Experimente Microsoft Defender para Office 365
Enquanto cliente existente do Microsoft 365, as páginas Avaliações e Avaliação no portal Microsoft 365 Defender permitem https://security.microsoft.com experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 antes de comprar.
Antes de experimentar Defender para Office 365 Plano 2, existem algumas questões-chave que precisa de colocar a si próprio:
- Quero observar passivamente o que Defender para Office 365 Plano 2 pode fazer por mim (auditoria) ou quero que Defender para Office 365 Plano 2 tome medidas diretas sobre questões que encontra (bloco)?
- De qualquer forma, como posso dizer o que Defender para Office 365 Plano 2 está a fazer por mim?
- Quanto tempo tenho antes de ter de tomar a decisão de manter o Defender para Office 365 Plano 2?
Este artigo irá ajudá-lo a responder a essas perguntas para que possa experimentar Defender para Office 365 Plano 2 de uma forma que melhor satisfaça as necessidades da sua organização.
Para obter um guia complementar sobre como utilizar a sua versão de avaliação, consulte Guia do Utilizador de Avaliação: Microsoft Defender para Office 365.
Descrição geral do Defender para Office 365
Defender para Office 365 ajuda as organizações a proteger a sua empresa ao oferecer uma lista abrangente de capacidades. Para obter mais informações, veja Microsoft Defender para Office 365.
Também pode saber mais sobre Defender para Office 365 neste guia interativo.
Veja este breve vídeo para saber mais sobre como pode ser mais produtivo em menos tempo com Microsoft Defender para Office 365.
Como funcionam as avaliações e avaliações para Defender para Office 365
Políticas
Defender para Office 365 inclui as funcionalidades do Proteção do Exchange Online (EOP), que estão presentes em todas as organizações do Microsoft 365 com caixas de correio Exchange Online e funcionalidades exclusivas do Defender para Office 365 .
As funcionalidades de proteção da EOP e Defender para Office 365 são implementadas através de políticas. As políticas exclusivas de Defender para Office 365 são criadas para si, conforme necessário:
- Proteção contra representação em políticas anti-phishing
- Anexos Seguros para mensagens de e-mail
- Ligações Seguras para mensagens de e-mail e Microsoft Teams
- Ligações Seguras detona URLs durante o fluxo de correio. Para impedir que URLs específicos sejam detonados, utilize entradas de permissão para URLs na Lista de Permissões/Bloqueios do Inquilino. Para obter mais informações, consulte Gerir a Lista de Permissões/Bloqueios de Inquilinos.
- As Ligações Seguras não encapsulam ligações de URL em corpos de mensagens de e-mail.
A sua elegibilidade para uma avaliação ou avaliação significa que já tem a EOP. Não são criadas políticas de EOP novas ou especiais para a avaliação ou avaliação do Defender para Office 365 Plano 2. As políticas de EOP existentes na sua organização do Microsoft 365 podem agir sobre mensagens (por exemplo, enviar mensagens para a pasta Email de Lixo ou para quarentena):
- Políticas antimalware
- Proteção anti-spam de entrada
- Proteção anti-spoofing em políticas anti-phishing
As políticas predefinidas para estas funcionalidades de EOP estão sempre ativadas, aplicam-se a todos os destinatários e são sempre aplicadas em último lugar após quaisquer políticas personalizadas.
Modo de auditoria vs. modo de bloqueio para Defender para Office 365
Pretende que a sua experiência de Defender para Office 365 seja ativa ou passiva? Estes são os dois modos que pode selecionar:
Modo de auditoria: são criadas políticas de avaliação especiais para anti phishing (que inclui proteção de representação), Anexos Seguros e Ligações Seguras. Estas políticas de avaliação estão configuradas para detetar apenas ameaças. Defender para Office 365 deteta mensagens prejudiciais para relatórios, mas as mensagens não são executadas (por exemplo, as mensagens detetadas não são colocadas em quarentena). As definições destas políticas de avaliação são descritas na secção Políticas no modo de auditoria mais à frente neste artigo.
O modo de auditoria fornece acesso a relatórios personalizados para ameaças detetadas por Defender para Office 365 na página Modo de avaliação em https://security.microsoft.com/atpEvaluation.
Modo de bloqueio: o modelo Standard para políticas de segurança predefinidas está ativado e utilizado para a versão de avaliação e os utilizadores que especificar incluir na versão de avaliação são adicionados à política de segurança predefinida Padrão. Defender para Office 365 deteta e toma medidas em mensagens prejudiciais (por exemplo, as mensagens detetadas são colocadas em quarentena).
