Configurações recomendadas para segurança do EOP e do Microsoft Defender para Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Proteção do Exchange Online (EOP) é o núcleo de segurança para assinaturas do Microsoft 365 e ajuda a impedir que emails mal-intencionados cheguem às caixas de entrada do seu funcionário. Mas com novos ataques mais sofisticados surgindo a cada dia, proteções aprimoradas são muitas vezes necessárias. Microsoft Defender para Office 365 Plano 1 ou Plano 2 contêm recursos adicionais que dão mais camadas de segurança, controle e investigação.

Embora capacitemos os administradores de segurança para personalizar suas configurações de segurança, há dois níveis de segurança no EOP e Microsoft Defender para Office 365 que recomendamos: Standard e Strict. Embora os ambientes e as necessidades do cliente sejam diferentes, esses níveis de filtragem ajudam a impedir que emails indesejados cheguem à caixa de entrada de seus funcionários na maioria das situações.

Para aplicar automaticamente as configurações Standard ou Strict aos usuários, consulte Políticas de segurança predefinidas no EOP e Microsoft Defender para Office 365.

Este artigo descreve as configurações padrão e também as configurações padrão e estrita recomendadas para ajudar a proteger seus usuários. As tabelas contêm as configurações no portal Microsoft Defender e no PowerShell (Exchange Online PowerShell ou Proteção do Exchange Online autônomo do PowerShell para organizações sem caixas de correio Exchange Online).

Observação

O módulo ORCA (Advanced Threat Protection Recommended Configuration Analyzer) Office 365 do PowerShell pode ajudar os administradores a encontrar os valores atuais dessas configurações. Especificamente, o cmdlet Get-ORCAReport gera uma avaliação de anti-spam, anti-phishing e outras configurações de higiene de mensagens. Você pode baixar o módulo ORCA em https://www.powershellgallery.com/packages/ORCA/.

Nas organizações do Microsoft 365, recomendamos que você deixe o Filtro de Email lixo eletrônico no Outlook definido como Sem filtragem automática para evitar conflitos desnecessários (positivos e negativos) com os veredictos de filtragem de spam do EOP. Para saber mais, confira os seguintes artigos:

Proteção anti-spam, anti-malware e anti-phishing no EOP

Anti-spam, anti-malware e anti-phishing são recursos EOP que podem ser configurados por administradores. Recomendamos as seguintes configurações Standard ou Strict.

Configurações de política anti-malware do EOP

Para criar e configurar políticas anti-malware, consulte Configurar políticas anti-malware no EOP.

As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.

A política chamada AdminOnlyAccessPolicy impõe as funcionalidades históricas para mensagens que foram colocadas em quarentena como malware, conforme descrito na tabela aqui.

Os usuários não podem liberar suas próprias mensagens que foram colocadas em quarentena como malware, independentemente de como a política de quarentena está configurada. Se a política permitir que os usuários liberem suas próprias mensagens em quarentena, os usuários poderão solicitar a liberação de suas mensagens de malware em quarentena.

Nome do recurso de segurança Padrão Padrão Estrito Comentário
Configurações de proteção
Habilitar o filtro de anexos comuns (EnableFileFilter) Selecionado ($true)* Selecionado ($true) Selecionado ($true) Para obter a lista de tipos de arquivo no filtro anexos comuns, consulte Filtro de anexos comuns em políticas anti-malware.

* O filtro de anexos comuns está ativado por padrão em novas políticas anti-malware que você cria no portal do Defender ou no PowerShell e na política anti-malware padrão em organizações criadas após 1º de dezembro de 2023.
Notificações comuns de filtro de anexo: quando esses tipos de arquivo são encontrados (FileTypeAction) Rejeitar a mensagem com um NDR (relatório de não entrega) (Reject) Rejeitar a mensagem com um NDR (relatório de não entrega) (Reject) Rejeitar a mensagem com um NDR (relatório de não entrega) (Reject)
Habilitar limpeza automática de zero hora para malware (ZapEnabled) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Política de quarentena (QuarentenaTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Administração notificações
Notificar um administrador sobre mensagens não entregues de remetentes internos (EnableInternalSenderAdminNotifications e InternalSenderAdminAddress) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false) Não temos nenhuma recomendação específica para essa configuração.
Notificar um administrador sobre mensagens não entregues de remetentes externos (EnableExternalSenderAdminNotifications e ExternalSenderAdminAddress) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false) Não temos nenhuma recomendação específica para essa configuração.
Personalizar notificações Não temos recomendações específicas para essas configurações.
Usar texto de notificação personalizado (CustomNotifications) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false)
No nome (CustomFromName) Em branco Em branco Em branco
No endereço (CustomFromAddress) Em branco Em branco Em branco
Personalizar notificações para mensagens de remetentes internos Essas configurações serão usadas somente se Notificar um administrador sobre mensagens não entregues de remetentes internos for selecionado.
Assunto (CustomInternalSubject) Em branco Em branco Em branco
Mensagem (CustomInternalBody) Em branco Em branco Em branco
Personalizar notificações para mensagens de remetentes externos Essas configurações serão usadas somente se Notificar um administrador sobre mensagens não entregues de remetentes externos for selecionado.
Assunto (CustomExternalSubject) Em branco Em branco Em branco
Mensagem (CustomExternalBody) Em branco Em branco Em branco

Configurações de política anti-spam do EOP

Para criar e configurar políticas anti-spam, consulte Configurar políticas anti-spam no EOP.

