Microsoft Defender for Office 365 – Safe Links

Microsoft Defender for Office 365

O Microsoft Defender for Office 365 é um serviço de filtragem de email baseado em nuvem que ajuda a proteger sua organização contra ameaças avançadas a ferramentas de colaboração e email, como phishing, comprometimento de email comercial e ataques de malware. O Defender para Office 365 também fornece recursos de investigação, busca e correção para ajudar as equipes de segurança a identificar, priorizar, investigar e responder a ameaças com eficiência.

O Microsoft Defender para Office 365 protege sua organização contra ameaças maliciosas representadas por mensagens de email, links (URLs) e ferramentas de colaboração. O Defender para Office 365 inclui:

Políticas do Defender for Office 365

As políticas definidas para a sua organização determinam o comportamento e o nível de proteção das ameaças predefinidas. As opções de política são extremamente flexíveis. Por exemplo, a equipe de segurança da sua organização pode definir a proteção contra ameaças individualizada no nível do usuário, da organização, do destinatário e do domínio. É importante revisar suas políticas regularmente porque novas ameaças e desafios surgem diariamente.

Permissões necessárias para usar os recursos do Microsoft Defender for Office 365

Para acessar os recursos do Microsoft Defender para Office 365, você deve receber uma função apropriada. A tabela a seguir inclui alguns exemplos:

Função ou grupo de funçõesRecursos para saber mais
administrador global (Gerenciamento da Organização)Você pode atribuir essa função no Azure Active Directory ou no portal do Microsoft 365 Defender. Para obter mais informações, veja Permissões no portal do Microsoft 365 Defender.
Administrador de SegurançaVocê pode atribuir essa função no Azure Active Directory ou no portal do Microsoft 365 Defender. Para obter mais informações, veja Permissões no portal do Microsoft 365 Defender.
Gerenciamento da organização no Exchange OnlinePermissões no Exchange OnlinePowerShell do Exchange Online
Pesquisar e LimparEsta função está disponível apenas no portal Microsoft 365 Defender ou no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Permissões no portal Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview.

Planos Microsoft Defender for Office 365

Todas as assinaturas do Office 365 vêm com recursos de segurança. As metas e ações que você pode tomar dependem do foco dessas assinaturas diferentes. Na Segurança do Office 365, há três serviços de segurança (ou produtos) principais vinculados ao seu tipo de assinatura:

  1. Proteção do Exchange Online (EOP)
  2. O Microsoft Defender para Office 365 Plano 1 (Defender para Office P1)
  3. Microsoft Defender para Office 365 Plano 2 (Defender para Office P2)

A Segurança do Office 365 se baseia nas principais proteções oferecidas pelo EOP. O EOP está presente em qualquer assinatura onde as caixas de correio do Exchange Online podem ser encontradas (lembre-se, todos os produtos de segurança discutidos aqui são baseados em nuvem).

Você pode estar acostumado a ver esses três componentes discutidos dessa maneira:

EOPP1 do Microsoft Defender para Office 365P2 do Microsoft Defender para Office 365
Evita ataques conhecidos, amplos, e baseados em volume.Protege o email e a colaboração contra malware do dia zero, phishing e email empresarial comprometido.Adiciona investigação pós-violação, busca, e resposta, além de automação e simulação (para treinamento).

Folha de referências do Microsoft Defender for Office 365 Plano 1 versus Plano 2

Esta referência rápida ajudará você a entender quais recursos vêm com cada assinatura do Microsoft Defender para Office 365. Quando combinada com seu conhecimento dos recursos do EOP, ela pode ajudar os tomadores de decisões de negócios a determinar qual Microsoft Defender para Office 365 é melhor para as suas necessidades.

Cofre Links é um recurso no Defender para Office 365 que fornece verificação de URL e reescrita de mensagens de email de entrada no fluxo de emails e verificação de tempo de clique de URLs e links em mensagens de email e outros locais. Cofre a verificação de links ocorre além da proteção anti-spam e anti-malware regular em mensagens de email de entrada no Proteção do Exchange Online (EOP). A verificação de Links Seguros pode ajudar a proteger sua organização contra links mal-intencionados usados em phishing e outros ataques.

