Investigar e-mails maliciosos entregues em Microsoft 365

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e testar o Microsoft 365 Defender.

Aplica-se a:

Microsoft Defender para Office 365 permite-lhe investigar atividades que colocam pessoas na sua organização em risco e tomar medidas para proteger a sua organização. Por exemplo, se fizer parte da equipa de segurança da sua organização, pode encontrar e investigar mensagens de e-mail suspeitas entregues. Pode fazê-lo através do Explorador de Ameaças (ou deteções em tempo real).

Nota

Reatale o artigo de remediação aqui.

Before you begin

Certifique-se de que os seguintes requisitos são cumpridos:

Permissões de função de pré-visualização

Para executar determinadas ações, como ver cabeçalhos de mensagens ou transferir conteúdos de mensagens de e-mail, tem de ter a função Pré-visualização adicionada a outro grupo de funções adequado. A tabela seguinte clarifica as funções e permissões necessárias.

Atividade Grupo Função É necessária uma função de pré-visualização?
Utilizar o Explorador de Ameaças (e deteções em tempo real) para analisar ameaças Administrador Global

Administrador de Segurança

Leitor de Segurança

Não
Utilizar o Explorador de Ameaças (e deteções em tempo real) para ver cabeçalhos de mensagens de e-mail, bem como pré-visualizar e transferir mensagens de e-mail em quarentena Administrador Global

Administrador de Segurança

Leitor de Segurança

Não
Utilize o Explorador de Ameaças para ver cabeçalhos, pré-visualizar e-mails (apenas na página entidade de e-mail) e transferir mensagens de e-mail entregues nas caixas de correio Administrador Global

Administrador de Segurança

Leitor de Segurança

Pré-visualizar

Sim

Nota

A pré-visualização é uma função e não um grupo de funções. A função Pré-visualização tem de ser adicionada a um grupo de funções existente ou a um novo grupo de Microsoft 365 Defender portal. Para obter mais informações, consulte Permissões no portal Microsoft 365 Defender empresas.

A função de Administrador Global é atribuída à centro de administração do Microsoft 365 a https://admin.microsoft.com. As funções de Administrador de Segurança e Leitor de Segurança são atribuídas no Microsoft 365 Defender portal.

Compreendemos que a pré-visualização e a transferência de e-mail são atividades confidenciais, pelo que a auditoria está ativada para estas atividades. Assim que um administrador efetuar estas atividades no e-mail, os registos de auditoria são gerados para o mesmo e podem ser vistos no portal > https://security.microsoft.com do Microsoft 365 Defender no separador Pesquisa de Auditoria e filtrados no nome do administrador na caixa Utilizadores. Os resultados filtrados mostrarão atividade AdminMailAccess. Selecione uma linha para ver os detalhes na secção Mais informações sobre o e-mail pré-visualado ou transferido.

Encontrar e-mails suspeitos entregues

O Explorador de Ameaças é um relatório poderoso que pode servir múltiplas finalidades, como encontrar e eliminar mensagens, identificar o endereço IP de um remetente de e-mail malicioso ou iniciar um incidente para investigação posterior. O seguinte procedimento foca-se em utilizar o Explorador para encontrar e eliminar e-mails maliciosos das caixas de correio do destinatário.

Nota

As pesquisas predefinida no Explorador não incluem atualmente itens entregues que foram removidos da caixa de correio na nuvem pela remoção automática de hora zero (ZAP). Esta limitação aplica-se a todas as vistas (por exemplo, as vistas Malware de E-mail > ou Phish de E-mail).> Para incluir itens removidos pelo ZAP, tem de adicionar um conjunto de ações de Entrega para incluir Removido pelo ZAP. Se incluir todas as opções, verá todos os resultados de ações de entrega, incluindo os itens removidos pelo ZAP.

  1. No portal de Microsoft 365 Defender , vá a https://security.microsoft.comEmail & collaboration > Explorer . Para ir diretamente para a página do Explorador , utilize https://security.microsoft.com/threatexplorer.

