Políticas de segurança predefinidas no EOP e no Microsoft Defender para Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub Microsoft 365 Defender portal de avaliações. Saiba mais sobre quem pode se inscrever e os termos de avaliação aqui.

Aplica-se a

As políticas de segurança predefinidas fornecem um local centralizado para aplicar todas as políticas recomendadas de spam, malware e phishing aos usuários de uma só vez. As configurações de política não são configuráveis. Em vez disso, eles são definidos por nós e são baseados em nossas observações e experiências nos datacenters para um equilíbrio entre manter o conteúdo prejudicial longe dos usuários e evitar interrupções desnecessárias.

O restante deste artigo descreve as políticas de segurança predefinidas e como configurá-las.

De quais políticas de segurança predefinidas são feitas

As políticas de segurança predefinidas consistem nos seguintes elementos:

  • Perfis
  • Políticas
  • Configurações de política

Além disso, a ordem de precedência será importante se várias políticas de segurança predefinidas e outras políticas se aplicarem à mesma pessoa.

Perfis em políticas de segurança predefinidas

Um perfil determina o nível de proteção. Os seguintes perfis estão disponíveis:

  • Proteção padrão: um perfil de proteção de linha de base adequado para a maioria dos usuários.

  • Proteção estrita: um perfil de proteção mais agressivo para usuários selecionados (destinos de alto valor ou usuários prioritários).

    para proteção padrão e proteção estrita, você usa regras com condições e exceções para determinar os destinatários internos aos quais a política se aplica (condições de destinatário).

    As condições e exceções disponíveis são:

    • Usuários: As caixas de correio, usuários de email ou contatos de email especificados.
    • Grupos:
      • Membros de grupos de distribuição especificados ou grupos de segurança habilitados para email.
      • Os Grupos do Microsoft 365 especificados.
    • Domínios: todos os destinatários nos domínios aceitos especificados na organização.

    Só é possível usar uma condição ou exceção uma vez; contudo, você pode especificar vários valores para a condição ou exceção. Vários valores da mesma condição ou exceção usam a lógica OU (por exemplo, <recipient1> ou <recipient2>). Para diferentes condições ou exceções, use a lógica E (por exemplo, <recipient1> e <member of group 1>).

    Importante

    Várias condições ou exceções diferentes não são aditivas. Elas são inclusivas. A política é aplicada apenas aos destinatários que correspondem a todos os filtros de destinatário especificados. Por exemplo, você configura uma condição de filtro de destinatário na política com os seguintes valores:

    • O destinatário é: romain@contoso.com
    • O destinatário é membro de: Executivos

    A política é aplicada a romain@contoso.com apenas se ele também for membro dos grupos Executivos. Se ele não for membro do grupo, a política não será aplicada a ele.

    Da mesma forma, se você usar o mesmo filtro de destinatário como uma exceção à política, a política não será aplicada a romain@contoso.com apenas se ele também for membro dos grupos Executivos. Se ele não for membro do grupo, a política ainda se aplica a ele.

  • Proteção interna (somente Defender para Office 365): um perfil que habilita somente a proteção de Links Seguros e Anexos Seguros. Esse perfil fornece efetivamente políticas padrão para Links Seguros e Anexos Seguros, que nunca tiveram políticas padrão.

    Para proteção interna, a política de segurança predefinida está ativada por padrão para todos os Defender para Office 365 clientes. Embora não o recomendemos, você também pode configurar exceções com base em Usuários, Grupos e Domínios para que a proteção não seja aplicada a usuários específicos.

Até que você atribua as políticas aos usuários, as políticas de segurança predefinidas Standard e Strict não serão atribuídas a ninguém. Por outro lado, a política de segurança predefinida de proteção interna é atribuída a todos os destinatários por padrão, mas você pode configurar exceções.

Políticas em políticas de segurança predefinidas

As políticas de segurança predefinidas usam as políticas correspondentes dos vários recursos de proteção no EOP e Microsoft Defender para Office 365. Essas políticas são criadas depois que você atribui as políticas de segurança predefinidas de proteção padrão ou de proteção estrita aos usuários. Você não pode modificar as configurações nessas políticas.