Onde quer que você selecione Mensagem de quarentena como a ação para um veredicto de filtro de spam, uma caixa de política de quarentena Selecionar está disponível. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.

Se você alterar a ação de um veredicto de filtragem de spam para mensagem de quarentena ao criar políticas anti-spam no portal do Defender, a caixa Selecionar política de quarentena ficará em branco por padrão. Um valor em branco significa que a política de quarentena padrão para esse veredicto de filtragem de spam é usada. Essas políticas de quarentena padrão impõem as funcionalidades históricas para o veredicto do filtro de spam que colocou a mensagem em quarentena, conforme descrito na tabela aqui. Quando você visualiza ou edita as configurações da política anti-spam, o nome da política de quarentena é mostrado.

Os administradores podem criar ou usar políticas de quarentena com recursos mais restritivos ou menos restritivos. Para obter instruções, consulte Criar políticas de quarentena no portal Microsoft Defender.

Nome do recurso de segurança Padrão Padrão Estrito Comentário
Limite de email em massa & propriedades de spam
Limite de email em massa (BulkThreshold) 7 6 5 Para obter detalhes, consulte BCL (nível de reclamação em massa) no EOP.
Spam de email em massa (MarkAsSpamBulkMail) (On) (On) (On) Essa configuração só está disponível no PowerShell.
Aumentar as configurações de pontuação de spam Todas essas configurações fazem parte do ASF (Filtro Avançado de Spam). Para obter mais informações, confira as configurações do ASF na seção políticas anti-spam neste artigo.
Marcar como configurações de spam A maioria dessas configurações faz parte do ASF. Para obter mais informações, confira as configurações do ASF na seção políticas anti-spam neste artigo.
Contém idiomas específicos (EnableLanguageBlockList e LanguageBlockList) Desativado ($false e em branco) Desativado ($false e em branco) Desativado ($false e em branco) Não temos nenhuma recomendação específica para essa configuração. Você pode bloquear mensagens em idiomas específicos com base nas suas necessidades comerciais.
Desses países (EnableRegionBlockList e RegionBlockList) Desativado ($false e em branco) Desativado ($false e em branco) Desativado ($false e em branco) Não temos nenhuma recomendação específica para essa configuração. Você pode bloquear mensagens de países/regiões específicos com base nas suas necessidades comerciais.
Modo de teste (TestModeAction) Nenhum Nenhum Nenhum Essa configuração faz parte do ASF. Para obter mais informações, confira as configurações do ASF na seção políticas anti-spam neste artigo.
Ações
Ação de detecção de spam (SpamAction) Mover mensagem para a pasta Junk Email (MoveToJmf) Mover mensagem para a pasta Junk Email (MoveToJmf) Mensagem de quarentena (Quarantine)
Política de quarentena para spam (SpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só será significativa se as detecções de spam forem colocadas em quarentena.
Ação de detecção de spam de alta confiança (HighConfidenceSpamAction) Mover mensagem para a pasta Junk Email (MoveToJmf) Mensagem de quarentena (Quarantine) Mensagem de quarentena (Quarantine)
Política de quarentena para spam de alta confiança (HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só será significativa se as detecções de spam de alta confiança forem colocadas em quarentena.
Ação de detecção de phishing (PhishSpamAction) Mover mensagem para a pasta Junk Email (MoveToJmf)* Mensagem de quarentena (Quarantine) Mensagem de quarentena (Quarantine) *O valor padrão é Mover mensagem para a pasta Junk Email na política anti-spam padrão e em novas políticas anti-spam que você cria no PowerShell. O valor padrão é a mensagem de quarentena em novas políticas anti-spam que você cria no portal do Defender.
Política de quarentena para Phishing (PhishQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só será significativa se as detecções de phishing forem colocadas em quarentena.
Ação de detecção de phishing de alta confiança (HighConfidencePhishAction) Mensagem de quarentena (Quarantine) Mensagem de quarentena (Quarantine) Mensagem de quarentena (Quarantine) Os usuários não podem liberar suas próprias mensagens que foram colocadas em quarentena como phishing de alta confiança, independentemente de como a política de quarentena está configurada. Se a política permitir que os usuários liberem suas próprias mensagens em quarentena, os usuários poderão solicitar a liberação de suas mensagens de phishing de alta confiança em quarentena.
Política de quarentena para phishing de alta confiança (HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
BCL (nível em massa) atendido ou excedido (BulkSpamAction) Mover mensagem para a pasta Junk Email (MoveToJmf) Mover mensagem para a pasta Junk Email (MoveToJmf) Mensagem de quarentena (Quarantine)
Política de quarentena para BCL (nível em conformidade com massa) atendida ou excedida (BulkQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só será significativa se as detecções em massa forem colocadas em quarentena.
Mensagens intra-organizacionais para agir em (IntraOrgFilterState) Padrão (Padrão) Padrão (Padrão) Padrão (Padrão) O valor Padrão é o mesmo que selecionar mensagens de phishing de alta confiança. Atualmente, em organizações do governo dos EUA (Microsoft 365 GCC, GCC High e DoD), o valor Default é o mesmo que selecionar Nenhum.
Manter spam em quarentena por muitos dias (QuarentenaRetentionPeriod) 15 dias 30 dias 30 dias Esse valor também afeta mensagens que são colocadas em quarentena por políticas anti-phishing. Para obter mais informações, consulte Retenção de quarentena.
Habilitar dicas de segurança de spam (InlineSafetyTipsEnabled) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Habilitar ZAP (limpeza automática) de zero hora para mensagens de phishing (PhishZapEnabled) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Habilitar ZAP para mensagens de spam (SpamZapEnabled) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Permitir & lista de blocos
Remetentes permitidos (AllowedSenders) Nenhum Nenhum Nenhum
Domínios de remetente permitidos (AllowedSenderDomains) Nenhum Nenhum Nenhum Adicionar domínios à lista de domínios permitidos é uma ideia muito ruim. Os invasores poderiam enviar emails que, caso contrário, seriam filtrados.

