Microsoft Defender for Office 365 – Safe attachments

Cofre Anexos no Microsoft Defender para Office 365 fornece uma camada adicional de proteção para anexos de email que já foram verificados pela proteção anti-malware no Proteção do Exchange Online (EOP). Especificamente, Cofre attachments usa um ambiente virtual para verificar anexos em mensagens de email antes que eles são entregues aos destinatários (um processo conhecido como detonação).

A proteção de Anexos Seguros para mensagens de email é controlada por políticas de Anexos Seguros. Embora não haja uma política de anexos padrão Cofre, a política de segurança predefinida de proteção interna fornece proteção de anexos Cofre a todos os destinatários (usuários que não são definidos em políticas de anexos de Cofre personalizadas).

Os anexos seguros para equipes do SharePoint, OneDrive e Microsoft no Microsoft Defender for Office 365 fornecem uma camada adicional de proteção para arquivos que já foram digitalizados assíncrodamente pelo mecanismo comum de detecção de vírus na Microsoft 365. Anexos seguros para equipes do SharePoint, OneDrive e Microsoft ajudam a detectar e bloquear arquivos existentes que são identificados como maliciosos em sites de equipe e bibliotecas de documentos.

Passo a passo

01 – Faça login no portal do Microsoft 365 Defender

https://security.microsoft.com/

02 – Na tela Microsoft 365 Defender em Email & collaboration clique em Policies & rules.

03 – Na tela Policies & rules clique em Threat policies.

04 – Na tela Threat policies clique em Safe Attachments.

05 – Em Safe Attachments clique em + Create.

06 – Na tela Create Safe Attachments policy em Name your policy digite um nome para a política, descrição e clique em Next.

07 – Em Users and domains podemos atribuir a política para usuários, grupos e para o domínio, em Groups selecione G_TI e clique em Next.

08 – Na tela Settings selecione Block – Block curent and future messages and attachments with detected malware, em Quarantine policy selecione a política de quarentena, caso não tenha uma defenida devemos criá-la, em Redirect messages with detected attachments selecione Enable redirect e digite a conta de email que deseja receber as notificações, deixe a opção Apply the Safe Attachments detection response if scannin can´t complete (timeout erros) selecionada, em seguida clique em Next.

09 – Na tela Review verifique se todas as informações estão corretas e clique em Submit.

10 – Na tela New Safe Attachments policy created clique em Done.

11 – Como podemos observar a política foi criada.

Envio de arquivo com Malware para o SharePoint

Use o arquivo EICAR.TXT para verificar suas configurações de política antimalware

O arquivo EICAR.TXT não é vírus. O EICAR (European Institute for Computer Antivírus Research) desenvolveu esse arquivo para testar com segurança instalações e configurações de antivírus.

12 – Abra Bloco de notas e cole o seguinte texto em um arquivo vazio:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

13 – Salve o arquivo como EICAR.TXT

No programa antivírus, certifique-se de excluir o EICAR.TXT da verificação (caso contrário, o arquivo será colocado em quarentena).

14 – O próximo passo é enviar o arquivo EICAR.TXT para o Sharepoint, vamos utilizar a conta de email teste@jadsonalvesdefender.com” que faz parte do grupo G_TI que adicionamos ao Safe attachments.

No Microsoft Teams selecione o grupo G_TI, Clique em Files, em seguida clique em Upload.

15 – Em seguida selecione o arquivo EICAR.TXT.

16 – Vamos aguardar alguns minutos para que o arquivo EICAR.TXT seja sincronizado.

17 – No Microsoft Teams após alguns minutos percebam que o arquivo foi identificado como Malware.

18 – Caso o usuário tente abrir o arquivo EICAR.TXT receberá uma mensagem de erro e não conseguirá visualizar o conteúdo do arquivo.

Gerencie mensagens e arquivos em quarentena

Em organizações microsoft 365 com caixas de correio em Exchange Online ou organizações independentes de Proteção On-line (EOP) sem caixas de correio Exchange Online, a quarentena contém mensagens potencialmente perigosas ou indesejadas.

Em organizações microsoft 365 com caixas de correio em Exchange Online ou organizações independentes de Proteção On-line (EOP) sem caixas de correio Exchange Online, a quarentena contém mensagens potencialmente perigosas ou indesejadas. Para obter mais informações, consulte mensagens de e-mail em quarentena no EOP.

Os administradores podem visualizar, liberar e excluir todos os tipos de mensagens em quarentena para todos os usuários. Os administradores também podem reportar falsos positivos à Microsoft.

Por padrão, apenas os administradores podem gerenciar mensagens que foram colocadas em quarentena como malware, phishing de alta confiança ou como resultado de regras de fluxo de correio (também conhecidas como regras de transporte). Mas os administradores podem usar políticas de quarentena para definir o que os usuários podem fazer com mensagens em quarentena com base no motivo em que a mensagem foi colocada em quarentena (para recursos suportados).

19 – No portal do Microsoft 365 Defender em Email e collaboration selecione Review.

20 – Na tela Review clique em Quarantine.

21 – Em Quarentine clique em Files, em Files podemos ver todos os arquivos que estão em quarentena.

22 – Selecione o usuário teste@jadsonalvesdefender, podemos selecionar a mensagem e executar algumas ações como liberar o arquivo fazer o download e delete o arquivo da quarentena.

23 – Também temos algumas informações importantes como File Name, File URL, quando o arquivo malicioso foi detectado e Malware name.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.