Configurando o Microsoft Defender for Office 365 para Proteção Avançada contra Ameaças

Configurando o Microsoft Defender for Office 365 para Proteção Avançada contra Ameaças

01/12/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na configuração e otimização do Microsoft Defender for Office 365 (MDO), uma solução robusta para proteção avançada contra ameaças de e-mail e colaboração. Em um cenário onde o e-mail continua sendo o principal vetor para ataques cibernéticos como phishing, malware e spam, o MDO oferece camadas de defesa essenciais para proteger os usuários e a organização [1].

Introdução

O e-mail é uma ferramenta de comunicação indispensável, mas também um ponto de entrada frequente para ameaças cibernéticas. Ataques de phishing, ransomware entregue via anexos maliciosos, comprometimento de e-mail comercial (BEC) e spoofing são táticas comuns que visam explorar a confiança dos usuários e contornar as defesas tradicionais. O Microsoft Defender for Office 365 (anteriormente conhecido como Office 365 Advanced Threat Protection - ATP) é uma suíte de segurança baseada em nuvem projetada para proteger contra essas ameaças avançadas, oferecendo recursos como Safe Attachments, Safe Links, proteção anti-phishing, anti-spoofing e anti-malware [2].

Este guia prático abordará a configuração passo a passo dos principais recursos do MDO, incluindo a criação de políticas para Safe Attachments, Safe Links, anti-phishing e anti-malware. Serão fornecidas instruções detalhadas, exemplos práticos, e comandos reais (quando aplicável) para que o leitor possa implementar, testar e validar a eficácia dessas proteções. Além disso, serão discutidas dicas de segurança, verificação de conformidade e melhores práticas para garantir que sua organização esteja protegida contra as ameaças mais recentes, de forma autônoma, profissional e confiável.

Por que o Microsoft Defender for Office 365 é crucial?

  • Proteção Contra Ameaças Avançadas: Defende contra ataques sofisticados como phishing direcionado, ransomware, malware de dia zero e comprometimento de e-mail comercial (BEC) que as defesas tradicionais podem não detectar.
  • Safe Attachments: Abre anexos de e-mail em um ambiente de sandbox virtual para verificar se são maliciosos antes de entregá-los aos usuários, protegendo contra malware desconhecido.
  • Safe Links: Reescreve URLs em e-mails e documentos para verificar sua segurança no momento do clique, protegendo os usuários contra links maliciosos, mesmo que a URL original tenha sido segura no momento da entrega.
  • Proteção Anti-Phishing e Anti-Spoofing: Utiliza inteligência de máquina e heurísticas avançadas para identificar e bloquear e-mails de phishing e tentativas de falsificação de remetente (spoofing).
  • Relatórios e Análises: Oferece visibilidade detalhada sobre as ameaças detectadas, permitindo que as equipes de segurança investiguem incidentes e ajustem as políticas conforme necessário.
  • Integração com Microsoft 365: Integra-se nativamente com o Exchange Online, SharePoint Online, OneDrive for Business e Microsoft Teams, fornecendo proteção abrangente em todo o ecossistema de colaboração.

Pré-requisitos

Para configurar o Microsoft Defender for Office 365, você precisará dos seguintes itens:

  1. Licenciamento: O MDO está incluído em licenças como Microsoft 365 E5, Office 365 E5, Microsoft 365 E5 Security, ou pode ser adquirido como um complemento para outras assinaturas do Microsoft 365/Office 365 [3].
  2. Acesso Administrativo: Uma conta com a função de Administrador Global ou Administrador de Segurança no portal do Microsoft 365 Defender (https://security.microsoft.com).
  3. Domínios Configurados: Seus domínios devem estar configurados e validados no Microsoft 365, com os registros MX apontando para o Exchange Online Protection (EOP).

Passo a Passo: Configurando o Microsoft Defender for Office 365

Vamos configurar as políticas de proteção avançada no MDO.

1. Acessando o Portal do Microsoft 365 Defender

Todas as configurações do MDO são gerenciadas a partir do portal unificado do Microsoft 365 Defender.

  1. Abra seu navegador e navegue até o portal do Microsoft 365 Defender: https://security.microsoft.com.
  2. Faça login com uma conta que tenha as permissões necessárias.
  3. No painel de navegação esquerdo, selecione Email & colaboração > Políticas e regras > Políticas de ameaça.

2. Configurando a Política de Anexos Seguros (Safe Attachments)

As políticas de Anexos Seguros protegem contra malware de dia zero em anexos de e-mail.

  1. Na página Políticas de ameaça, selecione Anexos Seguros.
  2. Clique em + Criar para iniciar o assistente de nova política de Anexos Seguros.
  3. Nome da política: Dê um nome significativo (ex: Politica Anexos Seguros Global).
  4. Descrição: Forneça uma descrição clara (ex: Proteção contra anexos maliciosos para todos os usuários).

