Sdílet prostřednictvím

Email zabezpečení pomocí Průzkumníka hrozeb a detekce v reálném čase v Microsoft Defender pro Office 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnuté ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekci v reálném čase. Tyto funkce představují výkonné nástroje téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně. Další informace najdete v tématech o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defender pro Office 365.

Tento článek vysvětluje, jak zobrazit a prozkoumat zjištěné pokusy o malware a útoky phishing v e-mailu pomocí Průzkumníka hrozeb nebo detekce v reálném čase.

Tip

Další e-mailové scénáře s využitím Průzkumníka hrozeb a detekce v reálném čase najdete v následujících článcích:

Co potřebujete vědět, než začnete?

Zobrazení phishingových e-mailů odeslaných zosobněným uživatelům a doménám

Další informace o ochraně před zosobněním uživatelů a domén v zásadách ochrany proti útokům phishing v Defender pro Office 365 najdete v tématu Nastavení zosobnění v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365.

Ve výchozích nebo vlastních zásadách ochrany proti útokům phishing musíte zadat uživatele a domény, které chcete chránit před zosobněním, včetně domén, které vlastníte (akceptované domény). V předvolbách standardních nebo striktních zásad zabezpečení domény, které vlastníte, automaticky obdrží ochranu před zosobněním, ale pro ochranu před zosobněním musíte zadat všechny uživatele nebo vlastní domény. Pokyny najdete v následujících článcích:

Pomocí následujícího postupu zkontrolujte phishingové zprávy a vyhledejte zosobněné uživatele nebo domény.

  1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

  2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.

  3. Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.

  4. Proveďte některý z následujících kroků:

    • Vyhledejte všechny pokusy o zosobnění uživatele nebo domény:

      • Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Technologie detekce.
      • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
      • V poli hodnota vlastnosti vyberte Zosobnění doména a Zosobnění uživatele.

    • Vyhledání konkrétních pokusů o zosobnění uživatele:

      • Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Zosobněný uživatel.
      • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
      • Do pole hodnota vlastnosti zadejte celou e-mailovou adresu příjemce. Více hodnot příjemců oddělte čárkami.

    • Vyhledejte konkrétní pokusy o zosobnění domény:

      • Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Zosobněná doména.
      • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
      • Do pole hodnota vlastnosti zadejte doménu (například contoso.com). Více hodnot domény oddělte čárkami.

  5. Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.

  6. Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.

  7. V oblasti podrobností pod grafem ověřte, že je vybraná karta Email (zobrazení).

    Položky můžete seřadit a zobrazit další sloupce, jak je popsáno v Email zobrazení pro oblast podrobností v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase.

Export dat kliknutí na adresu URL

Data kliknutí na adresu URL můžete exportovat do souboru CSV a zobrazit hodnoty ID síťové zprávy a verdiktu kliknutí , které vám pomůžou vysvětlit, odkud pochází provoz kliknutí na adresu URL.

  1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

  2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.

  3. Vyberte rozsah data a času a pak vyberte Aktualizovat. Výchozí hodnota je včera a dnes.

  4. V oblasti podrobností vyberte kartu Horní adresy URL nebo Horní kliknutí (zobrazení).

  5. V zobrazení Horní adresy URL nebo Horní kliknutí vyberte jednu nebo více položek z tabulky tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete Exportovat. Průzkumník>Phish>Kliknutí>Horní adresy URL nebo horní kliknutí> na adresu URL vyberte libovolný záznam pro otevření vysouvacího rámečku adresy URL.

Hodnotu ID síťové zprávy můžete použít k hledání konkrétních zpráv v Průzkumníku hrozeb, detekcích v reálném čase nebo externích nástrojích. Tato hledání identifikují e-mailovou zprávu přidruženou k výsledku kliknutí. Korelované ID síťové zprávy umožňuje rychlejší a výkonnější analýzu.

Zobrazení malwaru zjištěného v e-mailu

Pomocí následujících kroků v Průzkumníku hrozeb nebo detekcích v reálném čase zobrazte malware detekovaný v e-mailu microsoftem 365.

  1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

  2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Malware . Další informace o zobrazení Phish najdete v tématech Zobrazení malwaru v Průzkumníku hrozeb a Detekce v reálném čase.

  3. Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.

  4. Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Technologie detekce.

    • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
    • V poli hodnota vlastnosti vyberte jednu nebo více z následujících hodnot:
      • Ochrana proti malwaru
      • Detonace souboru
      • Reputace detonace souboru
      • Reputace souboru
      • Porovnávání otisků prstů

  5. Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.

  6. Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.

Sestava zobrazuje výsledky, které malware zjistil v e-mailu pomocí vybraných technologických možností. Odtud můžete provést další analýzu.

Nahlásit zprávy jako čisté

Pomocí stránky Odeslání na portálu Defender na https://security.microsoft.com/reportsubmission adrese můžete microsoftu hlásit zprávy jako čisté (falešně pozitivní). Můžete ale také odesílat zprávy společnosti Microsoft jako čisté z možnosti Provést akci v Průzkumníku hrozeb nebo na stránce Email entity.

Pokyny najdete v tématu Proaktivní vyhledávání hrozeb: Průvodce provedením akce.

