Explorador de Ameaças e deteções em tempo real

Dica

Sabia que pode experimentar as funcionalidades do Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliação do portal do Microsoft 365 Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Aplica-se a

Se a sua organização tiver Microsoft Defender para Office 365 e tiver as permissões necessárias, tem as deteções do Explorador ou em Tempo Real (anteriormente relatórios em tempo real – veja as novidades!). No Centro de Conformidade & Segurança, vá para Gestão de ameaças e, em seguida, selecionar Explorador ou Deteções em Tempo Real.

Com Microsoft Defender para Office 365 Plano 2, verá: Com Microsoft Defender para Office 365 Plano 1, verá:
Explorador de ameaças. Deteções em tempo real

O explorador ou deteção em tempo real ajuda a sua equipa de operações de segurança a investigar e a responder a ameaças de forma eficiente. O relatório assemelha-se à seguinte imagem:

O item de menu do Explorador no portal de Conformidade & Segurança

Com este relatório, pode:

Melhoramentos da Experiência de Procura Contra Ameaças

Introdução do ID de Alerta Defender para Office 365 alertas dentro do Explorador/Deteções em tempo real

Hoje, se navegar de um alerta para o Explorador de Ameaças, será aberta uma vista filtrada no Explorador, com a vista filtrada pelo ID da política de Alerta (sendo o ID da política um identificador exclusivo de uma política de Alerta). Estamos a tornar esta integração mais relevante introduzindo o ID de alerta (veja um exemplo do ID de alerta abaixo) no Explorador de Ameaças e deteções em Tempo Real para que veja mensagens relevantes para o alerta específico, bem como uma contagem de e-mails. Também poderá ver se uma mensagem fez parte de um alerta, bem como navegar a partir da mensagem para o alerta específico.

O ID de Alerta está disponível no URL quando estiver a visualizar um alerta individual; um exemplo de ser https://protection.office.com/viewalerts?id=372c9b5b-a6c3-5847-fa00-08d8abb04ef1.

Expandir a retenção de dados do Explorador (e deteções em tempo real) e o limite de pesquisa para inquilinos de avaliação de 7 a 30 dias

Como parte desta alteração, poderá procurar e filtrar dados de e-mail durante 30 dias (um aumento dos 7 dias anteriores) nas deteções do Explorador de Ameaças/Em Tempo Real para os inquilinos de avaliação do Office P1 e P2. Isto não afeta os inquilinos de produção para clientes P1 e P2/E5, que já têm capacidades de pesquisa e retenção de dados de 30 dias.

Limites atualizados para a Exportação de registos para o Explorador de Ameaças

Como parte desta atualização, o número de linhas para registos de E-mail que podem ser exportados a partir do Explorador de Ameaças aumenta de 9990 para 200 000 registos. Atualmente, o conjunto de colunas que podem ser exportadas permanecerá igual, mas o número de linhas aumentará a partir do limite atual.

Etiquetas no Explorador de Ameaças

Nota

A funcionalidade de etiquetas de utilizador está em Pré-visualização, não está disponível para todos e está sujeita a alterações. Para obter informações sobre o horário de lançamento, consulte as informações Microsoft 365 informações.

As etiquetas de utilizador identificam grupos específicos de utilizadores no Microsoft Defender para Office 365. Para obter mais informações sobre etiquetas, incluindo licenciamento e configuração, consulte Etiquetas de utilizador.

No Explorador de Ameaças, pode ver informações sobre etiquetas de utilizador nas seguintes experiências.

Vista de grelha de e-mail

A coluna Etiquetas na grelha de e-mail contém todas as etiquetas que foram aplicadas às caixas de correio do remetente ou do destinatário. Por predefinição, as etiquetas de sistema, como as contas de prioridade, são apresentadas primeiro.

Filtragem

Pode utilizar etiquetas como um filtro. Hunt just across priority accounts or specific user tags scenarios. Também pode excluir resultados que tenham determinadas etiquetas. Combine esta funcionalidade com outros filtros para limitar o âmbito da investigação.

Filtrar etiquetas.

Panfleto de detalhes de e-mail

Para ver as etiquetas individuais do remetente e do destinatário, selecione o assunto para abrir a lista de detalhes da mensagem. No separador Resumo , as etiquetas do remetente e do destinatário são apresentadas em separado, se estiverem presentes para um e-mail. As informações sobre etiquetas individuais para remetente e destinatário também se estendem a dados CSV exportados, onde pode ver estes detalhes em duas colunas separadas.

As informações de etiquetas também são apresentadas na panfleto de cliques do URL. Para a ver, vá para a vista Phish ou Todo o Correio Eletrónico e, em seguida, para o separador URLs ou Cliques de URL . Selecione uma panfleto de URL individual para ver detalhes adicionais sobre cliques para esse URL, incluindo etiquetas associadas a esse clique.