A proteção de Links Seguros está disponível nos seguintes locais:

  • Mensagens de Cofre email: Embora não haja uma política de Links padrão Cofre, a política de segurança predefinida de proteção interna fornece proteção de links para todos os destinatários (usuários que não são definidos em políticas de links Cofre personalizadas). Para obter mais informações, consulte Preset security policies in EOP and Microsoft Defender para Office 365. Você também pode criar Cofre links que se aplicam a usuários, grupos ou domínios específicos. Para obter instruções, consulte Set up Cofre Links policies in Microsoft Defender para Office 365.
  • Microsoft Teams: a proteção de Links Seguros para links em conversas do Teams, chats em grupo ou de canais também é controlada por políticas de Links Seguros.
  • Aplicativos do Office 365: a proteção de Links Seguros para aplicativos do Office 365 está disponível em aplicativos web, móveis e de área de trabalho com suporte. Você configura Cofre proteção links para Office 365 aplicativos na configuração global que estão fora Cofre políticas de Links. Para obter instruções, consulte Configure global settings for Cofre Links settings in Microsoft Defender para Office 365.

A Proteção de Links Seguros para aplicativos do Office 365 é aplicada a todos os usuários na organização que estão licenciados para o Defender for Office 365, independentemente de os usuários serem incluídos ou não nas políticas ativas de Links Seguros.

Configurar o Exchange Admin roles

01 – Faça login em Exchange admin center.

https://admin.exchange.microsoft.com

02 – No Exchange admin center expanda Roles e clique em Admin roles.

03 – Na tela Admin roles selecione a role Organization Management, a tela Organization Management sera aberta clique em Assigned em seguida clique em + Add.

04 – Na tela Add admins selecione o grupo ou a conta de email que irá configuar as opções do Microsoft Defender for Office 365, em seguida clique Add.

Instalar o módulo Exchange Online PowerShell V2

O módulo do PowerShell do Exchange Online V2 (abreviado como módulo EXO V2) usa autenticação moderna e funciona com autenticação multifator (MFA) para se conectar a todos os ambientes do PowerShell relacionados ao Exchange no Microsoft 365: PowerShell do Exchange Online, PowerShell do Centro de Conformidade e Segurança, e PowerShell autônomo da Proteção do Exchange Online (EOP).

05 – Abra o PowerShell como Administrador e execute o comando abaixo.

Set-ExecutionPolicy RemoteSigned

Antes de instalarmos o módulo Exchange Online PowerShell V2, precisamos configurar o sistema.

Por padrão, não podemos instalar scripts, para exigir que todos os scripts do PowerShell que você baixa da internet sejam assinados por um editor confiável, execute o PowerShell como administrador e execute o cmdlet. Pressione Y e pressione Enter.

06 – Execute o comando Install-Module -Name ExchangeOnlineManagement para instalar o módulo de gerenciamento do Exchange Online, selecione Yes to All para prosseguir com a instalação.

Conecte-se ao Exchange Online PowerShell V2

07 – Conecte-se com sua conta de administração para o Exchange Online. Execute o cmdlet Connect-ExchangeOnline.

Connect-ExchangeOnline -UserPrincipalName defender@jadsonalvesdefender.com

08 – Na janela de login que abre, digite sua senha e clique em Sign in.

09 – Se o MFA estiver ativado, um código de verificação será gerado e entregue com base na opção de resposta de verificação configurada para sua conta. Por exemplo, uma mensagem de texto ou o aplicativo Microsoft Autenticador no seu celular.

10 – Depois que a verificação for bem sucedida, você voltará para a janela PowerShell, e os novos cmdlets aparecerão em um banner.

 

Habilitar Organization Customization in Exchange Online

Quando você tentar configurar pela primeira vez Threat policies no Microsoft 365 Defender você recebera a seguinte mensagem de erro.

