Zabezpečení e-mailu pomocí Průzkumníka hrozeb a detekce v reálném čase v Microsoft Defenderu pro Office 365
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defenderu XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defenderu pro Office 365 v centru zkušebních verzí portálu Microsoft Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.
Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnutý ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekce v reálném čase. Tyto funkce představují výkonné nástroje téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně. Další informace najdete v článku o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defenderu pro Office 365.
Tento článek vysvětluje, jak zobrazit a prozkoumat zjištěné pokusy o malware a útoky phishing v e-mailu pomocí Průzkumníka hrozeb nebo detekce v reálném čase.
Tip
Další e-mailové scénáře s využitím Průzkumníka hrozeb a detekce v reálném čase najdete v následujících článcích:
Co potřebujete vědět, než začnete?
Průzkumník hrozeb je součástí Defenderu pro Office 365 Plan 2. Detekce v reálném čase jsou součástí plánu Defender for Office Plan 1:
- Rozdíly mezi Průzkumníkem hrozeb a detekcemi v reálném čase jsou popsané v tématu Informace o Průzkumníku hrozeb a Detekce v reálném čase v Microsoft Defenderu pro Office 365.
- Rozdíly mezi Defenderem pro Office 365 Plan 2 a Defenderem for Office Plan 1 jsou popsané ve stručné nápovědě Defenderu pro Office 365 Plan 1 a Plan 2.
Informace o oprávněních a licenčních požadavcích pro Průzkumníka hrozeb a detekce v reálném čase najdete v tématu Oprávnění a licencování pro Průzkumníka hrozeb a detekce v reálném čase.
Zobrazení phishingových e-mailů odeslaných zosobněným uživatelům a doménám
Další informace o ochraně před zosobněním uživatelů a domén v zásadách ochrany proti útokům phishing v Defenderu pro Office 365 najdete v tématu Nastavení zosobnění v zásadách ochrany proti útokům phishing v Microsoft Defenderu pro Office 365.
Ve výchozích nebo vlastních zásadách ochrany proti útokům phishing musíte zadat uživatele a domény, které chcete chránit před zosobněním, včetně domén, které vlastníte (akceptované domény). V předvolbách standardních nebo striktních zásad zabezpečení domény, které vlastníte, automaticky obdrží ochranu před zosobněním, ale pro ochranu před zosobněním musíte zadat všechny uživatele nebo vlastní domény. Pokyny najdete v následujících článcích:
- Přednastavené zásady zabezpečení v Exchange Online Protection a Microsoft Defenderu pro Office 365
- Konfigurace zásad ochrany proti útokům phishing v Microsoft Defenderu pro Office 365
Pomocí následujícího postupu zkontrolujte phishingové zprávy a vyhledejte zosobněné uživatele nebo domény.
Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:
- Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte na E-mail & Průzkumník zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
- Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na e-mailové & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3
Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.
Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.
Proveďte některý z následujících kroků:
Vyhledejte všechny pokusy o zosobnění uživatele nebo domény:
- Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Technologie detekce.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- V poli hodnota vlastnosti vyberte Zosobnění doména a Zosobnění uživatele.
Vyhledání konkrétních pokusů o zosobnění uživatele:
- Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Zosobněný uživatel.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- Do pole hodnota vlastnosti zadejte celou e-mailovou adresu příjemce. Více hodnot příjemců oddělte čárkami.
Vyhledejte konkrétní pokusy o zosobnění domény:
- Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Zosobněná doména.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- Do pole hodnota vlastnosti zadejte doménu (například contoso.com). Více hodnot domény oddělte čárkami.
Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.
Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.
V oblasti podrobností pod grafem ověřte, že je vybraná karta E-mail (zobrazení).
Položky můžete seřadit a zobrazit další sloupce, jak je popsáno v zobrazení e-mailu pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase.
Pokud vyberete hodnotu Předmět položky v tabulce, otevře se vysouvací nabídka podrobností e-mailu. Tento informační panel podrobností se označuje jako panel Souhrn e-mailu a obsahuje standardizované souhrnné informace, které jsou k dispozici také na stránce entity E-mail pro zprávu.
Podrobnosti o informacích na panelu Souhrn e-mailu najdete v tématu Panel Souhrn e-mailu.
