organização bloqueando ameaças e selecione Continuar.
Na caixa de diálogo Selecionar os usuários que você deseja incluir , configure as seguintes configurações:
Todos os usuários: essa é a opção padrão e recomendada.
Selecione usuários: se você selecionar essa opção, precisará selecionar os destinatários internos aos quais a avaliação se aplica:
- Usuários: As caixas de correio, usuários de email ou contatos de email especificados.
- Grupos:
- Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
- Os Grupos do Microsoft 365 especificados.
- Domínios: todos os destinatários da organização com um endereço de email principal no domínio aceito especificado.
Clique na caixa, comece a digitar um valor e selecione o valor nos resultados abaixo da caixa. Repita esse processo quantas vezes for necessário. Para remover um valor existente, selecione ao lado do valor na caixa.
Para usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de email, nome da conta etc.), mas o nome de exibição correspondente será mostrado nos resultados. Para usuários, insira um asterisco (*) para ver todos os valores disponíveis.
Você pode usar uma condição de destinatário apenas uma vez, mas a condição pode conter vários valores:
Vários valores da mesma condição usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada a eles.
Diferentes tipos de condições usam a lógica AND. O destinatário deve corresponder a todas as condições especificadas para que a política se aplique a elas. Por exemplo, você configura uma condição com os seguintes valores:
- Usuários:
romain@contoso.com
- Grupos: Executivos
A política só será aplicada
romain@contoso.com
se ele também for membro do grupo Executivos. Caso contrário, a política não é aplicada a ele.- Usuários:
Quando terminar na caixa de diálogo Selecionar os usuários que deseja incluir , selecione Continuar.
Uma caixa de diálogo de progresso é exibida à medida que sua avaliação é configurada. Quando a instalação for concluída, selecione Concluído.
Gerenciar sua avaliação ou avaliação de Defender para Office 365
Depois de configurar sua avaliação ou avaliação no modo de auditoria, a página https://security.microsoft.com/atpEvaluationde avaliação Microsoft Defender para Office 365 em é o local central para os resultados da tentativa de Defender para Office 365 Plano 2.
No portal do Microsoft Defender em https://security.microsoft.com, acesse Email &políticas decolaboração> & regras >Políticas> de ameaça selecionam Modo de avaliação na seção Outros. Ou, para ir diretamente para a página de avaliação Microsoft Defender para Office 365, use https://security.microsoft.com/atpEvaluation.
As ações disponíveis na página de avaliação Microsoft Defender para Office 365 são descritas nas subseções a seguir.
Gerenciar configurações de avaliação
Na página de avaliação Microsoft Defender para Office 365 em https://security.microsoft.com/atpEvaluation, selecione Gerenciar configurações de avaliação.
No flyout Gerenciar configurações de avaliação MDO que é aberto, as seguintes informações e configurações estão disponíveis:
Se a avaliação está ativada é mostrada na parte superior do flyout (Avaliação ativa ou Avaliação desativada). Essas informações também estão disponíveis na página de avaliação Microsoft Defender para Office 365.
A ação Desativar ou Ativar permite que você desative ou ative as políticas de avaliação.
Quantos dias restam na avaliação é mostrado na parte superior do flyout (nn dias restantes).
Seção Recursos de detecção: use os alternâncias para ativar ou desativar as seguintes proteções de Defender para Office 365:
- Links Seguros
- Anexos Seguros
- Antiphishing
Seção Usuários, grupos e domínios : selecione Editar usuários, grupos e domínios para alterar a quem a avaliação ou avaliação se aplica, conforme descrito anteriormente em Configurar uma avaliação ou avaliação no modo de auditoria.
Seção Configurações de representação:
Se a proteção de representação não estiver configurada na política de avaliação anti-phishing, selecione Aplicar proteção de representação para configurar a proteção de representação:
- Usuários internos e externos (remetentes) para proteção de representação do usuário.
- Domínios personalizados para proteção de representação de domínio.
- Remetentes confiáveis e domínios a serem excluídos da proteção contra representação.
As etapas são essencialmente as mesmas descritas na seção Representação na Etapa 5 em Usar o portal Microsoft Defender para criar políticas anti-phishing.
