Compartilhar via


Notificações automáticas de usuário para phishing relatadas pelo usuário resultam no AIR

No Microsoft 365 organizações com Microsoft Defender para Office 365 Plano 2, quando um usuário relata uma mensagem como phishing, uma investigação é criada automaticamente em AIR (investigação e resposta automatizada). Os administradores podem configurar as configurações de mensagem relatadas pelo usuário para enviar uma notificação por email ao usuário que relatou a mensagem com base no veredicto da AIR. Essa notificação também é conhecida como resposta de comentários automáticos. Para obter mais informações, consulte Configurações relatadas pelo usuário.

Este artigo explica como habilitar e personalizar a resposta de comentários automáticos para veredictos air específicos, como as mensagens de email de notificação são enviadas e como são as notificações.

Do que você precisa saber para começar?

Use o portal Microsoft Defender para configurar a resposta de comentários automáticos

  1. No portal Microsoft Defender em https://security.microsoft.com, acesse Configurações>Email & guia>configurações relatadas pelo usuário. Para ir diretamente para a página Configurações relatadas pelo usuário, use https://security.microsoft.com/securitysettings/userSubmission.

  2. Na página Configurações relatadas pelo usuário , verifique se as mensagens relatadas do Monitor no Outlook estão selecionadas.

  3. Naseçãoemail resultados de notificações Email, selecione Enviar e-mail automaticamente aos usuários os resultados da investigação e selecione uma ou mais das seguintes > opções que aparecem:

    • Phishing ou malware: uma notificação por email é enviada ao usuário que relatou a mensagem como phishing quando a AIR identifica a ameaça como phishing, phishing de alta confiança ou malware.
    • Spam: uma notificação por email é enviada ao usuário que relatou a mensagem como phishing quando o AIR identifica a ameaça como spam.
    • Nenhuma ameaça encontrada: uma notificação por email é enviada ao usuário que relatou a mensagem como phishing quando a AIR não identifica nenhuma ameaça.

    Opções de resposta de comentários automáticos na página Configurações relatadas pelo usuário.

  4. O email de notificação usa o mesmo modelo de quando um administrador seleciona Marcar como e notificar na página Envios em https://security.microsoft.com/reportsubmission.

    Você pode personalizar o email de notificação selecionando o link Personalizar resultados de email .

    Na revisão de administração Personalizar notificações por email flyout que é aberto, configure as seguintes configurações no Phishing (que corresponde à opção de resposta automática de phishing ou malware), Guias lixo eletrônico e sem ameaças encontradas:

    • Email texto de resultados do corpo: insira o texto personalizado a ser usado. Você pode usar texto diferente para Phishing, Lixo Eletrônico e Nenhuma ameaça encontrada.
    • Email texto do rodapé: insira o texto do rodapé de mensagem personalizado a ser usado. O mesmo texto é usado para Phishing, Lixo Eletrônico e Nenhuma ameaça encontrada.

    As opções de personalização de notificação por email do usuário na página Configurações relatadas pelo usuário.

    Quando terminar na revisão de administração Personalizar notificações por email sobrevoo, selecione Confirmar para retornar à página Configurações relatadas pelo usuário.

Como funciona a resposta automatizada de comentários

Depois de habilitar a resposta automatizada de comentários, o usuário que relatou a mensagem como phishing recebe uma notificação por email com base no veredicto air e os usuários de email selecionados automaticamente os resultados das opções de investigação :

Dica

As capturas de tela a seguir mostram mensagens de email de notificação de exemplo que são enviadas aos usuários. Conforme explicado anteriormente, você pode personalizar o email de notificação usando as opções em Personalizar o email de resultados nas configurações relatadas pelo usuário.

  • Nenhuma ameaça encontrada: se um usuário relatar uma mensagem como phishing, o envio disparará AIR na mensagem relatada. Se a investigação não encontrar ameaças, o usuário que relatou a mensagem receberá um email de notificação semelhante a este:

    Um email de notificação de exemplo para Nenhuma ameaça encontrada.

  • Spam: se um usuário relata uma mensagem como phishing, o envio dispara AIR na mensagem relatada. Se a investigação descobrir que a mensagem é spam, o usuário que relatou a mensagem receberá um email de notificação semelhante a este:

    Um email de notificação de exemplo para spam encontrado.

  • Phishing ou malware: se um usuário relatar uma mensagem como phishing, o envio disparará AIR na mensagem relatada. O que acontece a seguir depende dos resultados da investigação:

    • Phishing de alta confiança ou malware: a mensagem precisa ser corrigida usando uma das seguintes ações:

      • Aprove a ação recomendada (mostrada como ações pendentes na investigação ou no Centro de Ações).
      • Correção por meio de outros meios (por exemplo, Explorer contra ameaças).

      Depois que a mensagem for corrigida, a investigação será fechada como Correção ouParcialmente corrigida. Somente quando a investigação status é um desses valores é a notificação por email enviada ao usuário que relatou a mensagem.

      Dica

      Para phishing ou malware de alta confiança, a investigação poderá fechar imediatamente como Correção se a mensagem não for encontrada na caixa de correio (a mensagem foi excluída). Não há nenhuma investigação pendente a ser encerrada, portanto, nenhuma notificação por email é enviada ao usuário que relatou a mensagem.

    • Phishing: a investigação não cria ações pendentes, mas o usuário ainda recebe um email de notificação de que a mensagem foi encontrada como phishing. O email de notificação é semelhante a este:

      Um email de notificação de exemplo para phishing ou malware encontrado.

Quando o AIR chega a um veredicto e o email de notificação é enviado ao usuário que relatou a mensagem como phishing, os seguintes valores de propriedade são mostrados para a entrada na guia Usuário relatado na página Envios no portal do Defender:

  • Marcado como: contém o veredicto.
  • Marcado por: o valor é Automação.

Se a mensagem foi enviada automaticamente ou manualmente à Microsoft para revisão ou se a mensagem foi investigada pela AIR, o veredicto é mostrado na propriedade Marcado como . Para obter mais informações sobre a guia Usuário relatado na página Envios, consulte Administração opções para mensagens relatadas pelo usuário.

Saiba Mais

Para saber mais sobre envios e investigações no Defender para Microsoft 365, confira os seguintes artigos: