Microsoft Office 365 Advanced Threat Protection: Visão Geral Completa

Hoje em dia, existem inúmeras ameaças que podem levar a uma violação de segurança e perda subsequente de dados. Em 2021, e-mails de spam e phishing foram o método de entrega mais comum levando a infecções de ransomware. Tentar detectar e deter ataques mal-intencionados manualmente é uma tarefa impossível. No entanto, para aplicativos e serviços do Office 365, a Microsoft oferece um conjunto de ferramentas de detecção e resposta para automatizar e simplificar a segurança.

O Office 365 Advanced Threat Protection (ATP), que desde setembro de 2020 se tornou Microsoft Defender para Office 365, é uma coleção de ferramentas dedicadas a prevenir ameaças on-line. As diferentes políticas e regras permitem proteger ambientes locais e em nuvem, filtrando a comunicação de entrada e saída e verificando outros conteúdos compartilhados.

O que é Proteção Avançada contra Ameaças?

O Office 365 Advanced Threat Protection (ATP) é um serviço de filtragem baseado na nuvem para prevenção e detecção de ciberameaças. O ATP pode proteger sua organização contra vírus e outros malware, incluindo ataques de zero dia, que são disseminados por meio de serviços do Office 365. O ATP pode reconhecer os vírus mais recentes e ameaças complexas não identificadas que ainda não foram estudadas e não podem ser reconhecidas mesmo por a maioria dos antivírus com os bancos de dados de assinatura de vírus mais atualizados.

Como o Office 365 Advanced Threat Protection Funciona

O Office 365 Advanced Threat Protection depende de políticas que devem ser configuradas por um administrador do sistema. O ATP filtra dados, comportamentos suspeitos e outros parâmetros no nível de uma organização, domínio, usuário e destinatário.

O Office 365 Advanced Threat Protection pode funcionar integrado ao Exchange Online Protection (EOP) e à Inteligência de Ameaças do Office 365. Usar o ATP na nuvem pode descarregar seus servidores de e-mail e sistemas de proteção nos servidores de e-mail, incluindo servidores locais. Não é recomendado desativar o Office 365 Advanced Threat Protection mesmo se você usar outras ferramentas como EOP.

A Proteção Avançada contra Ameaças pode proteger anexos de e-mail, links e arquivos enviados pelos usuários para o OneDrive for Business, SharePoint Online e Teams. Além disso, o ATP pode detectar links para sites de phishing, sites com código de malware carregado e a presença de código malicioso em arquivos baixados/enviados. As capacidades de rastreamento de URL podem ajudá-lo a bloquear fontes potenciais de ameaças e entender sua natureza e de onde estão vindo.

Recursos de Proteção Avançada contra Ameaças

O Office 365 Advanced Threat Protection contém muitos recursos úteis para proteger seus dados ao usar os serviços do Office 365. Vamos explorar esses recursos em detalhes.

Políticas

As políticas determinam o nível de proteção e a resposta a ameaças predefinidas, ambos os quais podem ser configurados em diferentes níveis. As políticas oferecem opções flexíveis, que um administrador de sistema gerenciando o Microsoft 365 pode configurar. Como administrador de sistema, você pode definir quem é afetado pelas políticas e quão rigorosas essas políticas são.

Anexos seguros

Os anexos seguros garantem que arquivos anexados a mensagens de email não sejam maliciosos. Proteção contra ameaças zero-day é fornecida para proteger seu sistema de mensagens de email. Antes que uma mensagem seja recebida na caixa de correio de um usuário, a mensagem é roteada para um ambiente especial, onde os arquivos de anexo são verificados usando assinaturas de vírus, aprendizado de máquina e técnicas avançadas de análise para detectar vírus. Se nenhum vírus for detectado no anexo do email, a mensagem de email é encaminhada para uma caixa de correio. O recurso responsável pelos anexos seguros é chamado de isolamento de anexo.

Links seguros

Os links seguros usam um princípio de funcionamento semelhante aos anexos seguros. Este recurso verifica os links em emails e outros arquivos que são carregados/baixados no ambiente Microsoft 365. Se o Microsoft 365 ATP detectar que um link não é seguro, uma mensagem de aviso é exibida (assim como para arquivos para download).

Você pode configurar o recurso para redirecionar os usuários para uma página de aviso se um usuário tentar clicar em um link detectado como malicioso. O sistema bloqueia dinamicamente links maliciosos. O recurso Links Seguros foi atualizado e agora não substitui o link original por um link modificado para uma página da web na nuvem da Microsoft.

ATP para o SharePoint Online

O ATP para o SharePoint Online protege os usuários que colaboram usando sites do SharePoint Online e arquivos compartilhados dentro da sua organização. Essa funcionalidade detecta e bloqueia arquivos suspeitos em bibliotecas de documentos e sites de equipe, incluindo arquivos armazenados no OneDrive. O conteúdo malicioso identificado é bloqueado. Os usuários não podem abrir, copiar, mover, editar ou compartilhar um arquivo bloqueado que é classificado como malicioso. O arquivo malicioso só pode ser excluído. A capacidade de baixar o arquivo depende da configuração.

