Microsoft Office 365 Advanced Threat Protection: Visão geral completa

Atualmente, existem inúmeras ameaças que podem resultar em violações de segurança e subsequente perda de dados. Em 2021, e-mails de spam e phishing foram o método de entrega mais comum que leva a infecções por ransomware. Tentar detectar e deter ataques maliciosos manualmente é uma tarefa impossível. No entanto, para aplicativos e serviços do Office 365, a Microsoft oferece um conjunto de ferramentas de detecção e resposta para automatizar e simplificar a segurança.

O Office 365 Advanced Threat Protection (ATP), que desde setembro de 2020 se tornou Microsoft Defender para Office 365, é uma coleção de ferramentas dedicadas à prevenção de ameaças online. As diferentes políticas e regras permitem proteger ambientes locais e na nuvem filtrando comunicações de entrada e saída e verificando outros conteúdos compartilhados.

O Que É Proteção Avançada Contra Ameaças?

O Office 365 Advanced Threat Protection (ATP) é um serviço de filtragem baseado na nuvem para prevenção e detecção de ciberameaças. O ATP pode proteger sua organização contra vírus e outros malwares, incluindo ataques zero-day, que são disseminados através dos serviços do Office 365. O ATP pode reconhecer os vírus mais recentes e ameaças complexas não identificadas que ainda não foram estudadas e não podem ser reconhecidas mesmo pela maioria dos antivírus com os últimos bancos de dados de assinaturas de vírus.

Como Funciona a Proteção Avançada Contra Ameaças do Office 365

O Office 365 Advanced Threat Protection depende de políticas que devem ser configuradas por um administrador do sistema. O ATP filtra dados, comportamentos suspeitos e outros parâmetros no nível de uma organização, domínio, usuário e destinatário.

O Office 365 Advanced Threat Protection pode funcionar integrado com o Exchange Online Protection (EOP) e a Inteligência contra Ameaças do Office 365. Usar o ATP na nuvem pode descarregar seus servidores de email e sistemas de proteção nos servidores de email, incluindo servidores locais. Não é recomendado desativar o Office 365 Advanced Threat Protection mesmo se você usar outras ferramentas como o EOP.

A Proteção contra Ameaças Avançadas pode proteger anexos de email, links e arquivos enviados pelos usuários para o OneDrive for Business, SharePoint Online e Teams. Além disso, o ATP pode detectar links para sites de phishing, sites com código de malware carregado e a presença de código malicioso em arquivos baixados/enviados. As capacidades de rastreamento de URL podem ajudar a bloquear fontes potenciais de ameaças e entender sua natureza e origem.

Recursos da Proteção contra Ameaças Avançadas

O Office 365 Advanced Threat Protection contém muitos recursos úteis para proteger seus dados ao usar os serviços do Office 365. Vamos explorar esses recursos em detalhes.

Políticas

As políticas determinam o nível de proteção e a resposta às ameaças predefinidas, ambos podem ser configurados em diferentes níveis. As políticas oferecem opções flexíveis, que um administrador de sistema gerenciando o Microsoft 365 pode configurar. Como administrador de sistema, você pode definir quem é afetado pelas políticas e quão rigorosas essas políticas são.

Anexos seguros

Anexos seguros garantem que arquivos anexados a mensagens de email não sejam maliciosos. A proteção contra ameaças de dia zero é fornecida para proteger seu sistema de mensagens de email. Antes que uma mensagem seja recebida na caixa de correio de um usuário, a mensagem é encaminhada para um ambiente especial, onde os arquivos de anexo são verificados usando assinaturas de vírus, aprendizado de máquina e técnicas avançadas de análise para detectar vírus. Se nenhum vírus for detectado no anexo de email, a mensagem de email é encaminhada para uma caixa de correio. O recurso responsável pelos anexos seguros é chamado de isolamento de anexos.

Links seguros

Links seguros usam um princípio de funcionamento semelhante aos anexos seguros. Este recurso verifica links em emails e outros arquivos que são enviados/baixados no ambiente do Microsoft 365. Se o Microsoft 365 ATP detectar que um link não é seguro, uma mensagem de aviso é exibida (assim como para arquivos baixáveis).

Você pode configurar o recurso para redirecionar os usuários para uma página de aviso se um usuário tentar clicar em um link detectado como malicioso. O sistema bloqueia dinamicamente links maliciosos. O recurso de Links Seguros foi atualizado e agora não substitui o link original por um link modificado para uma página da web na nuvem da Microsoft.

ATP para SharePoint Online

ATP para SharePoint Online protege usuários que colaboram usando sites de SharePoint Online e arquivos compartilhados dentro da sua organização. Essa funcionalidade detecta e bloqueia arquivos suspeitos nas bibliotecas de documentos e sites de equipe, incluindo arquivos armazenados em OneDrive. O conteúdo malicioso identificado é bloqueado. Os usuários não podem abrir, copiar, mover, editar ou compartilhar arquivos bloqueados que são classificados como maliciosos. O arquivo malicioso só pode ser excluído. A capacidade de fazer o download do arquivo depende da configuração.

