Sdílet prostřednictvím

Email zabezpečení pomocí Průzkumníka hrozeb a detekce v reálném čase v Microsoft Defender pro Office 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnuté ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekci v reálném čase. Tyto funkce představují výkonné nástroje téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně. Další informace najdete v tématech o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defender pro Office 365.

Tento článek vysvětluje, jak zobrazit a prozkoumat zjištěné pokusy o malware a útoky phishing v e-mailu pomocí Průzkumníka hrozeb nebo detekce v reálném čase.

Tip

Další e-mailové scénáře s využitím Průzkumníka hrozeb a detekce v reálném čase najdete v následujících článcích:

Co potřebujete vědět, než začnete?

Zobrazení phishingových e-mailů odeslaných zosobněným uživatelům a doménám

Další informace o ochraně před zosobněním uživatelů a domén v zásadách ochrany proti útokům phishing v Defender pro Office 365 najdete v tématu Nastavení zosobnění v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365.

Ve výchozích nebo vlastních zásadách ochrany proti útokům phishing musíte zadat uživatele a domény, které chcete chránit před zosobněním, včetně domén, které vlastníte (akceptované domény). V předvolbách standardních nebo striktních zásad zabezpečení domény, které vlastníte, automaticky obdrží ochranu před zosobněním, ale pro ochranu před zosobněním musíte zadat všechny uživatele nebo vlastní domény. Pokyny najdete v následujících článcích:

Pomocí následujícího postupu zkontrolujte phishingové zprávy a vyhledejte zosobněné uživatele nebo domény.

  1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

  2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.

  3. Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.

  4. Proveďte některý z následujících kroků:

    • Vyhledejte všechny pokusy o zosobnění uživatele nebo domény:

      • Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Technologie detekce.
      • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
      • V poli hodnota vlastnosti vyberte Zosobnění doména a Zosobnění uživatele.

    • Vyhledání konkrétních pokusů o zosobnění uživatele:

      • Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Zosobněný uživatel.
      • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
      • Do pole hodnota vlastnosti zadejte celou e-mailovou adresu příjemce. Více hodnot příjemců oddělte čárkami.

    • Vyhledejte konkrétní pokusy o zosobnění domény:

      • Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Zosobněná doména.
      • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
      • Do pole hodnota vlastnosti zadejte doménu (například contoso.com). Více hodnot domény oddělte čárkami.

  5. Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.

  6. Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.

  7. V oblasti podrobností pod grafem ověřte, že je vybraná karta Email (zobrazení).

    Položky můžete seřadit a zobrazit další sloupce, jak je popsáno v Email zobrazení pro oblast podrobností v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase.

Export dat kliknutí na adresu URL

Data kliknutí na adresu URL můžete exportovat do souboru CSV a zobrazit hodnoty ID síťové zprávy a verdiktu kliknutí , které vám pomůžou vysvětlit, odkud pochází provoz kliknutí na adresu URL.

  1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

  2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.

  3. Vyberte rozsah data a času a pak vyberte Aktualizovat. Výchozí hodnota je včera a dnes.

  4. V oblasti podrobností vyberte kartu Horní adresy URL nebo Horní kliknutí (zobrazení).

  5. V zobrazení Horní adresy URL nebo Horní kliknutí vyberte jednu nebo více položek z tabulky tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete Exportovat. Explorer>Phish>Kliknutí>Horní adresy URL nebo horní kliknutí> na adresu URL vyberte libovolný záznam pro otevření vysouvacího rámečku adresy URL.

Hodnotu ID síťové zprávy můžete použít k hledání konkrétních zpráv v Průzkumníku hrozeb, detekcích v reálném čase nebo externích nástrojích. Tato hledání identifikují e-mailovou zprávu přidruženou k výsledku kliknutí. Korelované ID síťové zprávy umožňuje rychlejší a výkonnější analýzu.

Zobrazení malwaru zjištěného v e-mailu

Pomocí následujících kroků v Průzkumníku hrozeb nebo detekcích v reálném čase zobrazte malware detekovaný v e-mailu microsoftem 365.

  1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

  2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Malware . Další informace o zobrazení Phish najdete v tématech Zobrazení malwaru v Průzkumníku hrozeb a Detekce v reálném čase.

  3. Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.

  4. Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Technologie detekce.

    • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
    • V poli hodnota vlastnosti vyberte jednu nebo více z následujících hodnot:
      • Ochrana proti malwaru
      • Detonace souboru
      • Reputace detonace souboru
      • Reputace souboru
      • Porovnávání otisků prstů

  5. Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.

  6. Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.

Sestava zobrazuje výsledky, které malware zjistil v e-mailu pomocí vybraných technologických možností. Odtud můžete provést další analýzu.

Nahlásit zprávy jako čisté

Pomocí stránky Odeslání na portálu Defender na https://security.microsoft.com/reportsubmission adrese můžete microsoftu hlásit zprávy jako čisté (falešně pozitivní). Můžete ale také odesílat zprávy společnosti Microsoft jako čisté z Průzkumníka nebo detekce v reálném čase.

Pokyny najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava.

