Sugestão
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Aplica-se a
- Proteção do Exchange Online
- Microsoft Defender para o Office 365 Plano 1 e Plano 2
- Microsoft Defender XDR
Este artigo fornece perguntas frequentes e respostas sobre a proteção antimalware para organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio.
Para obter perguntas e respostas sobre a quarentena, veja FAQ sobre Quarentena.
Para perguntas e respostas sobre a proteção antisspam, veja FAQ sobre proteção antisspam.
Para perguntas e respostas sobre a proteção anti-spoofing, veja FAQ sobre proteção anti-spoofing.
Quais são as recomendações de melhores práticas para configurar e utilizar o serviço para combater software maligno?
Com que frequência são atualizadas as definições de software maligno?
Cada servidor verifica a existência de novas definições de software maligno dos nossos parceiros antimalware a cada hora.
Quantos parceiros antimalware tem? Posso escolher os motores de software maligno que utilizamos?
A partir de julho de 2024, as mensagens são analisadas apenas com o motor antimalware da Microsoft.
Onde ocorre a análise de software maligno?
Analisamos software maligno em mensagens enviadas ou enviadas a partir de uma caixa de correio (mensagens em trânsito). Para Exchange Online caixas de correio, também temos remoção automática de zero horas (ZAP) para que o software maligno analise as mensagens que já foram entregues. Se reenviar uma mensagem de uma caixa de correio, esta será novamente analisada (porque está em trânsito).
Se fizer uma alteração a uma política antimalware, quanto tempo demora depois de guardar as minhas alterações para que entrem em vigor?
As alterações podem demorar até 1 hora a entrar em vigor.
O serviço analisa mensagens internas de software maligno?
Para organizações com Exchange Online caixas de correio, o serviço procura software maligno em todas as mensagens de entrada e saída, incluindo mensagens enviadas entre destinatários internos.
Uma subscrição EOP autónoma analisa as mensagens à medida que entram ou saem da organização de e-mail no local. As mensagens enviadas entre destinatários internos no local não são analisadas quanto a software maligno. No entanto, pode utilizar as funcionalidades de análise antimalware incorporadas do Exchange Server. Para obter mais informações, veja Proteção antimalware no Exchange Server.
A análise heurística está ativada?
Sim. Análise heurística procura software maligno conhecido (correspondência de assinatura) e desconhecido (suspeito).
O serviço pode analisar ficheiros comprimidos (como ficheiros .zip)?
Sim. O antimalware pode explorar ficheiros comprimidos (de arquivo).
A análise de anexos comprimido suporta recursivo (.zip dentro de um .zip dentro de um .zip) e, se for o caso, até onde vai?
Sim, a análise recursiva de ficheiros comprimidos analisa muitas camadas de profundidade.
O serviço funciona com versões do Exchange legadas e ambientes que não são do Exchange?
Sim, o serviço é agnóstico do servidor.
O que é um vírus de zero dias e como é processado pelo serviço?
Um vírus de zero dias é uma variante de software maligno de primeira geração, anteriormente desconhecida, que nunca foi capturada ou analisada.
Depois de uma amostra de vírus de zero dias ser capturada e analisada pelo nosso motor antimalware, é criada uma definição e uma assinatura exclusiva para detetar o software maligno.
Quando existe uma definição ou assinatura para o software maligno, já não é considerada zero-day.
Como posso configurar o serviço para bloquear ficheiros executáveis específicos (como \*.exe) que receio que possam conter software maligno?
Pode ativar e configurar o filtro de anexos comuns (também conhecido como bloqueio de anexos comuns), conforme descrito no filtro Anexos comuns em políticas antimalware.
Também pode criar uma regra de fluxo de correio do Exchange (também conhecida como regra de transporte) que bloqueia qualquer anexo de e-mail com conteúdo executável.