Informace o dostupných akcích v horní části panelu Souhrn e-mailu pro Průzkumníka hrozeb a detekce v reálném čase najdete v tématu Podrobnosti o e-mailech v zobrazení Podrobností e-mailu v zobrazení Všechny e-maily (stejné akce jsou k dispozici také v zobrazení Phish ).
Pokud vyberete hodnotu Příjemce položky v tabulce, otevře se vysouvací panel s jinými podrobnostmi. Další informace najdete v tématu Podrobnosti o příjemci v zobrazení E-mail v oblasti podrobností v zobrazení Phish.
Export dat kliknutí na adresu URL
Data kliknutí na adresu URL můžete exportovat do souboru CSV a zobrazit hodnoty ID síťové zprávy a verdiktu kliknutí , které vám pomůžou vysvětlit, odkud pochází provoz kliknutí na adresu URL.
Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:
- Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte na E-mail & Průzkumník zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
- Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na e-mailové & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3
Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.
Vyberte rozsah data a času a pak vyberte Aktualizovat. Výchozí hodnota je včera a dnes.
V oblasti podrobností vyberte kartu Horní adresy URL nebo Horní kliknutí (zobrazení).
V zobrazení Horní adresy URL nebo Horní kliknutí vyberte jednu nebo více položek z tabulky tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete Exportovat. Průzkumník>Phish>Kliknutí>Horní adresy URL nebo horní kliknutí> na adresu URL vyberte libovolný záznam pro otevření vysouvacího rámečku adresy URL.
Hodnotu ID síťové zprávy můžete použít k hledání konkrétních zpráv v Průzkumníku hrozeb, detekcích v reálném čase nebo externích nástrojích. Tato hledání identifikují e-mailovou zprávu přidruženou k výsledku kliknutí. Korelované ID síťové zprávy umožňuje rychlejší a výkonnější analýzu.
Zobrazení malwaru zjištěného v e-mailu
Pomocí následujících kroků v Průzkumníku hrozeb nebo detekcích v reálném čase zobrazte malware detekovaný v e-mailu microsoftem 365.
Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:
- Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte na E-mail & Průzkumník zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
- Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na e-mailové & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3
Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Malware . Další informace o zobrazení Phish najdete v tématech Zobrazení malwaru v Průzkumníku hrozeb a Detekce v reálném čase.
Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.
Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Technologie detekce.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- V poli hodnota vlastnosti vyberte jednu nebo více z následujících hodnot:
- Ochrana proti malwaru
- Detonace souboru
- Reputace detonace souboru
- Reputace souboru
- Porovnávání otisků prstů
Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.
Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.
Sestava zobrazuje výsledky, které malware zjistil v e-mailu pomocí vybraných technologických možností. Odtud můžete provést další analýzu.
Nahlásit zprávy jako čisté
Pomocí stránky Odeslání na portálu Defender na https://security.microsoft.com/reportsubmission adrese můžete microsoftu hlásit zprávy jako čisté (falešně pozitivní). Můžete ale také odesílat zprávy společnosti Microsoft jako čisté z možnosti Provést akci v Průzkumníku hrozeb nebo na stránce entity E-mail.
Pokyny najdete v tématu Proaktivní vyhledávání hrozeb: Průvodce provedením akce.
Shrnutí:
Vyberte Provést akci pomocí jedné z následujících metod:
- Vyberte jednu nebo více zpráv z tabulky podrobností na kartě E-mail (zobrazení) v zobrazení Všechny e-maily, Malware nebo Phish zaškrtnutím políček u položek.
Nebo
- V informačním rámečku s podrobnostmi vyberte zprávu z tabulky podrobností na kartě E-mail (zobrazení) v zobrazení Všechny e-maily, Malware nebo Phish kliknutím na hodnotu Předmět .
V průvodci provedením akce vyberte Odeslat do Microsoftu a zkontrolujte>,že je čistý.
Zobrazení adresy URL útoku phishing a kliknutí na data verdiktu
Ochrana bezpečných odkazů sleduje povolené, blokované a přepsané adresy URL. Ochrana bezpečných odkazů je ve výchozím nastavení zapnutá díky integrované ochraně v přednastavených zásadách zabezpečení. Ochrana bezpečných odkazů je zapnutá v přednastavených zásadách zabezpečení Standard a Strict. Ochranu bezpečných odkazů můžete také vytvořit a nakonfigurovat ve vlastních zásadách bezpečných odkazů. Další informace o nastavení zásad Bezpečných propojení najdete v tématu Nastavení zásad Bezpečných propojení.
Pomocí následujícího postupu můžete zobrazit pokusy o útok phishing pomocí adres URL v e-mailových zprávách.
Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:
- Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte na E-mail & Průzkumník zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
- Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na e-mailové & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3
Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.
Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.
Vyberte pole Adresa odesílatele (vlastnost) a pak v části Adresy URL rozevíracího seznamu vyberte Kliknout na verdikt.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- V poli hodnota vlastnosti vyberte jednu nebo více z následujících hodnot:
- Blokovaný
- Blokované přepsání
Vysvětlení hodnot Verdict (Kliknout na verdikt ) najdete v tématu Kliknutí na verdikt ve vlastnostech filtrovatelných v zobrazení Všechny e-maily v Průzkumníku hrozeb.
Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.
Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.
Karta Horní adresy URL (zobrazení) v oblasti podrobností pod grafem zobrazuje počet blokovaných zpráv, nevyžádaných zpráv a doručených zpráv pro prvních pět adres URL. Další informace najdete v tématu Zobrazení nejčastějších adres URL pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekce v reálném čase.
Karta Horní kliknutí (zobrazení) v oblasti podrobností pod grafem zobrazuje prvních pět kliknutých odkazů, které byly zabaleny pomocí bezpečných odkazů. Kliknutí na adresy URL na nezabalené odkazy se tady nezobrazují. Další informace najdete v tématu Zobrazení horních kliknutí pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.
Tyto tabulky adres URL zobrazují adresy URL, které byly i přes upozornění zablokované nebo navštívené. Tyto informace ukazují potenciální chybné odkazy, které byly uživatelům prezentovány. Odtud můžete provést další analýzu.
Podrobnosti zobrazíte výběrem adresy URL z položky v zobrazení. Další informace najdete v tématu Podrobnosti adresy URL pro karty Hlavní adresy URL a Horní kliknutí v zobrazení Phish.
Tip
V informačním rámečku Podrobnosti adresy URL se odebere filtrování e-mailových zpráv, aby se zobrazilo úplné zobrazení vystavení adresy URL ve vašem prostředí. Toto chování umožňuje filtrovat konkrétní e-mailové zprávy, najít konkrétní adresy URL, které představují potenciální hrozby, a pak rozšířit znalosti o vystavení adres URL ve vašem prostředí, aniž byste museli přidávat filtry adres URL v zobrazení phish .
Interpretace verdiktů kliknutí
Výsledky vlastnosti Kliknout na verdikt jsou viditelné v následujících umístěních:
- Kliknutím na kontingenční graf verdict (verdict chart) zobrazíte adresu URL kliknutím na oblast podrobností v zobrazení Všechny e-maily (jenom Průzkumník hrozeb) nebo zobrazení Phish.
- Zobrazení horních kliknutí pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb
- Zobrazení horních kliknutí pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase
- Zobrazení horních kliknutí pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb
Hodnoty verdiktu jsou popsány v následujícím seznamu:
- Povoleno: Uživateli bylo povoleno otevřít adresu URL.
- Přepsání bloku: Uživateli se zablokovalo přímé otevření adresy URL, ale blok přepsal, aby otevřel adresu URL.
- Blokováno: Uživateli se zablokovalo otevření adresy URL.
- Chyba: Uživateli se zobrazila chybová stránka nebo došlo k chybě při zaznamenání verdiktu.
- Selhání: Při zachycení verdiktu došlo k neznámé výjimce. Uživatel pravděpodobně otevřel adresu URL.
- Žádné: Nelze zachytit verdikt pro adresu URL. Uživatel pravděpodobně otevřel adresu URL.
- Čekající verdikt: Uživateli se zobrazila stránka čekající na detonaci.
- Nevyřízený verdikt byl obejit: Uživateli se zobrazila stránka s detonací, ale zprávu přehlušil, aby otevřel adresu URL.
Zahájení automatizovaného vyšetřování a reakce v Průzkumníku hrozeb
Automatizované vyšetřování a reakce (AIR) v Defenderu pro Office 365 Plan 2 vám může ušetřit čas a úsilí při vyšetřování a zmírnění kybernetických útoků. Můžete nakonfigurovat výstrahy, které aktivují playbook zabezpečení, a spustit prostředí AIR v Průzkumníku hrozeb. Podrobnosti najdete v tématu Příklad: Správce zabezpečení aktivuje šetření z Průzkumníka.
Další články
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro