Sdílet prostřednictvím

Kampaně v Microsoft Defender pro Office 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V organizacích Microsoft 365 s plánem Microsoft Defender pro Office 365 Plan 2 funkce kampaní identifikuje a kategorizuje koordinované útoky phishing a malwarové e-mailové útoky. Kategorizace e-mailových útoků microsoftem do diskrétních kampaní vám pomůže:

  • Efektivně prošetřujte e-mailové útoky a reagujte na ně.
  • Lépe porozumíte rozsahu e-mailového útoku, který cílí na vaši organizaci.
  • Zobrazit hodnotu Microsoft Defender pro Office 365 pro osoby s rozhodovací pravomocí při prevenci e-mailových hrozeb.

Funkce kampaní umožňuje zobrazit celkový obraz e-mailového útoku rychleji a úplněji než jakýkoli člověk.

Podívejte se na toto krátké video o tom, jak vám kampaně v Microsoft Defender pro Office 365 pomoci porozumět koordinovaným e-mailovým útokům, které cílí na vaši organizaci.

Co je kampaň?

Kampaň je koordinovaný e-mailový útok na jednu nebo více organizací. Email útoky, které ukradnou přihlašovací údaje a firemní data, jsou rozsáhlé a lukrativní obory. Vzhledem k tomu, že se technologie za účelem zastavení útoků zvětšují, útočníci upravují své metody tak, aby zajistili trvalý úspěch.

Microsoft používá obrovské množství dat o ochraně před útoky phishing, spamem a antimalwarovým softwarem z celé služby k identifikaci kampaní. Informace o útoku analyzujeme a klasifikujeme podle několika faktorů. Příklady:

  • Zdroj útoku: Zdrojové IP adresy a e-mailové domény odesílatele.
  • Vlastnosti zprávy: Obsah, styl a tón zpráv.
  • Příjemci zprávy: Jak jsou příjemci ve spojení. Například domény příjemců, pracovní funkce příjemce (správci, vedoucí pracovníci atd.), typy společností (velké, malé, veřejné, soukromé atd.) a obory.
  • Datová část útoku: Škodlivé odkazy, přílohy nebo jiné datové části ve zprávách.

Kampaň může být krátkodobá nebo může zahrnovat několik dnů, týdnů nebo měsíců s aktivním a neaktivním obdobím. Kampaň může být spuštěna konkrétně proti vaší organizaci nebo může být vaše organizace součástí rozsáhlejší kampaně napříč několika společnostmi.

Požadované licence a oprávnění

  • Funkce kampaní je dostupná v organizacích s Defender pro Office 365 Plan 2 (licence na doplňky nebo zahrnuté v předplatných, jako je Microsoft 365 E5).
  • Musíte mít přiřazená oprávnění k zobrazení informací o kampaních, jak je popsáno v tomto článku. Budete mít také následující možnosti:

    • Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Operace zabezpečení/ Nezpracovaná data (spolupráce & e-mailu)/Email záhlaví zpráv (čtení).

    • Email & oprávnění ke spolupráci na portálu Microsoft Defender: Členství ve skupině rolí Správa organizace, Správce zabezpečení nebo Čtenář zabezpečení.

    • Microsoft Entra oprávnění: Členství v rolích globálního správce*, správce zabezpečení nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

      Důležité

      * Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Stránka Kampaně na portálu Microsoft Defender

Pokud chcete otevřít stránku Kampaně na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte na Email & spolupráce>Kampaně. Pokud chcete přejít přímo na stránku Kampaně, použijte .https://security.microsoft.com/campaigns

Stránka Kampaně se skládá z následujících prvků:

  • Tvůrce filtru nebo dotazů v horní části stránky
  • Oblast grafu, ve které můžete pomocí dostupných pivotů uspořádat graf různými způsoby. Ve výchozím nastavení graf používá pivot Typ kampaně , i když se zdá, že není vybraný.
  • Oblast podrobností, která je ve výchozím nastavení nastavená na kartu Kampaň

Snímek obrazovky znázorňující kampaně na portálu Microsoft Defender

Tip

  • Pokud nevidíte žádná data o kampaních nebo velmi omezená data, zkuste změnit rozsah dat nebo filtry.

