Prošetření škodlivých e-mailů doručených v Microsoftu 365

• Platí pro:

  ✅ Microsoft Defender for Office 365 plan 1 and plan 2, ✅ Microsoft 365 Defender

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v programu Microsoft 365 Defender for Office 365 Plan 2? Využijte 90denní zkušební verzi programu Defender for Office 365 v centru zkušebních verzí portálu Microsoft 365 Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Microsoft Defender pro Office 365 umožňuje prozkoumat aktivity, které vystavují lidi ve vaší organizaci riziku, a podniknout kroky k ochraně vaší organizace. Pokud jste například součástí bezpečnostního týmu vaší organizace, můžete najít a prozkoumat podezřelé e-mailové zprávy, které byly doručeny. Můžete to provést pomocí Průzkumníka hrozeb (nebo detekce v reálném čase).

Poznámka

Tady přejděte na článek o nápravě.

Než začnete

Ujistěte se, že jsou splněny následující požadavky:

• Vaše organizace má Microsoft Defender pro Office 365 a licence se přiřazují uživatelům.

• Protokolování auditu je pro vaši organizaci zapnuté (ve výchozím nastavení je zapnuté).

• Vaše organizace má definované zásady pro ochranu proti spamu, malwaru, phishingu a tak dále. Viz Ochrana před hrozbami v Office 365.

• Jste globální správce nebo máte na portálu Microsoft 365 Defender přiřazenou roli Správce zabezpečení nebo Hledat a vyprázdnit. Další informace najdete v tématu Oprávnění na portálu Microsoft 365 Defender. U některých akcí musíte mít také přiřazenou roli Preview.

Oprávnění role ve verzi Preview

Pokud chcete provádět určité akce, jako je zobrazení záhlaví zpráv nebo stahování obsahu e-mailových zpráv, musíte mít roli Preview přidanou do jiné příslušné skupiny rolí. Následující tabulka vysvětluje požadované role a oprávnění.

Activity	Skupina rolí	Potřebujete roli preview?
Analýza hrozeb pomocí Průzkumníka hrozeb (a detekce v reálném čase)	Globální správce Správce zabezpečení Čtenář zabezpečení	Ne
Použití Průzkumníka hrozeb (a detekce v reálném čase) k zobrazení záhlaví e-mailových zpráv a také k náhledu a stahování e-mailových zpráv v karanténě	Globální správce Správce zabezpečení Čtenář zabezpečení	Ne
Pomocí Průzkumníka hrozeb můžete zobrazit záhlaví, zobrazit náhled e-mailů (jenom na stránce e-mailové entity) a stahovat e-mailové zprávy doručované do poštovních schránek.	Globální správce Správce zabezpečení Čtenář zabezpečení Náhled	Ano

Poznámka

Verze Preview je role, ne skupina rolí. Role Preview se musí přidat do existující skupiny rolí nebo nové skupiny rolí na portálu Microsoft 365 Defender. Další informace najdete v tématu Oprávnění na portálu Microsoft 365 Defender.

Role globálního správce má přiřazenou Centrum pro správu Microsoftu 365 na adrese https://admin.microsoft.com. Role Správce zabezpečení a Čtenář zabezpečení se přiřazují na portálu Microsoft 365 Defender.

Chápeme, že náhled a stahování e-mailů jsou citlivé aktivity, proto je pro tyto aktivity povolené auditování. Jakmile správce provede tyto aktivity v e-mailu, protokoly auditu se vygenerují pro stejné, které se zobrazí na portálu Microsoft 365 Defender na https://security.microsoft.com kartě Hledání auditu> a vyfiltrují jméno správce v poli Uživatelé. Filtrované výsledky zobrazí aktivitu AdminMailAccess. Výběrem řádku zobrazíte podrobnosti v části Další informace o náhledu nebo stažených e-mailech.

Vyhledání doručované podezřelé e-maily

Průzkumník hrozeb je výkonná sestava, která může sloužit k několika účelům, jako je hledání a odstraňování zpráv, identifikace IP adresy odesílatele e-mailu se zlými úmysly nebo zahájení incidentu pro účely dalšího šetření. Následující postup se zaměřuje na použití Průzkumníka k vyhledání a odstranění škodlivých e-mailů z poštovních schránek příjemce.

