Mailanalyse i undersøgelser af Microsoft Defender for Office 365
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Under den automatiserede undersøgelse af beskeder analyserer Microsoft Defender for Office 365 den oprindelige mail for trusler og identificerer andre mailmeddelelser, der er relateret til den oprindelige mail og muligvis en del af et angreb. Denne analyse er vigtig, fordi mailangreb sjældent består af en enkelt mail.
Den automatiserede undersøgelses mailanalyse identificerer mailklynger ved hjælp af attributter fra den oprindelige mail til forespørgsel om mail, der er sendt og modtaget af din organisation. Denne analyse svarer til, hvordan en sikkerhedsanalytiker ville jage efter den relaterede mail i Explorer eller Advanced Hunting. Flere forespørgsler bruges til at identificere matchende mails, fordi hackere typisk omformer mailparametrene for at undgå sikkerhedsregistrering. Klyngeanalysen udfører disse kontroller for at bestemme, hvordan mails, der er involveret i undersøgelsen, skal håndteres:
- Mailanalysen opretter forespørgsler (klynger) af mail ved hjælp af attributter fra den oprindelige mail: afsenderværdier (IP-adresse, afsenderdomæne) og indhold (emne, klynge-id) for at finde mail, der kan være relateret.
- Hvis analysen af den oprindelige mails URL-adresser og filer identificerer, at nogle er skadelige (dvs. malware eller phishing), opretter den også forespørgsler eller klynger af mails, der indeholder den skadelige URL-adresse eller fil.
- Analyse af mailklynger tæller de trusler, der er knyttet til den lignende mail i klyngen, for at afgøre, om mailen er ondsindet, mistænkelig eller ikke har nogen klare trusler. Hvis klyngen af mail, der matcher forespørgslen, har en tilstrækkelig mængde spam, normal phishing, phishing med høj tillid eller malwaretrusler, får mailklyngen den trusselstype anvendt på den.
- Analysen af mailklynger kontrollerer også den seneste leveringsplacering for den oprindelige mail og meddelelserne i mailklyngerne for at hjælpe med at identificere meddelelser, der potentielt har brug for fjernelse, eller som allerede er blevet afhjulpet eller forhindret. Denne analyse er vigtig, fordi hackere omformer skadeligt indhold samt sikkerhedspolitikker, og beskyttelse kan variere mellem postkasser. Denne funktion fører til situationer, hvor skadeligt indhold stadig kan være placeret i postkasser, selvom en eller flere skadelige mails er blevet forhindret eller registreret og fjernet med automatisk sletning på nul timer (ZAP).
- Mailklynger, der betragtes som skadelige på grund af malware, phishing med høj tillid, skadelige filer eller skadelige URL-trusler, får en ventende handling til blød sletning af meddelelser, der stadig findes i cloudpostkassen (indbakke- eller uønsket mail-mapper). Hvis ondsindede mail- eller mailklynger er "Ikke i postkasse" (blokeret, sat i karantæne, mislykket, blød slettet osv.) eller "I det lokale miljø/eksternt" uden nogen i cloudpostkassen, er der ikke konfigureret nogen ventende handlinger til at fjerne dem.
- Hvis nogen af mailklyngerne bestemmes for at være skadelige, så anvendes den trussel, der er identificeret af klyngen, tilbage til den oprindelige mail, der er involveret i undersøgelsen. Denne funktionsmåde svarer til en analytiker af sikkerhedshandlinger, der bruger resultater af e-mail-jagt til at fastslå dommen i en oprindelig mail baseret på lignende mail. Dette resultat sikrer, at uanset om der registreres URL-adresser, filer eller indikatorer for kildemails i en oprindelig mail, kan systemet identificere skadelige mails, der potentielt undgår registrering via tilpasning, omformning, omgåelse eller andre teknikker til hackerformål.
- I undersøgelsen af, om brugeren går på kompromis, oprettes der yderligere mailklynger for at identificere potentielle mailproblemer, der er oprettet af postkassen. Denne proces omfatter en ren mailklynge (god mail fra bruger, potentiel dataudfiltrering og potentiel kommando-/kontrolmail), mistænkelige mailklynger (mail, der indeholder spam eller normal phishing) og ondsindede mailklynger (mail, der indeholder malware eller phishing med høj genkendelsessikkerhed). Disse mailklynger giver analytikere af sikkerhedshandlinger data til at fastslå andre problemer, der muligvis skal løses fra et kompromis, og synlighed af, hvilke meddelelser der kan have udløst de oprindelige beskeder (f.eks. phishing/spam, der udløste begrænsninger for brugersending)
Analyse af mailklynger via lighed og ondsindede objektforespørgsler sikrer, at mailproblemer er fuldt identificeret og ryddet op, selvom kun én mail fra et angreb identificeres. Du kan bruge links fra visningerne af mailklynge i sidepanelet til at åbne forespørgslerne i Stifinder eller Avanceret jagt for at udføre en dybere analyse og ændre forespørgslerne, hvis det er nødvendigt. Denne funktion muliggør manuel afgrænsning og afhjælpning, hvis du finder mailklyngens forespørgsler for smalle eller for brede (herunder ikke-relaterede mails).
