Configurar políticas anti-phishing no Microsoft Defender para Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Em organizações com Microsoft Defender para Office 365, as políticas anti-phishing fornecem os seguintes tipos de proteção:

• A mesma proteção anti-falsificação que está disponível no EOP (Proteção do Exchange Online). Para obter mais informações, confira Configurações de falsificação.
• Proteção anti-representação contra outros tipos de ataques de phishing. Para saber mais, confira Configurações exclusivas em políticas anti phishing no Microsoft Defender para Office 365.

A política anti-phishing padrão se aplica automaticamente a todos os destinatários. Para maior granularidade, você também pode criar políticas anti-phishing personalizadas que se aplicam a usuários, grupos ou domínios específicos em sua organização.

Você configura políticas anti-phishing no portal do Microsoft Defender ou no Exchange Online PowerShell.

Para procedimentos de política anti-phishing em organizações sem Defender para Office 365, consulte Configurar políticas anti-phishing no EOP.

Do que você precisa saber para começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

• Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.

• Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

  • Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell): configurações e configurações de segurança/Configurações de segurança principal/configurações de segurança principal (gerenciar) ou Configurações e configurações/Configurações de segurança/Configurações de Segurança Principal (leitura).
  • Exchange Online permissões:
    • Adicionar, modificar e excluir políticas: Associação nos grupos de funções gerenciamento de organização ou administrador de segurança .
    • Acesso somente leitura a políticas: associação aos grupos de funções Leitor Global, Leitor de Segurança ou Gerenciamento de Organização Somente Exibição .
  • Microsoft Entra permissões: a associação nas funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

• Para obter nossas configurações recomendadas para políticas anti-phishing no Defender para Office 365, consulte Política anti-phishing em configurações de Defender para Office 365.

  Dica

  As configurações nas políticas anti-phishing padrão ou personalizadas são ignoradas se um destinatário também estiver incluído nas políticas de segurança predefinidas Standard ou Strict. Para obter mais informações, consulte Ordem e precedência da proteção por email.

• Permitir até 30 minutos para que uma política nova ou atualizada seja aplicada.

Usar o portal Microsoft Defender para criar políticas anti-phishing

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Email & Políticas de Colaboração>& Regras>Políticas>de Ameaças Anti-phishing na seção Políticas. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

2. Na página Anti-phishing , selecione Criar para abrir o novo assistente de política anti-phishing.

3. Na página Nome da política , configure estas configurações:

   • Nome: insira um nome exclusivo e descritivo para a política.
   • Descrição: insira uma descrição opcional para a política.

   Quando terminar na página Nome da política , selecione Avançar.

4. Na página Usuários, grupos e domínios , identifique os destinatários internos aos quais a política se aplica (condições do destinatário):

   • Usuários: As caixas de correio, usuários de email ou contatos de email especificados.
   • Grupos:
     • Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
     • Os Grupos do Microsoft 365 especificados.
   • Domínios: todos os destinatários da organização com um endereço de email principal no domínio aceito especificado.

   Clique na caixa apropriada, comece a digitar um valor e selecione o valor desejado dos resultados. Repita esse processo quantas vezes for necessário. Para remover um valor existente, selecione ao lado do valor.

   Para usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de email, nome da conta etc.), mas o nome de exibição correspondente será mostrado nos resultados. Para usuários ou grupos, insira um asterisco (*) por si só para ver todos os valores disponíveis.

   Você pode usar uma condição apenas uma vez, mas a condição pode conter vários valores:

   • Vários valores da mesma condição usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada a eles.

   • Diferentes tipos de condições usam a lógica AND. O destinatário deve corresponder a todas as condições especificadas para que a política se aplique a elas. Por exemplo, você configura uma condição com os seguintes valores:

     • Usuários: romain@contoso.com
     • Grupos: Executivos

     A política só será aplicada romain@contoso.com se ele também for membro do grupo Executivos. Caso contrário, a política não é aplicada a ele.

   • Exclua esses usuários, grupos e domínios: Para adicionar exceções para os destinatários internos aos quais a política se aplica (exceções de destinatário), selecione esta opção e configure as exceções.

     Você pode usar uma exceção apenas uma vez, mas a exceção pode conter vários valores:

     • Vários valores da mesma exceção usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada a eles.
     • Diferentes tipos de exceções usam a lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domain1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada a eles.

   Quando terminar na página Usuários, grupos e domínios , selecione Avançar.

5. Na página de proteção & limite de phishing , configure as seguintes configurações:

   • Limite de email de phishing: use o controle deslizante para selecionar um dos seguintes valores:

     • 1 – Standard (este é o valor padrão.)
     • 2 – Agressivo
     • 3 - Mais agressivo
     • 4 - Mais agressivo

     Para obter mais informações sobre essa configuração, consulte Limites avançados de phishing em políticas anti-phishing no Microsoft Defender para Office 365.

   • Representação: essas configurações são condições para a política que identifica remetentes específicos para procurar (individualmente ou por domínio) no endereço De mensagens de entrada. Para obter mais informações, consulte Configurações de representação em políticas anti-phishing no Microsoft Defender para Office 365.

