Investigar e-mails maliciosos que foram entregues no Microsoft 365

Sugestão

Sabia que pode experimentar as funcionalidades do Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliação do portal do Microsoft 365 Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Aplica-se a:

• Plano 1 e plano 2 do Microsoft Defender para Office 365
• Microsoft 365 Defender

Microsoft Defender para Office 365 permite-lhe investigar atividades que colocam pessoas na sua organização em risco e tomar medidas para proteger a sua organização. Por exemplo, se fizer parte da equipa de segurança da sua organização, pode encontrar e investigar mensagens de e-mail suspeitas que foram entregues. Pode fazê-lo com o Explorador de Ameaças (ou deteções em tempo real).

Nota

Avance para o artigo de remediação aqui.

Before you begin

Certifique-se de que os seguintes requisitos são cumpridos:

• A sua organização tem Microsoft Defender para Office 365 e as licenças são atribuídas aos utilizadores.

• O registo de auditoria está ativado para a sua organização.

• A sua organização tem políticas definidas para antisspam, antimalware, anti-phishing, etc. Veja Proteger contra ameaças no Office 365.

• É um administrador global ou tem a função Administrador de Segurança ou Pesquisa e Remoção atribuída no portal Microsoft 365 Defender. Para obter mais informações, veja Permissões no portal do Microsoft 365 Defender. Para algumas ações, também tem de ter a função de Pré-visualização atribuída.

Pré-visualizar permissões de função

Para efetuar determinadas ações, como ver cabeçalhos de mensagens ou transferir conteúdos de mensagens de e-mail, tem de adicionar a função Pré-visualização a outro grupo de funções adequado. A tabela seguinte esclarece as funções e permissões necessárias.

Atividade	Grupo de funções	Função de pré-visualização necessária?
Utilizar o Explorador de Ameaças (e deteções em tempo real) para analisar ameaças	Administrador Global Administrador de Segurança Leitor de Segurança	Não
Utilize o Explorador de Ameaças (e deteções em tempo real) para ver cabeçalhos de mensagens de e-mail, bem como pré-visualizar e transferir mensagens de e-mail em quarentena	Administrador Global Administrador de Segurança Leitor de Segurança	Não
Utilizar o Explorador de Ameaças para ver cabeçalhos, pré-visualizar e-mail (apenas na página da entidade de e-mail) e transferir mensagens de e-mail entregues em caixas de correio	Administrador Global Administrador de Segurança Leitor de Segurança Pré-visualização	Sim

Nota

A pré-visualização é uma função, não um grupo de funções. A função Pré-visualização tem de ser adicionada a um grupo de funções existente ou a um novo grupo de funções no portal do Microsoft 365 Defender. Para obter mais informações, veja Permissões no portal do Microsoft 365 Defender.

É atribuída a função de Administrador Global ao centro de administração do Microsoft 365 em https://admin.microsoft.com. As funções Administrador de Segurança e Leitor de Segurança estão atribuídas no portal Microsoft 365 Defender.

Compreendemos que a pré-visualização e a transferência de e-mails são atividades confidenciais, pelo que a auditoria é ativada para estas atividades. Depois de um administrador realizar estas atividades por e-mail, os registos de auditoria são gerados para o mesmo e podem ser vistos no portal Microsoft 365 Defender no https://security.microsoft.com separadorPesquisa de Auditoria> e filtrar o nome do administrador na caixa Utilizadores. Os resultados filtrados mostrarão a atividade AdminMailAccess. Selecione uma linha para ver os detalhes na secção Mais informações sobre o e-mail pré-visualizado ou transferido.

Localizar e-mail suspeito que foi entregue

O Explorador de Ameaças é um relatório poderoso que pode servir várias finalidades, como localizar e eliminar mensagens, identificar o endereço IP de um remetente de e-mail malicioso ou iniciar um incidente para uma investigação mais aprofundada. O procedimento seguinte centra-se na utilização do Explorador para localizar e eliminar e-mails maliciosos das caixas de correio do destinatário.

Nota

Atualmente, as pesquisas predefinidas no Explorador não incluem itens entregues que foram removidos da caixa de correio na nuvem por remoção automática de zero horas (ZAP). Esta limitação aplica-se a todas as vistas (por exemplo, as vistas software maligno Email > ou Email > phish). Para incluir itens removidos pelo ZAP, tem de adicionar um conjunto de ações de Entrega para incluir Removido pelo ZAP. Se incluir todas as opções, verá todos os resultados da ação de entrega, incluindo itens removidos pelo ZAP.

