Classificação de ameaças no Microsoft Defender para Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

A classificação eficaz de ameaças é um componente crucial da cibersegurança que permite às organizações identificar, avaliar e mitigar rapidamente potenciais riscos. O sistema de classificação de ameaças no Microsoft Defender para Office 365 utiliza tecnologias avançadas, como modelos de linguagem grandes (LLMs), modelos de linguagem pequena (SLMs) e modelos de machine learning (ML) para detetar e classificar automaticamente ameaças baseadas em e-mail. Estes modelos trabalham em conjunto para fornecer uma classificação de ameaças abrangente, dimensionável e adaptável, ajudando as equipas de segurança a manterem-se à frente dos ataques emergentes.

Ao categorizar ameaças de e-mail em tipos específicos, como phishing, software maligno e comprometimento de e-mail empresarial (BEC), o nosso sistema fornece às organizações informações acionáveis para proteger contra atividades maliciosas.

Tipos de ameaças

Tipo de ameaça refere-se à categorização primária de uma ameaça com base em características fundamentais ou método de ataque. Historicamente, estas amplas categorias são identificadas no início do ciclo de vida do ataque e ajudam as organizações a compreender a natureza do ataque. Os tipos de ameaças comuns incluem:

• Phishing: os atacantes representam entidades fidedignas para enganar os destinatários para revelar informações confidenciais, como credenciais de início de sessão ou dados financeiros.
• Software maligno: software malicioso concebido para danificar ou explorar sistemas, redes ou dispositivos.
• Spam: e-mails não solicitados, muitas vezes irrelevantes enviados em massa, normalmente para fins maliciosos ou promocionais.

Deteções de ameaças

As deteções de ameaças referem-se às tecnologias e metodologias utilizadas para identificar indicadores específicos ou atividades suspeitas numa mensagem de e-mail ou comunicação. As deteções de ameaças ajudam a detetar a presença de ameaças ao identificar anomalias ou características na mensagem. As deteções de ameaças comuns incluem:

• Spoof: identifica quando o endereço de e-mail do remetente é falsificado para parecer uma origem fidedigna.
• Representação: deteta quando uma mensagem de e-mail representa uma entidade legítima, como um parceiro empresarial executivo ou fidedigno, para enganar os destinatários a efetuar ações prejudiciais.
• Reputação do URL: avalia a reputação dos URLs incluídos num e-mail para determinar se levam a sites maliciosos.
• Outros filtros

Classificação de ameaças

A classificação de ameaças é o processo de categorização de uma ameaça com base na intenção e na natureza específica do ataque. O sistema de classificação de ameaças utiliza LLMs, modelos de ML e outras técnicas avançadas para compreender a intenção subjacente às ameaças e fornecer uma classificação mais precisa. À medida que o sistema evolui, pode esperar que as novas classificações de ameaças acompanhem os métodos de ataque emergentes.

Estão descritas diferentes classes de ameaças na lista seguinte:

• Esquema de taxas antecipadas: As vítimas são prometidas grandes recompensas financeiras, contratos ou prémios em troca de pagamentos antecipados ou uma série de pagamentos, que o agressor nunca entrega.

• Business intelligence: pedidos de informações sobre fornecedores ou faturas, que são utilizados pelos atacantes para criar um perfil para ataques direcionados adicionais, muitas vezes a partir de um domínio sósia que imita uma origem fidedigna.

• Phishing de chamada de retorno: os atacantes utilizam chamadas telefónicas ou outros canais de comunicação para manipular indivíduos para revelar informações confidenciais ou realizar ações que comprometem a segurança.

• Estabelecimento de contactos: Email mensagens (muitas vezes texto genérico) para verificar se uma caixa de entrada está ativa e para iniciar uma conversação. Estas mensagens visam ignorar filtros de segurança e criar uma reputação fidedigna para mensagens futuras maliciosas.

• Phishing de credenciais: os atacantes tentam roubar nomes de utilizador e palavras-passe ao enganar as pessoas para introduzirem as suas credenciais num site fraudulento ou através de pedidos de e-mail manipuladores.

• Coleção de card de crédito: os atacantes tentam roubar informações de card de crédito e outros detalhes pessoais, enganando os indivíduos a fornecerem as suas informações de pagamento através de mensagens de e-mail falsas, sites ou mensagens que parecem legítimas.

• Extorsão: O atacante ameaça divulgar informações confidenciais, comprometer sistemas ou tomar medidas maliciosas, a menos que seja pago um resgate. Este tipo de ataque normalmente envolve manipulação psicológica para coagir a vítima à conformidade.

• Cartões de oferta: os atacantes representam indivíduos ou organizações fidedignos, convencendo o destinatário a comprar e enviar códigos de oferta card, muitas vezes utilizando táticas de engenharia social.

• Fraude na fatura: faturas que parecem legítimas, quer ao alterar os detalhes de uma fatura existente, quer ao submeter uma fatura fraudulenta, com a intenção de enganar os destinatários a efetuar pagamentos ao atacante.

• Fraude na folha de pagamentos: manipule os utilizadores para atualizar a folha de pagamentos ou conta pessoal detalhes para desviar fundos para o controlo do atacante.

• Recolha de informações pessoais (PII): os atacantes representam um indivíduo de alto escalão, como um CEO, para pedir informações pessoais. Estas mensagens de e-mail são frequentemente seguidas por uma mudança para canais de comunicação externos, como o WhatsApp ou mensagens sms para evitar a deteção.

• Phishing OAuth social: os atacantes utilizam serviços de início de sessão único (SSO) ou OAuth para enganar os utilizadores a fornecerem as credenciais de início de sessão, obtendo acesso não autorizado a contas pessoais.

• Fraude de tarefas: mensagens de e-mail curtas e aparentemente seguras a pedir assistência com uma tarefa específica. Estes pedidos foram concebidos para recolher informações ou induzir ações que podem comprometer a segurança.

Onde os resultados da classificação de ameaças estão disponíveis

Os resultados da classificação de ameaças estão disponíveis nas seguintes experiências no Defender para Office 365:

• Explorer (Explorer de Ameaças)
• Incidentes e alertas
• Busca avançada
• O relatório status proteção contra ameaças
• O relatório de status de Fluxo de Correio