  5. Clique em Avançar.

  6. Usuários, grupos e domínios:

    • Em Usuários e grupos, selecione Todos os usuários ou adicione usuários/grupos específicos. Para uma proteção abrangente, Todos os usuários é recomendado.
    • Em Domínios, selecione Todos os domínios ou domínios específicos.

  7. Clique em Avançar.

  8. Configurações:

    • Ação de resposta de malware de anexos seguros: Selecione Bloquear.
      • Explicação: Esta é a ação mais segura, pois bloqueia e-mails com anexos maliciosos detectados.
    • Redirecionar anexos detectados: Opcionalmente, você pode redirecionar anexos maliciosos para um endereço de e-mail de caixa de correio de segurança para análise.
    • Prioridade: Deixe o valor padrão, ou defina uma prioridade se tiver várias políticas.

  9. Clique em Avançar.

  10. Revisar: Revise as configurações e clique em Enviar para criar a política.

3. Configurando a Política de Links Seguros (Safe Links)

As políticas de Links Seguros protegem contra URLs maliciosas em e-mails e outros aplicativos do Microsoft 365.

  1. Na página Políticas de ameaça, selecione Links Seguros.
  2. Clique em + Criar para iniciar o assistente de nova política de Links Seguros.
  3. Nome da política: Dê um nome significativo (ex: Politica Links Seguros Global).
  4. Descrição: Forneça uma descrição clara (ex: Proteção contra URLs maliciosas para todos os usuários).

  5. Clique em Avançar.

  6. Usuários, grupos e domínios:

    • Em Usuários e grupos, selecione Todos os usuários ou adicione usuários/grupos específicos.
    • Em Domínios, selecione Todos os domínios ou domínios específicos.

  7. Clique em Avançar.

  8. Configurações de proteção de URL e clique:

    • Selecionar a ação para URLs potencialmente maliciosas: Selecione Ativar Links Seguros no email.
    • Aplicar Links Seguros a mensagens de email enviadas dentro da organização: Marque esta opção para proteger links internos.
    • Aplicar Links Seguros a URLs em clientes do Office 365 compatíveis: Marque esta opção para proteger links em aplicativos como Teams, Word, Excel, PowerPoint.
    • Não reescrever URLs, mas realizar verificações via API somente em Links Seguros: Desmarque esta opção, pois a reescrita é crucial para a proteção.
    • Bloquear os usuários de clicarem em URLs originais: Marque esta opção para garantir que os usuários não possam contornar a verificação.
    • Não verificar as seguintes URLs: Opcionalmente, adicione URLs confiáveis que não devem ser reescritas ou verificadas (ex: URLs internas da sua organização).

  9. Clique em Avançar.

  10. Revisar: Revise as configurações e clique em Enviar para criar a política.

4. Configurando a Política Anti-Phishing

As políticas anti-phishing protegem contra falsificação de identidade (spoofing) e outros ataques de phishing.

  1. Na página Políticas de ameaça, selecione Anti-phishing.
  2. Clique em + Criar para iniciar o assistente de nova política Anti-phishing.
  3. Nome da política: Dê um nome significativo (ex: Politica Anti-Phishing Global).
  4. Descrição: Forneça uma descrição clara (ex: Proteção contra phishing e spoofing para todos os usuários).

  5. Clique em Avançar.

  6. Usuários, grupos e domínios:

    • Em Usuários, Grupos e Domínios, selecione Todos os usuários, Todos os grupos e Todos os domínios, respectivamente. Você também pode excluir alguns usuários ou grupos se necessário.

  7. Clique em Avançar.

  8. Limiar de phishing e proteção contra falsificação de identidade:

    • Limiar de phishing: Defina o nível de agressividade da proteção. Recomenda-se Padrão ou Agressivo para a maioria das organizações.
    • Ativar inteligência de falsificação de identidade: Mantenha Ativado.
    • Ativar inteligência de caixa de correio: Mantenha Ativado.
    • Ativar proteção contra representação de usuário: Clique em + Adicionar usuário para proteger usuários executivos ou de alto valor.
    • Ativar proteção contra representação de domínio: Clique em + Adicionar domínio para proteger seus próprios domínios e domínios de parceiros.

  9. Clique em Avançar.

  10. Ações:

    • Mensagens detectadas como falsificação de inteligência: Selecione Mover mensagem para a pasta Lixo Eletrônico ou Quarentena a mensagem.
    • Mensagens detectadas como representação de usuário: Selecione Quarentena a mensagem.
    • Mensagens detectadas como representação de domínio: Selecione Quarentena a mensagem.
    • Mensagens detectadas como phishing: Selecione Quarentena a mensagem.

