Visão geral de inteligência de ameaças do Office 365

Importante :  Este artigo foi traduzido por um sistema de tradução automática, leia o aviso de isenção de responsabilidade. Para sua referência, veja a versão em inglês deste artigo aqui.

Este artigo explica como Office 365 Threat Intelligence pode ajudá-lo a pesquisar ameaças contra a sua organização, responder a malware, phishing, e outros ataques que Office 365 detectou em seu nome e procure por indicadores de ameaças, você talvez tenha recebido de usuário relatórios, outras pessoas na comunidade de segurança ou nas notícias ou outras fontes de inteligência de dados. Inteligência de ameaças pode ajudá-lo a determinar se os ataques que você detectar são direcionados ou não. Se você tiver Office 365 Enterprise E5, em seguida, você precisa ameaças inteligência interna sua Security & Compliance Center.

O que é ameaças Intelligence?

Office 365 hospeda um dos serviços de email corporativo maior e conjuntos de produtividade no mundo e gerencia conteúdo criado em milhões de dispositivos. Durante a proteger essas informações, a Microsoft criou um grande repositório de dados de inteligência de ameaças e os sistemas necessários para padrões especiais que correspondem ao ataque behaviours e atividades suspeitas. Office 365 Threat Intelligence é uma coleção destas ideias usado na análise de seu ambiente de Office 365 para ajudá-lo a encontrar e eliminar ameaças, proativamente. Inteligência de ameaças aparece como um conjunto de ferramentas e painéis do Security & Compliance Center para compreender e responder às ameaças.

Office 365 Threat Intelligence monitora sinais de fontes, como atividade do usuário, autenticação, email, PCs comprometidos e ocorrências de segurança. Esses dados podem ser analisados e exibidos para que tomadores de decisão e Office 365 global ou administradores de segurança podem compreender e responder a ameaças aos seus usuários e a propriedade intelectual.

  • Você pode usar o Painel de ameaças ver ameaças que já foram tratadas e como uma ferramenta útil para relatar check-out às tomadores de decisão no qual inteligência ameaças já tiver feitas para proteger sua empresa.

  • Se você estiver pesquisando uma maneira ou enfrentando um ataque contra seu ambiente Office 365, use o Explorador de ameaças para analisar ameaças. Ameaças explorer mostra o volume de ataques ao longo do tempo, e você pode analisar dados por famílias de ameaças, infraestrutura de invasor e mais. Você também pode marcar qualquer email suspeita para a lista de ocorrências.

  • Você também pode marcar mensagens de email suspeitas ver no Explorador de ameaças para investigação posterior e gerenciar resultados de resposta em uma lista de ocorrências, uma maneira útil de acompanhar na durante um ataque.

Esse painel é um recurso excelente quando você precisa de um resumo de ameaças contra seu ambiente Office 365. Ele apresenta um gráfico com codificação por cor de semanal detecções de ameaças e gráficos de tendências de malware e famílias de malware detectadas, bem como as tendências de segurança no setor e um mapa de calor úteis de origens de ataque para seu ambiente específico. Esse painel também mostra global e administradores de segurança uma listagem rápida da parte superior direcionadas usuários e alertas recentes que você pode clicar em para obter mais informações, entre outros painéis útil das informações.

Captura de tela de gráficos e diagramas para resumo do painel de inteligência de ameaças de ameaças específica locatário do Office 365

O painel é uma maneira excelente para especialistas técnicos em segurança para relatar check-out para tomadores de decisões de negócios como Chief executivos (CEOs) ou Chief técnicos responsáveis pela (CTOs).

O painel também é uma entrada Explorer ameaças e muitos dos links conecte esses dois modos de exibição de sua inteligência de ameaças. Por exemplo, o painel de investigação ameaças no Dashboard tem links que fazer busca detalhada em Explorador de ameaças:

  • Mostrar removidas após a entrega de mensagens

  • Localizar mal-intencionado mensagens enviadas para alguém de sua organização

Esse painel de resumo deve ser verificada diariamente.

Quando você abre o Explorador de ameaças você encontrará um gráfico com codificação por cor que representa a ataques que são destinados a sua organização. O modo de exibição padrão mostrará malware pela família de ameaças. Esse painel tem um modo de exibição com guias das famílias de malware superior, uma lista de email e um mapa de origens de email. Ele também mostra os principais usuários alvo.

Observação opcionalmente Mostrar todos os emails, ou Malware por status de proteção do domínio, IP do remetente, remetente, ou capturado por tecnologia. E, você pode exportar a lista de email e dados de gráfico.

Captura de tela do Explorador de ameaças no Office 365, codificadas por cor pela família de malware

Quando você clica em uma família de malware superior específicos (como JS/Nemucod), você pode ver detalhes sobre como malware está afetando sua organização e o que pode fazer o malware. Quando abre o painel de ameaças, você pode examinar a definição da família de malware. Modo de exibição de cada ameaças mostra os usuários afetados (destinatários, endereços de remetente, endereços IP e status), junto com as guias para detalhes técnicos, detalhes globais e análise avançada.

Observação  Quaisquer mensagens de email suspeita vir listadas na guia usuários podem ser selecionadas e rapidamente adicionadas em investigações ocorrências para ainda mais controle e análise. Isso mantém-las se percam na ordem aleatória, como uma ameaças surge.

A guia detalhes técnicos mostra um documento que entra em detalhes excelentes em ameaças malware, para que você está bem informado sobre as ameaças e souber quais comportamentos para procurar.

Se você não tiver certeza de como profunda sua pesquisa devem ir ou não tiver certeza do escopo do ataque, dar uma olhada detalhes globais e descobrir quais são os países mais afetados e setores. Por exemplo, se seu trabalho está em fabricação no Japão, mineração nos EUA, desses gráficos poderá fornecer contexto e ajudam você a determinar um nível de ameaças geral. Certamente, se você vir que seu setor, especificamente, é cada vez mais sob ataque, é uma boa indicação que você precisará mobilizar sua equipe de segurança e proativamente mergulhar em Explorador de ameaças.

Captura de tela de detalhe Global de ameaças superiores em inteligência de ameaças

Todos os anexos de arquivo ou documento passam A proteção de ameaças avançadas do Office 365 é colocado em uma área restrita onde ele pode ser aberto e testado para localizar evidências comportamento de atividades maliciosas. Isso pode detectar ameaças potenciais, suspeitas macros ou novo malware. Indicadores são extraídas de essas execuções de teste e quaisquer ocorrências podem ser encontradas na guia final de uma ameaças: análise avançada.

Os resultados dos testes executados podem ser vistos na seção comportamento observado. No exemplo abaixo, um anexo de arquivo foi testado, falha e encontrado com um roubo de senha dentro de uma macro de arquivo. O endereço IP e a URL que o arquivo está tentando se comunicar com está sob o tráfego de rede. Por fim, você pode ver o executável mal-intencionado a macro baixada durante o teste — o principal motivo por que esse teste ocorrerá em um ambiente virtualizado isolado criado para expor ameaças cheguem aos usuários.

Captura de tela de uma análise de advaned specifc de anexo de arquivo

Observação  Se você usar outros dispositivos de segurança ou serviços para filtrar ataques antes de atingirem o seu site do Office 365, o Explorador de ameaças e seu telemetria associada mostrará somente os ataques que o serviço ou dispositivo foi perdido. Lembre-se de que isso poderá alterar os resultados de recursos como detalhes globais e análise avançada.

Ocorrências de uso para acompanhar campanhas de phishing ou malware voltada para os usuários e correção de disparador ações como excluir anexos, ou mover mensagens de email em uma pasta de lixo eletrônico.

Para criar um novo incidente, pesquisar mensagens que você identificou como suspeito no modo de exibição Todos os emails do explorer ameaças. Depois que você filtrou o email para baixo para aqueles que você deseja controlar remediar, use o botão Adicionar emails para o incidente para criar um novo incidente ou adicionar essas mensagens para um incidente existente.

Depois que você adicionou mensagens a um incidente, você pode realizar uma ação de correção nessas mensagens. Na página ocorrências , selecione o incidente que você criou e em seguida, selecione o envio de emails. Na caixa de diálogo envio, escolha Mover para o lixo eletrônico, ou Excluir anexos. Se você por engano mover mensagens de email para uma pasta de lixo eletrônico, você poderá recuperá-las selecionando Mover para caixa de entrada.

Captura de tela da lista de emails da correção incidente

Você pode controlar o andamento da correção iniciado na guia de Logs de ação.

Os mesmos dados que alimenta o painel de inteligência de ameaças e o Explorador de ameaças estão disponíveis através do Security & Compliance Center e Office 365 API de atividade de gerenciamento. Os feeds contenham:

  • Um registro para cada email que contenha uma ameaças direcionadas para sua organização

  • Um registro para cada mensagem removido por hora zero autolimpeza

Para saber mais sobre Feeds de inteligência de ameaças, consulte API de atividade de gerenciamento do Office 365

Use a integração entre Office 365 e Windows Defender Advanced Threat Protection (Windows Defender ATP ) entendam rapidamente se máquinas dos usuários estão em risco ao investigar ameaças em Office 365. Quando a integração estiver ativada, administradores de segurança em Office 365 será capazes de ver quais máquinas pertencem os destinatários de uma mensagem de email e alertas recentes quantos nessas máquinas tiverem em Windows Defender ATP.

A imagem a seguir mostra a guia dispositivos que você verá quando tiver Windows Defender ATP integração habilitada:

Quando o Windows Defender ATP está habilitado, você pode ver uma lista de máquinas com alertas.

Neste exemplo, você pode ver que os destinatários da mensagem de email tem quatro máquinas e uma tem um alerta no Windows Defender ATP. Clicando no link para uma máquina abre a página de máquina no Windows Defender ATP em uma nova guia.

Para habilitar a integração entre Office 365 e Windows Defender ATP:

  1. Você deve ter acesso aos Office 365 Threat Intelligence e Windows Defender ATP.

  2. Ir para o Explorador de ameaças.

  3. No menu mais, escolha Configurações de WDATP.

  4. Selecione conectar ao Windows ATP.

Depois que você tiver alterado as configurações no Office 365, você deve habilitar a conexão de Windows Defender ATP. Consulte usar o portal de proteção de ameaças avançadas do Windows Defender.

Tópicos relacionados

Proteger contra ameaças no Office 365
Visão geral do Office 365 segurança & Centro de conformidade
Proteção de ameaças avançadas do Office 365

Observação : Aviso de Isenção de Tradução Automática: Este artigo foi traduzido por computador, sem intervenção humana. A Microsoft oferece essas traduções automáticas para ajudar as pessoas que não falam inglês a aproveitar os textos escritos sobre produtos, serviços e tecnologias da Microsoft. Como este artigo foi traduzido automaticamente, é possível que contenha erros de vocabulário, sintaxe ou gramática.

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×