Configurar políticas anti-phishing no Microsoft Defender para Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub Microsoft 365 Defender portal de avaliações. Saiba mais sobre quem pode se inscrever e os termos de avaliação aqui.

Aplica-se a

As políticas anti-phishing no Microsoft Defender para Office 365 podem ajudar a proteger sua organização contra ataques de phishing com base em representação mal-intencionada e outros tipos de ataques de phishing. Para obter mais informações sobre as diferenças entre políticas anti-phishing no Proteção do Exchange Online (EOP) e políticas anti-phishing no Microsoft Defender para Office 365, consulte Proteção anti-phishing.

Os administradores podem exibir, editar e configurar (mas não excluir) a política anti-phishing padrão. Para maior granularidade, você também pode criar políticas anti-phishing personalizadas que se aplicam a usuários, grupos ou domínios específicos em sua organização. Políticas personalizadas sempre terão prioridade sobre a política padrão, mas você pode alterar a prioridade (ordem de execução) de suas políticas personalizadas.

Você pode configurar políticas anti-phishing Defender para Office 365 no portal Microsoft 365 Defender ou no Exchange Online PowerShell.

Para obter informações sobre como configurar as políticas anti-phishing mais limitadas que estão disponíveis no Proteção do Exchange Online (ou seja, organizações sem Defender para Office 365), consulte Configurar políticas anti-phishing no EOP.

Os elementos básicos de uma política anti-phishing são:

  • A política anti-phishing: especifica as proteções de phishing para habilitar ou desabilitar e as ações para aplicar opções.
  • A regra anti-phishing: especifica a prioridade e os filtros de destinatário (a quem a política se aplica) para uma política anti-phishing.

A diferença entre esses dois elementos não é óbvia quando você gerencia políticas anti-phishing no portal Microsoft 365 Defender:

  • Ao criar uma política, você está realmente criando uma regra anti-phishing e a política anti-phishing associada ao mesmo tempo usando o mesmo nome para ambos.
  • Quando você modifica uma política, as configurações relacionadas ao nome, prioridade, habilitadas ou desabilitadas e filtros de destinatário modificam a regra anti-phishing. Todas as outras configurações modificam a política anti-phishing associada.
  • Quando você remove uma política, a regra anti-phishing e a política anti-phishing associada são removidas.

No Exchange Online PowerShell, você gerencia a política e a regra separadamente. Para obter mais informações, consulte a seção Usar Exchange Online PowerShell para configurar políticas anti-phishing posteriormente neste artigo.

Cada Defender para Office 365 organização tem uma política anti-phishing interna chamada Office 365 AntiPhish Default que tem estas propriedades:

  • A política é aplicada a todos os destinatários na organização, mesmo que não haja nenhuma regra anti-phishing (filtros de destinatário) associada à política.
  • A política tem o valor de prioridade personalizado Menor, que não pode ser modificado (a política é sempre aplicada por último). As políticas personalizadas que você cria, sempre têm uma prioridade mais alta.
  • A política é a padrão (a propriedade IsDefault tem o valor True), e não é possível excluir a política padrão.

Para aumentar a eficácia da proteção anti-phishing no Defender para Office 365, você pode criar políticas anti-phishing personalizadas com configurações mais estritas que são aplicadas a usuários ou grupos de usuários específicos.

Do que você precisa saber para começar?

  • Abra o portal do Microsoft 365 Defender em https://security.microsoft.com. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

  • Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.

  • Você precisa ter permissões em Exchange Online antes de fazer os procedimentos deste artigo:

    • Para adicionar, modificar e excluir políticas anti-phishing, você precisa ser membro dos grupos de funções De Gerenciamento da Organização ou Administrador de Segurança.
    • Para acesso somente leitura a políticas anti-phishing, você precisa ser membro dos grupos de função Leitor Global ou Leitor de Segurança *.

    Para obter mais informações, confira Permissões no Exchange Online.

    Observações:

    • Adicionar usuários à função correspondente do Azure Active Directory no Centro de administração do Microsoft 365 fornece aos usuários as permissões necessárias e para outros recursos no Microsoft 365. Para obter mais informações, consulte Sobre funções de administrador.
    • O grupo de função Gerenciamento de Organização Somente para Exibição no Exchange Online também fornece acesso somente leitura ao recurso.
  • Para obter nossas configurações recomendadas para políticas anti-phishing no Defender para Office 365, consulte a política anti-phishing em Defender para Office 365 configurações.

  • Aguarde até 30 minutos para que uma política nova ou atualizada seja aplicada.

  • Para obter informações sobre onde as políticas anti-phishing são aplicadas no pipeline de filtragem, consulte Ordem e precedência da proteção por email.