Vista de Linha De tempo atualizada

Saiba mais ao ver este vídeo.

Melhoramentos da experiência de procura de ameaças (futuro)

Informações atualizadas de ameaças para e-mails

Focámos-nos na plataforma e na melhoria da qualidade dos dados para aumentar a precisão e consistência dos dados nos registos de e-mail. As melhorias incluem a consolidação de informações de pré-entrega e pós-entrega, como ações executadas num e-mail como parte do processo ZAP, num único registo. Também estão incluídos detalhes adicionais, como o veredito de spam, ameaças ao nível da entidade (por exemplo, que URL foi malicioso) e as localizações de entrega mais recentes.

Após estas atualizações, verá uma entrada única para cada mensagem, independentemente dos diferentes eventos pós-entrega que afetam a mensagem. As ações podem incluir ZAP, remediação manual (o que significa ação de administração), Entrega Dinâmica, entre outros.

Para além de mostrar ameaças de malware e phishing, verá o veredito de spam associado a um e-mail. No e-mail, veja todas as ameaças associadas ao e-mail juntamente com as tecnologias de deteção correspondentes. Um e-mail pode ter zero, uma ou múltiplas ameaças. Verá as ameaças atuais na secção Detalhes da mensagem de correio eletrónico. No caso de múltiplas ameaças (como software malware e phishing), o campo técnico de Deteção mostra o mapeamento de deteção de ameaças, que é a tecnologia de deteção que identificou a ameaça.

O conjunto de tecnologias de deteção inclui agora novos métodos de deteção, bem como tecnologias de deteção de spam. Pode utilizar o mesmo conjunto de tecnologias de deteção para filtrar os resultados nas diferentes vistas de e-mail (Malware, Phish, Todos os E-mails).

Nota

A análise de versões pode não estar necessariamente ligada a entidades. Por exemplo, um e-mail pode ser classificado como phish ou spam, mas não existem URLs que sejam marcados com um veredito de phish/spam. Isto deve-se ao facto de os filtros também avaliarem o conteúdo e outros detalhes de um e-mail antes de atribuir um veredito.

Ameaças em URLs

Agora pode ver a ameaça específica de um URL no separador Detalhes da mensagem de correio eletrónico . A ameaça pode ser malware, phish, spam ou nenhuma.)

Vista de linha de tempo atualizada (próxima)

A vista de linha de tempo identifica todos os eventos de entrega e pós-entrega. Inclui informações sobre a ameaça identificada nessa altura para um subconjunto destes eventos. A vista de linha de tempo também fornece informações sobre qualquer ação adicional (como ZAP ou remediação manual), juntamente com o resultado dessa ação. As informações da vista de linha de tempo incluem:

  • Origem: Origem do evento. Pode ser administrador/sistema/utilizador.
  • Evento: Inclui eventos de nível superior como entrega original, remediação manual, ZAP, submissões e Entrega Dinâmica.
  • Ação: A ação específica que foi tomada como parte de uma ação DE ZAP ou de administração (por exemplo, eliminação de forma resumida).
  • Ameaças: Abrange as ameaças (malware, phish, spam) identificadas nessa altura.
  • Resultado/Detalhes: Mais informações sobre o resultado da ação, como se esta foi executada como parte de uma ação ZAP/administrador.

Localização de entrega original e mais recente

Atualmente, localizamos a entrega na grelha de e-mail e na panfleto de e-mail. O campo Localização de entrega está a ser renomeado Local de entrega original_. E apresentamos outro campo, _Localização de entrega mais recente.

A localização de entrega original irá dar mais informações sobre onde um e-mail foi entregue inicialmente. A localização de entrega mais recente irá dizer onde um e-mail foi enviado após ações do sistema, como ZAP ou ações de administração, como Mover para itens eliminados. A localização de entrega mais recente destina-se a avisar os administradores sobre a última localização conhecida da mensagem após a entrega ou quaisquer ações de sistema/administrador. Não inclui quaisquer ações do utilizador final no e-mail. Por exemplo, se um utilizador tiver eliminado uma mensagem ou movido a mensagem para arquivo/pst, a localização da mensagem "entrega" não será atualizada. No entanto, se uma ação do sistema atualizou a localização (por exemplo, ZAP, que resultava numa mudança de e-mail para a quarentena ), a localização de entrega mais recente seria mostrada como "quarentena".