A seleção predefinida e recomendada é definir o âmbito destas políticas de Defender para Office 365 para todos os utilizadores na organização. No entanto, durante ou após a configuração da sua avaliação, pode alterar a atribuição de políticas para utilizadores, grupos ou domínios de e-mail específicos no portal do Microsoft 365 Defender ou no Exchange Online PowerShell.
O modo de bloqueio não fornece relatórios personalizados para ameaças detetadas por Defender para Office 365. Em vez disso, as informações estão disponíveis nos relatórios regulares e funcionalidades de investigação do Defender para Office 365 Plano 2.
Um fator chave no modo de auditoria vs. modo de bloqueio é a forma como o e-mail é entregue à sua organização do Microsoft 365:
O correio da Internet flui diretamente para o Microsoft 365, mas a sua subscrição atual tem apenas Proteção do Exchange Online (EOP) ou Defender para Office 365 Plano 1.
Nestes ambientes, pode selecionar o modo de auditoria ou o modo de bloqueio.
Está atualmente a utilizar um serviço ou dispositivo de terceiros para proteção de e-mail das suas caixas de correio do Microsoft 365. O correio da Internet flui através do serviço de proteção antes da entrega na sua organização do Microsoft 365. A proteção do Microsoft 365 é o mais baixa possível (nunca está completamente desativada; por exemplo, a proteção contra software maligno é sempre imposta).
Nestes ambientes, só pode selecionar o modo de auditoria . Não precisa de alterar o fluxo de correio (registos MX).
Avaliação vs. avaliação para Defender para Office 365
Qual é a diferença entre uma avaliação e uma avaliação do Defender para Office 365 Plano 2? Não são a mesma coisa? Bem, sim e não. Eis o que precisa de saber:
Se ainda não tiver licenças Defender para Office 365 Plano 2 (por exemplo, EOP autónoma, Microsoft 365 E3, Microsoft 365 Empresas Premium ou Defender para Office 365 Plano 1), pode iniciar a sua versão de avaliação a partir da Página de avaliações do Microsoft 365 na https://security.microsoft.com/trialHorizontalHub página Modo de avaliação no https://security.microsoft.com/atpEvaluation portal do Microsoft 365 Defender. Em qualquer uma das localizações, pode selecionar o modo de permissão (política de segurança predefinida padrão) ou o modo de bloqueio (políticas de avaliação), conforme descrito anteriormente.
Independentemente da localização que utilizar, iremos aprovisionar automaticamente as licenças de avaliação necessárias Defender para Office 365 Plano 2 quando se inscrever. Os passos manuais ou externos para obter e atribuir licenças do Plano 2 no centro de administração do Microsoft 365 já não são necessários. As licenças de avaliação são válidas durante 90 dias:
Para organizações sem Defender para Office 365 (por exemplo, EOP autónoma ou Microsoft 365 E3), as funcionalidades (em particular, as políticas) de Defender para Office 365 estão disponíveis para si durante o período de avaliação.
As organizações com Defender para Office 365 Plano 1 (por exemplo, Microsoft 365 Empresas Premium ou subscrições de suplementos) têm exatamente as mesmas políticas que as organizações com Defender para Office 365 Plano 2 (proteção de representação em políticas anti-phishing, políticas de Anexos Seguros e políticas de Ligações Seguras). As políticas de segurança do modo de permissão (política de segurança predefinida padrão) ou do modo de bloqueio (políticas de avaliação) não expiram ou deixam de funcionar após 90 dias. O que termina após 90 dias para estas organizações são as capacidades de automatização, investigação, remediação e educação do Plano 2 que não estão presentes no Plano 1.
Se já tiver Defender para Office 365 Plano 2 (por exemplo, como parte de uma subscrição Microsoft 365 E5), nunca verá Defender para Office 365 na página de avaliações do Microsoft 365 em https://security.microsoft.com/trialHorizontalHub. Em vez disso, inicia a avaliação do Defender para Office 365 Planear para na página Modo de avaliação no https://security.microsoft.com/atpEvaluationmodo de permissão (política de segurança predefinida padrão) ou modo de bloqueio (políticas de avaliação).
Por definição, estas organizações não necessitam de licenças de avaliação do Defender para Office 365 Plano 2, pelo que as avaliações são ilimitadas em termos de duração.