  • Proteção do Exchange Online (EOP): essas políticas estão em todas as organizações do Microsoft 365 com caixas de correio do Exchange Online e organizações EOP autônomas sem Exchange Online de correio:

    Observação

    As políticas de spam de saída não fazem parte das políticas de segurança predefinidas. A política de spam de saída padrão protege automaticamente os membros das políticas de segurança predefinidas. Ou você pode criar políticas de spam de saída personalizadas para personalizar a proteção para membros de políticas de segurança predefinidas. Para obter mais informações, consulte Configurar a filtragem de spam de saída no EOP.

  • Microsoft Defender para Office 365 políticas: essas políticas estão em organizações com Microsoft 365 E5 ou Defender para Office 365 de complemento:

Você pode aplicar proteções de EOP a usuários diferentes Defender para Office 365 proteções ou pode aplicar EOP e Defender para Office 365 aos mesmos destinatários.

Configurações de política em políticas de segurança predefinidas

Não é possível modificar as configurações de política nos perfis de proteção. Os valores de configuração de política de proteção padrão, estrito e interno são descritos nas configurações recomendadas para EOP e Microsoft Defender para Office 365 segurança.

Observação

Em Defender para Office 365 proteção, você precisa identificar os remetentes para proteção de representação de usuário e os domínios internos ou externos para proteção de representação de domínio.

Todos os domínios que você possui (domínios aceitos) recebem automaticamente a proteção de representação de domínio em políticas de segurança predefinidas.

Todos os destinatários recebem automaticamente a proteção de representação da inteligência da caixa de correio em políticas de segurança predefinidas.

Ordem de precedência para políticas de segurança predefinidas e outras políticas

Quando várias políticas são aplicadas a um usuário, a seguinte ordem é aplicada da prioridade mais alta à prioridade mais baixa:

  1. Política de segurança predefinida de proteção estrita
  2. Política de segurança predefinida de proteção padrão
  3. Políticas de segurança personalizadas
  4. Política de segurança predefinida de proteção interna para Links Seguros e Anexos Seguros e as políticas padrão para antimalware, antispam e anti-phishing.

Em outras palavras, as configurações da política de proteção estrita substituem as configurações da política de proteção Padrão, que substitui as configurações de uma política personalizada, que substitui as configurações da política de segurança predefinida de proteção interna (Links Seguros e Anexos Seguros) e a política padrão (antispam, antimalware e anti-phishing).

Por exemplo, se existir uma configuração de segurança na proteção Standard e um administrador tiver habilitado a proteção Padrão para um usuário, a configuração de proteção Padrão será aplicada em vez do que estiver definido para essa configuração em uma política personalizada ou na política padrão (para o mesmo usuário). Observe que você pode ter alguma parte da sua organização à qual deseja aplicar apenas a política de proteção Standard ou Strict ao aplicar uma política personalizada a outros usuários em sua organização para atender às necessidades específicas.

A proteção interna não afeta os destinatários em políticas existentes de Links Seguros ou Anexos Seguros. Se você já tiver configurado a proteção Padrão, a proteção estrita ou as políticas personalizadas de Links Seguros ou Anexos Seguros, essas políticas sempre serão aplicadas antes da proteção interna, portanto, não haverá nenhum impacto para os destinatários que já estão definidos nessas políticas predefinidas ou personalizadas existentes.

Atribuir políticas de segurança predefinidas aos usuários

Do que você precisa saber para começar?

  • Abra o portal do Microsoft 365 Defender em https://security.microsoft.com. Para ir diretamente para a página Políticas de segurança predefinidas , use https://security.microsoft.com/presetSecurityPolicies.

  • Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.

  • Você precisa ter permissões em Exchange Online antes de fazer os procedimentos deste artigo:

    • Para configurar políticas de segurança predefinidas, você precisa ser membro dos grupos de função Gerenciamento da Organização ou Administrador de Segurança.
    • Para acesso somente leitura a políticas de segurança predefinidas, você precisa ser membro do grupo de função Leitor Global .

