Ajustar a proteção anti-phishing

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Embora o Microsoft 365 venha com uma variedade de funcionalidades anti-phishing ativadas por predefinição, é possível que algumas mensagens de phishing ainda consigam aceder às caixas de correio na sua organização. Este artigo descreve o que pode fazer para descobrir porque é que uma mensagem de phishing passou e o que pode fazer para ajustar as definições anti-phishing na sua organização do Microsoft 365 sem piorar acidentalmente as coisas.

Em primeiro lugar: lidar com quaisquer contas comprometidas e certificar-se de que bloqueia a obtenção de mais mensagens de phishing

Se a conta de um destinatário tiver sido comprometida como resultado da mensagem de phishing, siga os passos em Responder a uma conta de e-mail comprometida no Microsoft 365.

Se a sua subscrição incluir Microsoft Defender para Office 365, pode utilizar o Office 365 Threat Intelligence para identificar outros utilizadores que também receberam a mensagem de phishing. Tem opções adicionais para bloquear mensagens de phishing:

• Ligações Seguras no Microsoft Defender para Office 365
• Anexos Seguros no Microsoft Defender para Office 365
• Políticas anti-phishing no Microsoft Defender para Office 365. Pode aumentar temporariamente os limiares de phishing Avançados na política de Standard para Agressivo, Mais agressivo ou Mais agressivo.

Verifique se estas políticas estão a funcionar. A proteção de Ligações Seguras e Anexos Seguros está ativada por predefinição, graças à proteção incorporada em políticas de segurança predefinidas. O anti-phishing tem uma política predefinida que se aplica a todos os destinatários em que a proteção anti-spoofing está ativada por predefinição. A proteção contra representação não está ativada na política e, portanto, tem de ser configurada. Para obter instruções, consulte Configurar políticas anti-phishing no Microsoft Defender para Office 365.

Comunicar a mensagem de phishing à Microsoft

Comunicar mensagens de phishing é útil para otimizar os filtros que são utilizados para proteger todos os clientes no Microsoft 365. Para obter instruções, consulte Utilizar a página Submissões para submeter spam, phish, URLs, e-mails legítimos bloqueados e anexos de e-mail à Microsoft.

Inspecionar os cabeçalhos da mensagem

Pode examinar os cabeçalhos da mensagem de phishing para ver se existe alguma coisa que possa fazer para impedir que sejam apresentadas mais mensagens de phishing. Por outras palavras, examinar os cabeçalhos das mensagens pode ajudá-lo a identificar as definições na sua organização que foram responsáveis por permitir a entrada das mensagens de phishing.

Especificamente, deve verificar o campo de cabeçalho X-Forefront-Antispam-Report nos cabeçalhos da mensagem para obter indicações de filtragem ignorada para spam ou phishing no valor de Veredicto de Filtragem de Spam (SFV). As mensagens que ignoram a filtragem têm uma entrada de SCL:-1, o que significa que uma das suas definições permitiu esta mensagem ao substituir os veredictos de spam ou phishing que foram determinados pelo serviço. Para obter mais informações sobre como obter cabeçalhos de mensagens e a lista completa de todos os cabeçalhos de mensagens anti-spam e anti-phishing disponíveis, consulte Cabeçalhos de mensagens antiss spam no Microsoft 365.

Sugestão

Pode copiar e colar os conteúdos de um cabeçalho de mensagem na ferramenta Analisador de Cabeçalhos de Mensagens . Esta ferramenta ajuda a analisar cabeçalhos e a colocá-los num formato mais legível.

Também pode utilizar o analisador de configuração para comparar a sua EOP e Defender para Office 365 políticas de segurança com as recomendações Padrão e Estrita.

Melhores práticas para permanecer protegido

• Mensalmente, execute a Classificação de Segurança para avaliar as definições de segurança da sua organização.

• Para mensagens que acabam em quarentena por engano (falsos positivos) ou para mensagens que são permitidas (falsos negativos), recomendamos que procure essas mensagens no Explorador de Ameaças e deteções em tempo real. Pode procurar por remetente, destinatário ou ID de mensagem. Depois de localizar a mensagem, aceda aos detalhes ao clicar no assunto. Para uma mensagem em quarentena, procure ver qual era a "tecnologia de deteção" para que possa utilizar o método adequado para substituir. Para obter uma mensagem permitida, veja que política permitiu a mensagem.