  11. Clique em Avançar.

  12. Revisar: Revise as configurações e clique em Enviar para criar a política.

5. Configurando a Política Anti-Malware

As políticas anti-malware protegem contra software malicioso em e-mails.

  1. Na página Políticas de ameaça, selecione Anti-malware.
  2. Você verá uma política padrão (Default) que se aplica a todos os destinatários. Para personalizações, você pode criar uma nova política ou editar a padrão.
  3. Clique em + Criar (ou selecione a política Default e clique em Editar proteção).
  4. Nome da política: Dê um nome (ex: Politica Anti-Malware Personalizada).
  5. Descrição: Forneça uma descrição.

  6. Clique em Avançar.

  7. Usuários, grupos e domínios:

    • Selecione Todos os destinatários ou adicione usuários/grupos/domínios específicos.

  8. Clique em Avançar.

  9. Configurações de proteção:

    • Seção de proteção: Mantenha as opções Ativar filtro de anexos comuns e Ativar descarte automático de zero hora para malware ativadas.
    • Seção de quarentena: Defina por quanto tempo as mensagens de malware devem ser mantidas em quarentena (ex: 30 dias).
    • Seção de notificação: Configure notificações para administradores e remetentes/destinatários quando malware for detectado.

  10. Clique em Avançar.

  11. Revisar: Revise as configurações e clique em Enviar para criar/atualizar a política.

Validação e Teste

É fundamental testar a eficácia das políticas configuradas para garantir que funcionam conforme o esperado.

1. Testando Anexos Seguros (Safe Attachments)

  1. Cenário: Envie um e-mail de um endereço externo para um usuário interno com um arquivo de teste inofensivo que simule malware (ex: um arquivo EICAR, que é um padrão de teste de antivírus). Você pode gerar um arquivo EICAR de vários sites de segurança.
  2. Ação Esperada: O e-mail com o arquivo EICAR deve ser bloqueado ou movido para a quarentena, e o anexo não deve ser entregue ao usuário.
  3. Verificação:
    • No portal do Microsoft 365 Defender, navegue até Email & colaboração > Explorador (ou Rastreamento de mensagem).
    • Procure pelo e-mail de teste. Você deve ver que ele foi detectado e bloqueado pela política de Anexos Seguros.

2. Testando Links Seguros (Safe Links)

  1. Cenário: Envie um e-mail de um endereço externo para um usuário interno contendo um link para um site de teste de phishing (ex: http://www.phishtest.com ou um link para um site de teste de malware). Certifique-se de que o link não seja um site real que possa causar danos.
  2. Ação Esperada: Quando o usuário clica no link, ele deve ser redirecionado para uma página de aviso do Safe Links, informando que o site é malicioso ou suspeito, e o acesso deve ser bloqueado.
  3. Verificação:
    • No portal do Microsoft 365 Defender, navegue até Email & colaboração > Explorador.
    • Procure pelo e-mail de teste. Você deve ver os detalhes de clique do link e que ele foi bloqueado pelo Safe Links.

3. Testando Anti-Phishing e Anti-Spoofing

  1. Cenário:
    • Spoofing: Envie um e-mail de um endereço externo que falsifique o domínio da sua organização (ex: [email protected] de um servidor de e-mail não autorizado).
    • Phishing de Representação: Envie um e-mail de um endereço externo que se pareça com o endereço de um executivo protegido pela política de representação (ex: [email protected]).
  2. Ação Esperada: Os e-mails devem ser movidos para a quarentena ou pasta de lixo eletrônico, conforme configurado na política anti-phishing.
  3. Verificação:
    • Verifique a quarentena do usuário ou a pasta de lixo eletrônico.
    • No portal do Microsoft 365 Defender, navegue até Email & colaboração > Explorador.
    • Procure pelos e-mails de teste. Você deve ver que eles foram detectados e tratados pelas políticas anti-phishing/anti-spoofing.

Dicas de Segurança e Melhores Práticas

  • Políticas Predefinidas de Segurança: Considere usar as políticas predefinidas de segurança (Padrão e Estrito) no MDO. Elas aplicam configurações recomendadas pela Microsoft para uma proteção rápida e eficaz [4].
  • Educação do Usuário: A tecnologia é apenas parte da solução. Treine seus usuários regularmente sobre como identificar e relatar e-mails de phishing e outras ameaças. O Microsoft Attack Simulation Training pode ser uma ferramenta valiosa para isso.
  • Monitoramento Contínuo: Monitore os relatórios e o Explorador de Ameaças no portal do Microsoft 365 Defender regularmente para identificar tendências de ataque, usuários de alto risco e ajustar as políticas conforme necessário.
  • Exceções com Cautela: Use exceções (ex: Não verificar as seguintes URLs em Links Seguros) com extrema cautela e apenas para domínios comprovadamente seguros e necessários.
  • Prioridade de Políticas: Entenda como a prioridade das políticas funciona. Políticas mais específicas devem ter uma prioridade mais alta (número menor) para serem aplicadas antes das políticas mais gerais.
  • Integração com Microsoft Sentinel: Envie logs e alertas do MDO para o Microsoft Sentinel para uma visão centralizada da segurança e automação de resposta a incidentes.
  • Proteção de Colaboração: Lembre-se de que o MDO protege não apenas e-mails, mas também arquivos no SharePoint, OneDrive e mensagens no Teams. Certifique-se de que essas proteções estejam ativadas e configuradas.

