O painel de entidades de mensagens do Teams no Microsoft Defender para Office 365 Plano 2

À semelhança do painel de resumo Email para mensagens de e-mail, as organizações do Microsoft 365 que têm Microsoft Defender para Office 365 Plano 2 (licenças de suplementos ou incluídas em subscrições como Microsoft 365 E5) têm o painel de entidades de mensagens do Microsoft Teams no painel Microsoft Defender portal. O painel de entidades de mensagens do Teams é uma lista de opções de detalhes que inclui todos os dados do Microsoft Teams sobre conversas suspeitas ou maliciosas, canais e conversas de grupo num único painel acionável.

Este artigo explica as informações e ações no painel de entidades de mensagens do Teams.

Permissões e licenciamento para o painel de entidades de mensagens do Teams

Para utilizar a página Email entidade, tem de lhe ser atribuídas permissões. Você tem as seguintes opções:

• Acesso total:

  • Email & permissões de colaboração no portal do Microsoft Defender: Associação nos grupos de funções Gestão da Organização, Administrador de Segurança ou Administrador de Quarentena.
  • Microsoft Entra permissões: a associação a uma das seguintes funções dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365: Administrador^* Global, Administrador de Segurança ou Operador de Segurança.

• Acesso só de leitura:

  • permissões de Microsoft Entra: Leitor Global ou Leitor de Segurança.

• Remover utilizadores das conversas do Teams: requer associação a uma das seguintes funções de Microsoft Entra: Administrador^* Global, Administrador de Segurança ou Operador de Segurança.

  Importante

  ^* A Microsoft defende fortemente o princípio do menor privilégio. Atribuir apenas as permissões mínimas necessárias para realizar as respetivas tarefas ajuda a reduzir os riscos de segurança e reforça a proteção geral da sua organização. O Administrador Global é uma função altamente privilegiada que deve limitar a cenários de emergência ou quando não pode utilizar uma função diferente.

Onde encontrar o painel de entidades de mensagens do Teams

Não existem ligações diretas para o painel de entidades de mensagens do Teams a partir dos níveis superiores do portal do Defender. Em vez disso, o painel de entidades de mensagens do Teams está disponível nas seguintes localizações:

• Na página Quarentena em https://security.microsoft.com/quarantine: Selecione o separador >mensagem do Teams, selecione uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar. A lista de opções de detalhes que é aberta é o painel de entidades de mensagens do Teams.

• Na página Submissões em https://security.microsoft.com/reportsubmission:

  • Selecione o separador >Mensagens do Teams selecione uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar.

  • Selecione o separador >Utilizador comunicado selecione uma entrada do Teams ao clicar em qualquer parte da linha que não seja a caixa de marcar. A lista de opções de detalhes que é aberta é o painel de entidades de mensagens do Teams.

    Pode filtrar as entradas ao selecionar Filtrar> Tipo >de MensagemTeams.

• Na página Investigação Avançada emhttps://security.microsoft.com/v2/advanced-hunting, selecione um valor TeamsMessageId (ligação) na tabela MessageEvents nos resultados da consulta. A lista de opções de detalhes que é aberta é o painel de entidades de mensagens do Teams. Por exemplo:

  UrlClickEvents
  | where ThreatTypes !="" and Workload =="Teams"
  | summarize count() by Url, ThreatTypes, ActionType, Workload
  | project Url, ThreatTypes, ActionType, Workload, ClickCount=count_
  | top 20 by ClickCount
  
  UrlClickEvents
  | limit 100
  
  MessageEvents
  | limit 100
  

O que está no painel de entidades de mensagens do Teams

As seguintes informações estão disponíveis na parte superior do painel de entidades de mensagens do Teams:

• O título da lista de opções é o assunto ou os primeiros 100 carateres da mensagem do Teams.
• O veredicto da mensagem atual.
• O número de ligações na mensagem.
• As ações que estão disponíveis na parte superior da lista de opções dependem do local onde abriu o painel de entidades de mensagens do Teams.