As informações da lista anterior estão resumidas na seguinte tabela:
| Organização | Modos disponíveis | Inscrever a partir do Página de avaliação? |
Inscrever a partir do Página de avaliações? |
Avaliação ponto final |
|---|---|---|---|---|
| EOP Autónoma (sem caixas de correio Exchange Online) Microsoft 365 E3 |
Modo de auditoria Modo de bloqueio |
Sim | Sim | 90 dias |
| Plano 1 do Defender para Office 365 Microsoft 365 Empresas Premium |
Modo de auditoria Modo de bloqueio |
Sim | Sim | Ilimitado* |
| Microsoft 365 E5 | Modo de auditoria Modo de bloqueio |
Sim | Não | Ilimitado |
* As políticas de segurança do modo de permissão (política de segurança predefinida padrão) ou do modo de bloqueio (políticas de avaliação) não expiram ou deixam de funcionar após 90 dias. Apenas as capacidades de automatização, investigação, remediação e educação exclusivas do Defender para Office 365 Plano 2 deixam de funcionar após 90 dias.
Configurar uma avaliação ou avaliação no modo de auditoria
Lembre-se de que, quando avalia Defender para Office 365 no modo de auditoria, são criadas políticas de avaliação especiais para Defender para Office 365 possam detetar ameaças. As definições destas políticas de avaliação são descritas na secção Políticas no modo de auditoria mais à frente neste artigo.
Inicie a avaliação em qualquer uma das localizações disponíveis no portal do Microsoft 365 Defender em https://security.microsoft.com. Por exemplo:
- Na faixa na parte superior de qualquer Defender para Office 365 página de funcionalidades, clique em Iniciar avaliação gratuita.
- Na página de avaliações do Microsoft 365 em https://security.microsoft.com/trialHorizontalHub, localize e selecione Defender para Office 365.
- Na página Modo de avaliação em https://security.microsoft.com/atpEvaluation, clique em Iniciar avaliação.
Na caixa de diálogo Ativar proteção , selecione Não, só quero relatórios e, em seguida, clique em Continuar.
Na caixa de diálogo Selecionar os utilizadores que pretende incluir , configure as seguintes definições:
Todos os utilizadores: esta é a opção predefinida e recomendada.
Selecionar utilizadores: se selecionar esta opção, terá de selecionar os destinatários internos aos quais a avaliação se aplica:
- Utilizadores: as caixas de correio, utilizadores de correio ou contactos de correio especificados.
- Grupos:
- Membros dos grupos de distribuição especificados ou grupos de segurança com capacidade de correio (os grupos de distribuição dinâmicos não são suportados).
- O Grupos do Microsoft 365 especificado.
- Domínios: todos os destinatários nos domínios aceites especificados na sua organização.
Clique na caixa adequada, comece a escrever um valor e selecione o valor pretendido nos resultados. Repita este processo tantas vezes quanto necessário. Para remover um valor existente, clique em Remover
junto ao valor.Para utilizadores ou grupos, pode utilizar a maioria dos identificadores (nome, nome a apresentar, alias, endereço de e-mail, nome da conta, etc.), mas o nome a apresentar correspondente é apresentado nos resultados. Para os utilizadores, introduza um asterisco (*) por si só para ver todos os valores disponíveis.
Nota
Pode alterar estas seleções depois de concluir a configuração da versão de avaliação, conforme descrito na secção Gerir a sua versão de avaliação .
Vários tipos diferentes de condições ou exceções não são aditivos; são inclusivos. A avaliação ou avaliação é aplicada apenas aos destinatários que correspondem a todos os filtros de destinatário especificados. Por exemplo, pode configurar uma condição com os seguintes valores:
- Utilizadores: romain@contoso.com
- Grupos: Executivos
A avaliação ou avaliação só é aplicada romain@contoso.com se também for membro do grupo Executivos. Se não for membro do grupo, a avaliação ou julgamento não lhe será aplicada.
Da mesma forma, se utilizar o mesmo filtro de destinatário como uma exceção, a avaliação ou avaliação não será aplicada romain@contoso.comapenas se ele também for membro do grupo Executivos. Se ele não for membro do grupo, então a avaliação ou julgamento ainda se aplica a ele.
Quando tiver terminado, clique em Continuar.