Shrnutí:

  • Vyberte Provést akci pomocí jedné z následujících metod:

    • Vyberte jednu nebo více zpráv z tabulky podrobností na kartě Email (zobrazení) v zobrazení Všechny e-maily, Malware nebo Phish tak, že zaškrtnete políčka u položek.

    Nebo

    • V informačním rámečku s podrobnostmi vyberte zprávu z tabulky podrobností na kartě Email (zobrazení) v zobrazení Všechny e-maily, Malware nebo Phish kliknutím na hodnotu Předmět.

  • V průvodci provedením akce vyberte Odeslat do Microsoftu a zkontrolujte>,že je čistý.

Zobrazení adresy URL útoku phishing a kliknutí na data verdiktu

Ochrana bezpečných odkazů sleduje povolené, blokované a přepsané adresy URL. Ochrana bezpečných odkazů je ve výchozím nastavení zapnutá díky integrované ochraně v přednastavených zásadách zabezpečení. Ochrana bezpečných odkazů je zapnutá v přednastavených zásadách zabezpečení Standard a Strict. Ochranu bezpečných odkazů můžete také vytvořit a nakonfigurovat ve vlastních zásadách bezpečných odkazů. Další informace o nastavení zásad Bezpečných propojení najdete v tématu Nastavení zásad Bezpečných propojení.

Pomocí následujícího postupu můžete zobrazit pokusy o útok phishing pomocí adres URL v e-mailových zprávách.

  1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

  2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.

  3. Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.

  4. Vyberte pole Adresa odesílatele (vlastnost) a pak v části Adresy URL rozevíracího seznamu vyberte Kliknout na verdikt.

    • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
    • V poli hodnota vlastnosti vyberte jednu nebo více z následujících hodnot:
      • Blokován
      • Blokované přepsání

    Vysvětlení hodnot Verdict (Kliknout na verdikt ) najdete v tématu Kliknutí na verdikt ve vlastnostech filtrovatelných v zobrazení Všechny e-maily v Průzkumníku hrozeb.

  5. Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.

  6. Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.

Karta Horní adresy URL (zobrazení) v oblasti podrobností pod grafem zobrazuje počet blokovaných zpráv, nevyžádaných zpráv a doručených zpráv pro prvních pět adres URL. Další informace najdete v tématu Zobrazení nejčastějších adres URL pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekce v reálném čase.

Karta Horní kliknutí (zobrazení) v oblasti podrobností pod grafem zobrazuje prvních pět kliknutých odkazů, které byly zabaleny pomocí bezpečných odkazů. Kliknutí na adresy URL na nezabalené odkazy se tady nezobrazují. Další informace najdete v tématu Zobrazení horních kliknutí pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.

Tyto tabulky adres URL zobrazují adresy URL, které byly i přes upozornění zablokované nebo navštívené. Tyto informace ukazují potenciální chybné odkazy, které byly uživatelům prezentovány. Odtud můžete provést další analýzu.

Podrobnosti zobrazíte výběrem adresy URL z položky v zobrazení. Další informace najdete v tématu Podrobnosti adresy URL pro karty Hlavní adresy URL a Horní kliknutí v zobrazení Phish.

Tip

V informačním rámečku Podrobnosti adresy URL se odebere filtrování e-mailových zpráv, aby se zobrazilo úplné zobrazení vystavení adresy URL ve vašem prostředí. Toto chování umožňuje filtrovat konkrétní e-mailové zprávy, najít konkrétní adresy URL, které představují potenciální hrozby, a pak rozšířit znalosti o vystavení adres URL ve vašem prostředí, aniž byste museli přidávat filtry adres URL v zobrazení phish .

Interpretace verdiktů kliknutí

Výsledky vlastnosti Kliknout na verdikt jsou viditelné v následujících umístěních:

Hodnoty verdiktu jsou popsány v následujícím seznamu:

  • Povoleno: Uživateli bylo povoleno otevřít adresu URL.
  • Přepsání bloku: Uživateli se zablokovalo přímé otevření adresy URL, ale blok přepsal, aby otevřel adresu URL.
  • Blokováno: Uživateli se zablokovalo otevření adresy URL.
  • Chyba: Uživateli se zobrazila chybová stránka nebo došlo k chybě při zaznamenání verdiktu.
  • Selhání: Při zachycení verdiktu došlo k neznámé výjimce. Uživatel pravděpodobně otevřel adresu URL.
  • Žádné: Nelze zachytit verdikt pro adresu URL. Uživatel pravděpodobně otevřel adresu URL.
  • Čekající verdikt: Uživateli se zobrazila stránka čekající na detonaci.
  • Nevyřízený verdikt byl obejit: Uživateli se zobrazila stránka s detonací, ale zprávu přehlušil, aby otevřel adresu URL.

Zahájení automatizovaného vyšetřování a reakce v Průzkumníku hrozeb

Automatizované vyšetřování a reakce (AIR) v plánu Defender pro Office 365 Plan 2 může ušetřit čas a úsilí při vyšetřování a zmírnění kybernetických útoků. Můžete nakonfigurovat výstrahy, které aktivují playbook zabezpečení, a spustit prostředí AIR v Průzkumníku hrozeb. Podrobnosti najdete v tématu Příklad: Správce zabezpečení aktivuje šetření z Průzkumníka.

Prozkoumání e-mailu pomocí stránky entity Email