    Para obter mais informações, confira Permissões no Exchange Online.

    Observação: adicionar usuários à função correspondente do Azure Active Directory no Centro de administração do Microsoft 365 fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365. Para obter mais informações, confira o artigo Sobre funções de administrador.

Use o portal Microsoft 365 Defender para atribuir políticas de segurança predefinidas Padrão e Estritas aos usuários

  1. No portal Microsoft 365 Defender, https://security.microsoft.comvá para Políticas > > > de Colaboração & Email & regras de ameaças Políticas de segurança predefinidas na seção Políticas modelo. Para ir diretamente para a página Políticas de segurança predefinidas , use https://security.microsoft.com/presetSecurityPolicies.

  2. Na página Políticas de segurança predefinidas , clique em Gerenciar nas seções Proteção Padrão ou Proteção Estrita.

  3. O assistente Aplicar proteção Padrão ou Aplicar proteção estrita é iniciado em um submenu.

    Na página Aplicar Proteção do Exchange Online, identifique os destinatários internos aos quais as proteções de EOP se aplicam (condições de destinatário):

    • Todos os destinatários

    • Destinatários específicos:

      • Usuários
      • Grupos
      • Domínios

      Clique na caixa apropriada, comece a digitar um valor e selecione o valor desejado dos resultados. Repita esse processo quantas vezes for necessário. Para remover uma entrada existente, clique em Remover Ícone Remover. ao lado do valor.

      Quanto aos usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de e-mail, nome da conta, etc.), mas o nome de exibição correspondente é mostrado nos resultados. Quanto aos usuários, insira um asterisco (*) para visualizar os valores disponíveis.

    • Nenhum

    • Exclua estes destinatários: para adicionar exceções aos destinatários internos aos qual a política se aplica (exceções de destinatário), selecione essa opção e configure as exceções. As configurações e o comportamento são exatamente como as condições.

    Ao terminar, clique em Avançar.

    Observação

    Em organizações sem Defender para Office 365, clicar em Avançar levará você para a página Revisão. As etapas/páginas restantes antes da página Revisão estão disponíveis somente em organizações com Defender para Office 365.

  4. Na página Aplicar Defender para Office 365 proteção, identifique os destinatários internos aos quais as proteções Defender para Office 365 se aplicam (condições do destinatário).

    As configurações e o comportamento são exatamente como as proteções de EOP se aplicam à página na etapa anterior.

    Você também pode selecionar destinatários selecionados anteriormente para usar os mesmos destinatários selecionados para proteção EOP na página anterior.

    Ao terminar, clique em Avançar.

  5. Na página De proteção contra representação , clique em Avançar.

  6. Na página Adicionar endereços de email a serem sinalizados quando representados por invasores, adicione remetentes internos e externos protegidos pela proteção de representação do usuário.

    Observação

    Todos os destinatários recebem automaticamente a proteção de representação da inteligência da caixa de correio em políticas de segurança predefinidas.

    Cada entrada consiste em um nome de exibição e um endereço de email. Insira cada valor nas caixas e clique em Adicionar. Repita essa etapa quantas vezes forem necessárias.

    Você pode especificar um máximo de 350 usuários e não pode especificar o mesmo usuário nas configurações de proteção de representação do usuário em várias políticas.

    Para remover uma entrada existente da lista, clique em Remover o usuário do ícone de proteção contra representação..

    Ao terminar, clique em Avançar.

  7. Na página Adicionar domínios a serem sinalizados quando representados por invasores, adicione domínios internos e externos protegidos pela proteção de representação de domínio.

    Observação

    Todos os domínios que você possui (domínios aceitos) recebem automaticamente a proteção de representação de domínio em políticas de segurança predefinidas.

    Todos os remetentes nos domínios especificados são protegidos pela proteção contra representação de domínio.

    Insira o domínio na caixa e clique em Adicionar. Repita essa etapa quantas vezes forem necessárias.