Usar o Microsoft 365 Defender para criar políticas anti-phishing

Criar uma política anti-phishing personalizada no portal Microsoft 365 Defender cria a regra anti-phishing e a política anti-phishing associada ao mesmo tempo usando o mesmo nome para ambos.

  1. No portal Microsoft 365 Defender, acesse https://security.microsoft.comEmail & Políticas > > > de Colaboração & Regras de Ameaças Anti-phishing na seção Políticas. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

  2. Na página Anti-phishing , clique no ícone Criar. Criar.

  3. O assistente de política é aberto. Na página Nome da política , defina estas configurações:

    • Nome: insira um nome exclusivo e descritivo para a política.
    • Descrição: insira uma descrição opcional para a política.

    Ao terminar, clique em Avançar.

  4. Na página Usuários, grupos e domínios exibida, identifique os destinatários internos aos quais a política se aplica (condições do destinatário):

    • Usuários: As caixas de correio, usuários de email ou contatos de email especificados.
    • Grupos:
      • Membros de grupos de distribuição especificados ou grupos de segurança habilitados para email.
      • Os Grupos do Microsoft 365 especificados.
    • Domínios: todos os destinatários nos domínios aceitos especificados na organização.

    Clique na caixa apropriada, comece a digitar um valor e selecione o valor desejado dos resultados. Repita esse processo quantas vezes for necessário. Para remover uma entrada existente, clique em Remover Ícone Remover. ao lado do valor.

    Quanto aos usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de e-mail, nome da conta, etc.), mas o nome de exibição correspondente é mostrado nos resultados. Quanto aos usuários, insira um asterisco (*) para visualizar os valores disponíveis.

    Vários valores na mesma condição ou exceção usam a lógica OR (por exemplo, <recipient1> ou <recipient2>). Diferentes condições usam a lógica AND (por exemplo, <recipient1> e <member of group 1>).

    • Exclua esses usuários, grupos e domínios: para adicionar exceções aos destinatários internos aos quais a política se aplica (exceções de destinatário), selecione essa opção e configure as exceções. As configurações e o comportamento são exatamente como as condições.

    Importante

    Várias condições ou exceções diferentes não são aditivas; eles são inclusivos. A política é aplicada somente aos destinatários que correspondem a todos os filtros de destinatário especificados. Por exemplo, você configura uma condição de filtro de destinatário na política com os seguintes valores:

    • O destinatário é: romain@contoso.com
    • O destinatário é membro de: Executivos

    A política só será aplicada romain@contoso.com se ele também for membro dos grupos executivos. Se ele não for membro do grupo, a política não será aplicada a ele.

    Da mesma forma, se você usar o mesmo filtro de destinatário como uma exceção à política, a política não será aplicada ao romain@contoso.com somente se ele também for membro dos grupos executivos. Se ele não é membro do grupo, a política ainda se aplica a ele.

    Ao terminar, clique em Avançar.

  5. No limite de phishing & página de proteção que aparece, defina as seguintes configurações:

    • Limite de email de phishing: use o controle deslizante para selecionar um dos seguintes valores:

      • 1 – Padrão (esse é o valor padrão.)
      • 2 - Agressivo
      • 3 - Mais agressivo
      • 4 - Mais agressivo

      Para obter mais informações, consulte Limites avançados de phishing em políticas anti-phishing Microsoft Defender para Office 365.

    • Representação: essas configurações são uma condição para a política que identifica remetentes específicos a serem pesquisados (individualmente ou por domínio) no endereço De de mensagens de entrada. Para obter mais informações, consulte Configurações de representação em políticas anti-phishing Microsoft Defender para Office 365.

      Observação

      • Em cada política anti-phishing, você pode especificar um máximo de 350 usuários protegidos (endereços de email do remetente). Você não pode especificar o mesmo usuário protegido em várias políticas.
      • A proteção contra representação do usuário não funcionará se o remetente e o destinatário tiverem se comunicado anteriormente por email. Se o remetente e o destinatário nunca se comunicarem por email, a mensagem será identificada como uma tentativa de representação.
      • Permitir que os usuários protejam: o valor padrão está desativado (não selecionado). Para ativá-lo, marque a caixa de seleção e clique no link Gerenciar (nn) remetente(s) exibido.

        No submenu Gerenciar remetentes para proteção de representação que aparece, execute as seguintes etapas:

        • Remetentes internos: clique no ícone Adicionar interno. Selecione interno. No submenu Adicionar remetentes internos que aparece, clique na caixa e selecione um usuário interno na lista. Você pode filtrar a lista digitando o usuário e selecionando o usuário nos resultados. Você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de email, nome da conta etc.), mas o nome de exibição correspondente é mostrado nos resultados.

