Informações de inteligência de spoof na EOP

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Nas organizações do Microsoft 365 com caixas de correio em organizações Exchange Online ou Proteção do Exchange Online autónomas (EOP) sem Exchange Online caixas de correio, as mensagens de e-mail de entrada são automaticamente protegidas contra spoofing. A EOP utiliza spoof intelligence como parte da defesa geral da sua organização contra phishing. Para obter mais informações, veja Proteção anti-spoofing na EOP.

Quando um remetente falsifica um endereço de email, ele parece ser um usuário em um dos domínios da sua organização ou um usuário em um domínio externo que envia emails para sua organização. Os atacantes que falsificam remetentes para enviar spam ou e-mail de phishing têm de ser bloqueados. Mas há cenários em que remetentes legítimos estão falsificando. Por exemplo:

• Cenários legítimos para falsificação de domínios internos:

  • Remetentes de terceiros usam seu domínio para enviar emails em massa para seus próprios funcionários para votações da empresa.
  • Uma empresa externa gera e envia anúncios ou atualizações de produtos em seu nome.
  • Um assistente que deve enviar emails regularmente para outra pessoa em sua organização.
  • Um aplicativo interno envia notificações por email.

• Cenários legítimos para falsificação de domínios externos:

  • O remetente está em uma lista de endereçamento (também conhecida como lista de discussão) que está retransmitindo o email do remetente original para todos os participantes contidos nela.
  • Uma empresa externa está enviando emails para outra empresa (por exemplo, um relatório automatizado ou uma empresa de software como serviço).

Pode utilizar as informações de spoof intelligence no portal do Microsoft Defender para identificar rapidamente remetentes falsificados que estão a enviar-lhe legitimamente e-mails não autenticados (mensagens de domínios que não passam verificações SPF, DKIM ou DMARC) e permitir manualmente esses remetentes.

Ao permitir que remetentes conhecidos enviem mensagens falsificadas a partir de localizações conhecidas, pode reduzir os falsos positivos (e-mail bom marcado como incorreto). Ao monitorizar os remetentes falsificados permitidos, fornece uma camada adicional de segurança para impedir que mensagens não seguras cheguem à sua organização.

Da mesma forma, pode utilizar as informações de spoof intelligence para rever remetentes falsificados que foram permitidos pela inteligência spoof e bloquear manualmente esses remetentes.

O resto deste artigo explica como utilizar as informações de spoof intelligence no portal do Microsoft Defender e no PowerShell (Exchange Online PowerShell para organizações do Microsoft 365 com caixas de correio no Exchange Online; EOP autónomo do PowerShell para organizações sem Exchange Online caixas de correio).

Observação

• Somente os remetentes falsificados que foram detectados pela inteligência contra falsificação aparecem no insight de inteligência de falsificação. Quando substitui o veredicto de permissão ou bloqueio nas informações, o remetente falsificado torna-se uma entrada manual de permissão ou bloqueio que aparece apenas no separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Você também pode criar manualmente entradas de permissão ou bloqueio para remetentes falsificados antes que eles sejam detectados pela inteligência contra falsificação. Para obter mais informações, veja Remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos.

• Os valores de AçãoPermitir ou Bloquear nas informações de spoof intelligence referem-se à deteção de spoof (se o Microsoft 365 identificou a mensagem como falsificada ou não). O valor Ação não afeta necessariamente a filtragem geral da mensagem. Por exemplo, para evitar falsos positivos, uma mensagem falsificada poderá ser entregue se descobrirmos que não tem intenções maliciosas.

• As informações de informações de spoof intelligence e o separador Remetentes falsificados na lista Permitir/Bloquear Inquilino substituem a funcionalidade da política de spoof intelligence que estava disponível na página de política antisspasta no Centro de Conformidade do & de Segurança.

• As informações de spoof intelligence mostram dados no valor de 7 dias. O cmdlet Get-SpoofIntelligenceInsight mostra 30 dias de dados.

Do que você precisa saber para começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente ao separador Remetentes falsificados na página Listas Permitir/Bloquear Inquilinos, utilize https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Para aceder diretamente à página Informações de inteligência do Spoof , utilize https://security.microsoft.com/spoofintelligence.

• Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

• Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:

  • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender, não o PowerShell): Autorização e definições/Definições de segurança/Definições de Segurança Principal (gerir) ou Autorização e definições/Definições de segurança/Definições de Segurança Principal (leitura).