     • Permitir que os usuários protejam: essa configuração não é selecionada por padrão. Para ativar a proteção de representação do usuário, selecione a caixa marcar e selecione o link Gerenciar (nn) remetente. Você identifica a ação para detecções de representação de usuário na próxima página.

       Você identifica os remetentes internos e externos a serem protegidos pela combinação de seu nome de exibição e endereço de email.

       Selecione Adicionar usuário. No flyout Adicionar usuário que é aberto, siga as seguintes etapas:

       • Usuários internos: clique na caixa Adicionar um email válido ou comece a digitar o endereço de email do usuário. Selecione o endereço de email na lista suspensa Contatos Sugeridos que aparece. O nome de exibição do usuário é adicionado à caixa Adicionar um nome (que você pode alterar). Quando terminar de selecionar o usuário, selecione Adicionar.

       • Usuários externos: digite o endereço de email completo do usuário externo na caixa Adicionar um email válido e selecione o endereço de email na lista suspensa Contatos Sugeridos que aparece. O endereço de email também é adicionado na caixa Adicionar um nome (que você pode alterar para um nome de exibição).

       Os usuários que você adicionou estão listados no endereço Adicionar flyout do usuário por Nome e Email. Para remover um usuário, selecione ao lado da entrada.

       Quando terminar o flyout Adicionar usuário , selecione Adicionar.

       De volta ao flyout Gerenciar remetentes para proteção de representação , os usuários selecionados são listados por Nome de exibição e endereço de email do Remetente.

       Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

       Use a caixa Pesquisa para encontrar entradas no flyout.

       Para adicionar entradas, selecione Adicionar usuário e repita as etapas anteriores.

       Para remover entradas, faça uma das seguintes etapas:

       • Selecione uma ou mais entradas selecionando a caixa de marcar redonda que aparece na área em branco ao lado do valor do nome de exibição.
       • Selecione todas as entradas ao mesmo tempo selecionando a caixa de marcar redonda que aparece na área em branco ao lado do cabeçalho da coluna Nome de exibição.

       Quando você terminar no flyout Gerenciar remetentes para proteção contra representação , selecione Concluído para retornar à página de proteção & limite de phishing .

       Observação

       Você pode especificar um máximo de 350 usuários para proteção de representação do usuário em cada política anti-phishing.

       A proteção de representação do usuário não funcionará se o remetente e o destinatário tiverem se comunicado anteriormente por email. Se o remetente e o destinatário nunca se comunicarem por email, a mensagem poderá ser identificada como uma tentativa de representação.

       Você pode obter o erro "O endereço de email já existe" se tentar adicionar um usuário à proteção de representação do usuário quando esse endereço de email já estiver especificado para proteção de representação do usuário em outra política anti-phishing. Esse erro ocorre apenas no portal do Defender. Você não receberá o erro se usar o parâmetro TargetedUsersToProtect correspondente nos cmdlets New-AntiPhishPolicy ou Set-AntiPhishPolicy no Exchange Online PowerShell.

     • Habilitar domínios para proteger: essa configuração não é selecionada por padrão. Para ativar a proteção de representação de domínio, selecione a caixa marcar e configure uma ou ambas as configurações a seguir que aparecem. Você identifica a ação para detecções de representação de domínio na próxima página.

       • Inclua os domínios que possuo: para ativar essa configuração, selecione a caixa marcar. Para exibir os domínios que você possui, selecione Exibir meus domínios.

       • Inclua domínios personalizados: para ativar essa configuração, selecione a caixa marcar e selecione o link Gerenciar (nn) domínios personalizados. No flyout Gerenciar domínios personalizados para proteção de representação que é aberto, siga as seguintes etapas:

       Selecione Adicionar domínios.

       No flyout Adicionar domínios personalizados que aparece, clique na caixa Domínio , insira um valor de domínio e selecione o valor exibido abaixo da caixa. Repita essa etapa quantas vezes forem necessárias.

       Os domínios adicionados estão listados no flyout Adicionar domínios personalizados . Para remover o domínio, selecione ao lado do valor.

       Quando terminar o flyout Adicionar domínios personalizados , selecione Adicionar domínios

       De volta ao flyout Gerenciar domínios personalizados para proteção de representação , os domínios inseridos estão listados.

       Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

       Use a caixa Pesquisa para encontrar entradas no flyout.

       Para adicionar entradas, selecione Adicionar domínios e repita as etapas anteriores.

       Para remover entradas, faça uma das seguintes etapas:

       • Selecione uma ou mais entradas selecionando a caixa de marcar redonda que aparece na área em branco ao lado do valor de domínio.
       • Selecione todas as entradas ao mesmo tempo selecionando a caixa de marcar redonda que aparece na área em branco ao lado do cabeçalho da coluna Domínios.

       Quando terminar no flyout Gerenciar domínios personalizados para proteção contra representação , selecione Concluído para retornar à página de proteção & limite de phishing .

     • Adicionar remetentes e domínios confiáveis: especifique exceções de proteção de representação para a política selecionando Gerenciar (nn) remetentes confiáveis e domínios(s). No flyout Gerenciar domínios personalizados para proteção de representação que é aberto, você insira remetentes na guia Remetente e domínios na guia Domínio .

       Observação

       O número máximo de entradas de remetente e domínio confiáveis é 1024.

       • Guia Remetente : selecione Adicionar remetentes.

         No flyout Adicionar remetentes confiáveis que é aberto, insira um endereço de email na caixa Adicionar um email válido e selecione Adicionar. Repita essa etapa quantas vezes forem necessárias. Para remover uma entrada existente, selecione para a entrada.

         Quando terminar o flyout Adicionar remetentes confiáveis , selecione Adicionar.

         De volta à guia Remetente , os remetentes inseridos estão listados.

         Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

         Use a caixa Pesquisa para encontrar entradas no flyout.

         Para adicionar entradas, selecione Adicionar remetentes e repita as etapas anteriores.

         Para remover entradas, faça uma das seguintes etapas:

         • Selecione uma ou mais entradas selecionando a caixa de marcar redonda que aparece na área em branco ao lado do valor do remetente.
         • Selecione todas as entradas ao mesmo tempo selecionando a caixa de marcar redonda que aparece na área em branco ao lado do cabeçalho da coluna Remetente.

         Quando terminar na guia Remetente do flyout Gerenciar domínios personalizados para proteção contra representação , selecione a guia Domínio para adicionar domínios ou selecione Concluído para retornar à página de proteção & limite de phishing .

         Dica

         Se as mensagens do sistema do Microsoft 365 dos seguintes remetentes forem identificadas como tentativas de representação, você poderá adicionar os remetentes à lista de remetentes confiáveis:

         • noreply@email.teams.microsoft.com
         • noreply@emeaemail.teams.microsoft.com
         • no-reply@sharepointonline.com
         • noreply@planner.office365.com

       • Guia Domínio : selecione Adicionar domínios. No flyout Adicionar domínios confiáveis que é aberto, insira domínio na caixa Domínio e selecione o domínio na lista suspensa exibida. Repita essa etapa quantas vezes forem necessárias. Para remover uma entrada existente, selecione para a entrada.

         Quando terminar o flyout Adicionar domínios confiáveis , selecione Adicionar domínios.

         De volta à guia Domínio , os domínios adicionados agora estão listados.

         Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

         Use a caixa Pesquisa para localizar entradas na guia.

         Para adicionar entradas, selecione Adicionar domínios e repita as etapas anteriores.

         Para remover entradas, faça uma das seguintes etapas:

         • Selecione uma ou mais entradas selecionando a caixa de marcar redonda que aparece na área em branco ao lado do valor de domínio.
         • Selecione todas as entradas ao mesmo tempo selecionando a caixa de marcar redonda que aparece na área em branco ao lado do cabeçalho da coluna Domínio.

         Quando terminar na guia Domínio do flyout Gerenciar domínios personalizados para proteção contra representação , selecione a guia Remetente para adicionar remetentes ou selecione Concluído para retornar à página de proteção & limite de phishing .

         Observação

         Entradas de domínio confiáveis não incluem subdomínios do domínio especificado. Você precisa adicionar uma entrada para cada subdomínio.

       Quando terminar no flyout Gerenciar domínios personalizados para proteção contra representação , selecione Concluídopara retornar à página de proteção & limite de phishing .

     • Habilitar a inteligência da caixa de correio: essa configuração é selecionada por padrão e é recomendável deixá-la selecionada. Para desativar a inteligência da caixa de correio, desmarque a caixa de marcar.

     • Habilitar a inteligência para proteção contra representação: essa configuração só estará disponível se Habilitar a inteligência da caixa de correio estiver selecionada. Essa configuração permite que a inteligência da caixa de correio tome medidas em mensagens identificadas como tentativas de representação. Especifique a ação a ser tomada para detecções de inteligência de caixa de correio na próxima página.

       Observação

       A proteção de inteligência de caixa de correio não funcionará se o remetente e o destinatário tiverem se comunicado anteriormente por email. Se o remetente e o destinatário nunca se comunicarem por email, a mensagem poderá ser identificada como uma tentativa de representação por inteligência de caixa de correio.

       Para ativar a proteção de inteligência de caixa de correio, selecione a caixa marcar. Especifique a ação para detecções de inteligência de caixa de correio na próxima página.

   • Seção Spoof: use a caixa Habilitar inteligência falsa marcar para ativar ou desativar a inteligência falsa. Essa configuração é selecionada por padrão e é recomendável deixá-la selecionada. Especifique a ação para receber mensagens de remetentes falsificados bloqueados na próxima página.

     Para desativar a inteligência falsa, desmarque a caixa marcar.

     Observação

     Você não precisará desativar a inteligência falsa se o registro MX não apontar para o Microsoft 365; em vez disso, você habilita a Filtragem Aprimorada para Conectores. Para obter instruções, consulte Filtragem Avançada para Conectores no Exchange Online.

   Quando terminar o limite de phishing & página de proteção , selecione Avançar.

6. Na página Ações , configure as seguintes configurações:

   • Seção Ações de mensagem : configurar as seguintes ações:

     • Se uma mensagem for detectada como representação do usuário: essa configuração estará disponível somente se você selecionou Habilitar usuários para proteger na página anterior. Selecione uma das seguintes ações na lista suspensa:

       • Não aplique nenhuma ação (padrão)

       • Redirecionar a mensagem para outros endereços de email

       • Mover a mensagem para as pastas junk Email dos destinatários

       • Colocar em quarentena a mensagem: se você selecionar essa ação, uma caixa Aplicar política de quarentena será exibida em que você seleciona a política de quarentena que se aplica às mensagens que são colocadas em quarentena pela proteção de representação do usuário. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações sobre políticas de quarentena, consulte Anatomia de uma política de quarentena.

         Se você não selecionar uma política de quarentena, a política de quarentena padrão para detecções de representação de usuário será usada (DefaultFullAccessPolicy). Quando você visualiza ou edita as configurações da política anti-phishing, o nome da política de quarentena é mostrado.

       • Entregar a mensagem e adicionar outros endereços à linha Bcc

       • Excluir a mensagem antes de ser entregue

     • Se a mensagem for detectada como um domínio representado: essa configuração estará disponível somente se você selecionou Habilitar domínios para proteger na página anterior. Selecione uma das seguintes ações na lista suspensa:

       • Não aplique nenhuma ação (padrão)

       • Redirecionar a mensagem para outros endereços de email

       • Mover a mensagem para as pastas junk Email dos destinatários

       • Colocar em quarentena a mensagem: se você selecionar essa ação, uma caixa Aplicar política de quarentena será exibida em que você seleciona a política de quarentena que se aplica a mensagens que são colocadas em quarentena pela proteção de representação de domínio.

         Se você não selecionar uma política de quarentena, a política de quarentena padrão para detecções de representação de domínio será usada (DefaultFullAccessPolicy). Quando você visualiza ou edita as configurações da política anti-phishing, o nome da política de quarentena é mostrado.

       • Entregar a mensagem e adicionar outros endereços à linha Bcc

       • Excluir a mensagem antes de ser entregue

     • Se a inteligência da caixa de correio detectar um usuário representado: essa configuração estará disponível somente se você selecionou Habilitar inteligência para proteção de representação na página anterior. Selecione uma das seguintes ações na lista suspensa:

       • Não aplique nenhuma ação (padrão)

       • Redirecionar a mensagem para outros endereços de email

       • Mover a mensagem para as pastas junk Email dos destinatários

       • Colocar em quarentena a mensagem: se você selecionar essa ação, uma caixa aplicar política de quarentena será exibida em que você seleciona a política de quarentena que se aplica a mensagens colocadas em quarentena pela proteção de inteligência da caixa de correio.

         Se você não selecionar uma política de quarentena, a política de quarentena padrão para detecções de inteligência de caixa de correio será usada (DefaultFullAccessPolicy). Quando você visualiza ou edita as configurações da política anti-phishing, o nome da política de quarentena é mostrado.

       • Entregar a mensagem e adicionar outros endereços à linha Bcc

       • Excluir a mensagem antes de ser entregue

     • Honor DMARC record policy when the message is detect as spoof: This setting is selected by default, and allows you to control what happens to messages where the sender fail explicit DMARC checks and the DMARC policy is set to p=quarantine or p=reject:

       • Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=quarentena: selecione uma das seguintes ações:

         • Colocar em quarentena a mensagem: esse é o valor padrão.
         • Mover mensagem para as pastas Email lixo eletrônico dos destinatários

       • Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=reject: selecione uma das seguintes ações:

         • Colocar em quarentena a mensagem
         • Rejeitar a mensagem: esse é o valor padrão.

       Para obter mais informações, consulte Proteção falsificada e políticas DMARC do remetente.

     • Se a mensagem for detectada como falsificação por inteligência falsa: essa configuração estará disponível somente se você selecionou Habilitar inteligência falsa na página anterior. Selecione uma das seguintes ações na lista suspensa para mensagens de remetentes falsificados bloqueados:

       • Mover a mensagem para as pastas junk Email dos destinatários (padrão)

       • Colocar em quarentena a mensagem: se você selecionar essa ação, uma caixa Aplicar política de quarentena será exibida em que você seleciona a política de quarentena que se aplica às mensagens que são colocadas em quarentena pela proteção de inteligência falsa.

         Se você não selecionar uma política de quarentena, a política de quarentena padrão para detecções de inteligência falsificada será usada (DefaultFullAccessPolicy). Quando você visualiza ou edita as configurações da política anti-phishing, o nome da política de quarentena é mostrado.

