Como bloquear phishing com Defender for Office 365

Como bloquear phishing com Defender for Office 365

14/04/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na configuração e otimização do Microsoft Defender for Office 365 (MDO) para bloquear eficazmente ataques de phishing. O phishing continua sendo uma das ameaças cibernéticas mais prevalentes e perigosas, visando roubar credenciais, instalar malware ou induzir vítimas a divulgar informações confidenciais. O MDO oferece uma suíte robusta de recursos anti-phishing que vão além da proteção básica do Exchange Online Protection (EOP), proporcionando defesas avançadas contra ataques sofisticados [1].

Introdução

Os ataques de phishing evoluíram de e-mails genéricos para campanhas altamente direcionadas e convincentes, conhecidas como spear-phishing, whaling e business email compromise (BEC). Essas táticas exploram a confiança humana e podem contornar as defesas tradicionais. O Microsoft Defender for Office 365 foi projetado para combater essas ameaças avançadas, utilizando inteligência artificial, aprendizado de máquina e análise de comportamento para detectar e bloquear e-mails maliciosos antes que cheguem à caixa de entrada dos usuários [2].

Este guia prático abordará a configuração de políticas anti-phishing no MDO, incluindo proteção contra spoofing, inteligência de caixa de correio, proteção contra representação e links e anexos seguros. Serão fornecidas instruções passo a passo, exemplos de configurações e métodos de validação para que o leitor possa fortalecer a defesa de sua organização contra ataques de phishing e educar os usuários sobre as melhores práticas.

Por que o Defender for Office 365 é essencial contra phishing?

  • Proteção Avançada: Vai além do EOP, oferecendo detecção de ameaças de dia zero e ataques polimórficos.
  • Inteligência de Ameaças: Utiliza a vasta inteligência de ameaças da Microsoft para identificar padrões e vetores de ataque emergentes.
  • Análise Comportamental: Analisa o comportamento de e-mails e URLs para identificar anomalias que indicam phishing.
  • Proteção contra Representação: Defende contra e-mails que tentam se passar por executivos, marcas ou parceiros confiáveis.
  • Links e Anexos Seguros: Verifica URLs e anexos em tempo real no momento do clique ou abertura, protegendo contra conteúdo malicioso.
  • Visibilidade e Relatórios: Fornece relatórios detalhados e ferramentas de investigação para entender e responder a ataques de phishing.

Pré-requisitos

Para configurar e otimizar as políticas anti-phishing no Microsoft Defender for Office 365, você precisará dos seguintes itens:

  1. Licenciamento: Uma licença que inclua o Microsoft Defender for Office 365 Plano 1 ou Plano 2. Isso geralmente faz parte de pacotes como Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5, ou pode ser adquirido como um add-on [3].
  2. Acesso Administrativo: Uma conta com permissões de Administrador de Segurança ou Administrador de Conformidade no portal do Microsoft 365 Defender (https://security.microsoft.com).
  3. Domínios Verificados: Seus domínios de e-mail devem estar configurados e verificados no Microsoft 365.
  4. Registros DNS de E-mail: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) devem estar configurados corretamente para seus domínios. Isso é fundamental para a proteção contra spoofing e representação.

Passo a Passo: Configurando Políticas Anti-Phishing no MDO

Vamos configurar uma política anti-phishing personalizada para proteger seus usuários.

1. Acessando o Portal do Microsoft 365 Defender

  1. Abra seu navegador e navegue até https://security.microsoft.com.
  2. Faça login com uma conta que tenha as permissões necessárias.

2. Criando uma Política Anti-Phishing Personalizada

Embora o MDO tenha uma política anti-phishing padrão, é altamente recomendável criar políticas personalizadas para grupos de usuários específicos (ex: executivos, usuários com alto risco) e para ajustar as configurações de proteção.

  1. No painel de navegação esquerdo, selecione Email & colaboração > Políticas & regras > Políticas de ameaça.
  2. Na seção Políticas, clique em Anti-phishing.
  3. Clique em Criar para iniciar o assistente de nova política.

Etapa 1: Nomear a Política

  1. Nome: Política Anti-Phishing Personalizada - Executivos (ou um nome descritivo para o seu grupo-alvo).
  2. Descrição: Proteção avançada contra phishing para executivos e usuários de alto risco.
  3. Clique em Avançar.