  • permissões de Exchange Online:

    • Permitir ou bloquear remetentes falsificados, ativar ou desativar informações de spoof: associação a um dos seguintes grupos de funções:
      • Organization Management
      • Administrador de SegurançaeConfiguração Apenas de Visualização ou Gestão da Organização Apenas de Visualização.
    • Acesso só de leitura às informações de informações de spoof intelligence: Associação nos grupos de funções Leitor Global, Leitor de Segurança ou Gestão de Organização Só de Visualização .

  • permissões de Microsoft Entra: a associação nas funções Administrador^* Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

    Importante

    ^* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

• Para as nossas definições recomendadas para políticas anti-phishing, veja Definições de política anti-phishing da EOP.

• Pode ativar e desativar a inteligência spoof em políticas anti-phishing na EOP e Microsoft Defender para Office 365. A inteligência contra falsificação é habilitada por padrão. Para obter mais informações, veja Configurar políticas anti-phishing na EOP ou Configurar políticas anti-phishing no Microsoft Defender para Office 365.

• Para obter as nossas definições recomendadas para informações de spoof, veja Definições de política anti-phishing da EOP.

Localizar as informações de spoof intelligence no portal do Microsoft Defender

1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração Email &políticas de &> regras >políticas> de ameaça inquilinopermitir/bloquear Listas na secção Regras. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.

2. Selecione o separador Remetentes falsificados .

3. No separador Remetentes falsificados , as informações de spoof intelligence têm o seguinte aspeto:

   

   O insight tem dois modos:

   • Modo de informações: se a inteligência spoof estiver ativada, as informações mostram quantas mensagens foram detetadas por informações de spoof durante os últimos sete dias.
   • Modo e se: se a inteligência spoof estiver desativada, as informações mostram-lhe quantas mensagens teriam sido detetadas por informações de spoof durante os últimos sete dias.

Para ver informações sobre as deteções de informações de spoof intelligence, selecione Ver atividade de spoofing nas informações de spoof intelligence para aceder à página Informações de informações de spoof intelligence .

Ver informações sobre deteções de spoof

Observação

Lembre-se de que apenas os remetentes falsificados que foram detetados por informações de spoof aparecem nesta página.

A página Informações de informações de spoof intelligence em https://security.microsoft.com/spoofintelligence está disponível quando seleciona Ver atividade de spoofing a partir das informações de spoof intelligence no separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino.

Na página Informações de inteligência de spoof , pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Estão disponíveis as seguintes colunas:

• Utilizador falsificado: o domínio do utilizador falsificado que é apresentado na caixa De nos clientes de e-mail. O endereço De também é conhecido como o 5322.From endereço.
• Infraestrutura de envio: também conhecida como infraestrutura. A infraestrutura de envio é um dos seguintes valores:
  • O domínio encontrado em uma pesquisa inversa de DNS (registro PTR) do endereço IP do servidor de email de origem.
  • Se o endereço IP de origem não tiver nenhum registro PTR, a infraestrutura de envio será identificada como< IP de origem>/24 (por exemplo, 192.168.100.100/24).
  • Um domínio DKIM verificado.
• Contagem de mensagens: o número de mensagens da combinação do domínio falsificado e a infraestrutura de envio para a sua organização nos últimos sete dias.
• Visto pela última vez: a última data em que uma mensagem foi recebida da infraestrutura de envio que contém o domínio falsificado.
• Tipo de spoof: um dos seguintes valores:
  • Interno: o remetente falsificado está num domínio que pertence à sua organização (um domínio aceite).
  • Externo: o remetente falsificado está num domínio externo.
• Ação: este valor é Permitido ou Bloqueado:
  • Permitido: o domínio falhou a autenticação de e-mail explícita verifica o SPF, o DKIM e o DMARC. No entanto, o domínio passou em nossas verificações de autenticação de email implícitas (autenticação composta). Como resultado, nenhuma ação contra falsificação foi executada na mensagem.
  • Bloqueado: as mensagens da combinação do domínio falsificado e da infraestrutura de envio são marcadas como incorretas pela inteligência spoof. A ação executada nas mensagens falsificadas com intenções maliciosas é controlada pelas políticas de segurança predefinidas Standard ou Estritas, pela política anti-phishing predefinida ou por políticas anti-phishing personalizadas. Para obter mais informações, consulte Configurar políticas antiphishing no Microsoft Defender para Office 365.

Para alterar a lista de remetentes falsificados do espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compactar ou normal e, em seguida, selecione Compactar lista.