Poznámka

Výchozí hledání v Průzkumníkovi v současné době nezahrnuje doručené položky, které byly odebrány z cloudové poštovní schránky automatickým vymazáním (ZAP) nulou. Toto omezení se vztahuje na všechna zobrazení (například Email > Malware nebo Email > phish). Pokud chcete zahrnout položky odebrané zap, musíte přidat sadu akce doručení , aby zahrnovala odebrané zap. Pokud zahrnete všechny možnosti, zobrazí se všechny výsledky akce doručení, včetně položek odebraných zap.

1. Na portálu Microsoft 365 Defender na adrese https://security.microsoft.compřejděte do průzkumníka Email & spolupráce> . Pokud chcete přejít přímo na stránku Průzkumníka , použijte https://security.microsoft.com/threatexplorer.

   Na stránce Průzkumník se ve sloupci Další akce zobrazuje správcům výsledek zpracování e-mailu. Sloupec Další akce je přístupný na stejném místě jako akce doručení a umístění doručení. Zvláštní akce se můžou aktualizovat na konci časové osy e-mailu Průzkumníka hrozeb, což je nová funkce zaměřená na zlepšení prostředí proaktivního vyhledávání pro správce.

2. V nabídce Zobrazení zvolte v rozevíracím seznamu Email>Všechny e-maily.

   

   Zobrazení Malware je aktuálně výchozí a zaznamenává e-maily, ve kterých je zjištěna malwarová hrozba. Pohled na phish funguje stejným způsobem, pro Phish.

   V zobrazení Všechny e-maily se ale zobrazí seznam všech e-mailů přijatých organizací bez ohledu na to, jestli byly nebo nebyly zjištěny hrozby. Jak si dokážete představit, jedná se o velké množství dat, což je důvod, proč toto zobrazení zobrazuje zástupný symbol, který žádá o použití filtru. (Toto zobrazení je dostupné jenom pro zákazníky Defender pro Office 365 P2.)

   V zobrazení Odeslání se zobrazí všechny e-maily odeslané správcem nebo uživatelem, které byly nahlášeny Společnosti Microsoft.

3. Hledání a filtrování v Průzkumníku hrozeb: V horní části stránky na panelu hledání se zobrazí filtry, které správcům pomůžou při vyšetřování. Všimněte si, že najednou je možné použít více filtrů a do filtru se přidá více hodnot oddělených čárkami, aby se hledání zúžilo. Pamatujte:

   • Filtry u většiny podmínek filtru přesně odpovídají.
   • Filtr předmětu používá dotaz CONTAINS. Dotaz CONTAINS bude hledat přesnou shodu podřetěžce. Zástupné é nebo regulární výrazy nejsou podporovány.
   • Filtry adres URL fungují s protokoly nebo bez protokolů (např. https).
   • Filtry domény adresy URL, cesty URL a domény a cesty url nevyžadují protokol k filtrování.
   • Abyste získali relevantní výsledky, musíte při každé změně hodnot filtru kliknout na ikonu Aktualizovat.

4. Rozšířené filtry: S těmito filtry můžete vytvářet složité dotazy a filtrovat datovou sadu. Kliknutím na Rozšířené filtry se otevře informační panel s možnostmi.

   Rozšířené filtrování je skvělým doplňkem k možnostem vyhledávání. Logická hodnota NOT ve filtrech domény Příjemce, Odesílatel a Odesílatel umožňuje správcům zkoumat vyloučením hodnot. Tato možnost je možnost Rovná se žádné z výběru. Tato možnost umožňuje správcům vyloučit nežádoucí poštovní schránky z vyšetřování (například poštovní schránky upozornění a výchozí poštovní schránky odpovědí) a je užitečná v případech, kdy správci hledají konkrétní předmět (například Pozornost), kde příjemce lze nastavit na Hodnotu Rovná se žádný z: defaultMail@contoso.com. Toto je přesné hledání hodnot.

   

   Přidání časového filtru k počátečnímu a koncovému datu pomůže vašemu bezpečnostnímu týmu rychle přejít k podrobnostem. Nejkratší povolená doba trvání je 30 minut. Pokud můžete podezřelou akci zúžit podle časového rámce (například k tomu došlo před 3 hodinami), omezíte tím kontext a pomůžete určit problém.

   

5. Pole v Průzkumníku hrozeb: Průzkumník hrozeb zveřejňuje mnohem více informací o poště souvisejících se zabezpečením, jako jsou akce doručení, umístění doručení, zvláštní akce, směrovost, přepsání a hrozba adresy URL. Umožňuje také týmu zabezpečení vaší organizace, aby provedl šetření s vyšší jistotou.