Use o insight de inteligência falsa e a Lista de Permissões/Blocos do Locatário para examinar todos os remetentes que estão falsificando endereços de email do remetente nos domínios de email da sua organização ou falsificando endereços de email do remetente em domínios externos.
Remetentes bloqueados (BlockedSenders) Nenhum Nenhum Nenhum
Domínios de remetente bloqueados (BlockedSenderDomains) Nenhum Nenhum Nenhum

¹ Conforme descrito em Permissões de acesso completo e notificações de quarentena, sua organização pode usar NotificationEnabledPolicy em vez de DefaultFullAccessPolicy na política de segurança padrão ou em novas políticas de segurança personalizadas que você cria. A única diferença entre essas duas políticas de quarentena é que as notificações de quarentena são ativadas em NotificationEnabledPolicy e desativadas em DefaultFullAccessPolicy.

Configurações de ASF em políticas anti-spam

Para obter mais informações sobre as configurações do ASF (Advanced Spam Filter) em políticas anti-spam, consulte Configurações avançadas de filtro de spam (ASF) no EOP.

Nome do recurso de segurança Padrão Recomendado
Padrão
Recomendado
Estrito
Comentário
Links de imagem para sites remotos (IncreaseScoreWithImageLinks) Desativada Desativada Desligado
Endereço IP numérico na URL (IncreaseScoreWithNumericIps) Desativada Desativada Desligado
Redirecionamento de URL para outra porta (IncreaseScoreWithRedirectToOtherPort) Desativada Desativada Desligado
Links para sites .biz ou .info (IncreaseScoreWithBizOrInfoUrls) Desativada Desativada Desligado
Mensagens vazias (MarkAsSpamEmptyMessages) Desativada Desativada Desligado
Inserir marcas em HTML (MarkAsSpamEmbedTagsInHtml) Desativada Desativada Desligado
JavaScript ou VBScript em HTML (MarkAsSpamJavaScriptInHtml) Desativada Desativada Desligado
Marcas de formulário em HTML (MarkAsSpamFormTagsInHtml) Desativada Desativada Desligado
Marcas de quadro ou iframe em HTML (MarkAsSpamFramesInHtml) Desativada Desativada Desligado
Bugs da Web em HTML (MarkAsSpamWebBugsInHtml) Desativada Desativada Desligado
Marcas de objeto em HTML (MarkAsSpamObjectTagsInHtml) Desativada Desativada Desligado
Palavras confidenciais (MarkAsSpamSensitiveWordList) Desativada Desativada Desligado
Registro SPF: falha dura (MarkAsSpamSpfRecordHardFail) Desativada Desativada Desligado
Falha na filtragem de ID do remetente (MarkAsSpamFromAddressAuthFail) Desativada Desativada Desligado
Backscatter (MarkAsSpamNdrBackscatter) Desativada Desativada Desligado
Modo de teste (TestModeAction) Nenhum Nenhum Nenhum Para configurações ASF que dão suporte a Teste como uma ação, você pode configurar a ação do modo de teste como Nenhum, Adicionar texto de Cabeçalho X padrão ou Enviar mensagem Bcc (None, AddXHeaderou BccMessage). Para obter mais informações, consulte Habilitar, desabilitar ou testar as configurações do ASF.