Troubleshooting Comum

  • E-mails maliciosos não estão sendo bloqueados:
    • Verifique se as políticas estão Ativadas e aplicadas aos usuários/grupos/domínios corretos.
    • Verifique a prioridade das políticas. Uma política menos agressiva com maior prioridade pode estar sendo aplicada antes.
    • Use o Rastreamento de Mensagens no Centro de Administração do Exchange (EAC) ou o Explorador de Ameaças no portal do Microsoft 365 Defender para ver como um e-mail específico foi processado.
    • Verifique se não há exceções ou listas de permissões (allow lists) que estejam permitindo a entrega.
  • Falsos positivos (e-mails legítimos bloqueados):
    • Investigue o e-mail no Explorador de Ameaças para entender por que foi bloqueado.
    • Ajuste a sensibilidade das políticas (ex: limiar de phishing menos agressivo).
    • Adicione remetentes ou domínios confiáveis às listas de permissões, mas com cautela.
    • Envie o e-mail para análise da Microsoft para melhorar a detecção.
  • Links não estão sendo reescritos pelos Links Seguros:
    • Verifique se a política de Links Seguros está Ativada e aplicada aos usuários/grupos/domínios corretos.
    • Certifique-se de que a opção Não reescrever URLs, mas realizar verificações via API somente em Links Seguros está desmarcada (a menos que seja intencional para cenários específicos).
    • Verifique se o link não está em uma lista de URLs "Não verificar".
  • Anexos maliciosos não estão sendo detectados:
    • Certifique-se de que a política de Anexos Seguros está Ativada e configurada para Bloquear.
    • Verifique o tipo de arquivo. Anexos seguros se concentram em tipos de arquivo que podem conter conteúdo executável ou scripts.

Conclusão

O Microsoft Defender for Office 365 é uma ferramenta poderosa e essencial para proteger as organizações contra o cenário em constante evolução das ameaças baseadas em e-mail e colaboração. Ao implementar e otimizar cuidadosamente as políticas de Anexos Seguros, Links Seguros, Anti-phishing e Anti-malware, as equipes de segurança podem construir uma defesa robusta que protege os usuários contra ataques sofisticados. A combinação de detecção avançada, remediação automatizada e ferramentas de investigação detalhadas permite que as organizações mantenham a produtividade enquanto mitigam riscos significativos. Com este guia prático, os profissionais de segurança estarão bem equipados para configurar, validar e gerenciar o Microsoft Defender for Office 365, garantindo um ambiente de comunicação e colaboração mais seguro e resiliente para suas organizações.

Referências:

[1] Microsoft Learn. Microsoft Defender for Office 365. Disponível em: https://learn.microsoft.com/pt-br/defender-office-365/ [2] Microsoft Learn. Visão geral da pilha de proteção no Microsoft Defender para Office 365. Disponível em: https://learn.microsoft.com/pt-br/defender-office-365/protection-stack-microsoft-defender-for-office365 [3] Microsoft Learn. Licenciamento do Microsoft Defender para Office 365. Disponível em: https://learn.microsoft.com/pt-br/defender-office-365/mdo-licensing [4] Microsoft Learn. Configurações recomendadas para EOP e Microsoft Defender para Office 365. Disponível em: https://learn.microsoft.com/pt-br/defender-office-365/recommended-settings-for-eop-and-office365 [5] Microsoft Learn. Configurar políticas de Anexos Seguros no Microsoft Defender para Office 365. Disponível em: https://learn.microsoft.com/pt-br/defender-office-365/safe-attachments-policies-configure [6] Microsoft Learn. Configurar políticas de Links Seguros no Microsoft Defender para Office 365. Disponível em: https://learn.microsoft.com/pt-br/defender-office-365/safe-links-policies-configure [7] Microsoft Learn. Políticas anti-phishing no Microsoft Defender para Office 365. Disponível em: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-mdo [8] Microsoft Learn. Configurar políticas anti-malware no EOP. Disponível em: https://learn.microsoft.com/pt-br/microsoft-365/security/office-365-security/anti-malware-policies-configure?view=o365-worldwide