   • Dicas de segurança & seção indicadores : Configure as seguintes configurações:

     • Mostrar a primeira dica de segurança de contato: para obter mais informações, confira Dica de segurança de primeiro contato.
     • Mostrar a dica de segurança de representação do usuário: essa configuração só estará disponível se você tiver selecionado Habilitar usuários para proteger na página anterior.
     • Mostrar a dica de segurança de representação de domínio: essa configuração só estará disponível se você selecionou Habilitar domínios para proteger na página anterior.
     • Mostrar a dica de segurança de caracteres incomuns de representação do usuário Essa configuração estará disponível somente se você selecionou Habilitar usuários para proteger ou Habilitar domínios para proteger na página anterior.
     • Mostrar (?) para remetentes não autenticados para falsificação: essa configuração só estará disponível se você selecionou Habilitar inteligência falsa na página anterior. Adiciona um ponto de interrogação (?) à foto do remetente na caixa De no Outlook se a mensagem não passar verificações de SPF ou DKIM e a mensagem não passar DMARC ou autenticação composta. Essa configuração está selecionada por padrão.
     • Mostrar a marca "via": essa configuração só estará disponível se você selecionou Habilitar inteligência falsa na página anterior. Adiciona a marca nomeada via (chris@contoso.com via fabrikam.com) ao endereço De se for diferente do domínio na assinatura DKIM ou no endereço MAIL FROM . Essa configuração está selecionada por padrão.

     Para ativar uma configuração, selecione a caixa marcar. Para desativar, desmarque a caixa marcar.

   Quando terminar na página Ações , selecione Avançar.

7. Na página Revisar , examine suas configurações. Você pode selecionar Editar em cada seção para modificar as configurações da seção. Ou você pode selecionar Voltar ou a página específica no assistente.

   Quando terminar na página Examinar , selecione Enviar.

8. Na página Nova política anti-phishing criada , você pode selecionar os links para exibir a política, exibir políticas anti-phishing e saber mais sobre políticas anti-phishing.

   Quando terminar a página Nova política anti-phishing criada , selecione Concluído.

   De volta à página Anti-phishing , a nova política está listada.

Use o portal Microsoft Defender para exibir detalhes da política anti-phishing

No portal Microsoft Defender, vá para Email & Políticas de Colaboração>& Regras>Políticas>contra ameaças Anti-phishing na seção Políticas. Ou, para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

Na página Anti-phishing , as seguintes propriedades são exibidas na lista de políticas anti-phishing:

• Nome
• Status: os valores são:
  • Sempre ativado para a política anti-phishing padrão.
  • Ativado ou Desativado para outras políticas anti-spam.
• Prioridade: para obter mais informações, consulte a seção Definir a prioridade das políticas anti-spam personalizadas . Para alterar a lista de políticas de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

Selecione Filtrar para filtrar as políticas por intervalo de tempo (data de criação) ou Status.

Use a caixa Pesquisa e um valor correspondente para encontrar políticas anti-phishing específicas.

Use Exportar para exportar a lista de políticas para um arquivo CSV.

Selecione uma política clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome para abrir o flyout de detalhes da política.

Dica

Para ver detalhes sobre outras políticas anti-phishing sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

Use o portal Microsoft Defender para agir sobre políticas anti-phishing

1. No portal Microsoft Defender, vá para Email & Políticas de Colaboração>& Regras>Políticas>contra ameaças Anti-phishing na seção Políticas. Ou, para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

2. Na página Anti-phishing , selecione a política anti-phishing usando um dos seguintes métodos:

   • Selecione a política na lista selecionando a caixa marcar ao lado do nome. As seguintes ações estão disponíveis na lista suspensa Mais ações que aparece:

     • Habilitar políticas selecionadas.
     • Desabilitar políticas selecionadas.
     • Excluir políticas selecionadas.

     

   • Selecione a política na lista clicando em qualquer lugar da linha que não seja a caixa marcar ao lado do nome. Algumas ou todas as ações a seguir estão disponíveis no flyout de detalhes que é aberto:

     • Modificar configurações de política selecionando Editar em cada seção (políticas personalizadas ou a política padrão)
     • Ativar ou Desativar (somente políticas personalizadas)
     • Aumentar a prioridade ou diminuir a prioridade (somente políticas personalizadas)
     • Excluir política (somente políticas personalizadas)

     

As ações são descritas nas subseções a seguir.

Usar o portal Microsoft Defender para modificar políticas anti-phishing

Depois de selecionar a política anti-phishing padrão ou uma política personalizada clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome, as configurações de política são mostradas no flyout de detalhes que é aberto. Selecione Editar em cada seção para modificar as configurações na seção. Para obter mais informações sobre as configurações, consulte a seção criar políticas anti-phishing anteriormente neste artigo.

Para a política padrão, você não pode modificar o nome da política e não há filtros de destinatário para configurar (a política se aplica a todos os destinatários). Mas, você pode modificar todas as outras configurações na política.

Para as políticas anti-phishing chamadas Política de Segurança Predefinida Padrão e Política de Segurança Predefinida Estrita que estão associadas a políticas de segurança predefinidas, você não pode modificar as configurações de política no flyout de detalhes. Em vez disso, selecione Exibir políticas de segurança predefinidas no flyout de detalhes para acessar a página https://security.microsoft.com/presetSecurityPoliciesPolíticas de segurança predefinidas para modificar as políticas de segurança predefinidas.

Use o portal Microsoft Defender para habilitar ou desabilitar políticas anti-phishing personalizadas

Você não pode desabilitar a política anti-phishing padrão (ela está sempre habilitada).