Observação

O ASF adiciona X-CustomSpam: campos de cabeçalho X às mensagens depois que as mensagens são processadas pelas regras de fluxo de email do Exchange (também conhecidas como regras de transporte), portanto, você não pode usar regras de fluxo de email para identificar e agir em mensagens filtradas pelo ASF.

Configurações de política de spam de saída do EOP

Para criar e configurar políticas de spam de saída, consulte Configurar a filtragem de spam de saída no EOP.

Para obter mais informações sobre os limites de envio padrão no serviço, consulte Envio de limites.

Observação

As políticas de spam de saída não fazem parte das políticas de segurança predefinidas Standard ou Strict. Os valores Standard e Strict indicam nossos valores recomendados na política de spam de saída padrão ou políticas de spam de saída personalizadas que você cria.

Nome do recurso de segurança Padrão Recomendado
Padrão
Recomendado
Estrito
Comentário
Definir um limite de mensagem externa (RecipientLimitExternalPerHour) 0 500 400 O valor padrão 0 significa usar os padrões de serviço.
Definir um limite de mensagem interna (RecipientLimitInternalPerHour) 0 1000 800 O valor padrão 0 significa usar os padrões de serviço.
Definir um limite de mensagem diário (RecipientLimitPerDay) 0 1000 800 O valor padrão 0 significa usar os padrões de serviço.
Restrição imposta aos usuários que atingem o limite de mensagem (ActionWhenThresholdReached) Restringir o usuário de enviar emails até o dia seguinte (BlockUserForToday) Restringir o usuário de enviar emails (BlockUser) Restringir o usuário de enviar emails (BlockUser)
Regras de encaminhamento automático (AutoForwardingMode) Automático – controlado pelo sistema (Automatic) Automático – controlado pelo sistema (Automatic) Automático – controlado pelo sistema (Automatic)
Enviar uma cópia de mensagens de saída que excedam esses limites para esses usuários e grupos (BccSuspiciousOutboundMail e BccSuspiciousOutboundAdditionalRecipients) Não selecionado ($false e em branco) Não selecionado ($false e em branco) Não selecionado ($false e em branco) Não temos nenhuma recomendação específica para essa configuração.

Essa configuração funciona apenas na política de spam de saída padrão. Ele não funciona em políticas de spam de saída personalizadas que você cria.
Notifique esses usuários e grupos se um remetente for bloqueado devido ao envio de spam de saída (NotifyOutboundSpam e NotifyOutboundSpamRecipients) Não selecionado ($false e em branco) Não selecionado ($false e em branco) Não selecionado ($false e em branco) A política de alerta padrão chamada Usuário restrita ao envio de email já envia notificações por email para membros do grupo TenantAdmins (administradores globais) quando os usuários são bloqueados devido a exceder os limites na política. Recomendamos fortemente que você use a política de alerta em vez dessa configuração na política de spam de saída para notificar administradores e outros usuários. Para obter instruções, consulte Verificar as configurações de alerta para usuários restritos.

Configurações de política anti-phishing do EOP

Para obter mais informações sobre essas configurações, consulte Configurações de falsificação. Para configurar essas configurações, consulte Configurar políticas anti-phishing no EOP.

As configurações de falsificação estão intersecionais, mas a configuração mostrar a primeira dica de segurança de contato não tem dependência de configurações de falsificação.

As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.

Embora o valor Aplicar política de quarentena pareça não selecionado quando você cria uma política anti-phishing no portal do Defender, a política de quarentena chamada DefaultFullAccessPolicy¹ será usada se você não selecionar uma política de quarentena. Essa política impõe as funcionalidades históricas para mensagens que foram colocadas em quarentena como falsificação, conforme descrito na tabela aqui. Quando você visualiza ou edita as configurações da política de quarentena, o nome da política de quarentena é mostrado.

Os administradores podem criar ou usar políticas de quarentena com recursos mais restritivos ou menos restritivos. Para obter instruções, consulte Criar políticas de quarentena no portal Microsoft Defender.

Nome do recurso de segurança Padrão Padrão Estrito Comentário
Proteção de & limite de phishing
Habilitar inteligência falsa (EnableSpoofIntelligence) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Ações
Honor DMARC record policy when the message is detect as spoof (HonorDmarcPolicy) Selecionado ($true) Selecionado ($true) Selecionado ($true) Quando essa configuração é ativada, você controla o que acontece com mensagens em que o remetente falha em verificações explícitas de DMARC quando a ação de política no registro DMARC TXT é definida como p=quarantine ou p=reject. Para obter mais informações, consulte Proteção falsificada e políticas DMARC do remetente.
Se a mensagem for detectada como spoof e a Política DMARC for definida como p=quarentena (DmarcQuarantineAction) Colocar em quarentena a mensagem (Quarantine) Colocar em quarentena a mensagem (Quarantine) Colocar em quarentena a mensagem (Quarantine) Essa ação só é significativa quando a política de registro do Honor DMARC quando a mensagem é detectada como falsificação é ativada .
Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=reject (DmarcRejectAction) Rejeitar a mensagem (Reject) Rejeitar a mensagem (Reject) Rejeitar a mensagem (Reject) Essa ação só é significativa quando a política de registro do Honor DMARC quando a mensagem é detectada como falsificação é ativada .
Se a mensagem for detectada como falsificação por inteligência falsa (AuthenticationFailAction) Mover a mensagem para as pastas junk Email dos destinatários (MoveToJmf) Mover a mensagem para as pastas junk Email dos destinatários (MoveToJmf) Colocar em quarentena a mensagem (Quarantine) Essa configuração se aplica a remetentes falsificados que foram bloqueados automaticamente conforme mostrado no insight de inteligência falsa ou bloqueados manualmente na Lista de Permissões/Blocos do Locatário.

Se você selecionar Quarentena da mensagem como a ação para o veredicto falsificado, uma caixa Aplicar política de quarentena estará disponível.
Política de quarentena para Spoof (SpoofQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só será significativa se as detecções de falsificação forem colocadas em quarentena.
Mostrar a primeira dica de segurança de contato (EnableFirstContactSafetyTips) Não selecionado ($false) Selecionado ($true) Selecionado ($true) Para obter mais informações, consulte A primeira dica de segurança de contato.
Mostrar (?) para remetentes não autenticados para spoof (EnableUnauthenticatedSender) Selecionado ($true) Selecionado ($true) Selecionado ($true) Adiciona um ponto de interrogação (?) à foto do remetente no Outlook para remetentes falsificados não identificados. Para obter mais informações, confira Indicadores de remetente não autenticados.
Mostrar a marca "via" (EnableViaTag) Selecionado ($true) Selecionado ($true) Selecionado ($true) Adiciona uma marca via (chris@contoso.com via fabrikam.com) ao endereço De se for diferente do domínio na assinatura DKIM ou no endereço MAIL FROM .

Para obter mais informações, confira Indicadores de remetente não autenticados.

¹ Conforme descrito em Permissões de acesso completo e notificações de quarentena, sua organização pode usar NotificationEnabledPolicy em vez de DefaultFullAccessPolicy na política de segurança padrão ou em novas políticas de segurança personalizadas que você cria. A única diferença entre essas duas políticas de quarentena é que as notificações de quarentena são ativadas em NotificationEnabledPolicy e desativadas em DefaultFullAccessPolicy.

segurança Microsoft Defender para Office 365

Benefícios adicionais de segurança vêm com uma assinatura Microsoft Defender para Office 365. Para obter as últimas notícias e informações, você pode ver Novidades no Defender para Office 365.

Importante

Se sua assinatura incluir Microsoft Defender para Office 365 ou se você comprou Defender para Office 365 como complemento, defina as seguintes configurações Standard ou Strict.

Configurações de política anti-phishing no Microsoft Defender para Office 365

Os clientes EOP obtêm anti-phishing básico conforme descrito anteriormente, mas Defender para Office 365 inclui mais recursos e controle para ajudar a prevenir, detectar e corrigir ataques. Para criar e configurar essas políticas, consulte Configurar políticas anti-phishing no Defender para Office 365.

Configurações avançadas em políticas anti-phishing no Microsoft Defender para Office 365

Para obter mais informações sobre essa configuração, consulte Limites avançados de phishing em políticas anti-phishing no Microsoft Defender para Office 365. Para configurar essa configuração, consulte Configurar políticas anti-phishing no Defender para Office 365.

Nome do recurso de segurança Padrão Padrão Estrito Comentário
Limite de email de phishing (PhishThresholdLevel) 1 – Standard (1) 3 - Mais agressivo (3) 4 – Mais agressivo (4)

Configurações de representação em políticas anti-phishing no Microsoft Defender para Office 365

Para obter mais informações sobre essas configurações, consulte Configurações de representação em políticas anti-phishing no Microsoft Defender para Office 365. Para configurar essas configurações, consulte Configurar políticas anti-phishing no Defender para Office 365.

Onde quer que você selecione Quarentena da mensagem como a ação para um veredicto de representação, uma caixa de política de quarentena Aplicar está disponível. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.

Embora o valor Aplicar política de quarentena pareça não selecionado quando você cria uma política anti-phishing no portal do Defender, a política de quarentena chamada DefaultFullAccessPolicy será usada se você não selecionar uma política de quarentena. Essa política impõe as funcionalidades históricas para mensagens que foram colocadas em quarentena como representação, conforme descrito na tabela aqui. Quando você visualiza ou edita as configurações da política de quarentena, o nome da política de quarentena é mostrado.