Nota

Existem alguns casos em que a Ação de Entrega e ação de Entrega podem ser mostradas como "desconhecidas":

  • Poderá ver a Localização de entrega como "entregue" e a Localização de entrega como "desconhecida" se a mensagem tiver sido entregue, mas uma regra da Caixa de Entrada moveu a mensagem para uma pasta predefinida (como Rascunho ou Arquivo) em vez de para a pasta Caixa de Entrada ou E-mail de Lixo.

  • A localização de entrega mais recente pode ser desconhecida se uma ação de administrador/sistema (como o ZAP) tiver sido tentada, mas a mensagem não tiver sido encontrada. Normalmente, a ação ocorre depois de o utilizador ter movido ou eliminado a mensagem. Nesses casos, verifique a coluna Resultado/Detalhes na vista de linha de tempo. Procure a declaração "Mensagem movida ou eliminada pelo utilizador".

Ações adicionais

Foram aplicadas ações adicionais após a entrega do e-mail. Podem incluir ZAP, remediação manual (ação efetivada por um Administração, como o eliminação de forma resumida ), Entrega Dinâmica e reprocessado (para um e-mail que foi detetado retroativamente como bom).

Nota

Como parte das alterações pendentes, o valor "Removido por ZAP" encontra-se atualmente apresentado no filtro Ação de Entrega. Terá uma forma de procurar todos os e-mails com a tentativa ZAP de e-mail através de Ações adicionais.

Substitui o sistema

As substituições do sistema permitem-lhe abrir exceções para a localização de entrega pretendida de uma mensagem. O sistema prevalece sobre a localização de entrega fornecida pelo sistema com base nas ameaças e noutras deteções identificadas pelo pilha de filtros. As substituições do sistema podem ser definidas através de uma política de inquilino ou de utilizador para entregar a mensagem conforme sugerido pela política. As substituições podem identificar entregas não intencionais de mensagens maliciosas devido a lacunas de configuração, como uma política de Cofre geral definida por um utilizador. Estes valores podem ser:

  • Permitido por política de utilizador: um utilizador cria políticas ao nível da caixa de correio para permitir domínios ou recetores.

  • Bloqueado por uma política de utilizador: um utilizador cria políticas ao nível da caixa de correio para bloquear domínios ou recetores.

  • Permitido por uma política de organização: as equipas de segurança da organização definem políticas ou regras de fluxo de correio (também conhecidas como regras de transporte) para permitir remeteres e domínios para os utilizadores na re Exchange spetiva organização. Isto pode ser para um conjunto de utilizadores ou para toda a organização.

  • Bloqueado por uma política de organização: as equipas de segurança da organização definem políticas ou regras de fluxo de correio para bloquear recetores, domínios, idiomas de mensagens ou IPs de origem para os utilizadores na respetiva organização. Isto pode ser aplicado a um conjunto de utilizadores ou a toda a organização.

  • Extensão de ficheiro bloqueada por uma política de organização: a equipa de segurança de uma organização bloqueia uma extensão de nome de ficheiro através das definições de política anti-software malicioso. Estes valores serão agora apresentados em detalhes de e-mail para ajudar nas investigações. As equipas Secops também podem utilizar a capacidade de filtragem rica para filtrar extensões de ficheiros bloqueados.

Substitui o sistema no Explorador.

Melhorias na experiência de URL e cliques

As melhorias incluem:

  • Mostre o URL clicado na totalidade (incluindo todos os parâmetros de consulta que fazem parte do URL) na secção Cliques da lista de listas do URL. Atualmente, o domínio e o caminho do URL são apresentados na barra de título. Estamos a expandir essa informação para mostrar o URL completo.

  • Correções nos filtros de URL (URL versus domínio de URL versus caminho e domínio de URL): as atualizações afetam a pesquisa de mensagens que contenham um URL/clique no veredito. Ativamos o suporte para pesquisas diagnosticsticas de protocolo, para que possa procurar um URL sem utilizar http. Por predefinição, a pesquisa de URL é mapeada para http, a menos que seja explicitamente especificado outro valor. Por exemplo:

    • Procure com e sem o http:// prefixo nos campos url, URL Domain e URL Domain and Path filter. As pesquisas devem apresentar os mesmos resultados.
    • Procure o https:// prefixo no URL. Quando não é especificado nenhum valor, é http:// assumido o prefixo.
    • / é ignorado no início e no fim do caminho do URL, do Domínio do URL, do domínio do URL e dos campos de caminho. / no final do campo do URL é ignorado.

Nível de confiança de phish

O nível de confiança de phish ajuda a identificar o grau de confiança com o qual um e-mail foi categorizado como "phish". Os dois valores possíveis são Alto e Normal. Nas fases iniciais, este filtro só estará disponível na vista de Phish do Explorador de Ameaças.

Nível de Confiança de Phish no Explorador.