          Repita essa etapa quantas vezes forem necessárias. Para remover uma entrada existente, clique em Remover Ícone Remover. ao lado do valor.

          Quando terminar, clique em Adicionar

        • Remetentes externos: clique no ícone Adicionar externo. Selecione externo. No submenu Adicionar remetentes externos que aparece, insira um nome de exibição na caixa Adicionar um nome e um endereço de email na caixa Adicionar um endereço de email e clique em Adicionar.

          Repita essa etapa quantas vezes forem necessárias. Para remover uma entrada existente, clique em Remover Ícone Remover. ao lado do valor.

          Quando terminar, clique em Adicionar

        De volta ao submenu Gerenciar remetentes para representação, você pode remover entradas selecionando uma ou mais entradas da lista. Você pode pesquisar entradas usando o ícone pesquisar. Caixa de pesquisa.

        Depois de selecionar pelo menos uma entrada, o ícone Remover usuários selecionados. O ícone Remover usuários selecionados é exibido, que pode ser usado para remover as entradas selecionadas.

        Quando terminar, clique em Concluído.

      • Habilitar domínios para proteger: o valor padrão está desativado (não selecionado). Para ativá-lo, marque a caixa de seleção e defina uma ou ambas as seguintes configurações que aparecem:

        • Inclua os domínios que tenho: para ativar essa configuração, marque a caixa de seleção. Para exibir os domínios que você possui, clique em Exibir meus domínios.

        • Incluir domínios personalizados: para ativar essa configuração, marque a caixa de seleção e clique no link Gerenciar (nn) domínio(s) personalizado(s) exibido. No submenu Gerenciar domínios personalizados para proteção de representação exibido, clique no ícone Adicionar domínios. Adicionar domínios.

          No submenu Adicionar domínios personalizados exibido, clique na caixa Domínio, insira um valor e pressione Enter ou selecione o valor exibido abaixo da caixa. Repita essa etapa quantas vezes forem necessárias. Para remover um valor existente, clique em remover no ícone Remover. ao lado do valor.

          Quando terminar, clique em Adicionar domínios

          Observação

          Você pode ter no máximo 50 domínios em todas as políticas anti-phishing.

        De volta ao submenu Gerenciar domínios personalizados para representação, você pode remover entradas selecionando uma ou mais entradas da lista. Você pode pesquisar entradas usando o ícone pesquisar. Caixa de pesquisa.

        Depois de selecionar pelo menos uma entrada, o ícone Excluir domínios. O ícone Excluir é exibido, que você pode usar para remover as entradas selecionadas.

    • Adicione domínios e remetentes confiáveis: especifique exceções de proteção de representação para a política clicando em Gerenciar (nn) remetentes confiáveis e domínios. No submenu Gerenciar domínios personalizados para proteção de representação exibido, defina as seguintes configurações:

      • Remetentes: verifique se a guia Remetente está selecionada e clique no ícone Adicionar remetentes.. No submenu Adicionar remetentes confiáveis exibido, insira um endereço de email na caixa e clique em Adicionar. Repita essa etapa quantas vezes forem necessárias. Para remover uma entrada existente, clique no ícone Excluir da entrada.

        Quando terminar, clique em Adicionar.

      • Domínios: selecione a guia Domínio e clique no ícone Adicionar domínios..

        No submenu Adicionar domínios confiáveis exibido, clique na caixa Domínio, insira um valor e pressione Enter ou selecione o valor exibido abaixo da caixa. Repita essa etapa quantas vezes forem necessárias. Para remover um valor existente, clique em remover no ícone Remover. ao lado do valor.

        Quando terminar, clique em Adicionar.

      De volta ao submenu Gerenciar domínios personalizados para representação, você pode remover entradas das guias Remetente e Domínio selecionando uma ou mais entradas na lista. Você pode pesquisar entradas usando o ícone pesquisar. Caixa de pesquisa.

      Depois de selecionar pelo menos uma entrada , o ícone Excluir será exibido, que pode ser usado para remover as entradas selecionadas.

      Quando terminar, clique em Concluído.

      Observação

      O número máximo de entradas de remetente e domínio é 1024.

    • Habilitar a inteligência de caixa de correio: o valor padrão está ativado (selecionado) e recomendamos que você o deixe ativado. Para desativá-lo, desmarque a caixa de seleção.

      • Habilitar a proteção contra representação baseada em inteligência: essa configuração estará disponível somente se a opção Habilitar inteligência de caixa de correio estiver ativada (selecionada). Essa configuração permite que a inteligência de caixa de correio execute ações em mensagens identificadas como tentativas de representação. Especifique a ação a ser tomada na inteligência de caixa de correio If detecta uma configuração de usuário representado na próxima página.

