Informações de representação no Defender para Office 365
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
A representação é quando o remetente de uma mensagem de e-mail é semelhante ao endereço de e-mail de um remetente real ou esperado. Os atacantes utilizam frequentemente endereços de e-mail do remetente representados em phishing ou outros tipos de ataques para obter a confiança do destinatário. Existem dois tipos básicos de representação:
- Representação de domínio: contém diferenças subtis no domínio. Por exemplo, lila@ćóntoso.com representa lila@contoso.com.
- Representação do utilizador: contém diferenças subtis no alias de e-mail. Por exemplo, rnichell@contoso.com representa michelle@contoso.com.
A representação de domínio é diferente do spoofing de domínio, porque o domínio representado é, muitas vezes, um domínio real e registado, mas com a intenção de enganar. As mensagens de remetentes no domínio representado conseguem passar verificações de autenticação de e-mail regulares que, de outra forma, identificariam as mensagens como tentativas de spoofing (SPF, DKIM e DMARC).
A proteção contra representação faz parte das definições de política anti-phishing que são exclusivas do Microsoft Defender para Office 365. Para obter mais informações sobre estas definições, consulte Definições de representação em políticas anti-phishing no Microsoft Defender para Office 365.
Os administradores podem utilizar as informações de representação no portal do Microsoft Defender para identificar rapidamente mensagens de remetentes representados ou domínios do remetente especificados na proteção de representação em políticas anti-phishing.
O que precisa de saber antes de começar?
Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente à página Anti-phishing , utilize https://security.microsoft.com/antiphishing. Para aceder diretamente à página Informações de representação , utilize https://security.microsoft.com/impersonationinsight.
Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Tem as seguintes opções:
Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender, não o PowerShell): Autorização e definições/Definições de segurança/Definições de Segurança Principal (gerir) ou Autorização e definições/Definições de segurança/Definições de Segurança Principal (leitura).
Email & permissões de colaboração no portal do Microsoft Defender: Associação em qualquer um dos seguintes grupos de funções:
- Organization Management
- Administrador de Segurança
- Leitor de Segurança
- Leitor Global
Microsoft Entra permissões: a associação nas funções Administrador* Global, Administrador de Segurança, Leitor de Segurança ou Leitor Global dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.
Importante
* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Pode ativar e configurar a proteção de representação em políticas anti-phishing no Microsoft Defender para Office 365. A proteção contra representação não está ativada por predefinição. Para obter mais informações, veja Configure anti-phishing policies in Microsoft Defender para Office 365 (Configurar políticas anti-phishing no Microsoft Defender para Office 365) e Use the Microsoft Defender portal to assign Standard and Strict preset security policies to users (Utilizar o portal do Microsoft Defender para atribuir políticas de segurança predefinidas Padrão e Estritas aos utilizadores).
Para obter mais informações sobre os requisitos de licenciamento, veja Termos de licenciamento.
Abrir as informações de representação no portal do Microsoft Defender
No portal Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email && políticas> deameaças de regras> anti-phishing na secção Políticas. Em alternativa, para aceder diretamente à página Anti-phishing , utilize https://security.microsoft.com/antiphishing.
Na página Anti-phishing , as informações de representação têm o seguinte aspeto:
As informações têm dois modos:
- Modo de informações: se a proteção de representação estiver ativada e configurada em quaisquer políticas anti-phishing, as informações mostram o número de mensagens detetadas de domínios representados e utilizadores representados (remetentes) nos últimos sete dias. O número apresentado é o total de todas as tentativas de representação detetadas de todas as políticas anti-phishing.
- Modo e se: se a proteção de representação não estiver ativada e configurada em quaisquer políticas anti-phishing ativas, as informações mostram quantas mensagens teriam sido detetadas pela proteção de representação nos últimos sete dias.
Para ver informações sobre deteções de representação, selecione Ver representações nas informações de representação para aceder à página Informações de representação .