    Na página Explorador , a coluna Ações adicionais mostra aos administradores o resultado do processamento de um e-mail. A coluna Ações adicionais pode ser acedida no mesmo local que a Ação de entrega e Localização de entrega. As ações especiais podem ser atualizadas no final da linha cronologia do Explorador de Ameaças, uma nova funcionalidade destinada a melhorar a experiência de procura para administradores.

  2. No menu Ver , selecionar Enviar E-mail > a todos os e-mails a partir da lista de menus.

    A lista do drop-down de Software Malware

    A vista Malware é atualmente a predefinição e captura e-mails onde é detetada uma ameaça de malware. A vista phish funciona da mesma forma, para Phish.

    No entanto, a vista Todos os e-mails lista todos os e-mails recebidos pela organização, quer sejam ou não detetadas ameaças. Como pode imaginar, isto são muitos dados e é por isso que esta vista mostra um leitor de posição que pede para aplicar um filtro. (Esta vista só está disponível para clientes Defender para Office 365 P2.)

    A vista Submissões mostra todos os e-mails submetidos pelo administrador ou utilizador que foram reportados à Microsoft.

  3. Pesquisa e filtragem no Explorador de Ameaças: os filtros aparecem na parte superior da página na barra de pesquisa para ajudar os administradores nas suas investigações. Repare que podem ser aplicados múltiplos filtros ao mesmo tempo e que podem ser adicionados múltiplos valores separados por 0 a um filtro para restringir a pesquisa. Lembre-se:

    • Os filtros têm uma correspondência exata na maioria das condições do filtro.
    • Filtro de assunto utiliza uma consulta CONTÉM.
    • Os filtros de URL funcionam com ou sem protocolos (por ex.: https).
    • O domínio do URL, o caminho do URL e os filtros de domínio e caminho do URL não necessitam de um protocolo para filtrar.
    • Tem de clicar no ícone Atualizar sempre que alterar os valores de filtro para obter resultados relevantes.
  4. Filtros avançados: Com estes filtros, pode criar consultas complexas e filtrar o seu conjunto de dados. Clicar em Filtros Avançados abre uma panfleto com opções.

    A filtragem avançada é uma excelente adição às capacidades de pesquisa. Um booleano NÃO nos filtros de domínio Destinatário, Remetente e Remetente permite que os administradores investiguem ao excluir valores. Esta opção é Igual a nenhuma seleção . Esta opção permite aos administradores excluir caixas de correio indesejadas de investigações (por exemplo, caixas de correio de alerta e caixas de correio de resposta predefinidas) e é útil para casos onde os administradores procuram um assunto específico (por exemplo, Atenção) onde o Destinatário pode ser definido como Igual a nenhum de: defaultMail@contoso.com. Esta é uma pesquisa de valores exata.

    O painel Destinatários

    Adicionar um filtro de hora à data de início e de fim ajuda a sua equipa de segurança a desabar rapidamente. A duração de tempo mais curta permitida é de 30 minutos. Se conseguir limitar a ação suspeita por período de tempo (por exemplo, ocorreu há 3 horas), isto irá limitar o contexto e ajudar a identificar o problema.

    A opção filtrar por horas

  5. Campos no Explorador de Ameaças: o Explorador de Ameaças expõe muitas mais informações de correio relacionadas com segurança, como a ação de Entrega, Localização de entrega, Ação especial, Direcionalidade , Substituições e ameaças de URL. Também permite que a equipa de segurança da sua organização investigue com uma maior segurança.

    A ação de entrega é a ação tomada num e-mail devido a políticas ou deteções existentes. Eis as ações possíveis que um e-mail pode tomar:

    • Entregue – o e-mail foi entregue na caixa de entrada ou pasta de um utilizador e o utilizador pode aceder diretamente ao mesmo.
    • Lixo (Entregue no lixo)– os e-mails foram enviados para a pasta de lixo ou para a pasta de lixo eliminado do utilizador e o utilizador tem acesso às mensagens de e-mail na pasta Lixo ou Eliminado.
    • Bloqueado – todas as mensagens de e-mail que estão em quarentena, que falharam ou que foram largadas.
    • Substituído – qualquer e-mail no qual os anexos maliciosos sejam substituídos por ficheiros .txt que indiquem que o anexo era malicioso