Na caixa de diálogo Ajudar-nos a compreender o fluxo de correio , configure as seguintes opções:
Uma das seguintes opções é selecionada automaticamente com base na nossa deteção do registo MX do seu domínio:
Estou a utilizar um fornecedor de serviços de terceiros e/ou no local: o registo MX para os seus pontos de domínio noutro local que não o Microsoft 365. Esta seleção requer as seguintes definições adicionais depois de clicar em Seguinte:
Na caixa de diálogo Definições de terceiros ou no local, configure as seguintes definições:
Selecione um fornecedor de serviços de terceiros: selecione um dos seguintes valores:
- Barracuda
- Porta de Ferro
- Mimecast
- Ponto de verificação linguística
- Sophos
- Symantec
- Trend Micro
- Outro
O conector ao qual aplicar esta avaliação: selecione o conector utilizado para o fluxo de correio para o Microsoft 365.
A Filtragem Avançada para Conectores (também conhecida como ignorar listagem) é configurada automaticamente no conector que especificar.
Quando um serviço ou dispositivo de terceiros está à frente do e-mail que flui para o Microsoft 365, a Filtragem Avançada para Conectores identifica corretamente a origem das mensagens da Internet e melhora significativamente a precisão da pilha de filtragem da Microsoft (especialmente inteligência spoof, bem como capacidades pós-falha no Explorador de Ameaças e resposta de investigação & automatizada (AIR).
Listar cada endereço IP do gateway que as suas mensagens passam: esta definição só está disponível se tiver selecionado Outro para Selecionar um fornecedor de serviços de terceiros. Introduza uma lista separada por vírgulas dos endereços IP que são utilizados pelo serviço ou dispositivo de proteção de terceiros para enviar correio para o Microsoft 365.
Quando tiver terminado, clique em Seguinte.
Na caixa de diálogo Regras de fluxo de correio do Exchange, decida se precisa de uma regra de fluxo de correio Exchange Online (também conhecida como regra de transporte) que ignora a filtragem de spam para mensagens recebidas do serviço ou dispositivo de proteção de terceiros.
É provável que já tenha uma regra de fluxo de correio SCL=-1 no Exchange Online que permite que todo o correio de entrada do serviço de proteção ignore (a maioria) a filtragem do Microsoft 365. Muitos serviços de proteção incentivam este método de regra de fluxo de correio de nível de confiança de spam (SCL) para clientes do Microsoft 365 que utilizam os seus serviços.
Conforme explicado no passo anterior, a Filtragem Avançada para Conectores é configurada automaticamente no conector que especificar como a origem de correio do serviço de proteção.
Ativar a Filtragem Avançada para Conectores sem uma regra SCL=-1 para receber correio do serviço de proteção irá melhorar significativamente as capacidades de deteção das funcionalidades de proteção da EOP, como inteligência spoof, e pode afetar a entrega dessas mensagens recentemente detetadas (por exemplo, mover para a pasta Email de Lixo ou para quarentena). Este impacto está limitado às políticas de EOP; conforme explicado anteriormente, Defender para Office 365 políticas são criadas no modo de auditoria.
Para criar uma regra de fluxo de correio SCL=-1 ou para rever as regras existentes, clique no botão Ir para o Centro de administração do Exchange na página. Para obter mais informações, consulte Utilizar regras de fluxo de correio para definir o nível de confiança de spam (SCL) nas mensagens no Exchange Online.
Quando tiver terminado, clique em Concluir.
Só estou a utilizar Microsoft Exchange Online: os registos MX do seu ponto de domínio para o Microsoft 365. Não há mais nada para configurar, por isso, clique em Concluir.
Partilhar dados com a Microsoft: esta opção não está selecionada por predefinição, mas pode selecionar a caixa de verificação se quiser.
É apresentada uma caixa de diálogo de progresso à medida que a avaliação é configurada. Quando a configuração estiver concluída, clique em Concluído.
Configurar uma avaliação ou avaliação no modo de bloqueio
Lembre-se de que, quando tenta Defender para Office 365 no modo de bloqueio, a segurança predefinida Padrão é ativada e os utilizadores especificados (alguns ou todos) são incluídos na política de segurança predefinida Padrão. Para obter mais informações sobre a política de segurança predefinida Padrão, veja Políticas de segurança predefinidas.
Inicie a avaliação em qualquer uma das localizações disponíveis no portal Microsoft 365 Defender em https://security.microsoft.com. Por exemplo:
- Na faixa na parte superior de qualquer Defender para Office 365 página de funcionalidades, clique em Iniciar avaliação gratuita.
- Na página de avaliações do Microsoft 365 em https://security.microsoft.com/trialHorizontalHub, localize e selecione Defender para Office 365.