Ver informações sobre deteções de representação de domínio
A página Informações de representação em https://security.microsoft.com/impersonationinsight está disponível quando seleciona Ver representações nas informações de representação na página Anti-phishing .
Na página Informações de representação , verifique se o separador Domínios está selecionado.
Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Estão disponíveis as seguintes colunas:*
- Domínio do Remetente: o domínio de representação, que é o domínio que foi utilizado para enviar a mensagem de e-mail.
- Contagem de mensagens: o número de mensagens que representam o domínio do remetente nos últimos sete dias.
- Tipo de representação: este valor mostra a localização detetada da representação (por exemplo, Domínio no endereço).
- Domínio(s) representado(s): o domínio protegido pela proteção de representação de domínio, que deve assemelhar-se ao domínio no domínio do Remetente.
- Tipo de domínio: este valor é Domínio da empresa para domínios aceites ou Domínio personalizado para domínios personalizados.
- Política: a política anti-phishing que detetou o domínio representado.
-
Permitido representar: um dos seguintes valores:
- Sim: o domínio foi configurado como domínio fidedigno (uma exceção para proteção de representação) na política anti-phishing que detetou a mensagem. Foram detetadas mensagens do domínio representado, mas permitidas.
- Não: O domínio foi configurado para proteção de representação na política anti-phishing que detetou a mensagem. A ação para deteções de representação de domínio na política anti-phishing é efetuada à mensagem.
* Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Reduza o zoom no browser.
Para alterar a lista de deteções de representação de domínio do espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compactar ou normal e, em seguida, selecione Compactar lista.
Utilize a caixa Procurar e uma lista de valores separada por vírgulas para localizar deteções de representação de domínios específicas.
Utilize Exportar para exportar a lista de deteções de representação de domínio para um ficheiro CSV.
Ver detalhes sobre uma deteção de representação de domínio
No separador Domínios na página Informações de representação em https://security.microsoft.com/impersonationinsight?type=Domain, selecione uma das deteções de representação ao clicar em qualquer parte da linha que não seja a caixa de verificação.
As seguintes informações estão disponíveis na lista de opções de detalhes:
Porque é que apanhámos isto?
O que precisa de fazer?
Resumo do domínio: o domínio que foi detetado como representação.
Dados whois: contém informações sobre o domínio:
- Localização do remetente
- Data de criação do domínio
- Data de expiração do domínio
- Entidade de registo
Investigação do Explorador: selecione a ligação para abrir o Explorador de Ameaças ou deteções em tempo real para obter detalhes adicionais sobre o remetente.
Email do remetente: esta secção mostra as seguintes informações sobre mensagens semelhantes de remetentes no domínio:
- Data
- Destinatário
- Assunto
- Remetente
- IP do Remetente
- Ação de entrega
Sugestão
Para ver detalhes sobre outras entradas de representação de domínio sem deixar a lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.
Para impedir que os remetentes num domínio detetado sejam identificados como representação de domínio, veja a subsecção seguinte.
Isentar remetentes num domínio detetado de futuras verificações de representação de domínio
No separador Domínios da página Informações de representação em https://security.microsoft.com/impersonationinsight?type=Domain, utilize os seguintes passos para isentar os remetentes num domínio detetado de serem identificados como representação de domínio:
Selecione a entrada na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação.
Na lista de opções de detalhes que é aberta, utilize a política Selecionar representação para modificar e Adicionar às definições da lista de representação permitida na parte superior da lista de opções. Estas definições funcionam em conjunto para adicionar o domínio à lista De remetentes e domínios fidedignos na política que identificou incorretamente a mensagem como representação de domínio:
Selecione a política anti-phishing na lista pendente. A política anti-phishing responsável pela deteção da mensagem é apresentada no valor Política no separador Domínio .
Deslize o botão de alternar para ativado: para adicionar o domínio à lista De remetentes e domínios fidedignos na política selecionada.
Para remover o domínio da lista De remetentes e domínios fidedignos , deslize o botão de alternar novamente para
Quando terminar a lista de opções de detalhes, selecione Fechar.