        Recomendamos que você ative essa configuração marcando a caixa de seleção. Para desativar essa configuração, desmarque a caixa de seleção.

    • Falsificação: nesta seção, use a caixa de seleção Habilitar inteligência contra falsificação para ativar ou desativar a inteligência contra falsificação. O valor padrão está ativado (selecionado) e recomendamos que você o deixe ativado. Especifique a ação a ser tomada em mensagens de remetentes falsificados bloqueados na mensagem Se for detectada como configuração de falsificação na próxima página.

      Para desativar a inteligência contra falsificação, desmarque a caixa de seleção.

      Observação

      Você não precisará desativar a proteção antifalsificação se o registro MX não apontar para Microsoft 365; em vez disso, habilite a Filtragem Avançada para Conectores. Para obter instruções, consulte Filtragem aprimorada para conectores Exchange Online.

    Ao terminar, clique em Avançar.

  6. Na página Ações exibida, de acordo com as seguintes configurações:

    • Ações de mensagem: configure as seguintes ações nesta seção:

      • Se a mensagem for detectada como um usuário representado: essa configuração estará disponível somente se você tiver selecionado Habilitar usuários para proteger na página anterior. Selecione uma das seguintes ações na lista suspensa para mensagens em que o remetente é um dos usuários protegidos que você especificou na página anterior:

        • Não aplicar nenhuma ação

        • Redirecionar mensagem para outros endereços de email

        • Mover mensagem para as pastas lixo eletrônico dos destinatários

        • Colocar a mensagem em quarentena: se você selecionar essa ação, uma caixa aplicar política de quarentena será exibida onde você selecionará a política de quarentena que se aplica às mensagens que estão em quarentena pela proteção de representação do usuário. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, confira Políticas de quarentena.

          Um valor da política aplicar quarentena em branco significa que a política de quarentena padrão é usada (DefaultFullAccessPolicy para detecções de representação de usuário). Quando você edita posteriormente a política anti-phishing ou exibe as configurações, o nome da política de quarentena padrão é mostrado.

        • Entregar a mensagem e adicionar outros endereços à linha Cco

        • Excluir a mensagem antes de ser entregue

      • Se a mensagem for detectada como um domínio representado: essa configuração estará disponível somente se você tiver selecionado Habilitar domínios para proteger na página anterior. Selecione uma das seguintes ações na lista suspensa para mensagens em que o endereço de email do remetente está em um dos domínios protegidos que você especificou na página anterior:

        • Não aplicar nenhuma ação

        • Redirecionar mensagem para outros endereços de email

        • Mover mensagem para as pastas lixo eletrônico dos destinatários

        • Colocar a mensagem em quarentena: se você selecionar essa ação, uma caixa Aplicar política de quarentena será exibida onde você selecionará a política de quarentena que se aplica às mensagens que estão em quarentena pela proteção de representação de domínio.

          Um valor de política de quarentena aplicar em branco significa que a política de quarentena padrão é usada (DefaultFullAccessPolicy para detecções de representação de domínio). Quando você edita posteriormente a política anti-phishing ou exibe as configurações, o nome da política de quarentena padrão é mostrado.

        • Entregar a mensagem e adicionar outros endereços à linha Cco

        • Excluir a mensagem antes de ser entregue

      • Se a inteligência da caixa de correio detectar um usuário representado: essa configuração estará disponível somente se você tiver selecionado Habilitar inteligência para proteção de representação na página anterior. Selecione uma das seguintes ações na lista suspensa para mensagens identificadas como tentativas de representação por inteligência de caixa de correio:

        • Não aplicar nenhuma ação

        • Redirecionar mensagem para outros endereços de email

        • Mover mensagem para as pastas lixo eletrônico dos destinatários

        • Colocar a mensagem em quarentena: se você selecionar essa ação, uma caixa aplicar política de quarentena será exibida onde você selecionará a política de quarentena que se aplica às mensagens que estão em quarentena pela proteção de inteligência da caixa de correio. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, confira Políticas de quarentena.

          Um valor da política aplicar quarentena em branco significa que a política de quarentena padrão é usada (DefaultFullAccessPolicy para detecções de inteligência de caixa de correio). Quando você edita posteriormente a política anti-phishing ou exibe as configurações, o nome da política de quarentena padrão é mostrado.