1. No portal de Microsoft 365 Defender em https://security.microsoft.com, aceda a explorador de colaboração Email &.> Para aceder diretamente à página Do Explorador , utilize https://security.microsoft.com/threatexplorer.

   Na página Explorador , a coluna Ações adicionais mostra aos administradores o resultado do processamento de um e-mail. A coluna Ações adicionais pode ser acedida no mesmo local que a Ação de entrega e Localização de entrega. As ações especiais podem ser atualizadas no final da linha cronológica de e-mail do Explorador de Ameaças, que é uma nova funcionalidade destinada a melhorar a experiência de investigação para os administradores.

2. No menu Ver, selecione Email>Todos os e-mails na lista pendente.

   

   A vista Software Maligno é atualmente a predefinição e captura e-mails onde é detetada uma ameaça de malware. A vista Phish funciona da mesma forma, para Phish.

   No entanto, Todas as vistas de e-mail listam todos os e-mails recebidos pela organização, quer tenham sido ou não detetadas ameaças. Como pode imaginar, são muitos dados, razão pela qual esta vista mostra um marcador de posição que pede a aplicação de um filtro. (Esta vista só está disponível para Defender para Office 365 clientes P2.)

   A vista Submissões mostra todas as mensagens de correio enviadas pelo administrador ou utilizador que foram comunicadas à Microsoft.

3. Procurar e filtrar no Explorador de Ameaças: os filtros aparecem na parte superior da página na barra de pesquisa para ajudar os administradores nas investigações. Repare que vários filtros podem ser aplicados ao mesmo tempo e vários valores separados por vírgulas adicionados a um filtro para restringir a pesquisa. Lembre-se:

   • Os filtros fazem a correspondência exata na maioria das condições de filtro.
   • O filtro de assunto utiliza uma consulta CONTAINS. Uma consulta CONTAINS irá procurar uma correspondência exata da subcadeia. Os carateres universais ou expressões regulares não são suportados.
   • Os filtros de URL funcionam com ou sem protocolos (por exemplo, https).
   • O domínio de URL, o caminho do URL, o domínio de URL e os filtros de caminho não necessitam de um protocolo para filtrar.
   • Tem de clicar no ícone Atualizar sempre que alterar os valores de filtro para obter resultados relevantes.

4. Filtros avançados: com estes filtros, pode criar consultas complexas e filtrar o conjunto de dados. Clicar em Filtros Avançados abre uma lista de opções.

   A filtragem avançada é uma ótima adição às capacidades de pesquisa. Um valor booleano NÃO nos filtros de domínio Destinatário, Remetente e Remetente permite que os administradores investiguem excluindo valores. Esta opção é Igual a nenhuma seleção . Esta opção permite que os administradores excluam caixas de correio indesejadas de investigações (por exemplo, caixas de correio de alerta e caixas de correio de resposta predefinidas) e é útil para casos em que os administradores procuram um assunto específico (por exemplo, Atenção) em que o Destinatário pode ser definido como Igual a nenhum de: defaultMail@contoso.com. Esta é uma pesquisa de valor exata.

   

   Adicionar um filtro de hora à data de início e à data de fim ajuda a equipa de segurança a desagregar rapidamente. A duração de tempo permitida mais curta é de 30 minutos. Se conseguir restringir a ação suspeita por período de tempo (por exemplo, ocorreu há 3 horas), isto irá limitar o contexto e ajudar a identificar o problema.

   

5. Campos no Explorador de Ameaças: o Explorador de Ameaças expõe muito mais informações de correio relacionadas com segurança, como a ação de Entrega, Localização de entrega, Ação especial, Direcionalidade, Substituições e ameaça de URL. Também permite que a equipa de segurança da sua organização investigue com maior certeza.