    Localização de entrega: O filtro de Localização de entrega está disponível para ajudar os administradores a compreender onde é que o correio malicioso suspeito terminou e quais as ações que foram tomadas no mesmo. Os dados resultantes podem ser exportados para a mesma. As localizações de entrega possíveis são:

    • Caixa de Entrada ou pasta – o e-mail está na Caixa de Entrada ou numa pasta específica, de acordo com as suas regras de e-mail.
    • No local ou externo: a caixa de correio não existe na Nuvem mas está no local.
    • Pasta Lixo – O e-mail está na pasta E-mail de Lixo de um utilizador.
    • Pasta Itens eliminados – O e-mail está na pasta Itens Eliminados do utilizador.
    • Quarentena – o e-mail na quarentena e não na caixa de correio de um utilizador.
    • Falha – o e-mail não foi enviado para a caixa de correio.
    • Remoção – o e-mail foi perdido no fluxo de correio.

    Direcionalidade: esta opção permite que a sua equipa de operações de segurança filtro pela "direção" de um e-mail seja enviado ou enviado. Os valores de direcionalidade são Entrada, Saída e Intra-org (correspondentes a correio que chega à sua empresa a partir de fora, a ser enviado da sua empresa ou a ser enviado internamente para a sua empresa, respetivamente). Estas informações podem ajudar as equipas de operações de segurança a detetarem spoofing e representação, devido a um erro de numeração entre o valor de Direcionalidade (ex. Inbound) e o domínio do remetente (que parece ser um domínio interno) será evidente! O valor Directionality é separado e pode ser diferente do Rastreio de Mensagens. Os resultados podem ser exportados para uma só vez.

    Substitui: este filtro retira informações que aparecem no separador de detalhes do correio e utiliza-as para expor as políticas organizacionais ou de utilizador para permitir e bloquear e-mails que tenham sido substituídas . O aspeto mais importante deste filtro é que ajuda a equipa de segurança da sua organização a ver quantos e-mails suspeitos foram entregues devido à configuração. Isto dá-lhes a oportunidade de modificar as permitir e bloquear conforme necessário. Este conjunto de resultados deste filtro pode ser exportado para uma só vez.

    Explorador de Ameaças Substitui O que significam
    Permitido pela Política de Org O correio foi permitido na caixa de correio conforme direcionado pela política da organização.
    Bloqueado por uma política de Org O correio foi bloqueado na entrega na caixa de correio, conforme a política da organização.
    Extensão de ficheiro bloqueada pela Política de Org O ficheiro foi bloqueado da entrega na caixa de correio conforme é direcionado pela política da organização.
    Permitido por Política de Utilizador O correio foi permitido na caixa de correio conforme direcionado pela política de utilizador.
    Bloqueado pela Política de Utilizador O correio foi bloqueado na entrega na caixa de correio conforme a política de utilizador.

    Ameaça de URL: O campo de ameaça do URL foi incluído no separador de detalhes de um e-mail para indicar a ameaça apresentada por um URL. As ameaças apresentadas por um URL podem incluir software malware, Phish ou Spam e um URL sem ameaças irá dizer Nenhum na secção de ameaças.

  6. Vista de linha crona de e-mail: a sua equipa de operações de segurança poderá ter de analisar detalhadamente os detalhes do e-mail para investigar mais. A linha cronologia de e-mail permite aos administradores ver as ações efetivas num e-mail desde a entrega até ao pós-entrega. Para ver uma linha cronologia de e-mail, clique no assunto de uma mensagem de e-mail e, em seguida, clique em Linha cronologia de e-mail. (Aparece entre outros títulos no painel, como Resumo ou Detalhes.) Estes resultados podem ser exportados para uma só vez.