Siga os passos em How to reduce malware threats through file attachment blocking in Proteção do Exchange Online to block the file types listed in Supported file types for mail flow rule content inspection in Exchange Online (Como reduzir as ameaças de software maligno através do bloqueio de anexos de ficheiros no Proteção do Exchange Online para bloquear os tipos de ficheiro listados em Tipos de ficheiros suportados para a inspeção de conteúdo da regra de fluxo de correio no Exchange Online.
Para uma maior proteção, também recomendamos que utilize a extensão Qualquer ficheiro de anexo que inclua estas palavras condição nas regras de fluxo de correio para bloquear algumas ou todas as seguintes extensões: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Por que motivo um software maligno específico passou pelos filtros?
O software maligno que recebeu é uma nova variante (consulte O que é um vírus de zero dias e como é processado pelo serviço?). O tempo necessário para uma atualização da definição de software maligno depende dos nossos parceiros antimalware.
Lembre-se de que nenhuma definição configurável por utilizadores ou administradores pode isentar os anexos de e-mail de serem analisados pela proteção antimalware.
Como posso submeter software maligno que passou dos filtros para a Microsoft? Além disso, como posso submeter um ficheiro que acredito ter sido detetado incorretamente como software maligno?
Recebi uma mensagem de e-mail com um anexo desconhecido. Este software maligno é ou posso ignorar este anexo?
Recomendamos vivamente que não abra anexos que não reconheça. Se quiser que investiguemos o anexo, comunique o ficheiro à Microsoft.
Onde posso obter mensagens que foram eliminadas pelos filtros de software maligno?
As mensagens contêm código malicioso ativo e, portanto, não permitimos o acesso a estas mensagens. São eliminados sem cerimónias.
Não consigo receber um anexo específico porque está a ser identificado falsamente como software maligno. Posso permitir este anexo através de regras de fluxo de correio?
Não. Não pode utilizar regras de fluxo de correio do Exchange para ignorar a filtragem de software maligno. A única forma de ignorar a filtragem de software maligno de um destinatário é identificar a caixa de correio como uma caixa de correio SecOps. Para obter mais informações, consulte Utilizar o portal do Microsoft Defender para configurar caixas de correio secOps na política de entrega avançada.
Posso obter dados de relatórios sobre deteções de software maligno?
Sim, pode aceder a relatórios no portal Microsoft Defender. Para obter mais informações, consulte Ver relatórios de segurança de e-mail no portal do Microsoft Defender.
Existe alguma ferramenta que possa utilizar para seguir uma mensagem detetada por software maligno através do serviço?
Sim, a ferramenta de rastreio de mensagens permite-lhe seguir mensagens de e-mail à medida que passam pelo serviço. Para obter mais informações sobre como utilizar a ferramenta de rastreio de mensagens para descobrir por que motivo uma mensagem foi detetada para conter software maligno, consulte Rastreio de mensagens no centro de administração do Exchange moderno.
Posso utilizar um fornecedor de anti-spam e antimalware de terceiros com Exchange Online?
Sim. Na maioria dos casos, recomendamos que aponte os seus registos MX para (ou seja, entregar e-mail diretamente à) EOP. Se precisar de encaminhar o seu e-mail para outro local primeiro, tem de ativar a Filtragem Avançada para Conectores para que a EOP possa utilizar a verdadeira origem de mensagens nas decisões de filtragem.
As mensagens de spam e software maligno estão a ser investigadas sobre quem as enviou ou estão a ser transferidas para entidades de aplicação da lei?
O serviço centra-se na deteção e remoção de spam e malware, embora possamos ocasionalmente investigar campanhas de spam ou ataque especialmente perigosas ou prejudiciais e perseguir os autores.
Muitas vezes, trabalhamos com as nossas unidades de crime legal e digital para tomar as seguintes ações:
- Desça um botnet de spam.
- Bloquear a utilização do serviço por parte de um atacante.
- Passe a informação à aplicação da lei para um processo criminal.