   A ação de entrega é a ação tomada num e-mail devido a políticas ou deteções existentes. Eis as possíveis ações que um e-mail pode efetuar:

   • Entregue – o e-mail foi entregue na caixa de entrada ou pasta de um utilizador e o utilizador pode aceder diretamente à mesma.
   • Lixo (Entregue em lixo)– o e-mail foi enviado para a pasta de lixo do utilizador ou para a pasta eliminada e o utilizador tem acesso a mensagens de e-mail na respetiva pasta Lixo ou Eliminado.
   • Bloqueado – todas as mensagens de e-mail colocadas em quarentena, que falharam ou que foram removidas.
   • Substituído – qualquer e-mail em que anexos maliciosos sejam substituídos por .txt ficheiros que indiquem que o anexo foi malicioso

   Localização de entrega: o filtro Localização de entrega está disponível para ajudar os administradores a compreender onde é que o correio malicioso suspeito acabou e que ações foram tomadas no mesmo. Os dados resultantes podem ser exportados para a folha de cálculo. As possíveis localizações de entrega são:

   • Caixa de Entrada ou pasta – o e-mail está na Caixa de Entrada ou numa pasta específica, de acordo com as suas regras de e-mail.
   • No local ou externo – a caixa de correio não existe na Cloud, mas está no local.
   • Pasta de lixo – o e-mail está na pasta E-mail de Lixo de um utilizador.
   • Pasta itens eliminados – o e-mail está na pasta Itens eliminados de um utilizador.
   • Quarentena – o e-mail em quarentena e não na caixa de correio de um utilizador.
   • Falha – O e-mail não conseguiu aceder à caixa de correio.
   • Removido – o e-mail foi perdido algures no fluxo de correio.

   Direcionalidade: esta opção permite que a sua equipa de operações de segurança filtre pela "direção" de onde vem um e-mail ou está a ir. Os valores de direcionalidade são Entrada, Saída e Intra-organização (correspondentes ao correio que entra na sua organização de fora, é enviado para fora da sua organização ou é enviado internamente para a sua organização, respetivamente). Estas informações podem ajudar as equipas de operações de segurança a identificar spoofing e representação, porque será evidente um erro de correspondência entre o valor Direcionalidade (por exemplo, Entrada) e o domínio do remetente (que parece ser um domínio interno). O valor Direcionalidade é separado e pode ser diferente do Rastreio de Mensagens. Os resultados podem ser exportados para a folha de cálculo.

   Substituições: este filtro utiliza informações que aparecem no separador de detalhes do correio e utiliza-as para expor onde as políticas organizacionais ou de utilizador, para permitir e bloquear mensagens de correio foram substituídas. O mais importante neste filtro é que ajuda a equipa de segurança da sua organização a ver quantos e-mails suspeitos foram entregues devido à configuração. Isto dá-lhes a oportunidade de modificar as permissões e os blocos conforme necessário. Este conjunto de resultados deste filtro pode ser exportado para a folha de cálculo.

   Substituições do Explorador de Ameaças	O que significam
   Permitido pela Política de Organização	O correio foi autorizado a entrar na caixa de correio conforme indicado pela política da organização.
   Bloqueado pela Política de organização	O correio foi impedido de ser entregue na caixa de correio, conforme indicado pela política da organização.
   Extensão de ficheiro bloqueada pela Política de Organização	O ficheiro foi impedido de ser entregue na caixa de correio, conforme indicado pela política da organização.
   Permitido pela Política de Utilizador	O correio foi autorizado a entrar na caixa de correio conforme indicado pela política de utilizador.
   Bloqueado pela Política de Utilizador	O correio foi impedido de ser entregue na caixa de correio, conforme indicado pela política de utilizador.

   Ameaça de URL: o campo de ameaça de URL foi incluído no separador de detalhes de um e-mail para indicar a ameaça apresentada por um URL. As ameaças apresentadas por um URL podem incluir Software Maligno, Phish ou Spam e um URL sem ameaça indicará Nenhum na secção de ameaças.

6. Email vista de linha cronológica: a sua equipa de operações de segurança poderá ter de aprofundar os detalhes do e-mail para investigar mais aprofundadamente. A linha cronológica do e-mail permite que os administradores vejam as ações executadas num e-mail, desde a entrega até à pós-entrega. Para ver uma linha cronológica de e-mail, clique no assunto de uma mensagem de e-mail e, em seguida, clique Email linha cronológica. (Aparece entre outros cabeçalhos no painel, como Resumo ou Detalhes.) Estes resultados podem ser exportados para a folha de cálculo.