Proteção contra phishing

Após a definição de políticas anti-phishing, modelos de sistema de autoaprendizagem com algoritmos complexos são usados para detectar ataques de phishing automaticamente e rapidamente. A inteligência da caixa de correio analisa os e-mails do usuário e os hábitos de comunicação e agrega os dados para ajudar a detectar tentativas de phishing no futuro. Essas medidas rigorosas tornam qualquer ataque de fraude difícil de ser realizado.

Quarentena

Arquivos indesejados e potencialmente perigosos podem ser movidos para quarentena. Como administrador do sistema, você pode restaurar ou excluir manualmente os dados em quarentena. Caso contrário, esses dados são excluídos após o vencimento do período de retenção configurado. Você pode estar familiarizado com o princípio de funcionamento da quarentena se tiver usado a Proteção Online do Exchange do Microsoft 365.

Inteligência de Spoof

Hackers podem enviar emails em nome de uma ou mais contas substituindo o nome do remetente. Quando um usuário recebe um email “falsificado” desse tipo, pode parecer seguro se o remetente usar o nome de um gerente no campo do remetente. Um email falsificado, que pode conter uma solicitação para transferir dinheiro, enviar credenciais ou scripts maliciosos, não é seguro e constitui uma ameaça para os usuários e toda a organização.

O Office 365 Advanced Threat Protection inclui o recurso Spoof Intelligence que pode detectar se um remetente está usando um nome real ou um nome falsificado. Você pode ver a lista completa de usuários que usam um determinado domínio da empresa e revisar quem está falsificando o domínio da sua organização ou quaisquer domínios externos. Como administrador, você pode bloquear o remetente que estiver usando um nome de domínio ou nome de usuário fingindo ser um funcionário da sua organização.

Relatórios

O Office 365 Advanced Threat Protection fornece relatórios informativos para que você possa ver o status de proteção e analisar as ameaças recebidas. Um relatório é uma única visualização que combina informações sobre ameaças detectadas, incluindo email malicioso e outro conteúdo malicioso. As ameaças detectadas pelo Office 365 Advanced Threat Protection e pela Exchange Online Protection são mostradas nos relatórios. As informações dos últimos 90 dias (o período máximo que pode ser configurado) são exibidas nos relatórios. Após analisar os relatórios, você pode ajustar as políticas.

Investigação e Resposta a Ameaças

Se você trabalha em uma grande empresa com muitos usuários do Office 365, pode ficar sobrecarregado com um grande número de alertas de segurança para lidar. Classificar um alto número de e-mails com base nos atributos é uma tarefa demorada. A Investigação e Resposta a Ameaças do Office 365 pode ajudar os administradores do sistema e especialistas em segurança a operar com mais eficiência. Você pode visualizar ameaças detectadas e configurar ações automatizadas para mitigar diferentes tipos de ameaças. Você pode compor livros de jogadas com as ações apropriadas para ameaças detectadas, além de revisar e aprovar ações ou recomendações sugeridas pela Proteção Avançada contra Ameaças do Office 365 após uma investigação automatizada para remediar ameaças.

Licenciamento do Microsoft 365

Ao contrário da Proteção Online contra Ameaças, que está disponível por padrão para usuários do Microsoft 365, a Proteção Avançada contra Ameaças está disponível para os principais planos de assinatura ou pode ser adquirida separadamente. Por exemplo, mesmo o Microsoft 365 E3 não inclui proteção avançada contra ameaças.

A Proteção Avançada contra Ameaças do Microsoft Office 365 está incluída nos seguintes planos de assinatura:

• Microsoft 365 E5
• Microsoft 365 A5
• Microsoft 365 Business Premium

No entanto, você pode comprar a licença de Proteção Avançada contra Ameaças do Office 365 em cima dos seguintes planos de assinatura:

• Plano 1 do Exchange Online
• Plano 2 do Exchange Online
• Quiosque do Exchange Online
• Proteção Online contra Ameaças
• Microsoft 365 Business BasicMicrosoft 365 Business Standard
• Microsoft 365 Business Standard
• Microsoft 365 Enterprise E1
• Microsoft 365 Enterprise E3
• Microsoft 365 Enterprise F3
• Microsoft 365 A1
• Microsoft 365 A3

Se o Office 365 Advanced Threat Protection não estiver incluído em seu plano de assinatura, você poderá adquirir um dos planos de assinatura ATP autônomos usando um modelo de licenciamento por usuário:

• Advanced Threat Protection Plan 1
• Advanced Threat Protection Plan 2

Configuração de Proteção Avançada Contra Ameaças

Atualização: Office 365 Advanced Threat Protection se tornou Microsoft Defender para Office 365 em setembro de 2020. Agora, para configurar qualquer uma das funcionalidades listadas abaixo, você precisa acessar o Portal do Defender.

Vamos ver como configurar o Office 365 Advanced Threat Protection:

1. Abra a interface da web do centro de administração do Microsoft 365 usando o link https://admin.microsoft.com e vá para Centros de Administração > Segurança na parte esquerda da janela.