Se a proteção de representação estiver configurada na política de avaliação anti-phishing, esta seção mostrará as configurações de proteção de representação para:
- Proteção de representação do usuário
- Proteção de representação de domínio
- Remetentes e domínios representados confiáveis
Para modificar as configurações, selecione Editar configurações de representação.
Quando terminar no flyout Gerenciar configurações de avaliação MDO, selecione Fechar.
Converter em Proteção Padrão
Para sua avaliação ou avaliação, você pode mudar do modo de auditoria (políticas de avaliação) para o modo de bloqueio (política de segurança predefinida padrão) usando um dos seguintes métodos:
- Na página de avaliação Microsoft Defender para Office 365: selecione Converter em proteção padrão
- No flyout Gerenciar configurações de avaliação MDO: na página de avaliação Microsoft Defender para Office 365, selecione Gerenciar configurações de avaliação. No flyout de detalhes que é aberto, selecione Converter em proteção padrão.
Depois de selecionar Converter em proteção padrão, leia as informações na caixa de diálogo aberta e selecione Continuar.
Você é levado para o assistente Aplicar proteção padrão na página Políticas de segurança predefinidas . A lista de destinatários incluídos e excluídos da avaliação ou avaliação é copiada para a política de segurança predefinida Standard. Para obter mais informações, consulte Usar o portal Microsoft Defender para atribuir políticas de segurança predefinidas Padrão e Estrita aos usuários.
- As políticas de segurança na política de segurança predefinida standard têm uma prioridade maior do que as políticas de avaliação, o que significa que as políticas na segurança predefinida Standard são sempre aplicadas antes das políticas de avaliação, mesmo que ambas estejam presentes e ativadas.
- Não há uma maneira automática de ir do modo de bloqueio para o modo de auditoria. As etapas manuais são:
Desative a política de segurança predefinida Standard na página Políticas de segurança predefinidas em https://security.microsoft.com/presetSecurityPolicies.
Na página de avaliação Microsoft Defender para Office 365 em https://security.microsoft.com/atpEvaluation, verifique se o valor Avaliação em é mostrado.
Se a avaliação for mostrada, selecione Gerenciar configurações de avaliação. No flyout Gerenciar configurações de avaliação MDO que é aberto, selecione Ativar.
Selecione Gerenciar configurações de avaliação para verificar os usuários aos quais a avaliação se aplica na seção Usuários, grupos e domínios na seção Gerenciar MDO as configurações de avaliação detalham o flyout aberto.
Relatórios para sua avaliação ou avaliação de Defender para Office 365
Esta seção descreve os relatórios que estão disponíveis no modo de auditoria e no modo de bloqueio.
Relatórios para o modo de bloqueio
Nenhum relatório especial é criado para o modo de bloqueio, portanto, use os relatórios padrão disponíveis no Defender para Office 365. Especificamente, você está procurando relatórios que se aplicam apenas a Defender para Office 365 recursos (por exemplo, Links Seguros ou Anexos Seguros) ou relatórios que podem ser filtrados por detecções de Defender para Office 365, conforme descrito na lista a seguir:
A exibição de fluxo de correio do relatório status de fluxo de correio:
- As mensagens detectadas como representação de usuário ou representação de domínio por políticas anti-phishing aparecem no bloco Representação.
- As mensagens detectadas durante a detonação de arquivo ou URL por políticas de Anexos Seguros ou políticas de Links Seguros aparecem no bloco Detonação.
O relatório status de proteção contra ameaças:
Você pode filtrar muitas das exibições no relatório proteção contra ameaças status pelo MDOprotegido por valor para ver os efeitos do Defender para Office 365.
Exibir dados por Email > phish e detalhamento de gráficos pela tecnologia de detecção
- As mensagens detectadas por campanhas aparecem em Campanha.
- As mensagens detectadas por Anexos Seguros aparecem na detonação de arquivos e na reputação de detonação de arquivos.
- As mensagens detectadas pela proteção de representação do usuário em políticas anti-phishing aparecem no domínio Representação, usuário de representação e representação de inteligência da caixa de correio.