   Email linha cronológica será aberta numa tabela que mostra todos os eventos de entrega e pós-entrega do e-mail. Se não existirem mais ações no e-mail, deverá ver um único evento para a entrega original que indica um resultado, como Bloqueado, com um veredicto como Phish. Os administradores podem exportar toda a linha cronológica do e-mail, incluindo todos os detalhes no separador e no e-mail (por exemplo, Assunto, Remetente, Destinatário, Rede e ID da Mensagem). A linha cronológica do e-mail reduz a aleatoriedade porque há menos tempo gasto a verificar diferentes localizações para tentar compreender os eventos que ocorreram desde que o e-mail chegou. Quando vários eventos ocorrem em, ou perto de, ao mesmo tempo num e-mail, esses eventos são apresentados numa vista de linha cronológica.

7. Pré-visualização/transferência: o Explorador de Ameaças fornece à sua equipa de operações de segurança os detalhes necessários para investigar e-mails suspeitos. A sua equipa de operações de segurança pode:

   • Verifique a ação de entrega e a localização.

   • Veja a linha cronológica do seu e-mail.

Verificar a ação de entrega e a localização

No Explorador de Ameaças (e deteções em tempo real), tem agora as colunas Ação de Entrega e Localização de Entrega em vez da antiga coluna Estado da Entrega . Isto resulta numa imagem mais completa de onde as suas mensagens de e-mail são enviadas. Parte do objetivo desta alteração é facilitar as investigações às equipas de operações de segurança, mas o resultado líquido é saber rapidamente a localização das mensagens de e-mail problemáticas.

O Estado da Entrega está agora dividido em duas colunas:

• Ação de entrega – Qual é o estado deste e-mail?
• Localização da entrega - Como resultado, este e-mail foi encaminhado?

A ação de entrega é a ação tomada num e-mail devido a políticas ou deteções existentes. Eis as possíveis ações que um e-mail pode efetuar:

• Entregue – o e-mail foi entregue na caixa de entrada ou pasta de um utilizador e o utilizador pode aceder diretamente à mesma.
• Lixo – o e-mail foi enviado para a pasta de lixo do utilizador ou para a pasta eliminada e o utilizador tem acesso às mensagens de e-mail na respetiva pasta Lixo ou Eliminado.
• Bloqueado – todas as mensagens de e-mail colocadas em quarentena, que falharam ou que foram removidas.
• Substituído – qualquer e-mail onde os anexos maliciosos são substituídos por .txt ficheiros que indiquem que o anexo foi malicioso.

A localização de entrega mostra os resultados de políticas e deteções que são executadas após a entrega. Está ligado a uma Ação de Entrega. Este campo foi adicionado para dar informações sobre a ação efetuada quando é encontrado um e-mail de problema. Eis os valores possíveis da localização de entrega:

• Caixa de Entrada ou pasta – o e-mail está na caixa de entrada ou numa pasta (de acordo com as regras de e-mail).
• No local ou externo – a caixa de correio não existe na nuvem, mas está no local.
• Pasta de lixo – o e-mail está na pasta Lixo de um utilizador.
• Pasta itens eliminados – o e-mail está na pasta Itens eliminados de um utilizador.
• Quarentena – o e-mail em quarentena e não na caixa de correio de um utilizador.
• Falha – O e-mail não conseguiu aceder à caixa de correio.
• Removido – o e-mail perde-se algures no fluxo de correio.

Ver a linha cronológica do seu e-mail

Email Linha Cronológica é um campo no Explorador de Ameaças que facilita a investigação para a sua equipa de operações de segurança. Quando vários eventos ocorrem em ou perto do mesmo tempo num e-mail, esses eventos são apresentados numa vista de linha cronológica. Alguns eventos que ocorrem após a entrega ao e-mail são capturados na coluna Ações especiais . Combinar informações da linha cronológica de uma mensagem de e-mail com quaisquer ações especiais realizadas após a entrega dá aos administradores informações sobre políticas e processamento de ameaças (por exemplo, onde o correio foi encaminhado e, em alguns casos, qual foi a avaliação final).

Importante

Aceda a um tópico de remediação aqui.

Tópicos relacionados

Remediar e-mails maliciosos que foram entregues no Office 365

Microsoft Defender para Office 365

Proteger contra ameaças no Office 365

Ver relatórios para Defender para Office 365