    A linha cronologia de e-mail será aberta numa tabela que mostra todos os eventos de entrega e pós-entrega do e-mail. Se não houver mais ações no e-mail, deverá ver um único evento para a entrega original que indica um resultado, como Bloqueado , com um veredito como Phish. Os administradores podem exportar a linha cronologia inteira do e-mail, incluindo todos os detalhes no separador e no e-mail (por exemplo, Assunto, Remetente, Destinatário, Rede e ID da Mensagem). A linha cronologia de e-mail reduz a aleatoriamente porque existe menos tempo a verificar diferentes localizações para tentar compreender os eventos que aconteceram desde que o e-mail chegou. Quando ocorrem múltiplos eventos em, ou perto de, ao mesmo tempo num e-mail, esses eventos são mostrados numa vista de linha crona.

  7. Pré-visualizar/transferir: o Explorador de Ameaças fornece à sua equipa de operações de segurança os detalhes de que necessita para investigar e-mails suspeitos. A sua equipa de operações de segurança pode:

Verificar a ação e localização de entrega

No Explorador de Ameaças (e deteções em tempo real) tem agora as colunas Ação de Entrega e Localização de Entrega em vez da antiga coluna Estado de Entrega. Isto resulta numa imagem mais completa do local onde as suas mensagens de e-mail são enviadas. Parte do objetivo desta alteração é facilitar as investigações das equipas de operações de segurança, mas o resultado líquido é saber a localização das mensagens de e-mail problemáticas de relance.

O Estado de Entrega está agora separado em duas colunas:

  • Ação de entrega - Qual é o estado deste e-mail?
  • Localização de entrega - Onde é que este e-mail foi encameiro como resultado?

A ação de entrega é a ação tomada num e-mail devido a políticas ou deteções existentes. Eis as ações possíveis que um e-mail pode tomar:

  • Entregue – o e-mail foi entregue na caixa de entrada ou pasta de um utilizador e o utilizador pode aceder diretamente ao mesmo.
  • Lixo – o e-mail foi enviado para a pasta de lixo do utilizador ou para a pasta eliminado e o utilizador tem acesso às mensagens de e-mail na pasta Lixo ou Eliminado.
  • Bloqueado – todas as mensagens de e-mail que estão em quarentena, que falharam ou que foram largadas.
  • Substituído – todos os e-mails em que os anexos maliciosos sejam substituídos por .txt que indiquem que o anexo foi malicioso.

A localização de entrega mostra os resultados das políticas e deteções que executam após a entrega. Está associado a uma Ação de Entrega. Este campo foi adicionado para dar informação sobre a ação tomada quando é encontrado um problema de correio. Eis os valores possíveis da localização de entrega:

  • Caixa de Entrada ou pasta – O e-mail está na caixa de entrada ou numa pasta (de acordo com as suas regras de e-mail).
  • No local ou externo: a caixa de correio não existe na nuvem mas está no local.
  • Pasta Lixo – O e-mail está na pasta Lixo de um utilizador.
  • Pasta Itens eliminados – O e-mail está na pasta Itens Eliminados do utilizador.
  • Quarentena – o e-mail na quarentena e não na caixa de correio de um utilizador.
  • Falha – o e-mail não foi enviado para a caixa de correio.
  • Remoção – os e-mails perdem-se no fluxo de correio.

Ver a linha cronologia do seu e-mail

A Linha Cronologia de E-mail é um campo no Explorador de Ameaças que facilita a procura pela sua equipa de operações de segurança. Quando ocorrem múltiplos eventos num e-mail ou perto do mesmo tempo, esses eventos aparecem numa vista de linha cronologia. Alguns eventos que ocorrem após a entrega a e-mails são capturados na coluna Ações especiais. Combinar informações da linha cronlógica de uma mensagem de e-mail com quaisquer ações especiais que foram tomadas após a entrega dá aos administradores informações sobre políticas e tratamento de ameaças (como para onde o correio foi encaminho e, em alguns casos, qual foi a avaliação final).

Importante

Ir para um tópico de remediação aqui.

Remediar e-mails maliciosos que foram entregues no Office 365

Microsoft Defender para Office 365

Proteja-se contra ameaças Office 365

Ver relatórios para Defender para Office 365