Como alternativa, você pode abrir um link direto para o centro de administração de Segurança e Conformidade do Microsoft 365: https://protection.office.com

2. No painel esquerdo, clique em Gerenciador de Ameaças e, em seguida, clique em Painel.

O painel de segurança, também referido como o painel de ameaças, exibe o status atual de proteção contra ameaças e links para páginas de configuração.

Políticas Anti-malware

Clique em Política no painel esquerdo, ou no painel de navegação, e a página onde você pode visualizar, editar e criar políticas é exibida. Você pode configurar políticas anti-phishing, anti-spam e anti-malware. Vamos ver como criar uma nova política anti-malware:

1. Clique em Anti-malware.

2. Na página anti-malware que é aberta, clique no ícone de + para criar uma nova política anti-malware para o Office 365 Advanced Threat Protection.

3. A new pop-up window opens.

Insira o nome da política e a descrição, e defina outras opções de política, como:

• Resposta à Detecção de Malware
• Filtro de Tipos Comuns de Anexos
• Limpeza Automática de Malware em Zero Horas
• Notificações

Por fim, especifique a quem essa política se aplica e clique em Salvar.

A política agora está criada e exibida na lista de políticas na página Malware.

Políticas Anti-phishing

As políticas anti-phishing são criadas de forma um pouco diferente das políticas anti-malware:

1. Vá para Gerenciamento de Ameaças > Política e clique em Anti-phishing.

A página Anti-phishing é aberta. Se você estiver abrindo esta página pela primeira vez, a lista de políticas anti-phishing estará vazia.

2. Clique no botão +Criar para criar uma nova política anti-phishing para o Office 365 Advanced Threat Protection.

3. A new policy wizard opens as a pop-up window. Complete all the steps in the wizard:

• Nomeie sua política. Digite um nome para a nova política anti-phishing. Você também pode inserir uma descrição.

• Aplicado a. Defina os destinatários ou domínios em sua organização aos quais esta política se aplicará ou excluirá adicionando condições e selecionando destinatários. Por exemplo, você pode aplicar a política a um domínio inteiro, a uma associação de grupo ou a combinações de grupo e domínio. Em seguida, clique em Próximo.

• Revise suas configurações. Verifique suas configurações e edite-as se necessário. Se tudo estiver correto, clique em Criar esta política.

Quarentena

Mensagens de e-mail e arquivos que são classificados como potencialmente perigosos são movidos para quarentena se as configurações apropriadas forem usadas para o Office 365 Advanced Threat Protection. Vá para Tratamento de ameaças > Revisão > Quarentena para abrir a quarentena. Você também pode usar este link direto: https://protection.office.com/quarantine

Nota: A quarentena pode ser acessada pelo administrador ou outro usuário que tenha permissões para gerenciar a quarentena. Membros do papel Quarentena no Centro de Segurança & Conformidade do Office 365 têm permissões para gerenciar a quarentena.

Na página de quarentena, você pode classificar os resultados clicando no título da coluna necessária. Clique Modificar Colunas para selecionar quais colunas devem ser exibidas.

Relatórios

Os relatórios são úteis para visualizar o status atual e as estatísticas do seu ambiente do Microsoft 365. Na barra de navegação do centro de administração de Segurança & Conformidade do Office 365, clique em Relatórios > Painel para ver o painel com gráficos e diagramas.

Nesta página, você pode ver o resumo incluindo:

• Relatórios recentes para download
• Top 5 rótulos
• Tendência de rótulos nos últimos 90 dias
• Como os rótulos foram aplicados
• Rótulos classificados como registros
• Regra de Transporte do Exchange
• Status de proteção contra ameaças
• Malware detectado na e-mail
• Top malware
• Principais remetentes e destinatários
• Detecções de suplantamento
• Detecções de spam
• Usuários comprometidos
• E-mail enviado e recebido
• Supervisão
• Relatório de encaminhamento
• Relatório de conector
• Relatório de criptografia

Passe o mouse sobre o gráfico para ver mais informações. Clique na tabela ou diagrama necessário para abri-lo em modo de janela cheia e ver os detalhes. Após clicar em Detecções de fraude, um relatório detalhado de e-mail fraudulento é exibido.

Por padrão, um período de 7 dias é exibido nas tabelas e gráficos, mas esse período pode ser aumentado até 90 dias nas configurações. Usuários de teste do Microsoft 365 com Proteção Avançada contra Ameaças podem visualizar dados por um máximo de 30 dias nas reportagens.

Conclusão

A Proteção Avançada contra Ameaças do Office 365 é integrada a outros serviços do Microsoft 365, como OneDrive, SharePoint Online, Exchange Online, SharePoint Online e outros serviços. O ATP ajuda a proteger seus e-mails de várias ameaças de segurança, como links nocivos, vírus e malware.

No entanto, para alcançar um nível mais alto de proteção de dados, você deve fazer backup de todos os seus dados do Microsoft Office 365 com uma solução dedicada, como o NAKIVO Backup & Replication. A solução NAKIVO permite criar backups incrementais de dados do Microsoft 365 e oferece restaurações pontuais flexíveis.