Analisador de configuração para políticas de proteção na EOP e Microsoft Defender para Office 365

Artigo
04/26/2024
Aplica-se a:

✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

O analisador de configuração no portal do Microsoft Defender fornece uma localização central para localizar e corrigir políticas de segurança em que as definições são menos seguras do que as definições proteção Padrão e Perfil de proteção Estrita em políticas de segurança predefinidas.

Os seguintes tipos de políticas são analisados pelo analisador de configuração:

políticas de Proteção do Exchange Online (EOP): inclui organizações do Microsoft 365 com caixas de correio Exchange Online e organizações EOP autónomas sem caixas de correio Exchange Online:
políticas de Microsoft Defender para Office 365: inclui organizações com subscrições de suplementos Microsoft 365 E5 ou Defender para Office 365:
- As políticas anti-phishing no Microsoft Defender para Office 365, que incluem:
  - As mesmas definições de spoof disponíveis nas políticas anti-phishing da EOP.
  - Definições de representação
  - Limiares de phishing avançados
- Políticas de Ligações Seguras.
- Políticas de Anexos Seguros.

Os valores de definição de política Padrão e Estrito que são utilizados como linhas de base são descritos em Definições recomendadas para eOP e segurança Microsoft Defender para Office 365.

O analisador de configuração também verifica as seguintes definições não relacionadas com políticas:

DKIM: se os registos SPF e DKIM para o domínio especificado são detetados no DNS.
Outlook: se os identificadores de remetentes externos nativos do Outlook estão ativados na organização.

O que precisa de saber antes de começar?

Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente à página analisador de configuração , utilize https://security.microsoft.com/configurationAnalyzer.
Para ligar ao Exchange Online PowerShell, veja Ligar ao Exchange Online PowerShell.
Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Tem as seguintes opções:
- Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Afeta apenas o portal do Defender e não o PowerShell): Autorização e definições/Definições de segurança/Definições de Segurança Principal (gerir) ou Autorização e definições/Definições de segurança/Definições de Segurança Principal (leitura).
- Email & permissões de colaboração no portal do Microsoft Defender:
  - Utilize o analisador de configuração e atualize as políticas de segurança afetadas: Associação nos grupos de funções Gestão da Organização ou Administrador de Segurança .
  - Acesso só de leitura ao analisador de configuração: associação nos grupos de funções Leitor Global ou Leitor de Segurança .
- Exchange Online permissões: a associação no grupo de funções Gestão de Organizações Só de Visualização dá acesso só de leitura ao analisador de configuração.
- Microsoft Entra permissões: as funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança concedem aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

Utilizar o analisador de configuração no portal do Microsoft Defender

No portal de Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração Email &políticas de colaboração >& políticas>> deameaçasAnalisador de configuração na secção Políticas modeladas. Para aceder diretamente à página analisador de configuração , utilize https://security.microsoft.com/configurationAnalyzer.

A página analisador de configuração tem três separadores principais:

Recomendações padrão: compare as políticas de segurança existentes com as recomendações Padrão. Pode ajustar os valores das definições para os colocar no mesmo nível que Standard.
Recomendações estritas: compare as políticas de segurança existentes com as Recomendações estritas. Pode ajustar os valores das definições para que sejam apresentados ao mesmo nível que Estrita.
Análise e histórico de desfasamento da configuração: audite e controle as alterações de política ao longo do tempo.

Separadores Recomendações padrão e Recomendações estritas no analisador de configuração

Por predefinição, o analisador de configuração é aberto no separador Recomendações padrão . Pode mudar para o separador Recomendações estritas . As definições, o esquema e as ações são os mesmos em ambos os separadores.

A primeira secção do separador apresenta o número de definições em cada tipo de política que precisam de ser melhoradas em comparação com a proteção Padrão ou Estrita. Os tipos de políticas são:

Antiss spam
Anti-phishing
Antimalware
Anexos Seguros (se a sua subscrição incluir Microsoft Defender para Office 365)
Ligações Seguras (se a sua subscrição incluir Microsoft Defender para Office 365)
DKIM
Proteção Incorporada (se a sua subscrição incluir Microsoft Defender para Office 365)
Outlook

Se não for apresentado um tipo de política e um número, todas as políticas desse tipo cumprem as definições recomendadas de proteção Padrão ou Estrita.