SINAL DE URL ZAP

Normalmente, o sinal de URL ZAP é utilizado para cenários de alerta de Phish ZAP em que um e-mail foi identificado como Phish e removido após a entrega. Este sinal liga o alerta aos resultados correspondentes no Explorador. É um dos IOCs do alerta.

Para melhorar o processo de procura, atualizámos o Explorador de Ameaças e deteções em tempo real para tornar a experiência de procura mais consistente. As alterações são descridas aqui:

Filtrar por etiquetas de utilizador

Agora pode ordenar e filtrar por sistema ou etiquetas de utilizador personalizadas para compreender rapidamente o âmbito das ameaças. Para saber mais, consulte Etiquetas de utilizador.

Importante

A filtragem e ordenação por etiquetas de utilizador estão atualmente em pré-visualização pública. Esta funcionalidade pode ser modificada substancialmente antes do seu lançamento comercial. A Microsoft não oferece garantias, expressas ou implícitas, relativamente às informações fornecidas sobre as mesmas.

Melhorias no tempo

Verá o horário dos registos de e-mail no Portal e os dados exportados. Estará visível em diferentes experiências como a Grelha de E-mail, a panfleto Detalhes, Linha Cronologia de E-mail e E-mails Semelhantes, para que o horário do conjunto de resultados esteja claro.

Atualizar no processo de atualização

Alguns utilizadores comentaram a confusão com a atualização automática (por exemplo, assim que alterar a data, as atualizações da página) e a atualização manual (para outros filtros). Da mesma forma, remover filtros leva à atualização automática. Alterar filtros ao modificar a consulta pode causar experiências de pesquisa inconsistentes. Para resolver estes problemas, estamos a mudar para um mecanismo de filtragem manual.

A partir de um ponto da experiência, o utilizador pode aplicar e remover o intervalo de filtros diferente (a partir do conjunto de filtros e data) e selecionar o botão atualizar para filtrar os resultados depois de definir a consulta. O botão Atualizar também é agora realçado no ecrã. Também atualizámos as deteções relacionadas e documentação no produto.

Desagrebe o gráfico para adicionar aos filtros

Agora pode adicionar valores de legenda de gráficos para os adicionar como filtros. Selecione o botão Atualizar para filtrar os resultados.

Atualizações de informações no produto

Estão agora disponíveis detalhes adicionais no produto, como o número total de resultados de pesquisa na grelha (ver abaixo). Melhorámos as etiquetas, as mensagens de erro e as deteções para fornecer mais informações sobre os filtros, a experiência de pesquisa e o conjunto de resultados.

Capacidades alargadas no Explorador de Ameaças

Principais utilizadores directados

Hoje, expõemos a lista dos principais utilizadores alvos na vista Software Malware para e-mails, na secção Principais Famílias de Software Malware . Iremos expandir esta vista nas vistas Phish e Todo o Correio Eletrónico. Poderá ver os cinco utilizadores mais alvo, juntamente com o número de tentativas para cada utilizador para a vista correspondente. Por exemplo, na vista de Phish, verá o número de tentativas de Phish.

Poderá exportar a lista de utilizadores alvo, até um limite de 3000, juntamente com o número de tentativas de análise offline para cada vista de e-mail. Além disso, se selecionar o número de tentativas (por exemplo, 13 tentativas na imagem abaixo) abrirá uma vista filtrada no Explorador de Ameaças, para que possa ver mais detalhes em e-mails e ameaças para esse utilizador.

Exchange regras de transporte

Como parte do enriquecimento de dados, poderá ver todas as diferentes regras de transporte Exchange (ETR) aplicadas a uma mensagem. Estas informações estarão disponíveis na vista de grelha de E-mail. Para vê-la, selecione Opções de colunas na grelha e, em seguida , Exchange Regra de Transporte a partir das opções de coluna. Também estará visível na panfleto Detalhes no e-mail.

Poderá ver o GUID e o nome das regras de transporte aplicadas à mensagem. Poderá procurar as mensagens utilizando o nome da regra de transporte. Esta é uma pesquisa "Contém", o que significa que também pode fazer pesquisas parciais.

Importante

A pesquisa e disponibilidade de nomes ETR dependem da função específica que lhe é atribuída. Precisa de ter uma das seguintes funções/permissões para ver os nomes e a pesquisa de ETR. Se não tiver estas funções atribuídas, não conseguirá ver os nomes das regras de transporte ou procurar mensagens utilizando nomes ETR. No entanto, pode ver as informações do GUID e da etiqueta ETR nos Detalhes do E-mail. Outras experiências de visualização de registos em Grelhas de E-mail, Folhetos de e-mail, Filtros e Exportação não são afetadas.