   Akce doručení je akce, která se provede u e-mailu kvůli existujícím zásadám nebo detekci. Tady jsou možné akce, které může e-mail provést:

   • Doručeno – e-mail se doručil do doručené pošty nebo složky uživatele a uživatel k němu má přímý přístup.
   • Nevyžádaná pošta (doručeno na nevyžádanou poštu) – e-mail byl odeslán do složky s nevyžádanou poštou nebo do složky odstraněné uživatelem a uživatel má přístup k e-mailovým zprávám ve složce Nevyžádaná pošta nebo Odstraněná pošta.
   • Blokované – všechny e-mailové zprávy, které jsou v karanténě, které selhaly nebo byly vyřazeny.
   • Nahrazeno – všechny e-maily, u kterých jsou škodlivé přílohy nahrazeny soubory .txt s informacemi, že příloha je škodlivá.

   Umístění doručení: Filtr umístění doručení je k dispozici, aby správci lépe pochopili, kde podezřelá škodlivá pošta skončila a jaké akce s ní byly podniknuty. Výsledná data je možné exportovat do tabulky. Možná místa doručení jsou:

   • Doručená pošta nebo složka – e-mail je ve složce Doručená pošta nebo v konkrétní složce podle pravidel e-mailu.
   • Místní nebo externí – Poštovní schránka neexistuje v cloudu, ale je místní.
   • Nevyžádaná pošta – e-mail je ve složce Nevyžádaná pošta uživatele.
   • Složka Odstraněná pošta – e-mail je ve složce Odstraněná pošta uživatele.
   • Karanténa – e-mail v karanténě, nikoli v poštovní schránce uživatele.
   • Selhání – e-mail se nepodařilo spojit s poštovní schránkou.
   • Přehozeno – e-mail se ztratil někde v toku pošty.

   Směrovost: Tato možnost umožňuje týmu pro operace zabezpečení filtrovat podle směru, ze který pošta pochází nebo probíhá. Hodnoty směrovost jsou Příchozí, Odchozí a Uvnitř organizace (odpovídající e-mailu přicházejícímu do vaší organizace zvenčí, odeslanému mimo organizaci nebo internímu odeslání do vaší organizace). Tyto informace můžou týmům operací zabezpečení pomoct odhalit falšování identity a zosobnění, protože bude zřejmé neshody mezi hodnotou Směrodatnost (např. Příchozí) a doménou odesílatele (která se zdá být interní doménou). Hodnota Směrovost je samostatná a může se od trasování zpráv lišit. Výsledky je možné exportovat do tabulky.

   Přepsání: Tento filtr přebírá informace, které se zobrazují na kartě podrobností pošty, a používá je k odhalení toho, kde byly přepsány zásady organizace nebo uživatele pro povolení a blokování e-mailů. Nejdůležitější na tomto filtru je, že pomáhá týmu zabezpečení vaší organizace zjistit, kolik podezřelých e-mailů bylo doručeno kvůli konfiguraci. To jim dává možnost upravit povolení a bloky podle potřeby. Tuto sadu výsledků tohoto filtru je možné exportovat do tabulky.

   Přepsání Průzkumníka hrozeb	Co znamenají
   Povolené zásadami organizace	Pošta byla povolena do poštovní schránky podle pokynů zásad organizace.
   Blokováno zásadami organizace	Doručování pošty do poštovní schránky bylo zablokováno podle pokynů zásad organizace.
   Přípona souboru blokovaná zásadami organizace	Doručení souboru do poštovní schránky bylo zablokováno podle pokynů zásad organizace.
   Povolené zásadami uživatele	Pošta byla povolena do poštovní schránky podle pokynů zásad uživatele.
   Blokováno zásadami uživatele	Doručování pošty do poštovní schránky bylo zablokováno podle pokynů zásad uživatele.

   Hrozba adresy URL: Na kartě podrobností e-mailu je uvedené pole url hrozby, které označuje hrozbu, kterou představuje adresa URL. Hrozby prezentované adresou URL můžou zahrnovat malware, phish nebo spam a adresa URL bez hrozby bude v části hrozby uvádět Žádné .

6. Email zobrazení časové osy: Váš tým pro operace zabezpečení možná bude muset podrobně prozkoumat podrobnosti e-mailu, aby je mohl podrobněji prozkoumat. Časová osa e-mailu umožňuje správcům zobrazit akce provedené u e-mailu od doručení až po doručení. Pokud chcete zobrazit časovou osu e-mailu, klikněte na předmět e-mailové zprávy a potom klikněte na Email časovou osu. (Zobrazuje se mezi dalšími nadpisy na panelu, například Souhrn nebo Podrobnosti.) Tyto výsledky je možné exportovat do tabulky.