- Na página Modo de avaliação em https://security.microsoft.com/atpEvaluation, clique em Iniciar avaliação.
Na caixa de diálogo Ativar proteção , selecione Sim, proteger a minha organização ao bloquear ameaças e, em seguida, clique em Continuar.
Na caixa de diálogo Selecionar os utilizadores que pretende incluir , configure as seguintes definições:
Todos os utilizadores: esta é a opção predefinida e recomendada.
Selecionar utilizadores: se selecionar esta opção, terá de selecionar os destinatários internos aos quais a avaliação se aplica:
- Utilizadores: as caixas de correio, utilizadores de correio ou contactos de correio especificados.
- Grupos:
- Membros dos grupos de distribuição especificados ou grupos de segurança com capacidade de correio (os grupos de distribuição dinâmicos não são suportados).
- O Grupos do Microsoft 365 especificado.
- Domínios: todos os destinatários nos domínios aceites especificados na sua organização.
Clique na caixa adequada, comece a escrever um valor e selecione o valor pretendido nos resultados. Repita este processo tantas vezes quanto necessário. Para remover um valor existente, clique em Remover
junto ao valor.Para utilizadores ou grupos, pode utilizar a maioria dos identificadores (nome, nome a apresentar, alias, endereço de e-mail, nome da conta, etc.), mas o nome a apresentar correspondente é apresentado nos resultados. Para os utilizadores, introduza um asterisco (*) por si só para ver todos os valores disponíveis.
Nota
Pode alterar estas seleções depois de concluir a configuração da versão de avaliação, conforme descrito na secção Gerir a sua versão de avaliação .
Vários tipos diferentes de condições ou exceções não são aditivos; são inclusivos. A avaliação ou avaliação é aplicada apenas aos destinatários que correspondem a todos os filtros de destinatário especificados. Por exemplo, pode configurar uma condição com os seguintes valores:
- Utilizadores: romain@contoso.com
- Grupos: Executivos
A avaliação ou avaliação só é aplicada romain@contoso.com se também for membro do grupo Executivos. Se não for membro do grupo, a avaliação ou julgamento não lhe será aplicada.
Da mesma forma, se utilizar o mesmo filtro de destinatário como uma exceção, a avaliação ou avaliação não será aplicada romain@contoso.comapenas se ele também for membro do grupo Executivos. Se ele não for membro do grupo, então a avaliação ou julgamento ainda se aplica a ele.
Quando tiver terminado, clique em Continuar.
É apresentada uma caixa de diálogo de progresso à medida que a avaliação é configurada. Quando a configuração estiver concluída, clique em Concluído.
Gerir a avaliação ou avaliação do Defender para Office 365
Depois de configurar a avaliação ou avaliação no modo de auditoria ou no modo de bloqueio, a página Modo de avaliação em https://security.microsoft.com/atpEvaluation é a sua localização central para obter informações sobre como experimentar Defender para Office 365 Plano 2.
No portal do Microsoft 365 Defender em https://security.microsoft.com, aceda a Email ®ras >de políticas de colaboração Políticas &> de ameaças > selecione Modo de avaliação na secção Outros. Em alternativa, para aceder diretamente à página de avaliação do Microsoft Defender para Office 365, utilize https://security.microsoft.com/atpEvaluation.
Na página Microsoft Defender para Office 365 avaliação, pode efetuar as seguintes tarefas:
Clique em Comprar uma subscrição paga para comprar Defender para Office 365 Plano 2.
Clique em Gerir. Na lista de opções de avaliação Microsoft Defender para Office 365 apresentada, pode realizar as seguintes tarefas:
Altere a quem se aplica a avaliação ou avaliação conforme descrito anteriormente em Configurar uma avaliação ou avaliação no modo de auditoria e Configurar uma avaliação ou avaliação no modo de bloqueio.
Para mudar do modo de auditoria (políticas de avaliação) para o modo de bloqueio (política de segurança predefinida padrão), clique em Converter para proteção padrão e, em seguida, clique em Continuar na caixa de diálogo que parece ser levada para o assistente Aplicar proteção padrão na página Políticas de segurança predefinidas . Os destinatários incluídos e excluídos existentes são copiados. Para obter mais informações, veja Utilizar o portal do Microsoft 365 Defender para atribuir políticas de segurança predefinidas Padrão e Estritas aos utilizadores.