- As mensagens detectadas por Links Seguros aparecem na reputação de detonação de URL e de detonação de URL.
Exibir dados por Email > malware e detalhamento de gráficos pela tecnologia de detecção
- As mensagens detectadas por campanhas aparecem em Campanha.
- As mensagens detectadas por Anexos Seguros aparecem na detonação de arquivos e na reputação de detonação de arquivos.
- As mensagens detectadas por Links Seguros aparecem na reputação de detonação de URL e de detonação de URL.
Exibir dados por Email > o spam e a divisão de gráficos pela tecnologia de detecção
As mensagens detectadas por Links Seguros aparecem na reputação mal-intencionada da URL.
Divisão do gráfico por tipo de política
Mensagens detectadas por anexos seguros aparecem em Anexos Seguros
Exibir dados por Malware de Conteúdo >
Arquivos mal-intencionados detectados por Anexos Seguros para SharePoint, OneDrive e Microsoft Teams aparecem em MDO detonação.
O relatório principais de remetentes e destinatários
Mostrar dados para os principais destinatários de malware (MDO) e mostrar dados para os principais destinatários de phish (MDO).
Relatórios para o modo de auditoria
No modo de auditoria, você está procurando relatórios que mostrem detecções pelas políticas de avaliação, conforme descrito na lista a seguir:
A página da entidade Email mostra o seguinte banner nos detalhes de detecção de mensagens na guia Análise para anexo ruim, url de spam + malware, url phish e mensagens de representação detectadas pela avaliação Defender para Office 365:
A página de avaliação Microsoft Defender para Office 365 consolida https://security.microsoft.com/atpEvaluation as detecções dos relatórios padrão disponíveis no Defender para Office 365. Os relatórios nesta página são filtrados principalmente pela Avaliação: Sim para mostrar detecções apenas pelas políticas de avaliação, mas a maioria dos relatórios também usa filtros de esclarecimento adicionais.
Por padrão, os resumos do relatório na página mostram dados dos últimos 30 dias, mas você pode filtrar o intervalo de datas selecionando 30 dias e selecionando os seguintes valores adicionais com menos de 30 dias:
- 24 horas
- 7 dias
- 14 dias
- Intervalo de datas personalizado
O filtro de intervalo de datas afeta os dados exibidos nos resumos do relatório na página e no relatório main ao selecionar Exibir detalhes em um cartão.
Selecione Baixar para baixar os dados do gráfico em um arquivo .csv.
Os relatórios a seguir na página de avaliação Microsoft Defender para Office 365 contêm informações filtradas de exibições específicas no relatório status de proteção contra ameaças:
- Email links:
- Exibição do relatório: exibir dados por Email > quebra de phish e gráfico pela tecnologia de detecção
- Filtros de detecção : reputação de detonação de URL e detonação de URL.
- Anexos no email:
- Exibição do relatório: exibir dados por Email > quebra de phish e gráfico pela tecnologia de detecção
- Filtros de detecção : detonação de arquivo e reputação de detonação de arquivos.
- Representação
- Exibição do relatório: exibir dados por Email > quebra de phish e gráfico pela tecnologia de detecção
- Filtros de detecção : o usuário de representação, o domínio Representação e a representação de inteligência da caixa de correio.
- Links de anexo
- Exibição do relatório: exibir dados por Email > malware e detalhamento de gráficos pela tecnologia de detecção
- Filtros de detecção : a detonação de URL e a reputação de detonação de URL.
- Malware inserido
- Exibição do relatório: exibir dados por Email > malware e detalhamento de gráficos pela tecnologia de detecção
- Filtros de detecção : detonação de arquivo e reputação de detonação de arquivos.
- Remetentes falsificados:
- Exibição do relatório: exibir dados por Email > quebra de phish e gráfico pela tecnologia de detecção
- Filtros de detecção : Spoof intra-org, Domínio externo Spoof e Spoof DMARC.
- Email links:
A proteção de clique em URL em tempo real usa a ação Exibir dados por URL no relatório de proteção de URL filtrado por Avaliação: Sim.
Embora a exibição de dados por URL clique por aplicativo no relatório de proteção de URL não seja mostrada na página de avaliação Microsoft Defender para Office 365, ela também pode ser filtrada por Avaliação: Sim.