Você não pode habilitar ou desabilitar as políticas anti-phishing associadas às políticas de segurança predefinidas Standard e Strict. Você habilita ou desabilitar as políticas de segurança predefinidas Standard ou Strict na página Políticas de segurança predefinidas em https://security.microsoft.com/presetSecurityPolicies.

Depois de selecionar uma política anti-phishing personalizada habilitada (o valor status está ativado), use qualquer um dos seguintes métodos para desabilitá-la:

• Na página Anti-phishing: selecione Mais ações>Desabilitar políticas selecionadas.
• No flyout de detalhes da política: selecione Desativar na parte superior do flyout.

Depois de selecionar uma política anti-phishing personalizada desabilitada (o valor status está desativado), use qualquer um dos seguintes métodos para habilitá-la:

• Na página Anti-phishing: selecione Mais ações>Habilitar políticas selecionadas.
• No flyout de detalhes da política: selecione Ativar na parte superior do flyout.

Na página Anti-phishing , o valor status da política agora está ativado ou desativado.

Use o portal Microsoft Defender para definir a prioridade das políticas anti-phishing personalizadas

As políticas anti-phishing são processadas na ordem em que são exibidas na página Anti-phishing :

• A política anti-phishing chamada Strict Preset Security Policy associada à política de segurança predefinida estrita é sempre aplicada primeiro (se a política de segurança predefinida estrita estiver habilitada).
• A política anti-phishing chamada Standard Preset Security Policy associada à política de segurança predefinida Standard sempre será aplicada em seguida (se a política de segurança predefinida Standard estiver habilitada).
• As políticas anti-phishing personalizadas são aplicadas em ordem de prioridade (se estiverem habilitadas):
  • Um valor de prioridade menor indica uma prioridade maior (0 é a mais alta).
  • Por padrão, uma nova política é criada com uma prioridade inferior à política personalizada mais baixa existente (a primeira é 0, a próxima é 1, etc.).
  • Nenhuma política pode ter o mesmo valor de prioridade.
• A política anti-phishing padrão sempre tem o valor de prioridade mais baixo e você não pode alterá-la.

A proteção contra phishing para um destinatário após a primeira política ser aplicada (a política de maior prioridade para esse destinatário). Para obter mais informações, consulte Ordem e precedência da proteção por email.

Depois de selecionar a política anti-phishing personalizada clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome, você pode aumentar ou diminuir a prioridade da política no flyout de detalhes que abre:

• A política personalizada com o valor de prioridade0 na página Anti-Phishing tem a ação Diminuir prioridade na parte superior do flyout de detalhes.
• A política personalizada com a prioridade mais baixa (valor de prioridade mais alta; por exemplo, 3) tem a ação Aumentar prioridade na parte superior do flyout de detalhes.
• Se você tiver três ou mais políticas, as políticas entre a Prioridade 0 e a menor prioridade terão a prioridade Aumentar e diminuir ações prioritárias na parte superior do flyout de detalhes.

Quando terminar o sobrevoo de detalhes da política, selecione Fechar.

De volta à página Anti-phishing , a ordem da política na lista corresponde ao valor de prioridade atualizado.

Use o portal Microsoft Defender para remover políticas anti-phishing personalizadas

Você não pode remover a política anti-phishing padrão ou as políticas anti-phishing chamadas Standard Preset Security Policy e Strict Preset Security Policy que estão associadas a políticas de segurança predefinidas.

Depois de selecionar a política anti-phishing personalizada, use qualquer um dos seguintes métodos para removê-la:

• Na página Anti-phishing: selecione Mais ações>Excluir políticas selecionadas.
• No flyout de detalhes da política: selecione Excluir política na parte superior do flyout.

Selecione Sim na caixa de diálogo de aviso que é aberta.

Na página Anti-phishing , a política excluída não está mais listada.

Use Exchange Online PowerShell para configurar políticas anti-phishing

No PowerShell, os elementos básicos de uma política anti-phishing são:

• A política anti-phish: especifica as proteções de phishing para habilitar ou desabilitar, as ações a serem aplicadas a essas proteções e outras opções.
• A regra anti-phish: especifica a prioridade e os filtros de destinatário (a quem a política se aplica) para a política anti-phish associada.

A diferença entre esses dois elementos não é óbvia quando você gerencia políticas anti-phishing no portal Microsoft Defender:

• Quando você cria uma política no portal do Defender, você está realmente criando uma regra anti-phish e a política anti-phish associada ao mesmo tempo usando o mesmo nome para ambos.
• Quando você modifica uma política no portal do Defender, configurações relacionadas ao nome, prioridade, habilitado ou desabilitado e filtros de destinatário modificam a regra anti-phish. Todas as outras configurações modificam a política anti-phish associada.
• Quando você remove uma política no portal do Defender, a regra anti-phish e a política anti-phish associada são removidas ao mesmo tempo.

Em Exchange Online PowerShell, a diferença entre políticas anti-phish e regras anti-phish é aparente. Você gerencia políticas anti-phish usando os cmdlets *-AntiPhishPolicy e gerencia regras anti-phish usando os cmdlets *-AntiPhishRule .