  • Apenas EXO - prevenção de perda de dados: Tudo
  • APENAS EXO – O365SupportViewConfig: Tudo
  • Microsoft Azure Active Directory ou EXO - Segurança Administração: Tudo
  • AAD ou EXO - Leitor de Segurança: Todos
  • Apenas EXO - Regras de Transporte: Todas
  • Apenas EXO – View-Only Desconformação: Tudo

Na grelha de e-mail, na panfleto Detalhes e no CSV Exportado, os ETRs são apresentados com um Nome/GUID, conforme apresentado abaixo.

Conectores de remoção

Os conectores são uma coleção de instruções que personalizam a forma como os seus e-mails vão de e para a sua Microsoft 365 ou Office 365 organização. Permitem-lhe aplicar quaisquer restrições ou controlos de segurança. No Explorador de Ameaças, agora pode ver os conectores relacionados com um e-mail e procurar e-mails através de nomes de conectores.

A pesquisa de conexões é "contém" na natureza, o que significa que as pesquisas de palavras-chave parciais também deverão funcionar. Na vista Grelha principal, na panfleto Detalhes e no CSV Exportado, os conectores são apresentados no formato Nome/GUID, conforme apresentado aqui:

Novas funcionalidades no Explorador de Ameaças e deteções em tempo real

Ver e-mails de phishing enviados para domínios e utilizadores representação

Para identificar tentativas de phishing contra utilizadores e domínios que sejam utilizadores representação têm de ser adicionados à lista de Utilizadores para proteger. Para domínios, os administradores têm de ativar os domínios da Organização ou adicionar um nome de domínio a Domínios para proteger. Os domínios a proteger estão na página política Anti-Phishing na secção Representação .

Para rever mensagens de phish e procurar domínios ou utilizadores representação, utilize a vista > de Phish do Explorador.

Este exemplo utiliza o Explorador de Ameaças.

  1. No Centro de Conformidade & Segurança (selecionarhttps://protection.office.com) Explorador de > ameaças (ou Deteções em tempo real).

  2. No menu Ver, selecionar Correio eletrónico > Phish.

    Aqui pode escolher um domínio ou um utilizador representação representação.

  3. Selecione Domínio representação e, em seguida, escreva um domínio protegido na caixa de texto.

    Por exemplo, procure nomes de domínio protegidos como contoso, contoso.com ou contoso.com.au.

  4. Selecione o Assunto de qualquer mensagem no separador E-mail > separador Detalhes para ver informações de representação adicionais, como a localização domínio representação/ Localização detetada.

    OU

    Selecione Utilizador representação e escreva o endereço de e-mail de um utilizador protegido na caixa de texto.

    Dica

    Para melhores resultados, utilize endereços de e-mail completos para procurar utilizadores protegidos. Verá que o utilizador protegido será mais rápido e com mais êxito se procurar firstname.lastname@contoso.com, por exemplo, ao investigar a representação de utilizadores. Ao procurar um domínio protegido, a pesquisa irá assumir o domínio raiz (por exemplo, contoso.com) e o nome de domínio (contoso). A pesquisa do domínio contoso.com raiz irá devolver tanto as contoso.com como o nome de domínio contoso.

  5. Selecione o Assunto de qualquer > mensagem no separador E-mailDetails para ver informações de representação adicionais sobre o utilizador ou domínio e a localização Detetada.

    O painel de detalhes do Explorador de Ameaças de um utilizador protegido a mostrar a localização de deteção e a ameaça que foi detetada (aqui representação de phish de um utilizador)

Nota

No passo 3 ou 5, se selecionar Tecnologia de Deteção e selecionar o domínio de representação ou utilizador de representação respetivamente, > as informações no separador E-mailDetails sobre o utilizador ou domínio e a localização Detetada só serão apresentadas nas mensagens relacionadas com o utilizador ou domínio listado na página Política Anti-Phishing.

Pré-visualizar o cabeçalho do e-mail e transferir o corpo do e-mail

Agora pode pré-visualizar um cabeçalho de e-mail e transferir o corpo do e-mail no Explorador de Ameaças. Os administradores podem analisar ameaças por cabeçalhos/e-mails transferidos. Uma vez que a transferência de mensagens de e-mail pode correr o risco de exposição de informações, este processo é controlado pelo controlo de acesso baseado em funções (RBAC). É necessária uma nova função, Pré-visualizar, para conceder a capacidade de transferir e-mails na vista todas as mensagens de e-mail. No entanto, a visualização do cabeçalho do e-mail não requer qualquer função adicional (para além do que é necessário para ver mensagens no Explorador de Ameaças). Para criar um novo grupo de funções com a função Pré-visualização:

  1. Selecione um grupo de funções incorporado que só tenha a função Pré-visualização, como o Tratamento de Dados ou o Gestor da Deteção de Dados.
  2. Selecione Copiar grupo de funções.
  3. Selecione um nome e descrição para o seu novo grupo de funções e selecione Seguinte.
  4. Modifique as funções ao adicionar e remover funções conforme necessário, mas deixando a função Pré-visualização.
  5. Adicione membros e, em seguida, selecione Criar grupo de funções.