    Para remover uma entrada existente da lista, selecione a entrada e clique em Remover o domínio do ícone de proteção contra representação..

    O número máximo de domínios que você pode especificar para a proteção de representação de domínio em todas as políticas anti-phishing é 50.

    Ao terminar, clique em Avançar.

  8. Na página Adicionar endereços de email e domínios confiáveis para não sinalizar como representação, insira os endereços de email do remetente e os domínios que você deseja excluir da proteção contra representação. As mensagens desses remetentes nunca serão sinalizadas como um ataque de representação, mas os remetentes ainda estão sujeitos à verificação por outros filtros no EOP e Defender para Office 365.

    Insira o endereço de email ou domínio na caixa e clique em Adicionar. Repita essa etapa quantas vezes forem necessárias.

    Para remover uma entrada existente da lista, selecione a entrada e clique em Remover exceções ao ícone de proteção contra representação..

    Ao terminar, clique em Avançar.

  9. Na página Examinar e confirmar esta política , verifique suas seleções e clique em Confirmar.

Use o portal Microsoft 365 Defender para modificar as atribuições de políticas de segurança predefinidas Padrão e Estritas

As etapas para modificar a atribuição da proteção Padrão ou da política de segurança predefinida de proteção estrita são as mesmas de quando você atribuiu inicialmente as políticas de segurança predefinidas aos usuários.

Para desabilitar a proteção Padrão ou as políticas de segurança predefinidas de proteção estritas e, ao mesmo tempo, preservar as condições e exceções existentes, deslize a alternância para Desabilitar Ativar/Desativar.. Para habilitar as políticas, deslize o botão de alternância para Ativado Habilitado.

Use o Microsoft 365 Defender portal para modificar as atribuições da política de segurança predefinida de proteção interna

Lembre-se de que a política de segurança predefinida de proteção interna é atribuída a todos os destinatários e não afeta os destinatários definidos nas políticas de segurança predefinidas de proteção padrão ou de proteção estrita, ou políticas personalizadas de Links Seguros ou Anexos Seguros.

Portanto, normalmente não recomendamos exceções à política de segurança predefinida de proteção interna.

  1. No portal Microsoft 365 Defender, https://security.microsoft.comvá para Políticas > > > de Colaboração & Email & regras de ameaças Políticas de segurança predefinidas na seção Políticas modelo. Para ir diretamente para a página Políticas de segurança predefinidas , use https://security.microsoft.com/presetSecurityPolicies.

  2. Na página Políticas de segurança predefinidas , selecione Adicionar exclusões ( não recomendado) na seção Proteção interna.

  3. No submenu Excluir da proteção interna que aparece, identifique os destinatários internos que são excluídos da proteção interna de Links Seguros e Anexos Seguros:

    • Usuários
    • Grupos
    • Domínios

    Clique na caixa apropriada, comece a digitar um valor e selecione o valor desejado dos resultados. Repita esse processo quantas vezes for necessário. Para remover uma entrada existente, clique em Remover Remover exclusões do ícone de proteção interna. ao lado do valor.

    Quanto aos usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de e-mail, nome da conta, etc.), mas o nome de exibição correspondente é mostrado nos resultados. Quanto aos usuários, insira um asterisco (*) para visualizar os valores disponíveis.

    Quando concluir, clique em Salvar.

Como saber se esses procedimentos funcionaram?

Para verificar se você atribuiu com êxito a proteção Standard ou a política de segurança de proteção estrita a um usuário, use uma configuração de proteção em que o valor padrão é diferente da configuração de proteção Standard, que é diferente da configuração de proteção estrita.

Por exemplo, para emails detectados como spam (não spam de alta confiança), verifique se a mensagem é entregue à pasta Lixo Eletrônico para usuários de proteção Padrão e colocada em quarentena para usuários de proteção estrita.

Ou, para emails em massa, verifique se o valor BCL 6 ou superior entrega a mensagem para a pasta Lixo Eletrônico para usuários de proteção Padrão e se o valor BCL 4 ou superior colocará a mensagem em quarentena para usuários de proteção estrita.