• No PowerShell, primeiro você cria a política anti-phish e, em seguida, cria a regra anti-phish, que identifica a política associada à qual a regra se aplica.
• No PowerShell, você modifica as configurações na política anti-phish e na regra anti-phish separadamente.
• Quando você remove uma política anti-phish do PowerShell, a regra anti-phish correspondente não é removida automaticamente e vice-versa.

Usar o PowerShell para criar políticas anti-phishing

Criar uma política anti-phishing no PowerShell é um processo de duas etapas:

1. Crie a política anti-phish.
2. Crie a regra anti-phish que especifica a política anti-phish à qual a regra se aplica.

Observações:

• Você pode criar uma nova regra anti-phish e atribuir uma política anti-phish existente e não associada a ela. Uma regra anti-phish não pode ser associada a mais de uma política anti-phish.
• Você pode configurar as seguintes configurações em novas políticas anti-phish no PowerShell que não estão disponíveis no portal Microsoft Defender até depois de criar a política:
  • Crie a nova política como desabilitada (habilitada$false no cmdlet New-AntiPhishRule ).
  • Defina a prioridade da política durante a criação (Número> de Prioridade<) no cmdlet New-AntiPhishRule.
• Uma nova política anti-phish que você cria no PowerShell não está visível no portal Microsoft Defender até atribuir a política a uma regra anti-phish.

Etapa 1: usar o PowerShell para criar uma política anti-phish

Para criar uma política anti-phish, use esta sintaxe:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

Este exemplo cria uma política anti-phish chamada Quarentena de Pesquisa com as seguintes configurações:

• A política está habilitada (não estamos usando o parâmetro Habilitado e o valor padrão é $true).
• A descrição é: política do departamento de pesquisa.
• Habilita a proteção de domínios da organização para todos os domínios aceitos e a proteção de domínios direcionados para fabrikam.com.
• Especifica Quarentena como a ação para detecções de representação de domínio e usa a política de quarentena padrão para as mensagens em quarentena (não estamos usando o parâmetro TargetedDomainQuarantineTag ).
• Especifica Mai Fujito (mfujito@fabrikam.com) como o usuário a ser protegido contra representação.
• Especifica Quarentena como a ação para detecções de representação de usuário e usa a política de quarentena padrão para as mensagens em quarentena (não estamos usando o parâmetro TargetedUserQuarantineTag ).
• Habilita a inteligência da caixa de correio (EnableMailboxIntelligence), permite que a proteção de inteligência de caixa de correio tome medidas em mensagens (EnableMailboxIntelligenceProtection), especifica Quarentena como a ação para mensagens detectadas e usa a política de quarentena padrão para as mensagens em quarentena (não estamos usando o parâmetro MailboxIntelligenceQuarantineTag ).
• Altera a ação padrão para detecções de falsificação para Quarentena e usa a política de quarentena padrão para as mensagens em quarentena (não estamos usando o parâmetro SpoofQuarantineTag ).
• p=quarantine A honra e p=reject as políticas DMARC do remetente estão ativadas por padrão (não estamos usando o parâmetro HonorDmarcPolicy e o valor padrão é $true).
  • As mensagens que falham no DMARC em que a política DMARC do remetente está p=quarantine em quarentena (não estamos usando o parâmetro DmarcQuarantineAction e o valor padrão é Quarentena).
  • As mensagens que falham no DMARC em que a política DMARC do remetente é p=reject rejeitada (não estamos usando o parâmetro DmarcRejectAction e o valor padrão é Rejeitar).
• Habilita todas as dicas de segurança.

New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction -AuthenticationFailAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-AntiPhishPolicy.

Dica

Para obter instruções detalhadas para especificar as políticas de quarentena a serem usadas em uma política anti-phish, consulte Usar o PowerShell para especificar a política de quarentena em políticas anti-phishing.

Etapa 2: usar o PowerShell para criar uma regra anti-phish

Para criar uma regra anti-phish, use esta sintaxe:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Este exemplo cria uma regra anti-phish chamada Departamento de Pesquisa com as seguintes condições:

• A regra está associada à política anti-phish chamada Quarentena de Pesquisa.
• A regra se aplica aos membros do grupo chamado Departamento de pesquisa.
• Como não estamos usando o parâmetro Priority , a prioridade padrão é usada.

New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-AntiPhishRule.

Usar o PowerShell para exibir políticas anti-phish

Para exibir políticas anti-phish existentes, use a seguinte sintaxe:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

Este exemplo retorna uma lista de resumo de todas as políticas anti-phish junto com as propriedades especificadas.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

Este exemplo retorna todos os valores de propriedade para a política anti-phish chamada Executives.

Get-AntiPhishPolicy -Identity "Executives"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-AntiPhishPolicy.

Usar o PowerShell para exibir regras anti-phish

Para exibir as regras anti-phish existentes, use a seguinte sintaxe:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

Este exemplo retorna uma lista de resumo de todas as regras anti-phish junto com as propriedades especificadas.

Get-AntiPhishRule | Format-Table Name,Priority,State

Para filtrar a lista por regras habilitadas ou desabilitadas, execute os seguintes comandos:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority

Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

Este exemplo retorna todos os valores de propriedade para a regra anti-phish chamada Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-AntiPhishRule.