O explorador e as deteções em tempo real também obterão novos campos que fornecem uma imagem mais completa do local onde vão ficar as suas mensagens de e-mail. Estas alterações facilitam a procura por Operações de Segurança. Mas o principal resultado é que pode saber a localização das mensagens de e-mail problemáticas de relance.

Como é que isto é feito? O estado de entrega está agora separado em duas colunas:

  • Ação de entrega - Estado do e-mail.
  • Localização de entrega – para onde o e-mail foi encameiro.

A ação de entrega é a ação tomada num e-mail devido a políticas ou deteções existentes. Eis as ações possíveis para um e-mail:

Entregue Lixo Bloqueado Substituído
O e-mail foi entregue na caixa de entrada ou pasta de um utilizador e o utilizador pode aceder ao mesmo. O e-mail foi enviado para a pasta Lixo ou Eliminado do utilizador e o utilizador pode aceder ao mesmo. E-mails que estão em quarentena, que falharam ou que foram retirados. Estes e-mails estão inacessíveis ao utilizador. Os e-mails tinham anexos maliciosos substituídos por .txt que indiquem que o anexo era malicioso.

Eis o que o utilizador pode ou não ver:

Acessível aos utilizadores finais Inacessível aos utilizadores finais
Entregue Bloqueado
Lixo Substituído

A localização de entrega mostra os resultados das políticas e deteções que executam após a entrega. Está associado a uma ação de Entrega. Estes são os valores possíveis:

  • Caixa de entrada ou pasta: O e-mail está na caixa de entrada ou numa pasta (de acordo com as suas regras de e-mail).
  • No local ou externo: a caixa de correio não existe na nuvem mas está no local.
  • Pasta Lixo: O e-mail está na pasta Lixo de um utilizador.
  • Pasta itens eliminados: o e-mail na pasta Itens Eliminados de um utilizador.
  • Quarentena: O e-mail está na quarentena e não na caixa de correio de um utilizador.
  • Falha: o e-mail não foi enviado para a caixa de correio.
  • Remoção: os e-mails perderam-se no fluxo de correio.

Linha cronologia de e-mail

A linha cronologia E-mail é uma nova funcionalidade do Explorador que melhora a experiência de procura para administradores. Reduz o tempo gasto a verificar diferentes localizações para tentar compreender o evento. Quando ocorrem múltiplos eventos na ou próxima hora de chegada de um e-mail, esses eventos são apresentados numa vista de linha cronologia. Alguns eventos que ocorrem no seu e-mail após a entrega são capturados na coluna Ação especial. Os administradores podem combinar informações da linha de tempo com a ação especial tomada no correio após a entrega para obterem informações sobre como as suas políticas funcionam, onde o e-mail foi, por fim, encaminhodo e, em alguns casos, qual foi a avaliação final.

Para obter mais informações, consulte Investigar e remediar e-mails maliciosos entregues em Office 365.

Exportar urL clique em dados

Agora pode exportar relatórios para urL cliques para o Microsoft Excel ver o ID da mensagem de rede e clicar em veredito , o que ajuda a explicar onde o seu URL clica no tráfego de origem. Eis como funciona: Na Gestão de Ameaças na barra de iniciação rápida Office 365, siga esta cadeia:

Explorador > Ver Phish > Cliques > UrLs principais ou Cliques Principais do > URL selecionam um registo para abrir a lista de listas de URL.

Quando selecionar um URL na lista, verá um novo botão Exportar no painel de lista de listas. Utilize este botão para mover dados para uma Excel de relatório mais fácil.

Siga este caminho para chegar à mesma localização no relatório de deteções em tempo real:

Explorador > Deteções em tempo real > Ver Phish > URLs > URLs principais ou Cliques Principais Selecione > um registo para abrir a lista de listas de URL > , navegue até ao separador Cliques .

Dica

O ID de Mensagem de Rede mapeia o clique para e-mails específicos quando pesquisar no ID através do Explorador ou ferramentas de terceiros associadas. Essas pesquisas identificam o e-mail associado ao resultado de um clique. Ter o ID de Mensagem de Rede correlacionado facilita uma análise mais rápida e eficaz.

Ver software malictado detetado no e-mail por tecnologia

Suponha que pretende ver software malicia detetado no e-mail ordenado por Microsoft 365 dados. Para o fazer, utilize a vista Software >-mail do Explorador (ou deteções em tempo real).

  1. No Centro de Conformidade & Segurança (), selecionarhttps://protection.office.com Explorador > de Gestão de ameaças (ou Deteções em tempo real). (Este exemplo utiliza o Explorador.)

  2. No menu Ver , selecionar Software > Malictado de E-mail.

  3. Clique em Remetente e, em seguida, selecionar Tecnologia > de Deteção Básica.

    As suas tecnologias de deteção estão agora disponíveis como filtros para o relatório.

  4. Selecionar uma opção. Em seguida, selecione o botão Atualizar para aplicar esse filtro.

O relatório é atualizado para mostrar os resultados que o malware detetou no e-mail, utilizando a opção de tecnologia que selecionou. A partir daqui, pode efetuar uma análise mais aprofundada.

Ver o URL de phishing e clicar em dados de vereditos

Suponha que pretende ver as tentativas de phishing através de URLs no e-mail, incluindo uma lista de URLs permitidos, bloqueados e substituídos. Para identificar OS URLs clicados, Cofre de Ligação têm de ser configuradas. Certifique-se de que configura as Cofre ligações para proteção com tempo de clique e registo de vereditos clicando Cofre Ligações.

Para rever URLs de phish em mensagens e clicar em URLs em mensagens de phish, > utilize a vista Deteção de E-mail do Explorador ou deteções em tempo real.

  1. No Centro de Conformidade & Segurança (), selecionarhttps://protection.office.com Explorador > de Gestão de ameaças (ou Deteções em tempo real). (Este exemplo utiliza o Explorador.)

  2. No menu Ver , selecionar Phish de > E-mail.

  3. Clique em Remetente e, em seguida, selecionar URLs Clique > no veredito.

  4. Selecione uma ou mais opções, como Bloqueadas e Bloqueadas substituídas e, em seguida, selecione o botão Atualizar na mesma linha das opções para aplicar esse filtro. (Não a atualizar a janela do browser.)

    O relatório é atualizado para mostrar duas tabelas de URL diferentes no separador URL do relatório:

    • Os URLs principais são os URLs das mensagens para as as mensagens que filtrou e a ação de entrega de e-mails conta para cada URL. Na vista de e-mail phish, normalmente esta lista contém URLs legítimos. Os atacantes incluem uma mistura de URLs bons e mau nas suas mensagens para os tentar entregar, mas fazem com que as ligações maliciosas pareçam mais interessantes. O tabela de URLs está ordenado pela contagem total de e-mails, mas esta coluna está oculta para simplificar a vista.

    • Os cliques principais são Cofre URLs com ligações com ligações que foram clicados, ordenados por contagem de cliques totais. Esta coluna também não é apresentada, para simplificar a vista. O total conta por coluna indica a Cofre ligação clica em contagem de versões para cada URL clicado. Na vista de e-mail phish, geralmente são URLs suspeitos ou maliciosos. Mas a vista pode incluir URLs que não são ameaças, mas que estão em mensagens de phish. Os cliques de URL nas ligações não programadas não são mostrados aqui.

    As duas tabelas de URL mostram os PRINCIPAIS URLs nas mensagens de e-mail de phishing através de uma ação e localização de entrega. As tabelas mostram cliques de URL que foram bloqueados ou visitados apesar de um aviso, para que possa ver quais as potenciais ligações maléficas que foram apresentadas aos utilizadores e que o utilizador clicou. A partir daqui, pode efetuar uma análise mais aprofundada. Por exemplo, abaixo do gráfico, pode ver os URLs principais nas mensagens de e-mail que foram bloqueados no ambiente da sua organização.

    Selecione um URL para ver informações mais detalhadas.

    Nota

    Na caixa de diálogo de lista de listas de URL, a filtragem das mensagens de e-mail é removida para mostrar a vista completa da exposição do URL no seu ambiente. Isto permite-lhe filtrar as mensagens de e-mail com que está preocupado no Explorador, encontrar URLs específicos que sejam potenciais ameaças e, em seguida, expandir a sua compreensão da exposição de URL no seu ambiente (através da caixa de diálogo de detalhes do URL) sem ter de adicionar filtros de URL à vista do Explorador.

Interpretação de vereditos de clique

Nas listas de listas de E-mail ou URL, cliques principais, bem como dentro das nossas experiências de filtragem, verá diferentes cliques em valores de veredito:

  • Nenhum: Não é possível capturar o veredito do URL. O utilizador poderá ter clicado no URL.
  • Permitido: O utilizador tinha permissão para navegar para o URL.
  • Bloqueado: O utilizador foi bloqueado para navegar para o URL.
  • Pendente verso: O utilizador foi apresentado com a página pendente de detonação.
  • Substituída bloqueada: O utilizador foi bloqueado para navegar diretamente para o URL. Mas o utilizador substitui o bloco para navegar para o URL.
  • Veredicto pendente que não é aguardado: O utilizador foi apresentado com a página de detonação. No fim, o utilizador deixa a mensagem em cima da mensagem para aceder ao URL.
  • Erro: O utilizador foi apresentado com a página de erro ou ocorreu um erro ao capturar o veredito.
  • Falha: Ocorreu uma exceção desconhecida ao capturar o veredito. O utilizador poderá ter clicado no URL.

Rever mensagens de e-mail comunicadas pelos utilizadores

Suponha que pretende ver as mensagens de e-mail que os utilizadores na sua organização comunicaram como Lixo, Não É Lixo ou Phishing através do add-in Mensagem de Relatório ou do add-in Report Phishing. Para as ver, utilize a vista EmailSubmissions > do Explorador (ou deteções em tempo real).

  1. No Centro de Conformidade & Segurança (), selecionarhttps://protection.office.com Explorador > de Gestão de ameaças (ou Deteções em tempo real). (Este exemplo utiliza o Explorador.)

  2. No menu Ver , selecionar Submissões de > E-mail.

  3. Clique em Remetente e, em seguida, selecionar Tipo > de Relatório Básico.

  4. Selecione uma opção, como Phish e, em seguida, selecione o botão Atualizar .

O relatório é atualizado para mostrar dados sobre mensagens de e-mail que as pessoas na sua organização comunicaram como uma tentativa de phishing. Pode utilizar estas informações para efetuar uma análise mais aprofundada e, se necessário, ajustar as suas políticas anti-phishing em Microsoft Defender para Office 365.

Iniciar investigação e resposta automatizadas

Nota

As capacidades de investigação e resposta automáticas estão disponíveis no Microsoft Defender para Office 365 2 e Office 365 E5.

A investigação e resposta automáticas podem poupar tempo à sua equipa de operações de segurança e esforço gasto na investigação e na mitigação de ciberataques. Para além de configurar alertas que podem ativar um manual de procedimentos de segurança, pode iniciar um processo de investigação e resposta automatizado a partir de uma vista no Explorador. Para obter detalhes, consulte o Exemplo: Um administrador de segurança aciona uma investigação do Explorador.

Mais formas de utilizar o Explorador e deteções em tempo real

Para além dos cenários descritos neste artigo, tem muitas mais opções de relatórios disponíveis com o Explorador (ou deteções em tempo real). Consulte os seguintes artigos:

Licenças e permissões necessárias

Tem de ter Microsoft Defender para Office 365 Explorador ou deteções em tempo real.

  • O Explorador está incluído Defender para Office 365 Plano 2.
  • O relatório de deteções em tempo real está incluído no Defender para Office 365 1.
  • Planeia atribuir licenças a todos os utilizadores que devem estar protegidos por Defender para Office 365. O explorador e as deteções em tempo real mostram dados de deteção para utilizadores licenciados.

Para ver e utilizar o Explorador ou as deteções em tempo real, tem de ter as permissões adequadas, como as concedidas a um administrador de segurança ou leitor de segurança.

  • Para o Centro & Conformidade e Segurança, tem de ter uma das seguintes funções atribuídas:

    • Organization Management
    • Administrador de Segurança (isto pode ser atribuído no centro Azure Active Directory administração do Centro de Administraçãohttps://aad.portal.azure.com)
    • Leitor de Segurança
  • Para Exchange Online, tem de ter uma das seguintes funções atribuídas no centro de administração do Exchange (EAC) ou no Exchange Online PowerShell:

    • Organization Management
    • View-Only Gestão da Organização
    • View-Only destinatários
    • Gestão da Conformidade

Para saber mais sobre funções e permissões, consulte os seguintes recursos:

Diferenças entre o Explorador de Ameaças e as deteções em tempo real

  • O relatório de deteções em tempo real está disponível no Defender para Office 365 1. O Explorador de Ameaças está disponível Defender para Office 365 Plano 2.
  • O relatório de deteções em tempo real permite-lhe ver deteções em tempo real. O Explorador de Ameaças também faz isto, mas também fornece detalhes adicionais para um determinado ataque.
  • A vista Todos os e-mails está disponível no Explorador de Ameaças, mas não no relatório Deteções em tempo real.
  • Estão incluídas mais funcionalidades de filtragem e ações disponíveis no Explorador de Ameaças. Para obter mais informações, consulte Descrição Microsoft Defender para Office 365 serviço: Disponibilidade de funcionalidades em todos os Defender para Office 365 planos.

Investigar e-mails com a Página Entidade de E-mail