Permissões obrigatórias
As seguintes permissões são necessárias no Microsoft Entra ID para configurar uma avaliação ou avaliação do Defender para Microsoft 365:
- Create, modifique ou exclua uma avaliação ou avaliação: Associação nas funções administrador de segurança ou administrador global.
- Exibir políticas de avaliação e relatórios no modo de auditoria: Associação nas funções Administrador de Segurança ou Leitor de Segurança .
Para obter mais informações sobre permissões de Microsoft Entra no portal do Microsoft Defender, consulte Microsoft Entra funções no portal Microsoft Defender
Perguntas frequentes
P: Preciso obter ou ativar manualmente licenças de avaliação?
R: Não. A avaliação provisiona automaticamente Defender para Office 365 licenças do Plano 2 se você precisar delas, conforme descrito anteriormente.
P: Como fazer estender a avaliação?
R: Confira Estender sua avaliação.
P: O que acontece com meus dados após a expiração da avaliação?
R: Após a expiração da avaliação, você terá acesso aos dados de avaliação (dados de recursos em Defender para Office 365 que você não tinha anteriormente) por 30 dias. Após esse período de 30 dias, todas as políticas e dados associados à avaliação Defender para Office 365 são excluídos.
P: Quantas vezes posso usar a avaliação Defender para Office 365 na minha organização?
R: um máximo de duas vezes. Se sua primeira avaliação expirar, você precisará aguardar pelo menos 30 dias após a data de validade antes de poder se registrar na avaliação Defender para Office 365 novamente. Após sua segunda avaliação, você não pode se registrar em outra avaliação.
P: No modo de auditoria, há cenários em que Defender para Office 365 atua em mensagens?
R: Sim. Para a proteção do serviço, ninguém em nenhum programa ou SKU pode desativar ou ignorar a ação em mensagens classificadas como malware ou phishing de alta confiança pelo serviço.
P: Em que ordem as políticas são avaliadas?
R: Consulte Ordem de precedência para políticas de segurança predefinidas e outras políticas.
Configurações de política associadas a avaliações e avaliações de Defender para Office 365
Políticas no modo de auditoria
Aviso
Não tente criar, modificar ou remover as políticas de segurança individuais associadas à avaliação de Defender para Office 365. O único método com suporte para criar as políticas de segurança individuais para a avaliação é iniciar a avaliação ou avaliação no modo de auditoria no portal Microsoft Defender pela primeira vez.
Conforme descrito anteriormente, quando você escolhe o modo de auditoria para sua avaliação ou avaliação, as políticas de avaliação com as configurações necessárias para observar, mas não tomar medidas em mensagens, são criadas automaticamente.
Para ver essas políticas e suas configurações, execute o seguinte comando no Exchange Online PowerShell:
Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"
As configurações também são descritas nas tabelas a seguir.
Configurações de política de avaliação anti-phishing
Configuração | Valor |
---|---|
Nome | Política de Avaliação |
Admindisplayname | Política de Avaliação |
AuthenticationFailAction | MoveToJmf |
DmarcQuarantineAction | Quarentena |
DmarcRejectAction | Rejeitar |
Habilitado | Verdadeiro |
EnableFirstContactSafetyTips | Falso |
EnableMailboxIntelligence | Verdadeiro |
EnableMailboxIntelligenceProtection | Verdadeiro |
EnableOrganizationDomainsProtection | Falso |
EnableSimilarDomainsSafetyTips | Falso |
EnableSimilarUsersSafetyTips | Falso |
EnableSpoofIntelligence | Verdadeiro |
EnableSuspiciousSafetyTip | Falso |
EnableTargetedDomainsProtection | Falso |
EnableTargetedUserProtection | Falso |
EnableUnauthenticatedSender | Verdadeiro |
EnableUnusualCharactersSafetyTips | Falso |
EnableViaTag | Verdadeiro |
ExcludeedDomains | {} |
Excludentes | {} |
HonorDmarcPolicy | Verdadeiro |
ImpersonationProtectionState | Manual |