        • Entregar a mensagem e adicionar outros endereços à linha Cco

        • Excluir a mensagem antes de ser entregue

      • Se a mensagem for detectada como falsificação: essa configuração estará disponível somente se você tiver selecionado Habilitar inteligência contra falsificação na página anterior. Selecione uma das seguintes ações na lista suspensa para mensagens de remetentes falsificados bloqueados:

        • Mover mensagem para as pastas lixo eletrônico dos destinatários

        • Colocar a mensagem em quarentena: se você selecionar essa ação, uma caixa Aplicar política de quarentena será exibida onde você selecionará a política de quarentena que se aplica às mensagens que estão em quarentena pela proteção contra falsificação de inteligência. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, confira Políticas de quarentena.

          Um valor da política aplicar quarentena em branco significa que a política de quarentena padrão é usada (DefaultFullAccessPolicy para detecções de inteligência contra falsificação). Quando você edita posteriormente a política anti-phishing ou exibe as configurações, o nome da política de quarentena padrão é mostrado.

    • Dicas de & indicadores: defina as seguintes configurações:

      • Mostrar o primeiro contato dica de segurança: para obter mais informações, consulte First contact dica de segurança.
      • Mostrar a representação do dica de segurança: essa configuração estará disponível somente se você tiver selecionado Habilitar usuários para proteger na página anterior.
      • Mostrar a representação de domínio dica de segurança: essa configuração estará disponível somente se você tiver selecionado Habilitar domínios para proteger na página anterior.
      • Mostrar caracteres incomuns de representação do usuário dica de segurança Essa configuração só estará disponível se você tiver selecionado Habilitar usuários para proteger ou Habilitar domínios para proteger na página anterior.
      • Mostrar (?) para remetentes não autenticados para falsificação: essa configuração só estará disponível se você tiver selecionado Habilitar inteligência contra falsificação na página anterior. Adiciona um ponto de interrogação (?) à foto do remetente na caixa De no Outlook se a mensagem não passar nas verificações SPF ou DKIM e a mensagem não passar na autenticação composta ou DMARC.
      • Mostrar a marca "via": essa configuração estará disponível somente se você tiver selecionado Habilitar inteligência contra falsificação na página anterior. Adiciona uma marca via (chris@contoso.com via fabrikam.com) ao endereço De se ele for diferente do domínio na assinatura DKIM ou no endereço MAIL FROM . O valor padrão está ativado (selecionado). Para desativá-lo, desmarque a caixa de seleção.

      Para ativar uma configuração, marque a caixa de seleção. Para desativá-lo, desmarque a caixa de seleção.

    Ao terminar, clique em Avançar.

  7. Na página Revisão exibida, revise suas configurações. Você pode selecionar Editar em cada seção para modificar as configurações da seção. Ou você pode clicar em Voltar ou selecionar a página específica no assistente.

    Quando concluir, clique em Enviar.

  8. Na mensagem de confirmação exibida, clique em Concluído.

Usar o Microsoft 365 Defender para exibir políticas anti-phishing

  1. No portal Microsoft 365 Defender, acesse Email & Políticas > > > de Colaboração & Regras de Ameaças Anti-phishing na seção Políticas.

  2. Na página Anti-phishing , as seguintes propriedades são exibidas na lista de políticas anti-phishing:

    • Nome
    • Status
    • Prioridade
    • Última modificação
  3. Quando você seleciona uma política clicando no nome, as configurações de política são exibidas em um submenu.

Usar o portal Microsoft 365 Defender para modificar políticas anti-phishing

  1. No portal Microsoft 365 Defender, acesse https://security.microsoft.comEmail & Políticas > > > de Colaboração & Regras de Ameaças Anti-phishing na seção Políticas. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

  2. Na página Anti-phishing , selecione uma política na lista clicando no nome.

  3. No submenu de detalhes da política exibido, selecione Editar em cada seção para modificar as configurações da seção. Para obter mais informações sobre as configurações, consulte a seção Usar o portal Microsoft 365 Defender para criar políticas anti-phishing anteriormente neste artigo.

    Para a política anti-phishing padrão, a seção Usuários, grupos e domínios não está disponível (a política se aplica a todos) e você não pode renomear a política.

Para habilitar ou desabilitar uma política ou definir a ordem de prioridade da política, consulte as seções a seguir.

Habilitar ou desabilitar políticas anti-phishing personalizadas

Você não pode desabilitar a política anti-phishing padrão.

  1. No portal Microsoft 365 Defender, acesse https://security.microsoft.comEmail & Políticas > > > de Colaboração & Regras de Ameaças Anti-phishing na seção Políticas. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

  2. Na página Anti-phishing , selecione uma política personalizada na lista clicando no nome.

  3. Na parte superior do submenu de detalhes da política exibido, você verá um dos seguintes valores:

    • Política desativada: Para ativar a política, clique no ícone Ativar. Ativar.
    • Política ativada: Para desativar a política, clique no ícone Desativar. Desativar.
  4. Na caixa de diálogo de confirmação exibida, clique em Ativar ou Desativar.