Her er yderligere forbedringer af mailanalyser i undersøgelser.
AIR-undersøgelsen ignorerer avancerede leveringselementer (SecOps-postkasser og phishing-simuleringsmeddelelser)
Under analysen af mailklynger ignorerer alle klyngeforespørgsler SecOps-postkasser og URL-adresser til phishing-simulering, der er identificeret som avanceret leveringspolitik. SecOps-postkasser og URL-adresser til phishing-simulering vises ikke i forespørgslen for at gøre klyngeattributterne enkle og nemme at læse. Disse udeladelser sikrer, at meddelelser, der sendes til SecOps-postkasser, og meddelelser, der indeholder URL-adresser til phishing-simulering, ignoreres under trusselsanalysen og fjernes ikke under nogen afhjælpning.
Bemærk!
Når du åbner en mailklynge for at få den vist i Stifinder fra oplysningerne om mailklynge, anvendes filtrene for phishing-simulering og SecOps-postkasse i Stifinder, men de vises ikke. Hvis du ændrer Stifinder-filtre, -datoer eller opdaterer forespørgslen på siden, fjernes de phishingsimulerings-/SecOps-filterudeladelser, og tilsvarende mails vises igen. Hvis du opdaterer siden Stifinder ved hjælp af browserens opdateringsfunktion, genindlæses de oprindelige forespørgselsfiltre, herunder filtrene for phishingsimulering/SecOps, men fjerner eventuelle efterfølgende ændringer, du har foretaget.
AIR-opdateringer afventer status for mailhandling
Undersøgelsens mailanalyse beregner mailtrusler og placeringer på tidspunktet for undersøgelsen for at oprette undersøgelsesviden og -handlinger. Disse data kan blive forældede og forældede, når handlinger uden for undersøgelsen påvirker den mail, der er involveret i undersøgelsen. Manuel jagt og afhjælpning af sikkerhedshandlinger kan f.eks. rydde op i mails, der er inkluderet i en undersøgelse. På samme måde kan sletningshandlinger, der er godkendt i parallelle undersøgelser eller ZAP-automatiske karantænehandlinger, have fjernet mail. Desuden kan forsinkede opdagelser af trusler efter levering af mail ændre antallet af trusler, der er inkluderet i undersøgelsens mailforespørgsler/klynger.
For at sikre at undersøgelseshandlinger er opdaterede, skal undersøgelser, der indeholder ventende handlinger, jævnligt køre mailanalyseforespørgslerne for at opdatere mailplaceringerne og truslerne.
- Når mailklyngedataene ændres, opdateres antallet af trusler og seneste leveringsplaceringer.
- Hvis mail- eller mailklynge med ventende handlinger ikke længere findes i postkassen, annulleres den ventende handling, og den skadelige mail/klynge anses for at være afhjulpet.
- Når alle undersøgelsens trusler er blevet afhjælpet eller annulleret som tidligere beskrevet, overgår undersøgelsen til en afhjælpningstilstand, og den oprindelige besked er løst.
Visning af hændelsesbeviser for mail- og mailklynger
Mailbaserede beviser under fanen Beviser og svar for en hændelse viser nu følgende oplysninger.
Fra de nummererede billedforklatter i figuren:
Du kan udføre afhjælpningshandlinger ud over Løsningscenter.
Du kan udføre afhjælpningshandling for mailklynger med en ondsindet dom (men ikke Mistænkelig).
I forbindelse med mailspam-dommen er phishing opdelt i høj genkendelsessikkerhed og normal phishing.
For en skadelig dom er trusselskategorierne malware, phishing med høj tillid, skadelig URL-adresse og skadelig fil.
For en mistænkelig dom er trusselskategorier spam og normal phishing.
Antallet af mails efter er baseret på den seneste leveringsplacering og indeholder tællere for mail i postkasser, ikke i postkasser og i det lokale miljø.
Indeholder datoen og klokkeslættet for forespørgslen, som muligvis opdateres for de nyeste data.
For mail- eller mailklynger under fanen Enheder i en undersøgelse betyder Forhindret , at der ikke var nogen skadelig mail i postkassen for dette element (mail eller klynge). Her er et eksempel.
I dette eksempel er mailen skadelig, men ikke i en postkasse.