As secções seguintes no painel de entidades de mensagens do Teams dependem do local onde a abriu:

• Mensagens do Teams em quarentena
• Ver detalhes de submissão de administradores do Teams
• Ver detalhes da mensagem comunicada pelo utilizador do Teams no Defender para Office 365 Plano 2

O resto do painel de entidades de mensagens do Teams contém as seguintes informações, independentemente do local onde a abriu:

• Secção de detalhes da mensagem:

  • Ameaças
  • Localização da mensagem
  • Endereço do remetente.
  • Horário do recebimento
  • Tecnologia de deteção
  • ID da mensagem do Teams: pode utilizar este valor como um identificador de uma mensagem do Teams no Defender para Office 365.

• Secção Remetente :

  • O nome e o endereço de e-mail do remetente
  • Domínio
  • Externo: o valor Sim indica que a mensagem foi enviada entre um utilizador interno e um utilizador externo.

• Uma das seguintes secções, consoante a mensagem seja de uma conversa ou de um canal:

  • Chat: A secção Participantes :
    • Tipo de conversação
    • Nome do chat
    • Nome e e-mail: contém o nome e endereços de e-mail de todos os participantes (incluindo o remetente). Se existirem mais de 10 participantes, também se liga a um painel secundário que lista todos os participantes no chat no momento da ameaça suspeita.
  • Canal: a secção Detalhes do canal :
    • Tipo de conversação
    • Nome da conversação: contém o nome do canal.
    • Nome e e-mail: contém o nome e o endereço do canal.

• Secção URLs:

  • Nome e tipo Contém o URL da mensagem do Teams.
  • Ameaça

  Se a mensagem tiver mais de 10 URLs, selecione Ver todos os URLs para ver todos.

Remover utilizadores de conversas do Teams no painel de entidades de mensagens do Teams

No painel de entidades do Teams, pode selecionar Tomar medidas na parte superior da lista de opções (muitas vezes em Mais ações) para remover utilizadores de um chat do Teams.

Efetue os seguintes passos no assistente Tomar medidas :

1. Na página Escolher ações de resposta , selecione Remover utilizador da conversação na secção Ações ao nível da conversação e, em seguida, selecione Seguinte.

2. Na página Escolher entidades de destino, configure as seguintes opções:

   • Nome Introduza um nome exclusivo e descritivo para o cenário remover utilizador.
   • Descrição: introduza os detalhes opcionais.

   O resto da página contém uma tabela de detalhes com as seguintes informações sobre os utilizadores na conversa:

   • Recurso afetado: o endereço de e-mail do utilizador.
   • Ação: este valor é sempre Remover utilizador da conversação.
   • Entidade de destino: o valor GUID do ID do Thread do chat.
   • Expira a

   Por predefinição, todos os utilizadores no chat estão selecionados, incluindo utilizadores externos que não pode remover do chat. Verifique se os utilizadores internos a remover do chat estão selecionados.

   Quando tiver terminado na página Escolher entidades de destino, selecione Seguinte.

   

3. Na página Rever e submeter , reveja as suas seleções anteriores.

   Selecione Anterior para voltar atrás e alterar as suas seleções.

   Quando tiver terminado na página Rever e submeter , selecione Submeter.

A remoção de utilizadores de um chat do Teams é gravada no separador Histórico da página Centro de ação em https://security.microsoft.com/action-center/history. Pode filtrar os resultados por Tipo> de açãoRemover utilizadores de conversações do Teams e/ou Mensagem do Tipo> de entidadedo Teams. Nos detalhes do alerta, pode confirmar que os utilizadores foram ou não removidos da conversa do Teams.

Para obter mais informações

O Microsoft Defender para Office 365 Email Página de Entidades e como funciona

Ligações Seguras no Microsoft Defender para Office 365

Remoção automática de zero horas (ZAP) no Microsoft Teams