O resto do separador é a tabela de definições que têm de ser colocadas ao nível da proteção Padrão ou Estrita. A tabela contém as seguintes colunas^*:

Recomendações: o valor da definição no perfil de proteção Padrão ou Restrito.
Política: o nome da política afetada que contém a definição.
Nome do grupo/definição da política: o nome da definição que requer a sua atenção.
Tipo de política: Anti-spam, Anti-phishing, Antimalware, Ligações Seguras ou Anexos Seguros.
Configuração atual: o valor atual da definição.
Última modificação: a data em que a política foi modificada pela última vez.
Estado: normalmente, este valor não é iniciado.

^* Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

Desloque-se horizontalmente no browser.
Reduza a largura das colunas adequadas.
Reduza o zoom no browser.

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis na lista de opções Filtros que é aberta:

Antiss spam
Anti-phishing
Antimalware
Anexos Seguros
Ligações Seguras
Regra de Proteção Incorporada do ATP
DKIM
Outlook

Quando tiver terminado na lista de opções Filtros , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Utilize a caixa Pesquisa e um valor correspondente para localizar entradas específicas.

Ver detalhes sobre uma definição de política recomendada

No separador Proteção padrão ou Proteção estrita do analisador de configuração, selecione uma entrada ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome da recomendação. Na lista de opções de detalhes que é aberta, estão disponíveis as seguintes informações:

Política: o nome da política afetada.
Porquê?: Informações sobre o motivo pelo qual recomendamos o valor para a definição.
A definição específica a alterar e o valor para o qual alterá-la.
Ver política: a ligação direciona-o para a lista de opções de detalhes da política afetada no portal do Microsoft Defender, onde pode atualizar manualmente a definição.
Uma ligação para definições recomendadas para a segurança de EOP e Microsoft Defender para Office 365.

Sugestão

Para ver detalhes sobre outras recomendações sem sair da lista de opções de detalhes, utilize Anterior e Seguinte na parte superior da lista de opções.

Quando terminar a lista de opções de detalhes, selecione Fechar.

Tomar medidas numa definição de política recomendada

No separador Proteção padrão ou Proteção estrita do analisador de configuração, selecione uma entrada ao selecionar a caixa de verificação junto ao nome da recomendação. As seguintes ações são apresentadas na página:

Aplicar recomendação: se a recomendação exigir vários passos, esta ação estará desativada.

Quando seleciona esta ação, é aberta uma caixa de diálogo de confirmação (com a opção de não mostrar novamente a caixa de diálogo). Quando seleciona OK, acontecem as seguintes coisas:
- A definição é atualizada para o valor recomendado.
- A recomendação ainda está selecionada, mas a única ação disponível é Atualizar.
- O valor Estado da linha muda para Concluído.
Ver política: é-lhe apresentada a lista de opções de detalhes da política afetada no portal do Microsoft Defender, onde pode atualizar manualmente a definição.
Exportar: exporta a recomendação selecionada para um ficheiro .csv, selecione Exportar.

Também pode exportar recomendações depois de selecionar várias recomendações ou depois de selecionar todas as recomendações ao selecionar a caixa de verificação junto ao cabeçalho da coluna Recomendações .

Depois de atualizar automaticamente ou manualmente a definição, selecione Atualizar para ver o número reduzido de recomendações e a remoção da linha atualizada dos resultados.

Separador Análise de desfasamento de configuração e histórico no analisador de configuração

Nota

A Auditoria Unificada tem de ser ativada para análise de desfasamento.

Este separador permite-lhe controlar as alterações às suas políticas de segurança e a forma como essas alterações se comparam às definições Padrão ou Estrita. Por predefinição, são apresentadas as seguintes informações:

Última modificação
Modificado por
Nome da Definição
Política: o nome da política afetada.
Tipo: Anti-spam, Anti-phishing, Antimalware, Ligações Seguras ou Anexos Seguros.
Alteração da configuração: o valor antigo e o novo valor da definição
Desvio de configuração: o valor Aumentar ou Diminuir que indica que a definição aumentou ou diminuiu a segurança em comparação com a definição Padrão ou Estrita recomendada.