Proteção contra phishing

Após definir políticas de proteção contra phishing, são usados modelos de auto-aprendizagem com algoritmos complexos para detectar ataques de phishing automaticamente e rápido. A inteligência da caixa de correio analisa padrões de e-mail e comunicação dos usuários e agrega dados para ajudar a detectar tentativas de phishing no futuro. Essas medidas rígidas dificultam qualquer ataque de engano.

Quarentena

Arquivos indesejados e potencialmente perigosos podem ser movidos para a quarentena. Como administrador de sistema, você pode restaurar manualmente ou excluir os dados quarentenados. Caso contrário, esses dados são excluídos após expirar a período de retenção configurado. Você pode estar familiarizado com o princípio de funcionamento da quarentena se tiver usado o Microsoft 365 Exchange Online Protection.

Inteligência de Spoof

Hackers podem enviar emails em nome de uma ou mais contas substituindo o nome do remetente. Quando um usuário recebe um e-mail “falsificado”, pode parecer seguro se o remetente usar o nome de um gerente no campo do remetente. Um e-mail falsificado, que pode conter um pedido para transferência de dinheiro, envio de credenciais ou scripts maliciosos, não é seguro e constitui uma ameaça aos usuários e à organização como um todo.

O Office 365 Advanced Threat Protection inclui o recurso de Inteligência de Falsificação que pode detectar se um remetente está usando um nome real ou um nome falsificado. Você pode ver a lista completa de usuários que usam um determinado domínio da empresa e revisar quem está falsificando o domínio da sua organização ou quaisquer domínios externos. Como administrador, você pode bloquear o remetente usando um nome de domínio ou nome de usuário que finge ser um funcionário da sua organização.

Relatórios

O Office 365 Advanced Threat Protection fornece relatórios informativos para que você possa ver o status de proteção e analisar as ameaças recebidas. Um relatório é uma visualização única, que combina informações sobre ameaças detectadas, incluindo e-mails maliciosos e outros conteúdos maliciosos. As ameaças detectadas pelo Office 365 Advanced Threat Protection e pela Proteção Online do Exchange são mostradas nos relatórios. As informações dos últimos 90 dias (o período máximo que pode ser configurado) são exibidas nos relatórios. Depois de analisar os relatórios, você pode ajustar as políticas.

Investigação e Resposta a Ameaças

Se você trabalha em uma grande empresa com muitos usuários do Office 365, pode se sentir sobrecarregado com um grande número de alertas de segurança para lidar. Classificar um grande número de e-mails com base nos atributos é uma tarefa demorada. O Office 365 Threat Investigation and Response pode ajudar os administradores de sistema e especialistas em segurança a operarem com mais eficiência. Você pode visualizar ameaças detectadas e configurar ações automatizadas para mitigar diferentes tipos de ameaças. Você pode compor livros de jogadas com as ações apropriadas para as ameaças detectadas, além de revisar e aprovar ações ou recomendações sugeridas pelo Office 365 Advanced Threat Protection após uma investigação automatizada para remediar ameaças.

A Licença do Microsoft 365

Ao contrário da Proteção Avançada contra Ameaças do Exchange Online, que está disponível por padrão para os usuários do Microsoft 365, a Proteção Avançada contra Ameaças está disponível para os principais planos de assinatura ou pode ser adquirida separadamente. Por exemplo, mesmo o Microsoft 365 E3 não inclui proteção avançada contra ameaças.

A Proteção Avançada contra Ameaças do Microsoft Office 365 está incluída nos seguintes planos de assinatura:

• Microsoft 365 E5
• Microsoft 365 A5
• Microsoft 365 Business Premium

No entanto, você pode adquirir a licença do Office 365 Advanced Threat Protection além dos seguintes planos de assinatura:

• Exchange Online Plano 1
• Exchange Online Plano 2
• Exchange Online Kiosk
• Exchange Online Protection
• Microsoft 365 Business BasicMicrosoft 365 Business Standard
• Microsoft 365 Business Standard
• Microsoft 365 Enterprise E1
• Microsoft 365 Enterprise E3
• Microsoft 365 Enterprise F3
• Microsoft 365 A1
• Microsoft 365 A3

Se o Office 365 Advanced Threat Protection não estiver incluído em seu plano de assinatura, você pode adquirir um dos planos de assinatura ATP autônomos usando um modelo de licenciamento por usuário:

• Advanced Threat Protection Plan 1
• Advanced Threat Protection Plan 2

Configuração de Proteção Avançada contra Ameaças

Atualização: Office 365 Advanced Threat Protection tornou-se Microsoft Defender para Office 365 em setembro de 2020. Agora, para configurar qualquer uma das características listadas abaixo, você precisa acessar o Portal do Defender.

Vamos ver como configurar o Office 365 Advanced Threat Protection:

1. Abra a interface da web do Microsoft 365 admin center usando o link https://admin.microsoft.com e vá para Admin Centers > Security no painel esquerdo da janela.