  • Stejné informace o kampaních můžete zobrazit také v Průzkumníku hrozeb na adrese https://security.microsoft.com/threatexplorerv3:

    • Zobrazení kampaně .
    • All email view >Campaign tab in the details area below the chart.
    • > Karta Zobrazení malwaruKampaň v oblasti podrobností pod grafem
    • Karta Phish view >Campaign (Kampaň ) v oblasti podrobností pod grafem

  • Pokud máte Microsoft Defender for Endpoint předplatné, informace o kampaních jsou spojené s Microsoft Defender for Endpoint.

Oblast grafů na stránce Kampaně

Na stránce Kampaně se v oblasti grafu zobrazuje pruhový graf, který zobrazuje počet příjemců za den. Ve výchozím nastavení graf zobrazuje data o malwaru a phish .

Pokud chcete filtrovat informace zobrazené v grafu a v tabulce podrobností, změňte filtry.

Změňte uspořádání grafu tak, že vyberete Typ kampaně a pak v rozevíracím seznamu vyberete jednu z následujících hodnot:

  • Název kampaně
  • Podtyp kampaně
  • Doména odesílatele
  • IP adresa odesílatele
  • Akce doručení
  • Technologie detekce
  • Úplná adresa URL
  • Doména adresy URL
  • Doména adresy URL a cesta

Pomocí příkazu Exportovat data grafu vyexportujte data v grafu do souboru CSV.

Pokud chcete graf ze stránky odebrat (čímž se maximalizuje velikost oblasti podrobností), proveďte některý z následujících kroků:

  • V horní části stránky vyberte Zobrazení> seznamu zobrazení grafu.
  • Vyberte Zobrazit zobrazení seznamu mezi grafem a zobrazením tabulky podrobností.

Oblast Podrobnosti na stránce Kampaně

Pokud chcete filtrovat informace zobrazené v grafu a v tabulce podrobností, změňte filtry.

Na stránce Kampaně se na kartě Kampaň pod grafem zobrazují v tabulce podrobností následující informace:

  • Název
  • Ukázkový předmět: Řádek předmětu jedné ze zpráv v kampani. Všechny zprávy v kampani nemusí mít nutně stejný předmět.
  • Cílený: Procento vypočítané podle: (počet příjemců kampaně ve vaší organizaci) / (celkový počet příjemců kampaně ve všech organizacích ve službě). Tato hodnota označuje, do jaké míry je kampaň zaměřena pouze na vaši organizaci (vyšší hodnota) a také na jiné organizace ve službě (nižší hodnota).
  • Typ: Hodnota je phish nebo malware.
  • Podtyp: Hodnota obsahuje další podrobnosti o kampani. Příklady:
    • Phish: Tam, kde je k dispozici, značka, kterou tato kampaň hlásá. Například Microsoft, 365, Unknown, Outlooknebo DocuSign. Když je detekce řízená technologií Defender pro Office 365, přidá se k hodnotě podtypu předpona ATP-.
    • Malware: Například W32/<MalwareFamilyName> nebo VBS/<MalwareFamilyName>.
  • Značky: Další informace o uživatelských značkách najdete v tématu Značky uživatelů.
  • Příjemci: Počet uživatelů, na které tato kampaň cílila.
  • Doručená pošta: Počet uživatelů, kteří obdrželi zprávy z této kampaně do složky Doručená pošta (nedoručili se do složky Nevyžádaná pošta Email).
  • Kliknutí: Počet uživatelů, kteří vybrali adresu URL nebo otevřeli přílohu v phishingové zprávě.
  • Míra kliknutí: V phishingových kampaních se jedná o procento vypočítané hodnotou "Klikli jsme / ve složce Doručená pošta". Tato hodnota je indikátorem efektivity kampaně. Jinými slovy, dokázali příjemci identifikovat zprávu jako phishing, a proto se vyhnuli adrese URL datové části? Míra kliknutí se nepoužívá v malwarových kampaních.
  • Navštíveno: Kolik uživatelů skutečně prošlo na web datové části. Pokud existují hodnoty Kliknutí , ale bezpečné odkazy blokují přístup k webu, je tato hodnota nulová.

Vyberte záhlaví sloupce, které chcete seřadit podle tohoto sloupce. Pokud chcete odebrat sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.

