Compartilhar via


Ações de remediação no Microsoft Defender para Office 365

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Ações de correção

As funcionalidades de proteção contra ameaças no Microsoft Defender para Office 365 incluem determinadas ações de remediação. Tais ações de remediação podem incluir:

  • Exclusão reversível de mensagens de emails ou clusters
  • Bloquear URL (hora do clique)
  • Desativar o encaminhamento de emails externo
  • Desativar a delegação

No Microsoft Defender para Office 365, as ações de remediação não são executadas automaticamente. Em vez disso, as ações de remediação são tomadas apenas após aprovação pela equipa de operações de segurança da sua organização.

Ameaças e ações de remediação

Microsoft Defender para Office 365 inclui ações de remediação para lidar com várias ameaças. As investigações automatizadas resultam frequentemente numa ou mais ações de remediação para rever e aprovar. Em alguns casos, uma investigação automatizada não resulta numa ação de remediação específica. Para investigar e tomar as ações adequadas, utilize a documentação de orientação na tabela seguinte.

Categoria Ameaça/risco Ações de remediação
Email Malware Eliminar e-mail/cluster de eliminação recuperável

Se mais de um punhado de mensagens de e-mail num cluster contiverem software maligno, o cluster é considerado malicioso.

Email URL malicioso
(Foi detetado um URL malicioso pelas Ligações Seguras.)
Eliminar e-mail/cluster de eliminação recuperável
BLOQUEAR URL (verificação de tempo de clique)

Email que contém um URL malicioso é considerado malicioso.

Email Phish Eliminar e-mail/cluster de eliminação recuperável

Se mais do que um punhado de mensagens de e-mail num cluster contiverem tentativas de phishing, todo o cluster será considerado uma tentativa de phishing.

Email Phish zapped
(Email mensagens foram entregues e, em seguida, zapped.)
Eliminar e-mail/cluster de eliminação recuperável

Os relatórios estão disponíveis para ver mensagens zapped. Veja se o ZAP moveu uma mensagem e as FAQs.

Email E-mail de phish perdido comunicado por um utilizador Investigação automatizada acionada pelo relatório do utilizador
Email Anomalia de volume
(As quantidades de e-mail recentes excedem os 7 a 10 dias anteriores para critérios correspondentes.)
A investigação automatizada não resulta numa ação pendente específica.

A anomalia de volume não é uma ameaça clara, mas é apenas uma indicação de volumes de e-mail maiores nos últimos dias em comparação com os últimos 7 a 10 dias.

Embora um elevado volume de e-mails possa indicar potenciais problemas, é necessária confirmação em termos de veredictos maliciosos ou de uma revisão manual de mensagens de e-mail/clusters. Consulte Localizar e-mail suspeito que foi entregue.

Email Nenhuma ameaça encontrada
(O sistema não encontrou ameaças com base em ficheiros, URLs ou análise de veredictos do cluster de e-mail.)
A investigação automatizada não resulta numa ação pendente específica.

As ameaças encontradas e efetuadas após a conclusão de uma investigação não se refletem nas conclusões numéricas de uma investigação, mas essas ameaças são visíveis no Explorer de Ameaças.

Usuário Um utilizador clicou num URL malicioso
(Um utilizador navegou para uma página que mais tarde foi considerada maliciosa ou um utilizador ignorou uma página de aviso de Ligações Seguras para aceder a uma página maliciosa.)
A investigação automatizada não resulta numa ação pendente específica.

Bloquear URL (hora do clique)

Utilize a Explorer de Ameaças para ver dados sobre URLs e clicar em veredictos.

Se a sua organização estiver a utilizar Microsoft Defender para Ponto de Extremidade, considere investigar o utilizador para determinar se a conta está comprometida.

Usuário Um utilizador está a enviar software maligno/phish A investigação automatizada não resulta numa ação pendente específica.

O utilizador pode estar a comunicar software maligno/phish ou alguém pode estar a falsificar o utilizador como parte de um ataque. Utilize o Explorer de Ameaças para ver e processar e-mails que contenham software maligno ou phishing.

Usuário Encaminhamento de e-mail
(As regras de reencaminhamento de caixas de correio estão configuradas, o chch pode ser utilizado para a transferência de dados não autorizada.)
Remover regra de reencaminhamento

Utilize o relatório Mensagens desforwarded automaticamente para ver detalhes específicos sobre o e-mail reencaminhado.

Usuário regras de delegação de Email
(A conta de um utilizador tem delegações configuradas.)
Remover regra de delegação

Se a sua organização estiver a utilizar Microsoft Defender para Ponto de Extremidade, considere investigar o utilizador que está a obter a permissão de delegação.

Usuário Exfiltração dos dados
(Um utilizador violou o e-mail ou as políticas DLP de partilha de ficheiros
A investigação automatizada não resulta numa ação pendente específica.

Introdução ao Explorer de Atividade.

Usuário Envio anómalo de e-mails
(Um utilizador enviou recentemente mais e-mails do que nos 7 a 10 dias anteriores.)
A investigação automatizada não resulta numa ação pendente específica.

Enviar um grande volume de e-mails não é malicioso por si só; O utilizador pode ter simplesmente enviado um e-mail para um grande grupo de destinatários para um evento. Para investigar, utilize os Novos utilizadores que reencaminham informações de e-mail no relatório de mensagens EAC e Saída no EAC para determinar o que se passa e tomar medidas.

Próximas etapas