  5. Clique em Fechar no submenu de detalhes da política.

De volta à página da política principal, o valor Status da política será Ativado ou Desativado.

Definir a prioridade de políticas anti-phishing personalizadas

Por padrão, as políticas anti-phishing recebem uma prioridade baseada na ordem em que foram criadas (as políticas mais recentes têm prioridade mais baixa do que as políticas mais antigas). Um número de prioridade menor indica uma maior prioridade para a política (0 é a maior), e as políticas são processadas por ordem de prioridade (políticas com maior prioridade são processadas antes das políticas com menor prioridade). Duas políticas não podem ter a mesma prioridade, e o processamento da política será interrompido após a primeira política ser aplicada.

Para alterar a prioridade de uma política, clique em Aumentar a prioridade ou Diminuir a prioridade nas propriedades da política (você não pode modificar diretamente o número de Prioridade no portal do Microsoft 365 Defender). Alterar a prioridade de uma política só faz sentido se você tiver várias políticas.

Observações:

  • No portal Microsoft 365 Defender, você só pode alterar a prioridade da política anti-phishing depois de criar. No PowerShell, você pode substituir a prioridade padrão ao criar a regra anti-phish (que pode afetar a prioridade das regras existentes).
  • As políticas anti-phishing são processadas na ordem em que são exibidas (a primeira política tem o valor de prioridade 0). A política anti-phishing padrão tem o valor de prioridade Mais Baixo e você não pode alterá-la.
  1. No portal Microsoft 365 Defender, acesse https://security.microsoft.comEmail & Políticas > > > de Colaboração & Regras de Ameaças Anti-phishing na seção Políticas. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

  2. Na página Anti-phishing , selecione uma política personalizada na lista clicando no nome.

  3. Na parte superior do submenu de detalhes da política exibido, você verá Aumentar a prioridade ou Diminuir a prioridade com base no valor de prioridade atual e no número de políticas personalizadas:

    • A política com o valor prioridade 0 tem apenas a opção Diminuir prioridade disponível.
    • A política com o menor valor de Prioridade (por exemplo, 3) tem apenas a opção Aumentar prioridade disponível.
    • Se você tiver três ou mais políticas, as políticas entre os valores de prioridade mais alta e mais baixa terão as opções Aumentar prioridade e Diminuir prioridade disponíveis.

    Clique no ícone Aumentar prioridade. Aumentar prioridade ou no Ícone Diminuir prioridade Diminuir prioridade para alterar o valor da Prioridade.

  4. Quando terminar, clique em Fechar no submenu de detalhes da política.

Usar o portal Microsoft 365 Defender para remover políticas anti-phishing personalizadas

Quando você usa o portal Microsoft 365 Defender para remover uma política anti-phishing personalizada, a regra anti-phishing e a política anti-phishing correspondente são excluídas. Não é possível remover a política anti-phishing padrão.

  1. No portal Microsoft 365 Defender, acesse https://security.microsoft.comEmail & Políticas > > > de Colaboração & Regras de Ameaças Anti-phishing na seção Políticas. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

  2. Na página Anti-phishing , selecione uma política personalizada na lista clicando no nome da política.

  3. Na parte superior do submenu de detalhes da política que aparece, clique no ícone Mais ações. Mais ações > Ícone Excluir política Excluir política.

  4. Na caixa de diálogo de confirmação exibida, clique em Sim.

Usar Exchange Online PowerShell para configurar políticas anti-phishing

Conforme descrito anteriormente, uma política antispam consiste em uma política anti-phishing e uma regra anti-phishing.

No Exchange Online PowerShell, a diferença entre políticas anti-phishing e regras anti-phish é aparente. Você gerencia políticas anti-phishing usando os cmdlets -AntiPhishPolicy e gerencia regras anti-phish usando os cmdlets -AntiPhishRule.* *

  • No PowerShell, primeiro você cria a política anti-phishing e, em seguida, cria a regra anti-phish que identifica a política à qual a regra se aplica.
  • No PowerShell, você modifica as configurações na política anti-phishing e na regra anti-phishing separadamente.
  • Quando você remove uma política anti-phishing do PowerShell, a regra anti-phishing correspondente não é removida automaticamente e vice-versa.

Usar o PowerShell para criar políticas anti-phishing

A criação de uma política anti-phishing no PowerShell é um processo de duas etapas:

  1. Crie a política anti-phishing.
  2. Crie a regra anti-phishing que especifica a política anti-phishing à qual a regra se aplica.