Pomocí exportu vyexportujte data v tabulce podrobností do souboru CSV.

Na stránce Kampaně se na kartě Původ kampaně pod grafem zobrazují zdroje zpráv na mapě světa.

Filtry na stránce Kampaně

V horní části stránky Kampaň je několik nastavení filtru, které vám pomůže najít a izolovat konkrétní kampaně. Filtry, které vyberete, mají vliv na graf a tabulku podrobností.

Ve výchozím nastavení je zobrazení filtrované podle včerejška a dnešek. Pokud chcete změnit filtr kalendářních dat, vyberte rozsah dat a pak vyberte Počáteční datum a Koncové datum až před 30 dny.

Filtry kampaní na stránce Kampaně.

Výsledky můžete také filtrovat podle jedné nebo více vlastností zprávy nebo kampaně. Základní syntaxe je:

<Vlastnost><Rovná se libovolné hodnotě | Rovná se žádná hodnota><nebo hodnoty vlastnosti>

  • V rozevíracím seznamu Typ kampaně vyberte zprávu nebo vlastnost kampaně (Typ kampaně je vybraná výchozí hodnota).
  • Hodnoty vlastnosti, které potřebujete zadat, jsou zcela závislé na vlastnosti. Některé vlastnosti umožňují volný tvar textu s více hodnotami oddělenými čárkami a některé vlastnosti umožňují více hodnot vybraných ze seznamu.

Dostupné vlastnosti a jejich přidružené hodnoty jsou popsány v následující tabulce:

Vlastnost Typ
Basic
Typ kampaně Vyberte jednu nebo více hodnot¹:
  • Malware
  • Phish
Název kampaně Text. Více hodnot oddělte čárkami.
Podtyp kampaně Text. Více hodnot oddělte čárkami.
Adresa odesílatele Text. Více hodnot oddělte čárkami.
Příjemci Text. Více hodnot oddělte čárkami.
Doména odesílatele Text. Více hodnot oddělte čárkami.
Doména příjemce Text. Více hodnot oddělte čárkami.
Předmět Text. Více hodnot oddělte čárkami.
Zobrazované jméno odesílatele Text. Více hodnot oddělte čárkami.
E-mail odesílatele z adresy Text. Více hodnot oddělte čárkami.
Pošta odesílatele z domény Text. Více hodnot oddělte čárkami.
Řada malwaru Text. Více hodnot oddělte čárkami.
Značky Text. Více hodnot oddělte čárkami.