Os administradores podem criar ou usar políticas de quarentena com recursos mais restritivos ou menos restritivos. Para obter instruções, consulte Criar políticas de quarentena no portal Microsoft Defender.

Nome do recurso de segurança Padrão Padrão Estrito Comentário
Proteção de & limite de phishing
Proteção contra representação do usuário: permitir que os usuários protejam (EnableTargetedUserProtection e TargetedUsersToProtect) Não selecionado ($false e nenhum) Selecionado ($true e <lista de usuários>) Selecionado ($true e <lista de usuários>) Recomendamos adicionar usuários (remetentes de mensagens) em funções-chave. Internamente, os remetentes protegidos podem ser seu CEO, CFO e outros líderes seniores. Externamente, remetentes protegidos podem incluir membros do conselho ou seu conselho de administração.
Proteção contra representação de domínio: habilitar domínios para proteger Não selecionado Selecionado Selecionado
Incluir domínios que possuo (EnableOrganizationDomainsProtection) Desativado ($false) Selecionado ($true) Selecionado ($true)
Incluir domínios personalizados (EnableTargetedDomainsProtection e TargetedDomainsToProtect) Desativado ($false e nenhum) Selecionado ($true e <lista de domínios>) Selecionado ($true e <lista de domínios>) Recomendamos adicionar domínios (domínios de remetente) que você não possui, mas você interage com frequência.
Adicionar remetentes e domínios confiáveis (Excludentes EExcluídosDomains) Nenhum Nenhum Nenhum Dependendo da sua organização, recomendamos adicionar remetentes ou domínios que sejam incorretamente identificados como tentativas de representação.
Habilitar inteligência de caixa de correio (EnableMailboxIntelligence) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Habilitar a inteligência para proteção de representação (EnableMailboxIntelligenceProtection) Desativado ($false) Selecionado ($true) Selecionado ($true) Essa configuração permite a ação especificada para detecções de representação por inteligência de caixa de correio.
Ações
Se uma mensagem for detectada como representação de usuário (TargetedUserProtectionAction) Não aplique nenhuma ação (NoAction) Colocar em quarentena a mensagem (Quarantine) Colocar em quarentena a mensagem (Quarantine)
Política de quarentena para representação de usuário (TargetedUserQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só será significativa se as detecções de representação do usuário forem colocadas em quarentena.
Se uma mensagem for detectada como representação de domínio (TargetedDomainProtectionAction) Não aplique nenhuma ação (NoAction) Colocar em quarentena a mensagem (Quarantine) Colocar em quarentena a mensagem (Quarantine)
Política de quarentena para representação de domínio (TargetedDomainQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só será significativa se as detecções de representação de domínio forem colocadas em quarentena.
Se a inteligência da caixa de correio detectar um usuário representado (MailboxIntelligenceProtectionAction) Não aplique nenhuma ação (NoAction) Mover a mensagem para as pastas junk Email dos destinatários (MoveToJmf) Colocar em quarentena a mensagem (Quarantine)
Política de quarentena para representação de inteligência de caixa de correio (MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só será significativa se as detecções de inteligência da caixa de correio forem colocadas em quarentena.
Mostrar dica de segurança de representação do usuário (EnableSimilarUsersSafetyTips) Desativado ($false) Selecionado ($true) Selecionado ($true)
Mostrar dica de segurança de representação de domínio (EnableSimilarDomainsSafetyTips) Desativado ($false) Selecionado ($true) Selecionado ($true)
Mostrar a dica de segurança de caracteres incomuns de representação do usuário (EnableUnusualCharactersSafetyTips) Desativado ($false) Selecionado ($true) Selecionado ($true)

¹ Conforme descrito em Permissões de acesso completo e notificações de quarentena, sua organização pode usar NotificationEnabledPolicy em vez de DefaultFullAccessPolicy na política de segurança padrão ou em novas políticas de segurança personalizadas que você cria. A única diferença entre essas duas políticas de quarentena é que as notificações de quarentena são ativadas em NotificationEnabledPolicy e desativadas em DefaultFullAccessPolicy.

Configurações de política anti-phishing do EOP no Microsoft Defender para Office 365

Essas são as mesmas configurações que estão disponíveis nas configurações de política anti-spam no EOP.

Configurações de Anexos Seguros

Anexos seguros em Microsoft Defender para Office 365 inclui configurações globais que não têm relação com políticas de Anexos Seguros e configurações específicas para cada política de Links Seguros. Para obter mais informações, confira Anexos seguros no Defender para Office 365.

Embora não haja nenhuma política padrão de Anexos Seguros, a política de segurança predefinida de proteção interna fornece proteção de Anexos Seguros a todos os destinatários que não estão definidos nas políticas de segurança predefinidas Standard ou Strict ou em políticas personalizadas de Anexos Seguros. Para obter mais informações, consulte Políticas de segurança predefinidas no EOP e Microsoft Defender para Office 365.