Usar o PowerShell para modificar políticas anti-phish

Além dos seguintes itens, as mesmas configurações estão disponíveis quando você modifica uma política anti-phish no PowerShell como quando você cria a política conforme descrito na Etapa 1: Use o PowerShell para criar uma seção de política anti-phish no início deste artigo.

• A opção MakeDefault que transforma a política especificada na política padrão (aplicada a todos, sempre menor prioridade e você não pode excluí-la) só está disponível quando você modifica uma política anti-phish no PowerShell.

• Você não pode renomear uma política anti-phish (o cmdlet Set-AntiPhishPolicy não tem parâmetro Name ). Quando você renomeia uma política anti-phishing no portal Microsoft Defender, você só está renomeando a regra anti-phish.

Para modificar uma política anti-phish, use esta sintaxe:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-AntiPhishPolicy.

Dica

Para obter instruções detalhadas para especificar as políticas de quarentena a serem usadas em uma política anti-phish, consulte Usar o PowerShell para especificar a política de quarentena em políticas anti-phishing.

Usar o PowerShell para modificar regras anti-phish

A única configuração que não está disponível quando você modifica uma regra anti-phish no PowerShell é o parâmetro Habilitado que permite criar uma regra desabilitada. Para habilitar ou desabilitar as regras anti-phish existentes, confira a próxima seção.

Caso contrário, nenhuma configuração adicional estará disponível quando você modificar uma regra anti-phish no PowerShell. As mesmas configurações estão disponíveis quando você cria uma regra conforme descrito na Etapa 2: Use o PowerShell para criar uma seção de regra anti-phish anterior neste artigo.

Para modificar uma regra anti-phish, use esta sintaxe:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-AntiPhishRule.

Usar o PowerShell para habilitar ou desabilitar regras anti-phish

Habilitar ou desabilitar uma regra anti-phish no PowerShell habilita ou desabilita toda a política anti-phishing (a regra anti-phish e a política anti-phish atribuída). Você não pode habilitar ou desabilitar a política anti-phishing padrão (ela sempre é aplicada a todos os destinatários).

Para habilitar ou desabilitar uma regra anti-phish no PowerShell, use esta sintaxe:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

Este exemplo desabilita a regra anti-phish chamada Departamento de Marketing.

Disable-AntiPhishRule -Identity "Marketing Department"

Este exemplo habilita a mesma regra.

Enable-AntiPhishRule -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Enable-AntiPhishRule e Disable-AntiPhishRule.

Usar o PowerShell para definir a prioridade das regras anti-phish

O valor mais alto de prioridade que pode ser definido em uma regra é 0. O valor mais baixo que pode ser definido depende do número de regras. Por exemplo, se você tiver cinco regras, use os valores de prioridade de 0 a 4. Alterar a prioridade de uma regra existente pode ter um efeito cascata em outras regras. Por exemplo, se você tiver cinco regras personalizadas (prioridades de 0 a 4) e alterar a prioridade de uma regra para 2, a regra existente com prioridade 2 será alterada para a prioridade 3, e a regra com prioridade 3 será alterada para prioridade 4.

Para definir a prioridade de uma regra anti-phish no PowerShell, use a seguinte sintaxe:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

Este exemplo define a prioridade da regra chamada Marketing Department como 2. Todas as regras existentes com prioridade inferior ou igual a 2 são reduzidas por 1 (seus números de prioridade são aumentados por 1).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Observações:

• Para definir a prioridade de uma nova regra ao criá-la, use o parâmetro Priority no cmdlet New-AntiPhishRule .
• A política anti-phish padrão não tem uma regra anti-phish correspondente e sempre tem o valor de prioridade inmodificável Menor.

Usar o PowerShell para remover políticas anti-phish

Quando você usa o PowerShell para remover uma política anti-phish, a regra anti-phish correspondente não é removida.

Para remover uma política anti-phish no PowerShell, use esta sintaxe:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

Este exemplo remove a política anti-phish chamada Departamento de Marketing.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-AntiPhishPolicy.

Usar o PowerShell para remover regras anti-phish

Quando você usa o PowerShell para remover uma regra anti-phish, a política anti-phish correspondente não é removida.

Para remover uma regra anti-phish no PowerShell, use esta sintaxe:

Remove-AntiPhishRule -Identity "<PolicyName>"

Este exemplo remove a regra anti-phish chamada Departamento de Marketing.

Remove-AntiPhishRule -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-AntiPhishRule.

Como saber se esses procedimentos funcionaram?

Para verificar se você configurou com êxito políticas anti-phishing no Defender para Office 365, faça qualquer uma das seguintes etapas:

• Na página Anti-phishing no portal do Microsoft Defender em https://security.microsoft.com/antiphishing, verifique a lista de políticas, seus valores de status e seus valores de prioridade. Para exibir mais detalhes, selecione a política na lista clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome e exibindo os detalhes no flyout exibido.

• Em Exchange Online PowerShell, substitua <Name> pelo nome da política ou regra e execute o seguinte comando e verifique as configurações:

  Get-AntiPhishPolicy -Identity "<Name>"
  

  Get-AntiPhishRule -Identity "<Name>"