Observações:

  • Você pode criar uma nova regra anti-phishing e atribuir uma política anti-phishing existente e não associada a ela. Uma regra anti-phishing não pode ser associada a mais de uma política anti-phishing.
  • Você pode definir as seguintes configurações em novas políticas anti-phishing no PowerShell que não estão disponíveis no portal do Microsoft 365 Defender até depois de criar a política:
    • Crie a nova política como desabilitada (Habilitada $false no cmdlet New-AntiPhishRule ).
    • Defina a prioridade da política durante a criação (Prioridade_<Number>_) no cmdlet New-AntiPhishRule).
  • Uma nova política anti-phishing que você cria no PowerShell não fica visível no portal Microsoft 365 Defender até que você atribua a política a uma regra anti-phishing.

Etapa 1: Usar o PowerShell para criar uma política anti-phishing

Para criar uma política anti-phishing, use esta sintaxe:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

Este exemplo cria uma política anti-phishing chamada Quarentena de Pesquisa com as seguintes configurações:

  • A política está habilitada (não estamos usando o parâmetro Enabled e o valor padrão é $true).
  • A descrição é: Política do departamento de pesquisa.
  • Altera a ação padrão para detecções de falsificação para Quarentena e usa a política de quarentena padrão para as mensagens em quarentena (não estamos usando o parâmetro SpoofQuarantineTag).
  • Habilita a proteção de domínios da organização para todos os domínios aceitos e a proteção de domínios direcionados para fabrikam.com.
  • Especifica a Quarentena como a ação para detecções de representação de domínio e usa a política de quarentena padrão para as mensagens em quarentena (não estamos usando o parâmetro TargetedDomainQuarantineTag).
  • Especifica Mai Fujito (mfujito@fabrikam.com) como o usuário a ser protegido contra representação.
  • Especifica a Quarentena como a ação para detecções de representação do usuário e usa a política de quarentena padrão para as mensagens em quarentena (não estamos usando o parâmetro TargetedUserQuarantineTag).
  • Habilita a inteligência de caixa de correio (EnableMailboxIntelligence), permite que a proteção de inteligência de caixa de correio tome medidas em mensagens (EnableMailboxIntelligenceProtection), especifica a Quarentena como a ação para mensagens detectadas e usa a política de quarentena padrão para as mensagens em quarentena (não estamos usando o parâmetro MailboxIntelligenceQuarantineTag).
  • Habilita todas as dicas de segurança.
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-AntiPhishPolicy.

Observação

Para obter instruções detalhadas para especificar as políticas de quarentena a serem usadas em uma política anti-phishing, consulte Usar o PowerShell para especificar a política de quarentena em políticas anti-phishing.

Etapa 2: Usar o PowerShell para criar uma regra anti-phishing

Para criar uma regra anti-phishing, use esta sintaxe:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Este exemplo cria uma regra anti-phishing chamada Departamento de Pesquisa com as seguintes condições:

  • A regra está associada à política anti-phishing chamada Quarentena de Pesquisa.
  • A regra se aplica aos membros do grupo chamado Departamento de pesquisa.
  • Como não estamos usando o parâmetro Priority , a prioridade padrão é usada.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-AntiPhishRule.

Usar o PowerShell para exibir políticas anti-phishing

Para exibir políticas anti-phishing existentes, use a seguinte sintaxe:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

Este exemplo retorna uma lista resumida de todas as políticas anti-phishing juntamente com as propriedades especificadas.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

Este exemplo retorna todos os valores de propriedade para a política anti-phishing chamada Executives.

Get-AntiPhishPolicy -Identity "Executives"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-AntiPhishPolicy.

Usar o PowerShell para exibir regras anti-phishing

Para exibir regras anti-phishing existentes, use a seguinte sintaxe:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

Este exemplo retorna uma lista resumida de todas as regras anti-phishing juntamente com as propriedades especificadas.

Get-AntiPhishRule | Format-Table Name,Priority,State

Para filtrar a lista por regras habilitadas ou desabilitadas, execute os seguintes comandos:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

Este exemplo retorna todos os valores de propriedade para a regra anti-phishing chamada Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-AntiPhishRule.

Usar o PowerShell para modificar políticas anti-phishing

Além dos itens a seguir, as mesmas configurações estão disponíveis quando você modifica uma política anti-phishing no PowerShell como quando você cria a política, conforme descrito na Etapa 1: Usar o PowerShell para criar uma seção de política anti-phishing anteriormente neste artigo.

  • A opção MakeDefault que transforma a política especificada na política padrão (aplicada a todos, sempre a prioridade mais baixa e você não pode excluí-la) só está disponível quando você modifica uma política anti-phishing no PowerShell.