Configurações globais para anexos seguros

Observação

As configurações globais para Anexos Seguros são definidas pela política de segurança predefinida de proteção interna, mas não pelas políticas de segurança predefinidas Standard ou Strict . De qualquer forma, os administradores podem modificar essas configurações globais de Anexos Seguros a qualquer momento.

A coluna Padrão mostra os valores antes da existência da política de segurança predefinida de proteção interna. A coluna de proteção interna mostra os valores definidos pela política de segurança predefinida pela proteção interna, que também são nossos valores recomendados.

Para configurar essas configurações, consulte Ativar Anexos Seguros para SharePoint, OneDrive e Microsoft Teams eDocumentos Seguros em Microsoft 365 E5.

No PowerShell, você usa o cmdlet Set-AtpPolicyForO365 para essas configurações.

Nome do recurso de segurança Padrão Proteção interna Comentário
Ativar Defender para Office 365 para SharePoint, OneDrive e Microsoft Teams (EnableATPForSPOTeamsODB) Desativado ($false) Ativado ($true) Para impedir que os usuários baixem arquivos mal-intencionados, consulte Usar o PowerShell do SharePoint Online para impedir que os usuários baixem arquivos mal-intencionados.
Ativar documentos seguros para clientes do Office (EnableSafeDocs) Desativado ($false) Ativado ($true) Esse recurso está disponível e significativo apenas com licenças que não estão incluídas no Defender para Office 365 (por exemplo, Microsoft 365 A5 ou Microsoft 365 E5 Security). Para obter mais informações, consulte Documentos Seguros no Microsoft 365 A5 ou E5 Security.
Permitir que as pessoas cliquem no Modo de Exibição Protegido mesmo se documentos seguros identificassem o arquivo como mal-intencionado (AllowSafeDocsOpen) Desativado ($false) Desativado ($false) Essa configuração está relacionada a Documentos Seguros.

Configurações da política de Anexos seguros

Para configurar essas configurações, consulte Configurar políticas de Anexos Seguros no Defender para Office 365.

No PowerShell, você usa os cmdlets New-SafeAttachmentPolicy e Set-SafeAttachmentPolicy para essas configurações.

Observação

Conforme descrito anteriormente, embora não haja nenhuma política padrão de Anexos Seguros, a política de segurança predefinida de proteção interna fornece proteção de Anexos Seguros a todos os destinatários que não estão definidos na política de segurança predefinida Padrão, na política de segurança predefinida estrita ou em políticas personalizadas de Anexos Seguros.

O Padrão na coluna personalizada refere-se aos valores padrão em novas políticas de Anexos Seguros que você cria. As colunas restantes indicam (a menos que seja observado de outra forma) os valores configurados nas políticas de segurança predefinidas correspondentes.

As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.

A política chamada AdminOnlyAccessPolicy impõe as funcionalidades históricas para mensagens que foram colocadas em quarentena como malware, conforme descrito na tabela aqui.

Os usuários não podem liberar suas próprias mensagens que foram colocadas em quarentena como malware por Anexos Seguros, independentemente de como a política de quarentena está configurada. Se a política permitir que os usuários liberem suas próprias mensagens em quarentena, os usuários poderão solicitar a liberação de suas mensagens de malware em quarentena.

Nome do recurso de segurança Padrão no personalizado Proteção interna Padrão Estrito Comentário
Resposta de malware desconhecida de Anexos Seguros (Habilitar e Agir) Desativar (-Enable $false e -Action Block) Bloquear (-Enable $true e -Action Block) Bloquear (-Enable $true e -Action Block) Bloquear (-Enable $true e -Action Block) Quando o parâmetro Habilitar é $false, o valor do parâmetro Action não importa.
Política de quarentena (QuarentenaTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Anexo de redirecionamento com anexos detectados : Habilitar o redirecionamento (Redirecionamento e RedirecionamentoAddress) Não selecionado e nenhum endereço de email especificado. (-Redirect $false e RedirectAddress está em branco) Não selecionado e nenhum endereço de email especificado. (-Redirect $false e RedirectAddress está em branco) Não selecionado e nenhum endereço de email especificado. (-Redirect $false e RedirectAddress está em branco) Não selecionado e nenhum endereço de email especificado. (-Redirect $false e RedirectAddress está em branco) O redirecionamento de mensagens só está disponível quando o valor de resposta de malware desconhecido dos Anexos Seguros é Monitor (-Enable $true e -Action Allow).

Para obter mais informações sobre a proteção de Links Seguros, consulte Links Seguros em Defender para Office 365.

Embora não haja nenhuma política padrão de Links Seguros, a política de segurança predefinida de proteção interna fornece proteção de Links Seguros para todos os destinatários que não estão definidos na política de segurança predefinida Standard, na política de segurança predefinida estrita ou em políticas personalizadas de Links Seguros. Para obter mais informações, consulte Políticas de segurança predefinidas no EOP e Microsoft Defender para Office 365.