Como alternativa, você pode abrir um link direto para o centro de administração de Segurança & Conformidade do Microsoft 365: https://protection.office.com

2. Na barra lateral esquerda, clique em Gerenciador de Ameaças e depois em Painel.

O painel de segurança, também referido como painel de ameaças, exibe o status atual de proteção contra ameaças e links para páginas de configuração.

Políticas Anti-malware

Clique em Política na barra lateral esquerda, ou na barra de navegação, e a página onde você pode visualizar, editar e criar políticas aparece. Você pode configurar políticas anti-phishing, anti-spam e anti-malware. Vamos ver como criar uma nova política anti-malware:

1. Clique em Anti-malware.

2. Na página anti-malware que é aberta, clique no ícone de + para criar uma nova política anti-malware para o Office 365 Advanced Threat Protection.

3. A new pop-up window opens.

Insira o nome da política e a descrição, e defina outras opções de política, como:

• Resposta à detecção de malware
• Filtro de Tipos Comuns de Anexos
• Limpeza Automática de Malware em Zero Horas
• Notificações

Por fim, especifique para quem essa política se aplica e clique em Salvar.

A política agora foi criada e é exibida na lista de políticas na página Malware.

Políticas Anti-phishing

As políticas anti-phishing são criadas de forma ligeiramente diferente das políticas anti-malware:

1. Vá para Gerenciamento de Ameaças > Política e clique em Anti-phishing.

A página Anti-phishing é aberta. Se você estiver abrindo esta página pela primeira vez, a lista de políticas anti-phishing estará vazia.

2. Clique no botão +Criar para criar uma nova política anti-phishing para Office 365 Advanced Threat Protection.

3. A new policy wizard opens as a pop-up window. Complete all the steps in the wizard:

• Nomeie sua política. Insira um nome para a nova política anti-phishing. Você também pode inserir uma descrição.

• Aplicado a. Defina os destinatários ou domínios em sua organização aos quais essa política se aplicará ou excluirá adicionando condições e selecionando destinatários. Por exemplo, você pode aplicar a política a um domínio inteiro, a uma associação de grupo ou combinações de grupo e domínio. Em seguida, clique em Próximo.

• Revise suas configurações. Verifique suas configurações e edite-as se necessário. Se tudo estiver correto, clique em Criar essa política.

Quarentena

Mensagens de e-mail e arquivos que são classificados como potencialmente perigosos são movidos para quarentena se as configurações apropriadas forem usadas para Office 365 Advanced Threat Protection. Vá para Gerenciamento de tratamento > Revisão > Quarentena para abrir a quarentena. Você também pode usar este link direto: https://protection.office.com/quarantine

Nota: A quarentena pode ser acessada pelo administrador ou outro usuário que tenha permissões para gerenciar a quarentena. Membros do papel Quarentena no Centro de Segurança & Conformidade do Office 365 têm permissões para gerenciar a quarentena.

Na página de quarentena, você pode classificar os resultados clicando no título da coluna necessária. Clique em Modificar Colunas para selecionar quais colunas devem ser exibidas.

Relatórios

Os relatórios são úteis para visualizar o status atual e as estatísticas do seu ambiente do Microsoft 365. No painel de navegação do centro de administração de Segurança & Conformidade do Office 365, clique em Relatórios > Painel para ver o painel com gráficos e diagramas.

Nesta página, você pode ver o resumo, incluindo:

• Relatórios recentes para download
• Top 5 rótulos
• Tendência de rótulos nos últimos 90 dias
• Como os rótulos foram aplicados
• Rótulos classificados como registros
• Regra de Transporte do Exchange
• Status de proteção contra ameaças
• Malware detectado na mensagem de email
• Top malware
• Principais remetentes e destinatários
• Detecções de suplantamento
• Detecções de spam
• Usuários comprometidos
• Email enviado e recebido
• Supervisão
• Relatório de encaminhamento
• Relatório de conector
• Relatório de criptografia

Passe o mouse sobre o gráfico para ver mais informações. Clique na tabela ou diagrama necessário para abri-lo em modo de janela cheia e ver os detalhes. Depois de clicar em Detecções de fraude, é exibido um relatório detalhado de e-mails fraudulentos.

Por padrão, um período de 7 dias é exibido nas tabelas e gráficos, mas esse período pode ser aumentado até 90 dias nas configurações. Os usuários de teste do Microsoft 365 com Proteção Avançada contra Ameaças podem visualizar dados por um máximo de 30 dias nos relatórios.

Conclusão

A Proteção Avançada contra Ameaças do Office 365 é integrada a outros serviços do Microsoft 365, como OneDrive, SharePoint Online, Exchange Online, SharePoint Online e outros serviços. A ATP ajuda a proteger seus e-mails de várias ameaças de segurança, como links nocivos, vírus e malware.

No entanto, para alcançar um nível mais alto de proteção de dados, você deve fazer backup de todos os seus dados do Microsoft Office 365 com uma solução dedicada, como o NAKIVO Backup & Replication. A solução NAKIVO permite criar backups incrementais de dados do Microsoft 365 e oferece restaurações pontuais flexíveis.