Etapa 2: Usuários, Grupos e Domínios

  1. Usuários, grupos ou domínios: Selecione os usuários ou grupos aos quais esta política será aplicada. Para este exemplo, selecione um grupo de segurança que contenha seus executivos.
    • Dica: Comece com um grupo pequeno de teste antes de aplicar a toda a organização.
  2. Excluir estes usuários, grupos e domínios: (Opcional) Adicione quaisquer entidades que devem ser excluídas desta política.
  3. Clique em Avançar.

Etapa 3: Limite de phishing & limite de representação

Esta seção permite configurar o nível de proteção contra phishing e representação.

  1. Limite de phishing: Recomenda-se definir um valor de 3 ou 4 (o padrão é 1). Valores mais altos oferecem mais proteção, mas podem aumentar falsos positivos.
  2. Habilitar usuários para proteger: Clique em Adicionar usuário e adicione os endereços de e-mail dos executivos ou pessoas importantes que você deseja proteger contra representação (ex: CEO, CFO). O MDO monitorará ativamente e-mails que tentam se passar por essas pessoas.
  3. Habilitar domínios para proteger: Clique em Adicionar domínio e adicione seus próprios domínios (ex: suaempresa.com). Isso protege contra spoofing de domínio interno e externo.
  4. Ações: Defina as ações para mensagens detectadas como representação:
    • Se a mensagem for detectada como representação de usuário: Quarentena a mensagem ou Mover mensagem para a pasta Lixo Eletrônico do destinatário.
    • Se a mensagem for detectada como representação de domínio: Quarentena a mensagem.
    • Dica: Comece com Mover mensagem para a pasta Lixo Eletrônico do destinatário ou Quarentena para evitar perda de e-mails legítimos.
  5. Inteligência de caixa de correio: Certifique-se de que está Ativado. Isso permite que o MDO use a inteligência de aprendizado de máquina para determinar padrões de comunicação normais para cada usuário e detectar anomalias.
  6. Proteção contra spoofing: Certifique-se de que está Ativado e defina a ação para mensagens de spoofing não autenticadas para Mover mensagem para a pasta Lixo Eletrônico do destinatário ou Quarentena a mensagem.
  7. Clique em Avançar.

Etapa 4: Revisar

  1. Revise todas as configurações da política.
  2. Clique em Criar.

3. Configurando Anexos Seguros (Safe Attachments)

Anexos Seguros protegem contra malware de dia zero, abrindo anexos em um ambiente virtualizado (sandbox) antes de entregá-los aos usuários.

  1. No painel de navegação esquerdo, selecione Email & colaboração > Políticas & regras > Políticas de ameaça.
  2. Na seção Políticas, clique em Anexos Seguros.
  3. Clique em Criar.
  4. Nome: Política de Anexos Seguros.
  5. Descrição: Verifica anexos de e-mail em sandbox para proteção contra malware de dia zero.
  6. Ação de resposta a malware de anexo seguro: Selecione Bloquear.
  7. Redirecionar anexos detectados: (Opcional) Você pode redirecionar anexos para uma caixa de correio de segurança para análise adicional.
  8. Aplicar a: Selecione Usuários, grupos ou domínios e adicione seus usuários ou grupos relevantes.
  9. Clique em Criar.

4. Configurando Links Seguros (Safe Links)

Links Seguros reescrevem URLs em e-mails e documentos para verificar sua reputação em tempo real no momento do clique, protegendo contra links maliciosos.

  1. No painel de navegação esquerdo, selecione Email & colaboração > Políticas & regras > Políticas de ameaça.
  2. Na seção Políticas, clique em Links Seguros.
  3. Clique em Criar.
  4. Nome: Política de Links Seguros.
  5. Descrição: Protege contra URLs maliciosas em e-mails e documentos.
  6. Aplicar Links Seguros a mensagens de email: Certifique-se de que está Ativado.
  7. Aplicar Links Seguros a conteúdo em aplicativos do Office 365: Certifique-se de que está Ativado.
  8. Ações: Configure as ações para URLs bloqueadas (ex: Bloquear URLs maliciosas).
  9. Não reescrever as seguintes URLs: (Opcional) Adicione URLs internas ou confiáveis que não devem ser reescritas.
  10. Aplicar a: Selecione Usuários, grupos ou domínios e adicione seus usuários ou grupos relevantes.
  11. Clique em Criar.

Validação e Teste

Validar a eficácia das políticas anti-phishing é crucial para garantir que a proteção esteja funcionando conforme o esperado.