Další informace o značkách uživatelů najdete v tématu Značky uživatelů.
Akce doručení Vyberte jednu nebo více hodnot¹:
  • Blokovaný
  • Doručil
  • Doručeno do nevyžádané pošty
  • Nahrazený
Další akce Vyberte jednu nebo více hodnot¹:
Směrovost Vyberte jednu nebo více hodnot¹:
  • Směřující sem
  • Intra-irg
  • Odchozí
Technologie detekce Vyberte jednu nebo více hodnot¹:
  • Rozšířený filtr: Signály založené na strojovém učení.
  • Antimalwarová ochrana
  • Množství
  • Kampaň
  • Reputace domény
  • Detonace souborů: Bezpečné přílohy detekovaly škodlivou přílohu během analýzy detonace.
  • Reputace detonace souborů: Přílohy souborů dříve detekované detonacemi bezpečných příloh v jiných organizacích Microsoftu 365.
  • Reputace souboru: Zpráva obsahuje soubor, který byl dříve identifikován jako škodlivý v jiných organizacích Microsoft 365.
  • Párování otisků prstů: Zpráva se podobá předchozí zjištěné škodlivé zprávě.
  • Obecný filtr
  • Značka zosobnění: Zosobnění odesílatelem známých značek.
  • Zosobnění domény: Zosobnění domén odesílatele, které vlastníte nebo které jste zadali pro ochranu v zásadách ochrany proti útokům phishing
  • Uživatel zosobnění
  • Reputace IP adres
  • Zosobnění inteligentních poštovních schránek: Detekce zosobnění z inteligentních funkcí poštovní schránky v zásadách ochrany proti útokům phishing.
  • Detekce smíšené analýzy: K verdiktu zprávy přispělo několik filtrů.
  • spoof DMARC: Zpráva selhala při ověřování DMARC.
  • Falšování externí domény: Falšování e-mailové adresy odesílatele pomocí domény, která je pro vaši organizaci externí.
  • Falšování identity uvnitř organizace: Falšování e-mailové adresy odesílatele pomocí domény, která je interní pro vaši organizaci.
  • Detonace adresy URL: Bezpečné odkazy detekovaly škodlivou adresu URL ve zprávě během analýzy detonace.
  • Reputace detonace adresy URL
  • Škodlivá reputace adresy URL: Adresy URL dříve zjištěné detonacemi bezpečných odkazů v jiných organizacích Microsoft 365.
Původní místo doručení Vyberte jednu nebo více hodnot¹:
  • Složka Odstraněná pošta
  • Upuštěný
  • Selhalo
  • Doručená pošta nebo složka
  • Nevyžádaná pošta
  • Místní/externí
  • Karanténa
  • Unknown (neznámý)
Nejnovější místo doručení Stejné hodnoty jako původní umístění doručení
Přepsání systému Vyberte jednu nebo více hodnot¹:
  • Povolené zásadami uživatele
  • Blokováno zásadami uživatele
  • Povolené zásadami organizace
  • Blokováno zásadami organizace
  • Přípona souboru blokovaná zásadami organizace
  • Žádné
Zdroj přepsání systému Vyberte jednu nebo více hodnot¹:
  • Filtr třetí strany
  • Správa zahájené cestování časem (ZAP)
  • Blokování antimalwarových zásad podle typu souboru
  • Nastavení zásad ochrany proti spamu
  • Zásady připojení
  • Pravidlo přenosu Exchange (pravidlo toku pošty)
  • Filtrování se přeskočí kvůli místní organizaci
  • Filtr oblastí IP adres ze zásad
  • Filtr jazyka ze zásad
  • Simulace útoků phishing
  • Uvolnění do karantény
  • Poštovní schránka SecOP
  • Seznam adres odesílatele (přepsání správcem)
  • Seznam adres odesílatele (přepsání uživatelem)
  • Seznam domén odesílatelů (přepsání správcem)
Upřesnit
ID internetové zprávy Text. Více hodnot oddělte čárkami.

K dispozici v poli Hlavička ID zprávy v záhlaví zprávy. Příklad hodnoty je <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (všimněte si úhlových závorek).
ID síťové zprávy Text. Více hodnot oddělte čárkami.

Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.
IP adresa odesílatele Text. Více hodnot oddělte čárkami.
Příloha SHA256 Text. Více hodnot oddělte čárkami.

Pokud chcete najít hodnotu hash SHA256 souboru ve Windows, spusťte na příkazovém řádku následující příkaz: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
ID clusteru Text. Více hodnot oddělte čárkami.
ID upozornění Text. Více hodnot oddělte čárkami.
ID zásad upozornění Text. Více hodnot oddělte čárkami.
ID kampaně Text. Více hodnot oddělte čárkami.
Signál ADRESY URL zap Text. Více hodnot oddělte čárkami.
Adresy URL
Doména adresy URL Text. Více hodnot oddělte čárkami.
Doména adresy URL a cesta Text. Více hodnot oddělte čárkami.
URL Text. Více hodnot oddělte čárkami.
Cesta url Text. Více hodnot oddělte čárkami.
Klikněte na verdikt. Vyberte jednu nebo více hodnot¹:
  • Povolený
  • Přepsaný blok
  • Blokovaný
  • Chyba
  • Selhání
  • Žádné
  • Čekající verdikt
  • Nevyřízený verdikt se obešel
Soubor
Název souboru přílohy Text. Více hodnot oddělte čárkami.

¹ Nepoužívání tohoto filtru vlastností nebo použití tohoto filtru vlastností bez vybraných hodnot má stejný výsledek jako při použití tohoto filtru vlastností se všemi vybranými hodnotami.

Jakmile vyberete vlastnost z rozevíracího seznamu Typ kampaně , vyberte Možnost Rovná se libovolné z nebo Nerovná se žádné z a pak zadejte nebo vyberte hodnotu do pole vlastností, zobrazí se pod oblastí filtru dotaz filtru.