Para configurar configurações de política de Links Seguros, consulte Configurar políticas de Links Seguros no Microsoft Defender para Office 365.

No PowerShell, você usa os cmdlets New-SafeLinksPolicy e Set-SafeLinksPolicy para configurações de política de Links Seguros.

Observação

O Padrão na coluna personalizada refere-se aos valores padrão em novas políticas de Links Seguros que você cria. As colunas restantes indicam (a menos que seja observado de outra forma) os valores configurados nas políticas de segurança predefinidas correspondentes.

Nome do recurso de segurança Padrão no personalizado Proteção interna Padrão Estrito Comentário
URL & clique em configurações de proteção
Email As configurações nesta seção afetam a reescrita de URL e a hora de clicar em proteção em mensagens de email.
Ativado: Links Seguros verifica uma lista de links conhecidos e mal-intencionados quando os usuários clicam em links no email. As URLs são reescritas por padrão. (EnableSafeLinksForEmail) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Aplicar links seguros às mensagens de email enviadas dentro da organização (EnableForInternalSenders) Selecionado ($true) Não selecionado ($false) Selecionado ($true) Selecionado ($true)
Aplicar a verificação de URL em tempo real para links e links suspeitos que apontam para arquivos (ScanUrls) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Aguarde a conclusão da verificação de URL antes de entregar a mensagem (DeliverMessageAfterScan) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Não reescreva URLs, faça verificações apenas por meio da API de Links Seguros (DisableURLRewrite) Selecionado ($false)* Selecionado ($true) Não selecionado ($false) Não selecionado ($false) * Em novas políticas de Links Seguros que você cria no portal do Defender, essa configuração é selecionada por padrão. Em novas políticas de Links Seguros que você cria no PowerShell, o valor padrão do parâmetro DisableURLRewrite é $false.
Não reescreva as URLs a seguir no email (DoNotRewriteUrls) Em branco Em branco Em branco Em branco Não temos nenhuma recomendação específica para essa configuração.

Observação: as entradas na lista "Não reescreva as SEGUINTEs URLs" não são examinadas ou encapsuladas por Links Seguros durante o fluxo de email. Denuncie a URL como Não deveria ter sido bloqueada (False positive) e selecione Permitir que essa URL adicione uma entrada de permissão à Lista de Permissões/Blocos de Locatário para que a URL não seja digitalizada ou encapsulada por Links Seguros durante o fluxo de email e no momento do clique. Para obter instruções, consulte Relatar boas URLs à Microsoft.
Teams A configuração nesta seção afeta o tempo de proteção de clique no Microsoft Teams.
On: Links seguros verifica uma lista de links conhecidos e mal-intencionados quando os usuários clicam em links no Microsoft Teams. AS URLs não são reescritas. (EnableSafeLinksForTeams) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Office 365 aplicativos A configuração nesta seção afeta o tempo de proteção de clique em aplicativos do Office.
On: Links seguros verifica uma lista de links conhecidos e mal-intencionados quando os usuários clicam em links em aplicativos do Microsoft Office. AS URLs não são reescritas. (EnableSafeLinksForOffice) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true) Use links seguros em aplicativos com suporte Office 365 desktop e móveis (iOS e Android). Para obter mais informações, confira Configurações de Links Seguros para aplicativos do Office.
Clique nas configurações de proteção
Acompanhar cliques do usuário (TrackClicks) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Permitir que os usuários cliquem na URL original (AllowClickThrough) Selecionado ($false)* Selecionado ($true) Não selecionado ($false) Não selecionado ($false) * Em novas políticas de Links Seguros que você cria no portal do Defender, essa configuração é selecionada por padrão. Em novas políticas de Links Seguros que você cria no PowerShell, o valor padrão do parâmetro AllowClickThrough é $false.
Exibir a identidade visual da organização em páginas de notificação e aviso (EnableOrganizationBranding) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false) Não temos nenhuma recomendação específica para essa configuração.

Antes de ativar essa configuração, você precisa seguir as instruções em Personalizar o tema do Microsoft 365 para que sua organização carregue o logotipo da sua empresa.
Notificação
Como você gostaria de notificar seus usuários? (CustomNotificationText e UseTranslatedNotificationText) Use o texto de notificação padrão (Em branco e $false) Use o texto de notificação padrão (Em branco e $false) Use o texto de notificação padrão (Em branco e $false) Use o texto de notificação padrão (Em branco e $false) Não temos nenhuma recomendação específica para essa configuração.

Você pode selecionar Usar texto de notificação personalizada (-CustomNotificationText "<Custom text>") para inserir e usar texto de notificação personalizado. Se você especificar texto personalizado, também poderá selecionar Usar o Microsoft Translator para localização automática (-UseTranslatedNotificationText $true) para traduzir automaticamente o texto no idioma do usuário.