1. Usando a Simulação de Ataque de Treinamento (Attack Simulation Training)

O MDO inclui uma ferramenta de simulação de ataques de phishing que permite testar a resiliência dos usuários e a eficácia das suas políticas.

  1. No portal do Microsoft 365 Defender, vá para Email & colaboração > Simulação de ataque de treinamento.
  2. Clique em Iniciar uma simulação.
  3. Siga o assistente para criar e lançar uma campanha de phishing simulada para um grupo de usuários de teste.
  4. Monitore os resultados para ver quantos usuários foram comprometidos e se as políticas do MDO interceptaram os e-mails de phishing simulados.

2. Verificando Logs de Proteção

  1. No portal do Microsoft 365 Defender, vá para Email & colaboração > Explorer.
  2. Use filtros para procurar e-mails com veredictos de Phishing, Spoof ou Malware para ver se as políticas estão detectando e-mails maliciosos.

3. Testando Links e Anexos Seguros

Envie um e-mail de teste com um link malicioso conhecido (ex: de um site de teste de phishing seguro) ou um arquivo de teste de malware (ex: EICAR) para um usuário protegido e verifique se o MDO reescreve o link ou bloqueia o anexo.

Dicas de Segurança e Melhores Práticas

  • Educação do Usuário: A linha de defesa mais importante. Treine os usuários regularmente para reconhecer e relatar e-mails de phishing. Use a Simulação de Ataque de Treinamento para reforçar o aprendizado.
  • Configurar SPF, DKIM e DMARC: Esses registros DNS são cruciais para a autenticação de e-mail e a proteção contra spoofing. Garanta que estejam configurados corretamente para todos os seus domínios.
  • Políticas Granulares: Crie políticas anti-phishing personalizadas para diferentes grupos de usuários, especialmente para aqueles com alto risco (ex: executivos, financeiro).
  • Aumentar o Limite de Phishing: Considere aumentar o limite de phishing para 3 ou 4 em políticas personalizadas para maior proteção, monitorando falsos positivos.
  • Monitorar Relatórios: Revise regularmente os relatórios de proteção contra ameaças no MDO para identificar tendências, ataques direcionados e áreas onde a proteção pode ser aprimorada.
  • Integrar com Defender for Endpoint: A proteção de e-mail e a proteção de endpoint trabalham juntas para uma defesa em camadas. Se um usuário clicar em um link malicioso, o Defender for Endpoint pode ajudar a detectar e remediar a ameaça no dispositivo.

Troubleshooting Comum

  • E-mails de phishing legítimos passando: Verifique as configurações da política anti-phishing, especialmente os limites de phishing e as ações para representação e spoofing. Certifique-se de que SPF, DKIM e DMARC estão configurados corretamente. Revise os logs no Threat Explorer.
  • Falsos positivos (e-mails legítimos bloqueados): Ajuste os limites de phishing para um valor mais baixo. Verifique as configurações de representação e spoofing. Adicione remetentes ou domínios confiáveis à lista de exceções (se necessário, com cautela).
  • Links não reescritos ou anexos não verificados: Verifique se as políticas de Links Seguros e Anexos Seguros estão ativadas e atribuídas aos usuários corretos. Confirme se o e-mail está sendo roteado através do MDO.
  • Problemas com Simulação de Ataque de Treinamento: Verifique se os usuários de teste estão incluídos nos grupos corretos e se não há políticas que possam estar bloqueando os e-mails de simulação antes que cheguem aos usuários.

Conclusão

O Microsoft Defender for Office 365 é uma ferramenta poderosa e indispensável na luta contra o phishing. Ao configurar e otimizar suas políticas anti-phishing, Anexos Seguros e Links Seguros, as organizações podem estabelecer uma defesa robusta contra uma ampla gama de ataques de e-mail maliciosos. A combinação de tecnologia avançada com a educação contínua dos usuários cria uma estratégia de segurança em camadas que protege efetivamente as identidades, dados e reputação da empresa. A vigilância constante e a adaptação das políticas são essenciais para manter a eficácia contra as táticas de phishing em constante evolução.

Referências:

[1] Microsoft Learn. Microsoft Defender for Office 365. Disponível em: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] Microsoft Learn. Políticas anti-phishing no Microsoft Defender para Office 365. Disponível em: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] Microsoft Learn. Requisitos de licenciamento do Microsoft Defender para Office 365. Disponível em: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365