   Email časová osa se otevře v tabulce, která zobrazuje všechny události doručení a po doručení e-mailu. Pokud s e-mailem nejsou žádné další akce, měla by se zobrazit jedna událost původního doručení, která uvádí výsledek, například Blokovaný, s verdiktem, jako je Phish. Správci můžou exportovat celou časovou osu e-mailu, včetně všech podrobností na kartě a e-mailu (například Předmět, Odesílatel, Příjemce, Síť a ID zprávy). Časová osa e-mailu omezuje náhodnost, protože je méně času stráveného kontrolou různých umístění, aby se pokusili porozumět událostem, ke kterým došlo od doručení e-mailu. Když se v e-mailu nebo v jeho blízkosti současně stane více událostí, zobrazí se tyto události v zobrazení časové osy.

7. Preview/ download: Průzkumník hrozeb poskytuje týmu pro operace zabezpečení podrobnosti, které potřebuje k prošetření podezřelých e-mailů. Váš tým pro operace zabezpečení může:

   • Zkontrolujte akci doručení a umístění.

   • Zobrazte časovou osu e-mailu.

Kontrola akce doručení a umístění

V Průzkumníku hrozeb (a detekcích v reálném čase) teď máte sloupce Akce doručení a Místo předchozího sloupce Stav doručení . Výsledkem je úplnější přehled o tom, kam se vaše e-mailové zprávy dostanou. Cílem této změny je usnadnit šetření týmům pro operace zabezpečení, ale čistým výsledkem je přehledné zjištění umístění problémových e-mailových zpráv.

Stav doručení je teď rozdělený do dvou sloupců:

• Akce doručení – Jaký je stav tohoto e-mailu?
• Místo doručení – kam se tento e-mail přesměroval v důsledku toho?

Akce doručení je akce, která se provede u e-mailu kvůli existujícím zásadám nebo detekci. Tady jsou možné akce, které může e-mail provést:

• Doručeno – e-mail se doručil do doručené pošty nebo složky uživatele a uživatel k němu má přímý přístup.
• Nevyžádaná pošta – e-mail byl odeslán do složky s nevyžádanou poštou nebo do složky odstraněné uživatelem a uživatel má přístup k e-mailovým zprávám ve složce Nevyžádaná pošta nebo Odstraněná pošta.
• Blokované – všechny e-mailové zprávy, které jsou v karanténě, které selhaly nebo byly vyřazeny.
• Nahrazeno – všechny e-maily, u kterých jsou škodlivé přílohy nahrazeny .txt soubory s informacemi, že příloha je škodlivá.

Umístění doručení zobrazuje výsledky zásad a detekcí, které se spouští po doručení. Je propojená s akcí doručení. Toto pole bylo přidáno, aby bylo možné získat přehled o akci, která se provede při nalezení problémového e-mailu. Tady jsou možné hodnoty místa doručení:

• Doručená pošta nebo složka – e-mail je ve složce Doručená pošta nebo ve složce (podle pravidel e-mailu).
• Místní nebo externí – poštovní schránka neexistuje v cloudu, ale je místní.
• Nevyžádaná pošta – e-mail je ve složce Nevyžádaná pošta uživatele.
• Složka Odstraněná pošta – e-mail je ve složce Odstraněná pošta uživatele.
• Karanténa – e-mail v karanténě, nikoli v poštovní schránce uživatele.
• Selhání – e-mail se nepodařilo spojit s poštovní schránkou.
• Přehozeno – e-mail se ztratí někde v toku pošty.

Zobrazení časové osy e-mailu

Email Časová osa je pole v Průzkumníku hrozeb, které usnadňuje proaktivní vyhledávání pro tým operací zabezpečení. Pokud v e-mailu dojde k více událostem ve stejnou dobu nebo blízko k nim, zobrazí se tyto události v zobrazení časové osy. Některé události, ke kterým dochází po doručení do e-mailu, jsou zaznamenány ve sloupci Speciální akce . Kombinování informací z časové osy e-mailové zprávy se zvláštními akcemi, které byly podniknuty po doručení, poskytuje správcům přehled o zásadách a řešení hrozeb (například kam byla pošta směrována a v některých případech, jaké bylo konečné posouzení).

Důležité

Tady přejděte na téma nápravy.

Související témata

Náprava škodlivých e-mailů doručených v Office 365

Microsoft Defender pro Office 365

Ochrana před hrozbami v Office 365

Zobrazení sestav pro Defender pro Office 365