Notas:
- As políticas na política de segurança predefinida Padrão têm uma prioridade mais alta do que as políticas de avaliação, o que significa que as políticas na segurança predefinida Padrão são sempre aplicadas antes das políticas de avaliação, mesmo que ambas estejam presentes e ativadas. Para desativar as políticas de avaliação, utilize o botão Desativar .
- Não existe uma forma automática de passar do modo de bloqueio para o modo de auditoria. Os passos manuais são:
- Desative a política de segurança predefinida Padrão na página Políticas de segurança predefinidas .
- Depois de clicar em Gerir na página de avaliação Microsoft Defender para Office 365, verifique a presença do botão Desativar, que indica que as políticas de avaliação estão ativadas. Se vir o botão Ativar , clique no mesmo para ativar as políticas de avaliação.
- Verifique os utilizadores aos quais a avaliação se aplica.
Para desativar as políticas de avaliação, clique em Desativar. Para voltar a ativá-las, clique em Ativar.
Quando terminar a lista de opções, clique em Guardar.
Relatórios da avaliação ou avaliação do Defender para Office 365
Esta secção descreve os relatórios que estão disponíveis no modo de auditoria e no modo de bloqueio.
Relatórios para o modo de bloqueio
No modo de bloqueio, os seguintes relatórios mostram deteções por Defender para Office 365:
A vista Fluxo de Correio para o relatório de estado do Fluxo de Correio:
- As mensagens detetadas como representação de utilizador ou representação de domínio por políticas anti-phishing aparecem no bloco de Representação.
- As mensagens detetadas durante a detonação de ficheiros ou URLs por políticas de Anexos Seguros ou políticas de Ligações Seguras aparecem no bloco de Detonação.
O relatório Estado da proteção contra ameaças:
Ver dados por Descrição Geral:
Pode filtrar a maioria das vistas pelo MDOProtegido por valor para ver os efeitos de Defender para Office 365.
Ver dados por Email > Phish and Chart breakdown by Detection Technology
- As mensagens detetadas por campanhas aparecem na Campanha.
- As mensagens detetadas por Anexos Seguros aparecem na reputação de detonação de ficheiros e detonação de ficheiros.
- As mensagens detetadas pela proteção de representação de utilizadores em políticas anti-phishing aparecem no domínio de Representação, utilizador de representação e representação de informações da Caixa de Correio.
- As mensagens detetadas pelas Ligações Seguras aparecem na detonação do URL e na reputação de detonação do URL.
Ver dados por software maligno Email > e discriminação de gráficos por Tecnologia de Deteção
- As mensagens detetadas por campanhas aparecem na Campanha.
- As mensagens detetadas por Anexos Seguros aparecem na reputação de detonação de ficheiros e detonação de ficheiros.
- As mensagens detetadas pelas Ligações Seguras aparecem na detonação do URL e na reputação de detonação do URL.
Ver dados por Email > discriminação de Spam e Gráfico por Tecnologia de Deteção
As mensagens detetadas pelas Ligações Seguras aparecem na reputação maliciosa do URL.
Discriminação do gráfico por Tipo de política
As mensagens detetadas por Anexos Seguros aparecem em Anexos Seguros
Ver dados por Software Maligno de Conteúdo >
Os ficheiros maliciosos detetados pelos Anexos Seguros para o SharePoint, OneDrive e Microsoft Teams aparecem na detonação do MDO.
O relatório Principais remetentes e destinatários
Mostrar dados para principais destinatários de software maligno (MDO) e Mostrar dados para destinatários com phish (MDO) principais.
Relatórios para o modo de auditoria
No modo de auditoria, os seguintes relatórios mostram deteções por Defender para Office 365:
O relatório Estado da proteção contra ameaças tem Avaliação: Sim/Não como uma propriedade filtráveis nas seguintes vistas:
O Explorador de Ameaças mostra a seguinte faixa nos detalhes de deteção de mensagens no separador Análise para Anexo incorreto, URL de spam + malware, URL phish e mensagens de representação que foram detetadas pela avaliação de Defender para Office 365 mostram a seguinte faixa nos detalhes da entrada:
A página Microsoft Defender para Office 365 avaliação em https://security.microsoft.com/atpEvaluation consolida os relatórios das políticas na avaliação:
- Ligações Seguras
- Anexos Seguros
- Proteção contra representação em políticas anti-phishing
Por predefinição, os gráficos mostram dados dos últimos 30 dias, mas pode filtrar o intervalo de datas ao clicar no 
30 dias e selecionar a partir dos seguintes valores adicionais que são inferiores a 30 dias:
- 24 horas
- 7 dias
- 14 days
- Intervalo de datas personalizado
Pode clicar no 
Transfira para transferir os dados do gráfico para um ficheiro de .csv.