  • Não é possível renomear uma política anti-phish (o cmdlet Set-AntiPhishPolicy não tem nenhum parâmetro Name). Ao renomear uma política anti-phishing no portal Microsoft 365 Defender, você só está renomeando a regra anti-phishing.

Para modificar uma política anti-phishing, use esta sintaxe:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-AntiPhishPolicy.

Observação

Para obter instruções detalhadas para especificar as políticas de quarentena a serem usadas em uma política anti-phishing, consulte Usar o PowerShell para especificar a política de quarentena em políticas anti-phishing.

Usar o PowerShell para modificar regras anti-phishing

A única configuração que não está disponível quando você modifica uma regra anti-phishing no PowerShell é o parâmetro Enabled que permite criar uma regra desabilitada. Para habilitar ou desabilitar regras anti-phishing existentes, consulte a próxima seção.

Caso contrário, nenhuma configuração adicional estará disponível quando você modificar uma regra anti-phishing no PowerShell. As mesmas configurações estão disponíveis quando você cria uma regra, conforme descrito na Etapa 2: Use o PowerShell para criar uma seção de regra anti-phishing anteriormente neste artigo.

Para modificar uma regra anti-phishing, use esta sintaxe:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-AntiPhishRule.

Usar o PowerShell para habilitar ou desabilitar regras anti-phishing

Habilitar ou desabilitar uma regra anti-phishing no PowerShell habilita ou desabilita toda a política anti-phishing (a regra anti-phishing e a política anti-phishing atribuída). Você não pode habilitar ou desabilitar a política anti-phishing padrão (ela sempre é aplicada a todos os destinatários).

Para habilitar ou desabilitar uma regra anti-phishing no PowerShell, use esta sintaxe:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

Este exemplo desabilita a regra anti-phishing chamada Departamento de Marketing.

Disable-AntiPhishRule -Identity "Marketing Department"

Este exemplo habilita a mesma regra.

Enable-AntiPhishRule -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Enable-AntiPhishRule e Disable-AntiPhishRule.

Usar o PowerShell para definir a prioridade das regras anti-phishing

O valor mais alto de prioridade que pode ser definido em uma regra é 0. O valor mais baixo que pode ser definido depende do número de regras. Por exemplo, se você tiver cinco regras, use os valores de prioridade de 0 a 4. Alterar a prioridade de uma regra existente pode ter um efeito cascata em outras regras. Por exemplo, se você tiver cinco regras personalizadas (prioridades de 0 a 4) e alterar a prioridade de uma regra para 2, a regra existente com prioridade 2 será alterada para a prioridade 3, e a regra com prioridade 3 será alterada para prioridade 4.

Para definir a prioridade de uma regra anti-phishing no PowerShell, use a seguinte sintaxe:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

Este exemplo define a prioridade da regra chamada Marketing Department como 2. Todas as regras existentes com prioridade inferior ou igual a 2 são reduzidas por 1 (seus números de prioridade são aumentados por 1).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Observações:

  • Para definir a prioridade de uma nova regra ao criar, use o parâmetro Priority no cmdlet New-AntiPhishRule .

  • A política anti-phishing padrão não tem uma regra anti-phishing correspondente e sempre tem o valor de prioridade não modificável Mais Baixo.

Usar o PowerShell para remover políticas anti-phishing

Quando você usa o PowerShell para remover uma política anti-phishing, a regra anti-phishing correspondente não é removida.

Para remover uma política anti-phishing no PowerShell, use esta sintaxe:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

Este exemplo remove a política anti-phishing chamada Departamento de Marketing.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-AntiPhishPolicy.

Usar o PowerShell para remover regras anti-phishing

Quando você usa o PowerShell para remover uma regra anti-phishing, a política anti-phishing correspondente não é removida.

Para remover uma regra anti-phishing no PowerShell, use esta sintaxe:

Remove-AntiPhishRule -Identity "<PolicyName>"

Este exemplo remove a regra anti-phishing chamada Departamento de Marketing.

Remove-AntiPhishRule -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-AntiPhishRule.

Como saber se esses procedimentos funcionaram?

Para verificar se você configurou políticas anti-phishing com êxito no Defender para Office 365, execute uma das seguintes etapas:

  • Na página Anti-phishing no portal Microsoft 365 Defender, https://security.microsoft.com/antiphishingverifique a lista de políticas, seus valores de Status e seus valores de prioridade. Para exibir mais detalhes, selecione a política na lista clicando no nome e exibindo os detalhes no submenu exibido.

  • No Exchange Online PowerShell, <Name> substitua pelo nome da política ou regra e execute o seguinte comando e verifique as configurações:

    Get-AntiPhishPolicy -Identity "<Name>"
    
    Get-AntiPhishRule -Identity "<Name>"