Microsoft Defender for Office 365
O Microsoft Defender for Office 365 é um serviço de filtragem de email baseado em nuvem que ajuda a proteger sua organização contra ameaças avançadas a ferramentas de colaboração e email, como phishing, comprometimento de email comercial e ataques de malware. O Defender para Office 365 também fornece recursos de investigação, busca e correção para ajudar as equipes de segurança a identificar, priorizar, investigar e responder a ameaças com eficiência.
O Microsoft Defender para Office 365 protege sua organização contra ameaças maliciosas representadas por mensagens de email, links (URLs) e ferramentas de colaboração. O Defender para Office 365 inclui:
- Políticas de proteção contra ameaças: defina políticas de proteção contra ameaças para definir o nível de proteção apropriado para a sua organização.
- Relatórios: Exibi relatórios em tempo real para monitorar o desempenho do Defender for Office 365 na organização.
- Recursos de investigação e resposta de ameaças: use as ferramentas de ponta para investigar, compreender, simular e prevenir ameaças.
- Recursos de investigação e resposta automatizadas: poupe tempo e esforço, investigando e reduzindo as ameaças.
Políticas do Defender for Office 365
As políticas definidas para a sua organização determinam o comportamento e o nível de proteção das ameaças predefinidas. As opções de política são extremamente flexíveis. Por exemplo, a equipe de segurança da sua organização pode definir a proteção contra ameaças individualizada no nível do usuário, da organização, do destinatário e do domínio. É importante revisar suas políticas regularmente porque novas ameaças e desafios surgem diariamente.
- Anexos Seguros ATP: fornece proteção de dia zero ao seu sistema de mensagens, verificando anexos de email em busca de conteúdo mal-intencionado. Ele roteia todas as mensagens e os anexos que não têm uma assinatura de vírus/malware em um ambiente especial e, em seguida, usa técnicas de aprendizagem e análise de máquina para detectar tentativas maliciosas. Se nenhuma atividade suspeita for encontrada, a mensagem será encaminhada para a caixa de correio. Para saber mais, confira Configurar políticas de Anexos Seguros.
- Links Seguros: fornece verificação instantânea das URLs, por exemplo, em mensagens de email e arquivos do Office. A proteção é contínua e se aplica a suas mensagens e ao ambiente do Office. Os links são verificados em cada clique: links seguros permanecem acessíveis e os links mal-intencionados são bloqueados dinamicamente. Para saber mais, confira Configurar políticas de Links Seguros.
- Anexos seguros para SharePoint, OneDrive e Microsoft Teams: Proteja sua organização enquanto usuários colaboram e compartilham arquivos, identificando e bloqueando arquivos mal-intencionados em sites de equipe e bibliotecas de documentos. Para saber mais, confira Ativar o Defender para Office 365 para Microsoft Office SharePoint Online, Microsoft OneDrive e Microsoft Teams.
- Proteção antiphishing no Defender for Office 365: detecta tentativas de usurpar a identidade dos seus usuários e domínios internos ou personalizados. Ela aplica modelos de aprendizagem de computador e algoritmos avançados de detecção de usurpação de identidade para evitar ataques de phishing. Para saber mais, confira Configurar políticas anti-phishing no Microsoft Defender para Office 365.
Permissões necessárias para usar os recursos do Microsoft Defender for Office 365
Para acessar os recursos do Microsoft Defender para Office 365, você deve receber uma função apropriada. A tabela a seguir inclui alguns exemplos:
| Função ou grupo de funções | Recursos para saber mais |
|---|---|
| administrador global (Gerenciamento da Organização) | Você pode atribuir essa função no Azure Active Directory ou no portal do Microsoft 365 Defender. Para obter mais informações, veja Permissões no portal do Microsoft 365 Defender. |
| Administrador de Segurança | Você pode atribuir essa função no Azure Active Directory ou no portal do Microsoft 365 Defender. Para obter mais informações, veja Permissões no portal do Microsoft 365 Defender. |
| Gerenciamento da organização no Exchange Online | Permissões no Exchange OnlinePowerShell do Exchange Online |
| Pesquisar e Limpar | Esta função está disponível apenas no portal Microsoft 365 Defender ou no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Permissões no portal Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview. |
Planos Microsoft Defender for Office 365
Todas as assinaturas do Office 365 vêm com recursos de segurança. As metas e ações que você pode tomar dependem do foco dessas assinaturas diferentes. Na Segurança do Office 365, há três serviços de segurança (ou produtos) principais vinculados ao seu tipo de assinatura:
- Proteção do Exchange Online (EOP)
- O Microsoft Defender para Office 365 Plano 1 (Defender para Office P1)
- Microsoft Defender para Office 365 Plano 2 (Defender para Office P2)
A Segurança do Office 365 se baseia nas principais proteções oferecidas pelo EOP. O EOP está presente em qualquer assinatura onde as caixas de correio do Exchange Online podem ser encontradas (lembre-se, todos os produtos de segurança discutidos aqui são baseados em nuvem).
Você pode estar acostumado a ver esses três componentes discutidos dessa maneira:
| EOP | P1 do Microsoft Defender para Office 365 | P2 do Microsoft Defender para Office 365 |
|---|---|---|
| Evita ataques conhecidos, amplos, e baseados em volume. | Protege o email e a colaboração contra malware do dia zero, phishing e email empresarial comprometido. | Adiciona investigação pós-violação, busca, e resposta, além de automação e simulação (para treinamento). |
Folha de referências do Microsoft Defender for Office 365 Plano 1 versus Plano 2
Esta referência rápida ajudará você a entender quais recursos vêm com cada assinatura do Microsoft Defender para Office 365. Quando combinada com seu conhecimento dos recursos do EOP, ela pode ajudar os tomadores de decisões de negócios a determinar qual Microsoft Defender para Office 365 é melhor para as suas necessidades.
| Microsoft Defender para Office 365 Plano 1 | Microsoft Defender para Office 365 Plano 2 |
|---|---|
| Capacidade de configuração, proteção e detecção: | Recursos do Microsoft Defender para Office 365 Plano 1—mais— Recursos de automação, investigação, correção e formação educacional: |
Safe Links in Microsoft Defender for Office 365
Cofre Links é um recurso no Defender para Office 365 que fornece verificação de URL e reescrita de mensagens de email de entrada no fluxo de emails e verificação de tempo de clique de URLs e links em mensagens de email e outros locais. Cofre a verificação de links ocorre além da proteção anti-spam e anti-malware regular em mensagens de email de entrada no Proteção do Exchange Online (EOP). A verificação de Links Seguros pode ajudar a proteger sua organização contra links mal-intencionados usados em phishing e outros ataques.
A proteção de Links Seguros está disponível nos seguintes locais:
- Mensagens de Cofre email: Embora não haja uma política de Links padrão Cofre, a política de segurança predefinida de proteção interna fornece proteção de links para todos os destinatários (usuários que não são definidos em políticas de links Cofre personalizadas). Para obter mais informações, consulte Preset security policies in EOP and Microsoft Defender para Office 365. Você também pode criar Cofre links que se aplicam a usuários, grupos ou domínios específicos. Para obter instruções, consulte Set up Cofre Links policies in Microsoft Defender para Office 365.
- Microsoft Teams: a proteção de Links Seguros para links em conversas do Teams, chats em grupo ou de canais também é controlada por políticas de Links Seguros.
- Aplicativos do Office 365: a proteção de Links Seguros para aplicativos do Office 365 está disponível em aplicativos web, móveis e de área de trabalho com suporte. Você configura Cofre proteção links para Office 365 aplicativos na configuração global que estão fora Cofre políticas de Links. Para obter instruções, consulte Configure global settings for Cofre Links settings in Microsoft Defender para Office 365.
A Proteção de Links Seguros para aplicativos do Office 365 é aplicada a todos os usuários na organização que estão licenciados para o Defender for Office 365, independentemente de os usuários serem incluídos ou não nas políticas ativas de Links Seguros.
Configurar o Exchange Admin roles
01 – Faça login em Exchange admin center.
https://admin.exchange.microsoft.com
02 – No Exchange admin center expanda Roles e clique em Admin roles.
03 – Na tela Admin roles selecione a role Organization Management, a tela Organization Management sera aberta clique em Assigned em seguida clique em + Add.
04 – Na tela Add admins selecione o grupo ou a conta de email que irá configuar as opções do Microsoft Defender for Office 365, em seguida clique Add.
Instalar o módulo Exchange Online PowerShell V2
O módulo do PowerShell do Exchange Online V2 (abreviado como módulo EXO V2) usa autenticação moderna e funciona com autenticação multifator (MFA) para se conectar a todos os ambientes do PowerShell relacionados ao Exchange no Microsoft 365: PowerShell do Exchange Online, PowerShell do Centro de Conformidade e Segurança, e PowerShell autônomo da Proteção do Exchange Online (EOP).
05 – Abra o PowerShell como Administrador e execute o comando abaixo.
Set-ExecutionPolicy RemoteSigned
Antes de instalarmos o módulo Exchange Online PowerShell V2, precisamos configurar o sistema.
Por padrão, não podemos instalar scripts, para exigir que todos os scripts do PowerShell que você baixa da internet sejam assinados por um editor confiável, execute o PowerShell como administrador e execute o cmdlet. Pressione Y e pressione Enter.
Conecte-se ao Exchange Online PowerShell V2
07 – Conecte-se com sua conta de administração para o Exchange Online. Execute o cmdlet Connect-ExchangeOnline.
