Em organizações Microsoft 365 com caixas de correio em organizações Exchange Online ou autônomas Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio, as mensagens de email são automaticamente protegidas contra malware pelo EOP. Algumas das principais categorias de malware são:
- Vírus que infectam outros programas e dados e se espalham pelo computador ou rede procurando programas para infectar.
- Spyware que coleta suas informações pessoais, como informações de login e dados pessoais, e as envia de volta para seu autor.
- Ransomware que criptografa seus dados e exige pagamento para descriptografá-los. O software anti-malware não ajuda você a descriptografar arquivos criptografados, mas pode detectar e remover a carga de malware associada ao ransomware.
O EOP oferece proteção contra malware em várias camadas que foi projetada para capturar todos os malwares conhecidos em Windows, Linux e Mac que viajam para dentro ou para fora da sua organização. As opções a seguir ajudam a fornecer proteção anti-malware:
- Defesas em camada contra malware: vários mecanismos de verificação antimalware ajudam a proteger contra ameaças conhecidas e desconhecidas. Esses mecanismos incluem uma detecção heurística poderosa para fornecer proteção mesmo durante os estágios iniciais de uma epidemia de malware. Essa abordagem multi-mecanismo foi mostrada para fornecer significativamente mais proteção do que usar apenas um mecanismo anti-malware.
- Resposta a ameaças em tempo real: durante alguns surtos, a equipe anti-malware pode ter informações suficientes sobre um vírus ou outra forma de malware para escrever regras de política sofisticadas que detectem a ameaça, mesmo antes de uma definição estar disponível em qualquer um dos mecanismos de verificação usados pelo serviço. Essas regras são publicadas na rede global a cada 2 horas para fornecer à sua organização uma camada extra de proteção contra ataques.
- Implantação rápida de definição anti-malware: a equipe anti-malware mantém relações próximas com parceiros que desenvolvem mecanismos anti-malware. Como resultado, o serviço pode receber e integrar definições e patches de malware antes de serem liberados publicamente. Nossa conexão com esses parceiros geralmente nos permite desenvolver nossos próprios recursos também. O serviço verifica definições atualizadas para todos os mecanismos anti-malware a cada hora.
No EOP, as mensagens que são encontradas para conter malware em qualquer anexo são colocadas em quarentena. Se os destinatários podem exibir ou interagir com as mensagens em quarentena são controlados por políticas de quarentena. Por padrão, as mensagens que foram colocadas em quarentena devido a malware só podem ser exibidas e liberadas pelos administradores.
01 – Faça login no Microsoft 365 Defender
https://security.microsoft.com/
02 – Na tela Microsoft 365 Defender em Email & collaboration clique em Policies & rules.
03 – Na tela Policies & rules clique em Threat policies.
04 – Na tela Threat policies em Rules clique em Quarantine policies.
05 – Em Quarantine policy clique em Add custom policy.
06 – Na tela New policy name, digite um nome para a política e clique em Next.
07 – Na tela Recipient message access deixe selecionado Limited access, em seguida clique em Next.
08 – Na tela Quarantine notification selecione Enable e clique em Next.
09 – Na tela Review policy verifique se todas as informações estão corretas e clique em Submit.
10 – Na tela Policy Anti-malware policy created clique em Done.
10 – Como podemos observar a política foi criada.
11 – De volta a tela Threat policies clique em Anti-malware.
12 – Em Anti-malware clique em + Create.
13 – Na tela Name your policy digite um nome e uma descrição para a política, em seguida clique em Next.
14 – Na tela Users and domains vamos associar a política ao grupo G_TI, selecione Groups em seguida digite G_TI e clique em Next.
15 -Na tela Protection settings em Protection settings selecione Enable the common attachments filter, selecione Enable zero-hour auto purge for malware (Recommend) em Quatantine policy selecione Policy Anti-malware. Para a opção Sender notifications selecione Notify internaç senders when messages are quarantined as malware e Notify external senders when messages are quarantined as malware. Em Admin notifications selecione Notify an admin about undelivered messages from internal senders e Notify and admin about undelivered messages from external senders, adicione a conta de email que receberá as notificações e clique em Next
16 – Na tela Review verifique se todas as informações estão corretas e clique em Submit.
17 – Na tela Created new anti-malware policy clique em Done.
18 – Como podemos observar criamos a política Anti-malware.
Envio de arquivo com Malware
Use o arquivo EICAR.TXT para verificar suas configurações de política antimalware
O arquivo EICAR.TXT não é vírus, o EICAR (European Institute for Computer Antivírus Research) desenvolveu esse arquivo para testar com segurança instalações e configurações de antivírus.
19 – Abra Bloco de notas e cole o seguinte texto em um arquivo vazio:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
20 – Salve o arquivo como EICAR.TXT
No programa antivírus, certifique-se de excluir o EICAR.TXT da verificação (caso contrário, o arquivo será colocado em quarentena).
21 – O proximo passo é enviar o arquivo EICAR.TXT para uma conta de email que está no grupo G_TI que adicionamos a política de anti-malware.
22 – Como podemos observar o email não foi enviado porque um malware foi detectado.
Gerencie mensagens e arquivos em quarentena
Em organizações microsoft 365 com caixas de correio em Exchange Online ou organizações independentes de Proteção On-line (EOP) sem caixas de correio Exchange Online, a quarentena contém mensagens potencialmente perigosas ou indesejadas. Para obter mais informações, consulte mensagens de e-mail em quarentena no EOP.
Os administradores podem visualizar, liberar e excluir todos os tipos de mensagens em quarentena para todos os usuários. Os administradores também podem reportar falsos positivos à Microsoft.
Por padrão, apenas os administradores podem gerenciar mensagens que foram colocadas em quarentena como malware, phishing de alta confiança ou como resultado de regras de fluxo de correio (também conhecidas como regras de transporte). Mas os administradores podem usar políticas de quarentena para definir o que os usuários podem fazer com mensagens em quarentena com base no motivo em que a mensagem foi colocada em quarentena (para recursos suportados).
23 – No portal do Microsoft 365 Defender em Email e collaboration selecione Review.
24 – Na tela Review clique em Quarantine.
25 – Em Quarantine podemos ver todos os email que estão em quarentena, podemos selecionar a mensagem e executar algumas ações como liberar a mensagem e deletar.
26 – Também podemos expandir a mensagem em quarentena, verificar alguns detalhes sobre a mensagem e um ponto interessante é a opção Attachments onde podemos ver o malware que está associado a essa mensagem.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.