Descrição

Nos data centers da Microsoft, certos objetos são consolidados para economizar espaço. Quando você usa o Exchange Online PowerShell ou o centro de administração Exchange para modificar um desses objetos pela primeira vez, você pode encontrar uma mensagem de erro que lhe diz para executar o cmdlet de Sublocação de ativação.

Aqui estão alguns exemplos de quando você pode ver isso:

  • Criar um novo grupo de papéis ou criar uma nova atribuição de função de gestão.
  • Criando uma nova política de atribuição de função ou modificando uma política de atribuição de papel incorporada.
  • Criar um novo Outlook na política da caixa de correio da Web ou modificar um Outlook incorporado na política da caixa de correio da Web.
  • Criar uma nova política de compartilhamento ou modificar uma política de compartilhamento incorporada.
  • Criar uma nova política de retenção ou modificar uma política de retenção incorporada.
  • Habilitando políticas de segurança predefinidas no Microsoft 365 Security Center.

Observe que você só é obrigado a executar o cmdlet de customização de ativação uma vez em sua organização Exchange Online. Se você tentar executar o cmdlet novamente, você vai ter um erro.

11 – Abra o PowerShell como administrador e execute o seguinte comando.

Enable-OrganizationCustomization -Confirm

Configurar Sale Links no Microsoft Defender for Office 365

12 – Faça login no portal do Microsoft 365 Defender.

https://security.microsoft.com/

13 – No portal do Microsoft 365 Defender em Email & collaboration clique em Policies & rules.

14 – Na tela Policies & rules clique em Threat policies.

15 – Na tela Threat policies clique em Safe Links.

16 – Na tela Safe Links clique em + Create.

17 – Na tela Name your policy em Name selecione um nome para a política, o description é opcional, em seguida clique em Next.

18 – Na tela Users and domains podemos aplicar a política para os usuários, grupos e para todo o domínio, vamos aplicar a política para o grupo G_TI em seguida clique em Next.

19 – Na tela URL & click protection settings em Action on potentially malicious URLs within Emails selecione On: Safe Links checks a list of known, malicious links when users click links in email. URLs are rewritten by default, Apply Safe Links to email messages send within the organization, Apply real-time URL scanning for suspecious links and links that point to files.

Para a opção Action for potentially malicious URLs in Microsoft Teams selecione On: Safe Links checks a list of known, malicious links when users click links in Microsoft Teams. URLs are not rewritten.

Em Click protection settings deixe selecionado apenas Track user clicks, em seguida clique em Next.

20 – Na tela Notification deixe selecionado Use the default notification text e clique em Next.

21 – Na tela Review verifique se todas as informações estão corretas e clique em Submit.

22 – Na tela New Safe Links policy created clique em Done.

23 – De volta a tela Safe links como podemos observar a política “safe links policy” foi criada, clique em Global settings.

24 – A tela Safe Links settings for your organization em Block the following URLs podemos definir URLs que desejamos bloquear, vamos bloquear a URL https://www.globo.com, deixe habilitado Use Safe Links in Office 365 apps, Do not track when users click protected links in Office 365 apps, Do not let users click through to the original URL in Office 365 apps em seguida clique em Save.

Teste Safe Links Outlook

25 – Para testar a funcionalidade do Safe Links que configuramos, enviei um email com a URL que bloqueamos em Block the following URLs “https://www.globo.com/”

Clique em https://www.globo.com/

26 – Percebam que temos o alerta imitido pelo Microsoft Defender for Office 365 informando que o site foi bloqueado pela política de URL da empresa, caso você tente clicar na URL https://globo.com/ o link não está disponível para ser acessado.

Teste Safe Links Teams

Enviamos uma mensagem no Microsoft Teams para o usuário que está no grupo configurado no safe link, com a URL https://www.globo.com

27 – No Microsoft Teams temos uma mensagem da Ana com a URL https://www.globo.com, clique na URL.

28 – Ao tentar abrir a URL percebam que somos direcionados para a tela de bloqueio da URL pelo safe link.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.