Snímek obrazovky s vybraným filtrem kampaně

Pokud chcete přidat další podmínky, vyberte jiný pár vlastnost/hodnota a pak vyberte AND nebo OR. Tento postup opakujte tolikrát, kolikrát je to potřeba.

Pokud chcete odebrat existující páry vlastnost/hodnota, vyberte vedle položky.

Až dokončíte vytváření dotazu filtru, vyberte Aktualizovat.

Pokud chcete filtrovací dotaz uložit, vyberte Uložit dotaz>Uložit dotaz. V rozevíracím rámečku Uložit dotaz , který se otevře, nakonfigurujte následující nastavení:

  • Název dotazu: Zadejte jedinečnou hodnotu.
  • Vyberte jednu z následujících hodnot:
    • Přesná data: Vyberte rozsah dat.
    • Relativní data: Vyberte jeden až 30 dnů.
  • Sledovat tento dotaz

Až budete hotovi v rozevíracím rámečku Uložit dotaz , vyberte Uložit a pak v potvrzovacím dialogovém okně vyberte OK .

Po návratu na stránku Kampaně můžete načíst uložený filtr tak, že vyberete Uložit dotaz>Uložená nastavení dotazu.

Podrobnosti o kampaních

Když vyberete položku z tabulky podrobností kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle názvu, otevře se informační rámeček s podrobnostmi o kampani.

Co se zobrazuje v informačním rámečku s podrobnostmi kampaně, je popsáno v následujících pododdílech.

Informace o kampaních

V horní části informačního rámečku s podrobnostmi o kampaních jsou k dispozici následující informace o kampaních:

  • ID kampaně: Jedinečný identifikátor kampaně.
  • Aktivita: Doba trvání a aktivita kampaně.
  • Následující data pro filtr rozsahu dat, který jste vybrali (nebo který vyberete na časové ose):
    • Dopad
    • Zprávy: Celkový počet příjemců.
    • Doručená pošta: Počet zpráv, které byly doručeny do složky Doručená pošta, nikoli do složky Nevyžádaná pošta Email.
    • Odkaz, na který jste klikli: Kolik uživatelů vybralo adresu URL datové části v phishingové zprávě.
    • Navštívený odkaz: Kolik uživatelů navštívilo adresu URL.
    • Targeted(%): Procento vypočítané: (počet příjemců kampaně ve vaší organizaci) / (celkový počet příjemců kampaně ve všech organizacích ve službě). Tato hodnota se počítá po celou dobu života kampaně a nemění se filtry kalendářních dat.
  • Filtry data a času zahájení a koncového data a času pro tok kampaně, jak je popsáno v další části.
  • Interaktivní časová osa aktivity kampaně: Časová osa zobrazuje aktivitu za celou dobu trvání kampaně. Když najedete myší na datové body v grafu, zobrazí se počet zjištěných zpráv.

Informace o kampani

Tok kampaně

Uprostřed informačního rámečku s podrobnostmi kampaně jsou důležité podrobnosti o kampani uvedeny ve vodorovném vývojovém diagramu (označovaném jako Sankeyho diagram). Tyto podrobnosti vám pomůžou pochopit prvky kampaně a potenciální dopad na vaši organizaci.

Tip

Informace zobrazené ve vývojovém diagramu se řídí filtrem rozsahu dat na časové ose, jak je popsáno v předchozí části.

Podrobnosti kampaně, které neobsahují kliknutí na adresu URL uživatele

Pokud v diagramu najedete myší na vodorovné pásmo, zobrazí se počet souvisejících zpráv (například zprávy z konkrétní zdrojové IP adresy, zprávy ze zdrojové IP adresy používající zadanou doménu odesílatele atd.).

Diagram obsahuje následující informace:

  • IP adresy odesílatele

  • Domény odesílatele

  • Filtrovat verdikty: Hodnoty verdiktů souvisejí s dostupnými verdikty pro filtrování phishingu a spamu, jak je popsáno v záhlavích antispamových zpráv. Dostupné hodnoty jsou popsány v následující tabulce:

    Hodnota Verdikt filtru spamu Popis
    Povolený SFV:SKN
    <Br/ SFV:SKI    		 Zpráva byla předtím, než byla vyhodnocena filtrováním spamu, označena jako ne spam nebo byla vynechána filtrováním spamu. Například zpráva byla označena jako ne spam pravidlem toku pošty (označované také jako pravidlo přenosu).
    <br/ Zpráva přeskočila filtrování spamu z jiných důvodů. Zdá se například, že odesílatel a příjemce jsou ve stejné organizaci.
    Blokovaný SFV:SKS Zpráva byla předtím, než byla vyhodnocena filtrováním spamu, označena jako spam. Například pravidlem toku pošty.
    Zjištěný SFV:SPM Zpráva byla označena jako spam filtrováním spamu.
    Nezjišťováno SFV:NSPM Zpráva byla označena jako ne spam filtrováním spamu.
    Uvolněný SFV:SKQ Zpráva přeskočila filtrování spamu, protože byla uvolněna z karantény.
    Povolit tenanta¹ SFV:SKA Zpráva přeskočila filtrování spamu kvůli nastavení v zásadách ochrany proti spamu. Odesílatel byl například v seznamu povolených odesílatelů nebo v seznamu povolených domén.
    Blok tenanta² SFV:SKA Zpráva byla zablokována filtrováním spamu kvůli nastavení v zásadách ochrany proti spamu. Odesílatel byl například v seznamu povolených odesílatelů nebo v seznamu povolených domén.
    Povolit uživatele¹ SFV:SFE Zpráva přeskočila filtrování spamu, protože odesílatel byl v seznamu bezpečných odesílatelů uživatele.
    Uživatelský blok² SFV:BLK Zpráva byla zablokována filtrováním spamu, protože odesílatel byl v seznamu blokovaných odesílatelů uživatele.
    ODPRÁSKNOUT Není k dispozici Automatické vyprázdnění (ZAP) nulou hodin přesunulo doručenou zprávu do složky Nevyžádaná Email pošta nebo do karantény. Akci nakonfigurujete v zásadách ochrany proti spamu.

    ¹ Zkontrolujte zásady ochrany proti spamu, protože povolená zpráva by pravděpodobně byla službou zablokována.

    ² Zkontrolujte zásady ochrany proti spamu, protože tyto zprávy by měly být v karanténě, neměly by se doručovat.

  • Cíle zpráv: Prozkoumejte zprávy, které byly doručeny příjemcům (buď do složky Doručená pošta, nebo Do složky Nevyžádaná Email pošta), a to i v případě, že uživatelé ve zprávě nevybrali adresu URL datové části. Zprávy v karanténě můžete také odebrat. Další informace najdete v tématu e-mailové zprávy v karanténě v EOP.

    • Odstraněná složka
    • Upuštěný
    • Externí: Příjemce se nachází ve vaší místní e-mailové organizaci v hybridních prostředích.
    • Selhalo
    • Předány
    • Doručená pošta
    • Nevyžádaná pošta
    • Karanténa
    • Unknown (neznámý)

  • Kliknutí na adresu URL: Tyto hodnoty jsou popsány v další části.

Poznámka

Ve všech vrstvách, které obsahují více než 10 položek, se zobrazuje prvních 10 položek, zatímco ostatní jsou seskupené dohromady v části Ostatní.

Kliknutí na adresu URL

Když je phishingová zpráva doručena do složky Doručená pošta nebo Nevyžádaná Email pošta příjemce, je vždy možné, že uživatel vybere adresu URL datové části. Nevybírejte adresu URL je jen malou mírou úspěchu, ale musíte zjistit, proč se phishingová zpráva doručila do poštovní schránky.

Pokud uživatel v phishingové zprávě vybral adresu URL datové části, zobrazí se akce v oblasti kliknutí na adresu URL diagramu v zobrazení podrobností kampaně.

  • Povolený
  • Bloková stránka: Příjemce vybral adresu URL datové části, ale jeho přístup ke škodlivému webu byl ve vaší organizaci zablokován zásadami bezpečných odkazů .
  • BlockPageOverride: Příjemce vybral adresu URL datové části ve zprávě. Bezpečné odkazy se je pokusily zastavit, ale bylo jim povoleno blokovat. Zkontrolujte zásady bezpečných odkazů a zjistěte, proč uživatelé můžou přepsat rozhodnutí o bezpečných odkazech a pokračovat na škodlivý web.
  • PendingDetonationPage: Bezpečné přílohy v Microsoft Defender pro Office 365 se otevírají a prověřují adresu URL datové části ve virtuálním prostředí.
  • PendingDetonationPageOverride: Příjemci bylo povoleno přepsat proces detonace datové části a otevřít adresu URL bez čekání na výsledky.