Shrnutí:

  • Vyberte Provést akci pomocí jedné z následujících metod:

    • Vyberte jednu nebo více zpráv z tabulky podrobností na kartě Email (zobrazení) v zobrazení Všechny e-maily, Malware nebo Phish tak, že zaškrtnete políčka u položek.

    Nebo

    • V informačním rámečku s podrobnostmi vyberte zprávu z tabulky podrobností na kartě Email (zobrazení) v zobrazení Všechny e-maily, Malware nebo Phish kliknutím na hodnotu Předmět.

  • V průvodci provedením akce vyberte Odeslat do Microsoftu a zkontrolujte>,že je čistý.

Zobrazení adresy URL útoku phishing a kliknutí na data verdiktu

Ochrana bezpečných odkazů sleduje povolené, blokované a přepsané adresy URL. Ochrana bezpečných odkazů je ve výchozím nastavení zapnutá díky integrované ochraně v přednastavených zásadách zabezpečení. Ochrana bezpečných odkazů je zapnutá v přednastavených zásadách zabezpečení Standard a Strict. Ochranu bezpečných odkazů můžete také vytvořit a nakonfigurovat ve vlastních zásadách bezpečných odkazů. Další informace o nastavení zásad Bezpečných propojení najdete v tématu Nastavení zásad Bezpečných propojení.

Pomocí následujícího postupu můžete zobrazit pokusy o útok phishing pomocí adres URL v e-mailových zprávách.

  1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

  2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.

  3. Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.

  4. Vyberte pole Adresa odesílatele (vlastnost) a pak v části Adresy URL rozevíracího seznamu vyberte Kliknout na verdikt.

    • Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
    • V poli hodnota vlastnosti vyberte jednu nebo více z následujících hodnot:
      • Blokovaný
      • Blokované přepsání

    Vysvětlení hodnot Verdict (Kliknout na verdikt ) najdete v tématu Kliknutí na verdikt ve vlastnostech filtrovatelných v zobrazení Všechny e-maily v Průzkumníku hrozeb.

  5. Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.

  6. Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.

Karta Horní adresy URL (zobrazení) v oblasti podrobností pod grafem zobrazuje počet blokovaných zpráv, nevyžádaných zpráv a doručených zpráv pro prvních pět adres URL. Další informace najdete v tématu Zobrazení nejčastějších adres URL pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekce v reálném čase.

Karta Horní kliknutí (zobrazení) v oblasti podrobností pod grafem zobrazuje prvních pět kliknutých odkazů, které byly zabaleny pomocí bezpečných odkazů. Kliknutí na adresy URL na nezabalené odkazy se tady nezobrazují. Další informace najdete v tématu Zobrazení horních kliknutí pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.

Tyto tabulky adres URL zobrazují adresy URL, které byly i přes upozornění zablokované nebo navštívené. Tyto informace ukazují potenciální chybné odkazy, které byly uživatelům prezentovány. Odtud můžete provést další analýzu.

Podrobnosti zobrazíte výběrem adresy URL z položky v zobrazení. Další informace najdete v tématu Podrobnosti adresy URL pro karty Hlavní adresy URL a Horní kliknutí v zobrazení Phish.

Tip

V informačním rámečku Podrobnosti adresy URL se odebere filtrování e-mailových zpráv, aby se zobrazilo úplné zobrazení vystavení adresy URL ve vašem prostředí. Toto chování umožňuje filtrovat konkrétní e-mailové zprávy, najít konkrétní adresy URL, které představují potenciální hrozby, a pak rozšířit znalosti o vystavení adres URL ve vašem prostředí, aniž byste museli přidávat filtry adres URL v zobrazení phish .

Interpretace verdiktů kliknutí

Výsledky vlastnosti Kliknout na verdikt jsou viditelné v následujících umístěních:

Hodnoty verdiktu jsou popsány v následujícím seznamu:

  • Povoleno: Uživateli bylo povoleno otevřít adresu URL.
  • Přepsání bloku: Uživateli se zablokovalo přímé otevření adresy URL, ale blok přepsal, aby otevřel adresu URL.
  • Blokováno: Uživateli se zablokovalo otevření adresy URL.
  • Chyba: Uživateli se zobrazila chybová stránka nebo došlo k chybě při zaznamenání verdiktu.
  • Selhání: Při zachycení verdiktu došlo k neznámé výjimce. Uživatel pravděpodobně otevřel adresu URL.
  • Žádné: Nelze zachytit verdikt pro adresu URL. Uživatel pravděpodobně otevřel adresu URL.
  • Čekající verdikt: Uživateli se zobrazila stránka čekající na detonaci.
  • Nevyřízený verdikt byl obejit: Uživateli se zobrazila stránka s detonací, ale zprávu přehlušil, aby otevřel adresu URL.

Zahájení automatizovaného vyšetřování a reakce v Průzkumníku hrozeb

Automatizované vyšetřování a reakce (AIR) v plánu Defender pro Office 365 Plan 2 může ušetřit čas a úsilí při vyšetřování a zmírnění kybernetických útoků. Můžete nakonfigurovat výstrahy, které aktivují playbook zabezpečení, a spustit prostředí AIR v Průzkumníku hrozeb. Podrobnosti najdete v tématu Příklad: Správce zabezpečení aktivuje šetření z Průzkumníka.

Prozkoumání e-mailu pomocí stránky entity Email