IsDefault | Falso |
MailboxIntelligenceProtectionAction | NoAction |
MailboxIntelligenceProtectionActionRecipients | {} |
MailboxIntelligenceQuarantineTag | DefaultFullAccessPolicy |
PhishThresholdLevel | 1 |
PolicyTag | Vazio |
RecommendedPolicyType | Avaliação |
SpoofQuarantineTag | DefaultFullAccessPolicy |
TargetedDomainActionRecipients | {} |
TargetedDomainProtectionAction | NoAction |
TargetedDomainQuarantineTag | DefaultFullAccessPolicy |
TargetedDomainsToProtect | {} |
TargetedUserActionRecipients | {} |
TargetedUserProtectionAction | NoAction |
TargetedUserQuarantineTag | DefaultFullAccessPolicy |
TargetedUsersToProtect | {} |
Configurações da política de avaliação de Anexos Seguros
Configuração | Valor |
---|---|
Nome | Política de Avaliação |
Ação | Permitir |
ActionOnError | Verdadeiro* |
Admindisplayname | Política de Avaliação |
ConfidenceLevelThreshold | 80 |
Habilitar | Verdadeiro |
EnableOrganizationBranding | Falso |
IsBuiltInProtection | Falso |
IsDefault | Falso |
OperationMode | Atraso |
QuarentenaTag | AdminOnlyAccessPolicy |
RecommendedPolicyType | Avaliação |
Redirecionar | Falso |
RedirecionamentoAddress | Vazio |
ScanTimeout | 30 |
* Esse parâmetro foi preterido e não é mais usado.
Configurações da política de avaliação de Links Seguros
Configuração | Valor |
---|---|
Nome | Política de Avaliação |
Admindisplayname | Política de Avaliação |
AllowClickThrough | Verdadeiro |
CustomNotificationText | Vazio |
DeliverMessageAfterScan | Verdadeiro |
DisableUrlRewrite | Verdadeiro |
DoNotRewriteUrls | {} |
EnableForInternalSenders | Falso |
EnableOrganizationBranding | Falso |
EnableSafeLinksForEmail | Verdadeiro |
EnableSafeLinksForOffice | Verdadeiro |
EnableSafeLinksForTeams | Verdadeiro |
IsBuiltInProtection | Falso |
LocalizedNotificationTextList | {} |
RecommendedPolicyType | Avaliação |
ScanUrls | Verdadeiro |
TrackClicks | Verdadeiro |
Usar o PowerShell para configurar condições e exceções do destinatário para a avaliação ou avaliação no modo de auditoria
Uma regra associada às políticas de avaliação Defender para Office 365 controla as condições do destinatário e as exceções à avaliação.
Para exibir a regra associada à avaliação, execute o seguinte comando no Exchange Online PowerShell:
Get-ATPEvaluationRule
Para usar Exchange Online PowerShell para modificar a quem a avaliação se aplica, use a seguinte sintaxe:
Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
Este exemplo configura exceções da avaliação para as caixas de correio secOps (operações de segurança) especificadas.
Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"
Usar o PowerShell para ativar ou desativar a avaliação ou avaliação no modo de auditoria
Para ativar ou desativar a avaliação no modo de auditoria, habilite ou desabilite a regra associada à avaliação. O valor da propriedade State da regra de avaliação mostra se a regra está habilitada ou desabilitada.
Execute o seguinte comando para determinar se a avaliação está habilitada ou desabilitada no momento:
Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State
Execute o seguinte comando para desativar a avaliação se ela estiver ativada:
Disable-ATPEvaluationRule -Identity "Evaluation Rule"
Execute o seguinte comando para ativar a avaliação se ela estiver desativada:
Enable-ATPEvaluationRule -Identity "Evaluation Rule"
Políticas no modo de bloqueio
Conforme descrito anteriormente, as políticas de modo de bloqueio são criadas usando o modelo Standard para políticas de segurança predefinidas.
Para usar Exchange Online PowerShell para exibir as políticas de segurança individuais associadas à política de segurança predefinida Standard e exibir e configurar as condições e exceções do destinatário para a política de segurança predefinida, consulte Políticas de segurança predefinidas no Exchange Online PowerShell.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de