Connect-ExchangeOnline -UserPrincipalName defender@jadsonalvesdefender.com
08 – Na janela de login que abre, digite sua senha e clique em Sign in.
09 – Se o MFA estiver ativado, um código de verificação será gerado e entregue com base na opção de resposta de verificação configurada para sua conta. Por exemplo, uma mensagem de texto ou o aplicativo Microsoft Autenticador no seu celular.
10 – Depois que a verificação for bem sucedida, você voltará para a janela PowerShell, e os novos cmdlets aparecerão em um banner.
Habilitar Organization Customization in Exchange Online
Quando você tentar configurar pela primeira vez Threat policies no Microsoft 365 Defender você recebera a seguinte mensagem de erro.
Descrição
Nos data centers da Microsoft, certos objetos são consolidados para economizar espaço. Quando você usa o Exchange Online PowerShell ou o centro de administração Exchange para modificar um desses objetos pela primeira vez, você pode encontrar uma mensagem de erro que lhe diz para executar o cmdlet de Sublocação de ativação.
Aqui estão alguns exemplos de quando você pode ver isso:
- Criar um novo grupo de papéis ou criar uma nova atribuição de função de gestão.
- Criando uma nova política de atribuição de função ou modificando uma política de atribuição de papel incorporada.
- Criar um novo Outlook na política da caixa de correio da Web ou modificar um Outlook incorporado na política da caixa de correio da Web.
- Criar uma nova política de compartilhamento ou modificar uma política de compartilhamento incorporada.
- Criar uma nova política de retenção ou modificar uma política de retenção incorporada.
- Habilitando políticas de segurança predefinidas no Microsoft 365 Security Center.
Observe que você só é obrigado a executar o cmdlet de customização de ativação uma vez em sua organização Exchange Online. Se você tentar executar o cmdlet novamente, você vai ter um erro.
11 – Abra o PowerShell como administrador e execute o seguinte comando.
Enable-OrganizationCustomization -Confirm
Configurar Sale Links no Microsoft Defender for Office 365
12 – Faça login no portal do Microsoft 365 Defender.
https://security.microsoft.com/
13 – No portal do Microsoft 365 Defender em Email & collaboration clique em Policies & rules.
14 – Na tela Policies & rules clique em Threat policies.
15 – Na tela Threat policies clique em Safe Links.
16 – Na tela Safe Links clique em + Create.
17 – Na tela Name your policy em Name selecione um nome para a política, o description é opcional, em seguida clique em Next.
18 – Na tela Users and domains podemos aplicar a política para os usuários, grupos e para todo o domínio, vamos aplicar a política para o grupo G_TI em seguida clique em Next.
19 – Na tela URL & click protection settings em Action on potentially malicious URLs within Emails selecione On: Safe Links checks a list of known, malicious links when users click links in email. URLs are rewritten by default, Apply Safe Links to email messages send within the organization, Apply real-time URL scanning for suspecious links and links that point to files.
Para a opção Action for potentially malicious URLs in Microsoft Teams selecione On: Safe Links checks a list of known, malicious links when users click links in Microsoft Teams. URLs are not rewritten.
Em Click protection settings deixe selecionado apenas Track user clicks, em seguida clique em Next.
20 – Na tela Notification deixe selecionado Use the default notification text e clique em Next.
21 – Na tela Review verifique se todas as informações estão corretas e clique em Submit.
22 – Na tela New Safe Links policy created clique em Done.
23 – De volta a tela Safe links como podemos observar a política “safe links policy” foi criada, clique em Global settings.
24 – A tela Safe Links settings for your organization em Block the following URLs podemos definir URLs que desejamos bloquear, vamos bloquear a URL https://www.globo.com, deixe habilitado Use Safe Links in Office 365 apps, Do not track when users click protected links in Office 365 apps, Do not let users click through to the original URL in Office 365 apps em seguida clique em Save.
Teste Safe Links Outlook
25 – Para testar a funcionalidade do Safe Links que configuramos, enviei um email com a URL que bloqueamos em Block the following URLs “https://www.globo.com/”
Clique em https://www.globo.com/
26 – Percebam que temos o alerta imitido pelo Microsoft Defender for Office 365 informando que o site foi bloqueado pela política de URL da empresa, caso você tente clicar na URL https://globo.com/ o link não está disponível para ser acessado.
Teste Safe Links Teams
Enviamos uma mensagem no Microsoft Teams para o usuário que está no grupo configurado no safe link, com a URL https://www.globo.com
27 – No Microsoft Teams temos uma mensagem da Ana com a URL https://www.globo.com, clique na URL.
28 – Ao tentar abrir a URL percebam que somos direcionados para a tela de bloqueio da URL pelo safe link.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.