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis na lista de opções Filtro que é aberta:

• Tipo de spoof: os valores disponíveis são Interno e Externo.
• Ação: os valores disponíveis são Permitir e Bloquear

Quando terminar a lista de opções Filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Utilize a caixa Procurar e um valor correspondente para localizar entradas específicas.

Utilize Exportar para exportar a lista de deteções de spoof para um ficheiro CSV.

Ver detalhes sobre deteções de spoof

Quando seleciona uma deteção de spoof na lista ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes que contém as seguintes informações:

• Porque é que apanhámos isto? secção: por que detetámos este remetente como spoof e o que pode fazer para obter mais informações.

• Secção de resumo do domínio: inclui as mesmas informações da página informações de inteligência do main Spoof.

• Secção de dados WhoIs: informações técnicas sobre o domínio do remetente.

• Explorer secção de investigação: na Defender para Office 365 organização, esta secção contém uma ligação para abrir o Explorer de Ameaças para ver detalhes adicionais sobre o remetente no separador Phish.

• Secção E-mails Semelhantes : Contém as seguintes informações sobre a deteção de spoof:

  • Date
  • Assunto
  • Recipiente
  • Sender
  • IP do remetente

  Selecione Personalizar colunas para remover as colunas apresentadas. Quando tiver terminado, selecione Aplicar.

Dica

Para ver detalhes sobre outras entradas sem sair da lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.

Para alterar a deteção de spoof de Permitir para Bloquear ou vice-versa, consulte a secção seguinte.

Anular o veredicto da inteligência falsa

Na página Informações de informações de spoof intelligence em https://security.microsoft.com/spoofintelligence, utilize um dos seguintes métodos para substituir o veredicto de spoof intelligence:

• Selecione uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna.

  1. Selecione a ação Ações em massa apresentada.
  2. Na lista de opções Ações em massa que é aberta, selecione Permitir spoof ou Bloquear de spoofing e, em seguida, selecione Aplicar.

• Selecione a entrada na lista ao clicar em qualquer parte da linha que não seja a caixa de marcar.

  Na lista de opções de detalhes que é aberta, selecione Permitir para spoofing ou Bloquear de spoofing na parte superior da lista de opções e, em seguida, selecione Aplicar.

Novamente na página Informações de inteligência spoof, a entrada é removida da lista e é adicionada ao separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Sobre remetentes falsificados permitidos

As mensagens de um remetente falsificado permitido (automaticamente detetado ou configurado manualmente) são permitidas apenas através da combinação do domínio falsificado e da infraestrutura de envio. Por exemplo, o remetente falsificado a seguir tem permissão para falsificar:

• Domínio: gmail.com
• Infraestrutura: tms.mx.com

Só é permitido e-mail desse par de infraestrutura de domínio/envio para spoof. Outros remetentes que tentam falsificar gmail.com não são permitidos automaticamente. As mensagens de remetentes em outros domínios originados de tms.mx.com ainda são verificadas pela inteligência contra falsificação e podem ser bloqueadas.

Utilizar as informações de spoof intelligence no Exchange Online PowerShell ou no PowerShell autónomo da EOP

No PowerShell, utiliza o cmdlet Get-SpoofIntelligenceInsight para ver remetentes falsificados permitidos e bloqueados que foram detetados por informações de spoof. Para permitir ou bloquear manualmente os remetentes falsificados, tem de utilizar o cmdlet New-TenantAllowBlockListSpoofItems . Para obter mais informações, veja Utilizar o PowerShell para criar entradas de permissões para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos e Utilizar o PowerShell para criar entradas de blocos para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos.

Para ver as informações nas informações de spoof intelligence, execute o seguinte comando:

Get-SpoofIntelligenceInsight

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-SpoofIntelligenceInsight.

Outras formas de gerir spoofing e phishing

Seja diligente em relação ao spoofing e à proteção contra phishing. Seguem-se formas relacionadas de marcar em remetentes que estão a falsificar o seu domínio e ajudar a evitar que estes danifiquem a sua organização:

• Verifique o Relatório de Correio De Spoof. Utilize este relatório frequentemente para ver e ajudar a gerir remetentes falsificados. Para obter informações, veja Relatório de Deteções de Spoof.

• Reveja a configuração de SPF, DKIM e DMARC. Para saber mais, confira os seguintes artigos:

  • Autenticação de email no Microsoft 365
  • Configurar o SPF para ajudar a prevenir falsificação
  • Usar o DKIM para validar emails enviados de seu domínio personalizado
  • Usar DMARC para validar emails
  • Configurar sealers ARC fidedignos