• Email de remetentes falsificados (o endereço De da mensagem não corresponde à origem da mensagem) é classificado como phishing no Defender para Office 365. Por vezes, o spoofing é benigno e, por vezes, os utilizadores não querem que as mensagens de um remetente falsificado específico sejam colocadas em quarentena. Para minimizar o impacto para os utilizadores, reveja periodicamente as informações de spoof intelligence, as entradas de remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos e o relatório de deteções spoof. Depois de rever os remetentes falsificados permitidos e bloqueados e efetuar quaisquer substituições necessárias, pode configurar com confiança as informações de spoof intelligence em políticas anti-phishing para Colocar em quarentena mensagens suspeitas em vez de as entregar à pasta de Email de lixo do utilizador.

• No Defender para Office 365, também pode utilizar a página informações de Representação em https://security.microsoft.com/impersonationinsight para controlar a representação do utilizador ou as deteções de representação de domínio. Para obter mais informações, veja Informações de representação no Defender para Office 365.

• Reveja periodicamente o relatório Estado da Proteção Contra Ameaças para deteções de phishing.

• Alguns clientes permitem inadvertidamente mensagens de phishing ao colocar os seus próprios domínios na lista Permitir remetente ou Permitir domínio em políticas antisspam. Embora esta configuração permita algumas mensagens legítimas, também permite mensagens maliciosas que normalmente seriam bloqueadas pelos filtros de spam e/ou phishing. Em vez de permitir o domínio, deve corrigir o problema subjacente.

  A melhor forma de lidar com mensagens legítimas bloqueadas pelo Microsoft 365 (falsos positivos) que envolvam remetentes no seu domínio é configurar totalmente e completamente os registos SPF, DKIM e DMARC no DNS para todos os seus domínios de e-mail:

  • Verifique se o registo SPF identifica todas as origens de e-mail dos remetentes no seu domínio (não se esqueça de serviços de terceiros!).

  • Utilize falhas duras (-all) para garantir que os remetentes não autorizados são rejeitados pelos sistemas de e-mail configurados para o fazer. Pode utilizar as informações de spoof intelligence para ajudar a identificar remetentes que estão a utilizar o seu domínio para que possa incluir remetentes autorizados de terceiros no seu registo SPF.

  Para obter instruções de configuração, veja:

  • Configurar SPF para ajudar a impedir o spoofing
  • Utilizar o DKIM para validar e-mails enviados a partir do seu domínio personalizado
  • Utilizar o DMARC para validar o e-mail

• Sempre que possível, recomendamos que envie e-mails para o seu domínio diretamente para o Microsoft 365. Por outras palavras, aponte o registo MX do seu domínio do Microsoft 365 para o Microsoft 365. Proteção do Exchange Online (EOP) é capaz de fornecer a melhor proteção para os seus utilizadores na nuvem quando o respetivo e-mail é entregue diretamente no Microsoft 365. Se tiver de utilizar um sistema de higiene de e-mail de terceiros à frente da EOP, utilize a Filtragem Avançada para Conectores. Para obter instruções, veja Filtragem Avançada para Conectores no Exchange Online.

• Peça aos utilizadores que utilizem o botão Relatório incorporado no Outlook na Web ou implementem os suplementos Microsoft Report Message ou Report Phishing na sua organização. Configure as definições comunicadas pelo utilizador para enviar mensagens comunicadas pelo utilizador para uma caixa de correio de relatórios, para a Microsoft ou para ambos. As mensagens comunicadas pelo utilizador estão então disponíveis para os administradores no separador Utilizador reportado na página Submissões em https://security.microsoft.com/reportsubmission?viewid=user. Administração pode comunicar mensagens comunicadas pelo utilizador ou quaisquer mensagens à Microsoft, conforme descrito em Utilizar a página Submissões para submeter spam, phish, URLs, e-mails legítimos bloqueados e anexos de e-mail à Microsoft. Os relatórios de utilizadores ou administradores de falsos positivos ou falsos negativos para a Microsoft são importantes, uma vez que ajudam a preparar os nossos sistemas de deteção.

• A autenticação multifator (MFA) é uma boa forma de impedir contas comprometidas. Deve considerar vivamente a ativação da MFA para todos os seus utilizadores. Para uma abordagem faseada, comece por ativar a MFA para os seus utilizadores mais confidenciais (administradores, executivos, etc.) antes de ativar a MFA para todos. Para obter instruções, veja Configurar a autenticação multifator.

• As regras de reencaminhamento para destinatários externos são frequentemente utilizadas pelos atacantes para extrair dados. Utilize as informações rever regras de reencaminhamento de caixas de correio na Classificação de Segurança da Microsoft para localizar e impedir o reencaminhamento de regras para destinatários externos. Para obter mais informações, veja Mitigating Client External Forwarding Rules with Secure Score (Mitigar Regras de Reencaminhamento Externo do Cliente com Classificação de Segurança).

  Utilize o relatório Mensagens desforwarded automaticamente para ver detalhes específicos sobre o e-mail reencaminhado.