Ver informações sobre deteções de representação de utilizadores
A página Informações de representação em https://security.microsoft.com/impersonationinsight está disponível quando seleciona Ver representações nas informações de representação na página Anti-phishing .
Na página Informações de representação , selecione o separador Utilizadores .
Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Estão disponíveis as seguintes colunas:*
- Remetente: o endereço de e-mail do remetente que fez a representação que enviou a mensagem de e-mail.
- Contagem de mensagens: o número de mensagens do remetente que se faz passar nos últimos sete dias.
- Tipo de representação: por exemplo, Utilizador no nome a apresentar.
- Utilizadores representados: o nome a apresentar e o endereço de e-mail do remetente protegido pela proteção de representação, que se assemelha ao endereço de e-mail no Remetente.
- Tipo de utilizador: o tipo de proteção aplicado (por exemplo, Utilizador protegido ou Inteligência da Caixa de Correio).
- Política: a política anti-phishing que detetou o remetente representado.
-
Permitido representar: um dos seguintes valores:
- Sim: o remetente foi configurado como utilizador fidedigno (uma exceção para a proteção de representação) na política anti-phishing que detetou a mensagem. Foram detetadas mensagens do remetente representado, mas permitidas.
- Não: O remetente foi configurado para proteção de representação na política anti-phishing que detetou a mensagem. A ação para deteções de representação de utilizadores na política anti-phishing é efetuada à mensagem.
* Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Reduza o zoom no browser.
Para alterar a lista de deteções de representação do utilizador do espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compactar ou normal e, em seguida, selecione Compactar lista.
Utilize a caixa Procurar e uma lista de valores separada por vírgulas para localizar deteções de representação de utilizadores específicas.
Utilize Exportar para exportar a lista de deteções de representação de utilizadores para um ficheiro CSV.
Ver detalhes sobre a deteção de representação de um utilizador
No separador Utilizadores na página Informações de representação em https://security.microsoft.com/impersonationinsight?type=User, selecione uma das deteções de representação ao clicar em qualquer parte da linha que não seja a caixa de verificação.
As seguintes informações estão disponíveis na lista de opções de detalhes:
Porque é que apanhámos isto?
O que precisa de fazer?
Resumo do remetente: o remetente que foi detetado como representação.
Investigação do Explorador: selecione a ligação para abrir o Explorador de Ameaças ou deteções em tempo real para obter detalhes adicionais sobre o remetente.
Email do remetente: esta secção mostra as seguintes informações sobre mensagens semelhantes do remetente:
- Data
- Destinatário
- Assunto
- Remetente
- IP do Remetente
- Ação de entrega
Sugestão
Para ver detalhes sobre outras entradas de representação do utilizador sem sair da lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.
Para impedir que um remetente detetado seja identificado como representação de utilizador, veja a subsecção seguinte.
Isentar um remetente detetado de futuras verificações de representação do utilizador
No separador Utilizadores da página Informações de representação em https://security.microsoft.com/impersonationinsight?type=User, utilize os seguintes passos para excluir os remetentes detetados de serem identificados como representação do utilizador:
Selecione a entrada na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação.
Na lista de opções de detalhes que é aberta, utilize a política Selecionar representação para modificar e Adicionar às definições da lista de representação permitida na parte superior da lista de opções. Estas definições funcionam em conjunto para adicionar o remetente à lista De remetentes e domínios fidedignos na política que identificou incorretamente a mensagem como representação do utilizador:
Selecione a política anti-phishing na lista pendente. A política anti-phishing responsável pela deteção da mensagem é apresentada no valor Política no separador Domínio .
Deslize o botão de alternar para ativado: para adicionar o remetente à lista Remetentes e domínios fidedignos na política selecionada.
Para remover o remetente da lista Remetentes e domínios fidedignos , deslize o botão de alternar novamente para
Quando terminar a lista de opções de detalhes, selecione Fechar.