Permissões necessárias
As seguintes permissões são necessárias no Azure AD para configurar uma avaliação ou avaliação do Defender para Microsoft 365:
- Criar, modificar ou eliminar uma avaliação ou avaliação: Administrador de Segurança ou Administrador Global.
- Ver políticas de avaliação e relatórios no modo de auditoria: Administrador de Segurança ou Leitor de Segurança.
Para obter mais informações sobre permissões de Azure AD no portal do Microsoft 365 Defender, veja Azure AD funções no portal do Microsoft 365 Defender
Perguntas mais frequentes
P: Preciso de obter ou ativar manualmente licenças de avaliação?
R: Não. A versão de avaliação aprovisiona automaticamente Defender para Office 365 licenças do Plano 2, se precisar delas, conforme descrito anteriormente.
P: Como devo proceder para prolongar a avaliação?
R: Consulte Prolongar a sua versão de avaliação.
P: O que acontece aos meus dados após a expiração da versão de avaliação?
R: Após a sua versão de avaliação expirar, terá acesso aos seus dados de avaliação (dados de funcionalidades no Defender para Office 365 que não tinha anteriormente) durante 30 dias. Após este período de 30 dias, todas as políticas e dados associados à versão de avaliação Defender para Office 365 serão eliminados.
P: Quantas vezes posso utilizar a versão de avaliação do Defender para Office 365 na minha organização?
R: Um máximo de 2 vezes. Se a sua primeira avaliação expirar, terá de aguardar, pelo menos, 30 dias após a data de expiração antes de poder inscrever-se novamente no Defender para Office 365 versão de avaliação. Após a segunda avaliação, não pode inscrever-se noutra versão de avaliação.
P: No modo de auditoria, existem cenários em que Defender para Office 365 irão agir sobre as mensagens?
R: Sim. Ninguém em nenhum programa ou SKU pode desativar ou ignorar a realização de ações em mensagens classificadas como software maligno ou phishing de alta confiança pelo serviço.
No modo de auditoria, a proteção anti-spoofing na EOP também toma medidas nas mensagens. Para impedir que a proteção anti-spoofing atue em mensagens, crie uma regra de fluxo de correio do Exchange (também conhecida como regra de transporte) em que o e-mail de entrada ignora todos os tipos de filtragem que podem ser ignorados (incluindo proteção anti-spoofing). Para obter instruções, consulte Utilizar regras de fluxo de correio para definir o nível de confiança de spam (SCL) nas mensagens no Exchange Online.
P: Em que ordem são avaliadas as políticas?
R: Veja Ordem de precedência para políticas de segurança predefinidas e outras políticas.
Referência
Definições de política associadas a Defender para Office 365 versões de avaliação
Políticas no modo de auditoria
Aviso
Não tente criar, modificar ou remover as políticas de segurança individuais associadas à avaliação de Defender para Office 365. O único método suportado para criar as políticas de segurança individuais para a avaliação é iniciar a avaliação ou a avaliação no modo de auditoria no portal do Microsoft 365 Defender pela primeira vez.
Conforme descrito anteriormente, quando escolhe o modo de auditoria para a avaliação ou avaliação, as políticas de avaliação com as definições necessárias para observar, mas não tomar medidas nas mensagens, são criadas automaticamente.
Para ver estas políticas e as respetivas definições, execute o seguinte comando no Exchange Online PowerShell:
Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"
As definições também estão descritas nas tabelas seguintes.
Definições de políticas de avaliação anti-phishing
| Definição | Valor |
|---|---|
| Name | Política de Avaliação |
| AdminDisplayName | Política de Avaliação |
| AuthenticationFailAction | MoveToJmf |
| Ativado | Verdadeiro |
| EnableFirstContactSafetyTips | Falso |
| EnableMailboxIntelligence | Verdadeiro |
| EnableMailboxIntelligenceProtection | Verdadeiro |
| EnableOrganizationDomainsProtection | Falso |
| EnableSimilarDomainsSafetyTips | Falso |
| EnableSimilarUsersSafetyTips | Falso |
| EnableSpoofIntelligence | Verdadeiro |
| EnableSuspiciousSafetyTip | Falso |
| EnableTargetedDomainsProtection | Falso |
| EnableTargetedUserProtection | Falso |
| EnableUnauthenticatedSender | Verdadeiro |
| EnableUnusualCharactersSafetyTips | Falso |
| EnableViaTag | Verdadeiro |
| ExcludedDomains | {} |
| Remetentes Excluídos | {} |
| ImpersonationProtectionState | Manual |
| Predefinição | Falso |
| MailboxIntelligenceProtectionAction | NoAction |
| MailboxIntelligenceProtectionActionRecipients | {} |
| MailboxIntelligenceQuarantineTag | DefaultFullAccessPolicy |
| PhishThresholdLevel | 1 |
| PolicyTag | em branco |
| RecommendedPolicyType | Avaliação |
| SpoofQuarantineTag | DefaultFullAccessPolicy |
| TargetedDomainActionRecipients | {} |
| TargetedDomainProtectionAction | NoAction |
| TargetedDomainQuarantineTag | DefaultFullAccessPolicy |
| TargetedDomainsToProtect | {} |
| TargetedUserActionRecipients | {} |
| TargetedUserProtectionAction | NoAction |
| TargetedUserQuarantineTag | DefaultFullAccessPolicy |
| TargetedUsersToProtect | {} |
Definições de política de avaliação de Anexos Seguros
| Definição | Valor |
|---|---|
| Name | Política de Avaliação |
| Ação | Permitir |
| ActionOnError | Verdadeiro |
| AdminDisplayName | Política de Avaliação |
| ConfidenceLevelThreshold | 80 |
| Ativar | Verdadeiro |
| EnableOrganizationBranding | Falso |
| IsBuiltInProtection | Falso |
| Predefinição | Falso |
| OperationMode | Atraso |
| QuarantineTag | AdminOnlyAccessPolicy |
| RecommendedPolicyType | Avaliação |
| Redirecionamento | Falso |
| RedirectAddress | em branco |
| ScanTimeout | 30 |
Definições de política de avaliação de Ligações Seguras
| Definição | Valor |
|---|---|
| Name | Política de Avaliação |
| AdminDisplayName | Política de Avaliação |
| AllowClickThrough | Verdadeiro |
| CustomNotificationText | em branco |
| DeliverMessageAfterScan | Verdadeiro |
| DisableUrlRewrite | Verdadeiro |
| DoNotRewriteUrls | {} |
| EnableForInternalSenders | Falso |
| EnableOrganizationBranding | Falso |
| EnableSafeLinksForEmail | Verdadeiro |
| EnableSafeLinksForOffice | Falso |
| EnableSafeLinksForTeams | Falso |
| IsBuiltInProtection | Falso |
| LocalizedNotificationTextList | {} |
| RecommendedPolicyType | Avaliação |
| ScanUrls | Verdadeiro |
| TrackClicks | Verdadeiro |
Utilizar o PowerShell para configurar as condições e exceções do destinatário para a avaliação no modo de auditoria
Uma regra associada às políticas de avaliação Defender para Office 365 controla as condições e exceções do destinatário à avaliação.
Para ver a regra associada à avaliação, execute o seguinte comando no Exchange Online PowerShell:
Get-ATPEvaluationRule
Para utilizar Exchange Online PowerShell para modificar a quem se aplica a avaliação, utilize a seguinte sintaxe:
Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
Este exemplo configura exceções da avaliação para as caixas de correio de operações de segurança (SecOps) especificadas.
Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"
Utilizar o PowerShell para ativar ou desativar a avaliação no modo de auditoria
Para ativar ou desativar a avaliação no modo de auditoria, ative ou desative a regra associada à avaliação. O valor da propriedade Estado da regra de avaliação mostra se a regra está Ativada ou Desativada.
Execute o seguinte comando para determinar se a avaliação está atualmente ativada ou desativada:
Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State
Execute o seguinte comando para desativar a avaliação se estiver ativada:
Disable-ATPEvaluationRule -Identity "Evaluation Rule"
Execute o seguinte comando para ativar a avaliação se estiver desativada:
Enable-ATPEvaluationRule -Identity "Evaluation Rule"
Políticas e regras no modo de bloqueio
Conforme descrito anteriormente, quando escolhe o modo de bloqueio para a sua versão de avaliação, as políticas são criadas com o modelo Standard para políticas de segurança predefinidas.
Para utilizar Exchange Online PowerShell para ver as políticas de segurança individuais associadas à política de segurança predefinida Padrão e para utilizar o Exchange Online PowerShell para ver e configurar as condições e exceções do destinatário para a política de segurança predefinida, veja Predefinições de políticas de segurança no Exchange Online PowerShell.