Tabulátory

Tip

Informace zobrazené na kartách se řídí filtrem rozsahu dat v informačním rámečku podrobností kampaně, jak je popsáno v části Informace o kampaních .

Karty v informačním rámečku s podrobnostmi o kampaních umožňují kampaň dále prozkoumat. K dispozici jsou následující karty:

  • Kliknutí na adresu URL: Pokud uživatelé ve zprávě nevybrali adresu URL datové části, je tento oddíl prázdný. Pokud uživatel mohl vybrat adresu URL, vyplní se následující hodnoty:

    • Uživatel*
    • Značky
    • Adresa URL*
    • Čas kliknutí
    • Klikněte na verdikt.

  • IP adresy odesílatele

    • IP adresa odesílatele*
    • Celkový počet
    • Doručená pošta
    • Bez doručené pošty
    • SPF byl předán: Odesílatel byl ověřen architekturou SPF (Sender Policy Framework). Odesílatel, který neprojde ověřením SPF, označuje neověřeného odesílatele nebo zpráva falšuje legitimního odesílatele.

  • Odesílatelé

    • Odesílatel: Toto je skutečná adresa odesílatele v příkazu SMTP MAIL FROM , což nemusí být nutně e-mailová adresa Od: , kterou uživatelé uvidí v e-mailových klientech.
    • Celkový počet
    • Doručená pošta
    • Bez doručené pošty
    • DKIM byl předán: Odesílatel byl ověřen pomocí DKIM (Domain Keys Identified Mail). Odesílatel, který neprojde ověřením DKIM, označuje neověřeného odesílatele nebo zpráva falšuje legitimního odesílatele.
    • Předáno DMARC: Odesílatel byl ověřen pomocí DMARC (Domain-Based Message Authentication, Reporting and Conformance) (DMARC). Odesílatel, který neprojde ověřením DMARC, označuje neověřeného odesílatele nebo zpráva falšuje legitimního odesílatele.

  • Přílohy

    • Jméno souboru
    • SHA256
    • Řada malwaru
    • Celkový počet

  • Adresy URL

    • Adresa URL*
    • Celkový počet

* Když vyberete tuto hodnotu, otevře se nový informační panel, který obsahuje další podrobnosti o zadané položce (uživatel, adresa URL atd.) nad zobrazením podrobností kampaně. Pokud se chcete vrátit do informačního rámečku s podrobnostmi o kampani, vyberte v novém informačním rámečku Hotovo .

Na každé kartě vyberte záhlaví sloupce, které chcete seřadit podle tohoto sloupce. Pokud chcete odebrat sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce na každé kartě.

Další akce

Akce v dolní části informačního rámečku s podrobnostmi kampaně umožňují prozkoumat a zaznamenat podrobnosti o kampani:

  • Vyberte Ano nebo Ne v části Myslíte si, že tato kampaň přesně seskupila tyto zprávy?
  • Prozkoumání zpráv: Využijte možnosti Průzkumníka hrozeb k dalšímu zkoumání kampaně tak, že v rozevíracím seznamu vyberete jednu z následujících hodnot:
    • Všechny zprávy: Otevře novou kartu hledání v Průzkumníku hrozeb s hodnotou ID kampaně jako vyhledávacím filtrem.
    • Zprávy ve složce Doručená pošta: Otevře novou vyhledávací kartu Průzkumníka hrozeb, která jako vyhledávací filtr používá ID kampaně a Umístění doručení: Doručená pošta .
    • Interní zprávy: Otevře novou vyhledávací kartu Průzkumníka hrozeb, která jako vyhledávací filtr používá ID kampaně a Směr: Uvnitř organizace .
  • Stáhnout sestavu hrozeb: Stáhněte si podrobnosti o kampaních do Word dokumentu (ve výchozím nastavení s názvem CampaignReport.docx). Soubor ke stažení obsahuje podrobnosti za celou dobu trvání kampaně (nejen vybraný filtr kalendářních dat).