Mailsikkerhed med Threat Explorer og registreringer i realtid i Microsoft Defender for Office 365
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Microsoft 365-organisationer, der har Microsoft Defender for Office 365 inkluderet i deres abonnement eller købt som et tilføjelsesprogram, har Explorer (også kendt som Threat Explorer) eller registreringer i realtid. Disse funktioner er effektive værktøjer i næsten realtid, der hjælper SecOps-teams (Security Operations) med at undersøge og reagere på trusler. Du kan få flere oplysninger under Om Trusselsoversigt og registreringer i realtid i Microsoft Defender for Office 365.
I denne artikel forklares det, hvordan du får vist og undersøger registrerede malware- og phishingforsøg i mails ved hjælp af Threat Explorer eller registreringer i realtid.
Tip
Du kan se andre mailscenarier ved hjælp af Threat Explorer og registreringer i realtid i følgende artikler:
Hvad har du brug for at vide, før du begynder?
Threat Explorer er inkluderet i Defender for Office 365 Plan 2. Registreringer i realtid er inkluderet i Defender for Office Plan 1:
- Forskellene mellem Trusselsoversigt og Realtidsregistreringer er beskrevet i Om Threat Explorer og registreringer i realtid i Microsoft Defender for Office 365.
- Forskellene mellem Defender for Office 365 Plan 2 og Defender for Office Plan 1 er beskrevet i snydearket Defender for Office 365 Plan 1 vs. Plan 2.
Du kan få oplysninger om tilladelser og licenskrav til Trusselsoversigt og registreringer i realtid under Tilladelser og licenser til Threat Explorer og registreringer i realtid.
Vis phishingmail, der er sendt til repræsenterede brugere og domæner
Du kan få flere oplysninger om beskyttelse mod phishing i politikker til beskyttelse mod phishing i Defender for Office 365 under Repræsentationsindstillinger i politikker til bekæmpelse af phishing i Microsoft Defender for Office 365.
I standardpolitikkerne eller brugerdefinerede politikker til bekæmpelse af phishing skal du angive de brugere og domæner, der skal beskyttes mod repræsentation, herunder domæner, du ejer (accepterede domæner). I Standard- eller Strict-forudindstillede sikkerhedspolitikker modtager domæner, som du ejer, automatisk repræsentationsbeskyttelse, men du skal angive eventuelle brugere eller brugerdefinerede domæner til repræsentationsbeskyttelse. Du kan finde instruktioner i følgende artikler:
- Forudindstillede sikkerhedspolitikker i EOP og Microsoft Defender for Office 365
- Konfigurer politikker til bekæmpelse af phishing i Microsoft Defender for Office 365
Brug følgende trin til at gennemse phishingmeddelelser og søge efter repræsenterede brugere eller domæner.
Brug et af følgende trin til at åbne Trusselsoversigt eller Registreringer i realtid:
- Threat Explorer: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Security>Explorer. Du kan også gå direkte til siden Stifinder ved at bruge https://security.microsoft.com/threatexplorerv3.
- Registreringer i realtid: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Sikkerhedsregistreringer> irealtid. Du kan også gå direkte til siden Registreringer i realtid ved at bruge https://security.microsoft.com/realtimereportsv3.
På siden Stifinder - eller realtidsregistreringer skal du vælge visningen Phish . Du kan få flere oplysninger om Phish-visningen i Phish-visningen i Threat Explorer og registreringer i realtid.
Vælg dato-/klokkeslætsintervallet. Standarden er i går og i dag.
Benyt en af følgende fremgangsmåder:
Find alle forsøg på at repræsentere brugere eller domæner:
- Vælg feltet Afsenderadresse (egenskab), og vælg derefter Registreringsteknologi i afsnittet Grundlæggende på rullelisten.
- Bekræft , at Equal af er valgt som filteroperator.
- I feltet egenskabsværdi skal du vælge Repræsentationsdomæne og Repræsentationsbruger
Find bestemte repræsenterede brugerforsøg:
- Vælg feltet Afsenderadresse (egenskab), og vælg derefter Repræsenteret bruger i afsnittet Grundlæggende på rullelisten.
- Bekræft , at Equal af er valgt som filteroperator.
- Angiv modtagerens fulde mailadresse i feltet med egenskabsværdien. Adskil flere modtagerværdier med kommaer.
Find specifikke repræsenterede domæneforsøg:
- Vælg feltet Afsenderadresse (egenskab), og vælg derefter Repræsenteret domæne i afsnittet Grundlæggende på rullelisten.
- Bekræft , at Equal af er valgt som filteroperator.
- Angiv domænet (f.eks. contoso.com) i feltet egenskabsværdi. Adskil flere domæneværdier med kommaer.
Angiv flere betingelser ved hjælp af andre egenskaber, der kan filtreres efter behov. Du kan finde instruktioner under Egenskabsfiltre i Threat Explorer og registreringer i realtid.
Når du er færdig med at oprette filterbetingelserne, skal du vælge Opdater.
Kontrollér, at fanen Mail (visning) er valgt i detaljeområdet under diagrammet.
Du kan sortere posterne og få vist flere kolonner som beskrevet i Mailvisning for detaljeområdet for Phish-visningen i Threat Explorer og registreringer i realtid.
Hvis du vælger emneværdien for en post i tabellen, åbnes der et pop op-vindue med mailoplysninger. Dette pop op-vindue med detaljer er kendt som panelet Mailoversigt og indeholder standardiserede oversigtsoplysninger, der også er tilgængelige på enhedssiden Mail for meddelelsen.
Du kan finde oplysninger om oplysningerne i panelet Mailoversigt i panelet Mailoversigt.
Du kan finde oplysninger om de tilgængelige handlinger øverst i panelet Mailoversigt for Trusselsstifinder og registreringer i realtid under Mailoplysninger fra visningen Mail i detaljeområdet i visningen Alle mails (de samme handlinger er også tilgængelige i Phish-visningen ).
Hvis du vælger værdien Modtager for en post i tabellen, åbnes der et andet pop op-vindue med detaljer. Du kan finde flere oplysninger under Modtageroplysninger fra mailvisningen i detaljeområdet i visningen Phish.
Eksportér klikdata for URL-adresse
Du kan eksportere URL-adressens klikdata til en CSV-fil for at få vist værdierne for Netværksmeddelelses-id og Klik på dom , hvilket hjælper med at forklare, hvor URL-adressens kliktrafik kom fra.
Brug et af følgende trin til at åbne Trusselsoversigt eller Registreringer i realtid:
- Threat Explorer: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Security>Explorer. Du kan også gå direkte til siden Stifinder ved at bruge https://security.microsoft.com/threatexplorerv3.
- Registreringer i realtid: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Sikkerhedsregistreringer> irealtid. Du kan også gå direkte til siden Registreringer i realtid ved at bruge https://security.microsoft.com/realtimereportsv3.
På siden Stifinder - eller realtidsregistreringer skal du vælge visningen Phish . Du kan få flere oplysninger om Phish-visningen i Phish-visningen i Threat Explorer og registreringer i realtid.
Vælg dato-/klokkeslætsintervallet, og vælg derefter Opdater. Standarden er i går og i dag.
I detaljeområdet skal du vælge fanen Top URL-adresser eller Fanen Top clicks (visning).
I visningen Øverste URL-adresser eller De øverste klik skal du vælge en eller flere poster i tabellen ved at markere afkrydsningsfeltet ud for den første kolonne og derefter vælge Eksportér. Opdagelsesrejsende>Phish>Klik>Øverste URL-adresser eller URL-adresse De øverste klik> vælger en post for at åbne URL-pop op-vinduet.
Du kan bruge værdien netværksmeddelelses-id til at søge efter bestemte meddelelser i Threat Explorer eller registreringer i realtid eller eksterne værktøjer. Disse søgninger identificerer den mail, der er knyttet til et klikresultat. At have det korrelerede netværksmeddelelses-id giver hurtigere og mere effektive analyser.
Vis malware, der er registreret i en mail
Brug følgende trin i Threat Explorer eller registreringer i realtid for at se den malware, der er registreret i en mail af Microsoft 365.
Brug et af følgende trin til at åbne Trusselsoversigt eller Registreringer i realtid:
- Threat Explorer: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Security>Explorer. Du kan også gå direkte til siden Stifinder ved at bruge https://security.microsoft.com/threatexplorerv3.
- Registreringer i realtid: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Sikkerhedsregistreringer> irealtid. Du kan også gå direkte til siden Registreringer i realtid ved at bruge https://security.microsoft.com/realtimereportsv3.
På siden Stifinder - eller realtidsregistreringer skal du vælge visningen Malware . Du kan få flere oplysninger om Phish-visningen i Malwarevisning i Threat Explorer og registreringer i realtid.
Vælg dato-/klokkeslætsintervallet. Standarden er i går og i dag.
Vælg feltet Afsenderadresse (egenskab), og vælg derefter Registreringsteknologi i afsnittet Grundlæggende på rullelisten.
- Bekræft , at Equal af er valgt som filteroperator.
- Vælg en eller flere af følgende værdier i feltet egenskabsværdi:
- Beskyttelse mod malware
- Fildeonation
- Omdømme for fildeonation
- Filomdømme
- Matchende fingeraftryk
Angiv flere betingelser ved hjælp af andre egenskaber, der kan filtreres efter behov. Du kan finde instruktioner under Egenskabsfiltre i Threat Explorer og registreringer i realtid.
Når du er færdig med at oprette filterbetingelserne, skal du vælge Opdater.
Rapporten viser de resultater, som malware har registreret i en mail, ved hjælp af de teknologiindstillinger, du har valgt. Herfra kan du foretage yderligere analyser.
Rapportmeddelelser som rene
Du kan bruge siden Indsendelser på Defender-portalen på https://security.microsoft.com/reportsubmission til at rapportere meddelelser som rene (falske positiver) til Microsoft. Men du kan også sende meddelelser som rene til Microsoft fra Handlingen i Threat Explorer eller på enhedssiden Mail.
Du kan finde instruktioner under Trusselssøgning: Guiden Udfør handling.
Opsummering:
Vælg Udfør handling på en af følgende måder:
- Vælg en eller flere meddelelser i detaljetabellen under fanen Mail (visning) i visningerne Alle mails, Malware eller Phish ved at markere afkrydsningsfelterne for posterne.
Eller
- I pop op-vinduet med detaljer, når du har valgt en meddelelse i detaljetabellen under fanen Mail (visning) i visningerne Alle mails, Malware eller Phish ved at klikke på emneværdien .
I guiden Udfør handling skal du vælge Send til Microsoft til gennemsyn>Jeg har bekræftet, at den er ren.
Vis phishing-URL-adresse, og klik på domsdata
Safe Links Protection sporer URL-adresser, der er tilladt, blokeret og tilsidesat. Beskyttelse af sikre links er som standard slået til takket være indbygget beskyttelse i forudindstillede sikkerhedspolitikker. Beskyttelse af sikre links er aktiveret i standard- og strenge forudindstillede sikkerhedspolitikker. Du kan også oprette og konfigurere beskyttelse af sikre links i brugerdefinerede politikker for sikre links. Du kan få flere oplysninger om politikindstillingerne for Sikre links under Politikindstillinger for sikre links.
Brug følgende trin til at se phishingforsøg ved hjælp af URL-adresser i mails.
Brug et af følgende trin til at åbne Trusselsoversigt eller Registreringer i realtid:
- Threat Explorer: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Security>Explorer. Du kan også gå direkte til siden Stifinder ved at bruge https://security.microsoft.com/threatexplorerv3.
- Registreringer i realtid: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Sikkerhedsregistreringer> irealtid. Du kan også gå direkte til siden Registreringer i realtid ved at bruge https://security.microsoft.com/realtimereportsv3.
På siden Stifinder - eller realtidsregistreringer skal du vælge visningen Phish . Du kan få flere oplysninger om Phish-visningen i Phish-visningen i Threat Explorer og registreringer i realtid.
Vælg dato-/klokkeslætsintervallet. Standarden er i går og i dag.
Vælg feltet Afsenderadresse (egenskab), og vælg derefter Klik på dom i sektionen URL-adresser på rullelisten.
- Bekræft , at Equal af er valgt som filteroperator.
- Vælg en eller flere af følgende værdier i feltet egenskabsværdi:
- Blokeret
- Blokeret tilsidesat
Du kan få forklaringer af Click-dommens værdier under Klik på dom i Egenskaber, der kan filtreres i visningen Alle mails i Threat Explorer.
Angiv flere betingelser ved hjælp af andre egenskaber, der kan filtreres efter behov. Du kan finde instruktioner under Egenskabsfiltre i Threat Explorer og registreringer i realtid.
Når du er færdig med at oprette filterbetingelserne, skal du vælge Opdater.
Fanen Øverste URL-adresser (visning) i detaljeområdet under diagrammet viser antallet af blokerede meddelelser, uønsket meddelelse og meddelelser, der er leveret for de øverste fem URL-adresser. Du kan finde flere oplysninger i Visningen Øverste URL-adresser for at få oplysninger om detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid.
Fanen Med de øverste klik (visning) i detaljeområdet under diagrammet vises de fem mest klikkede links, der er ombrudt af Sikre links. URL-klik på links, der ikke er føjet til, vises ikke her. Du kan finde flere oplysninger i Visningen Med de øverste klik for at få oplysninger om detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid.
Disse URL-tabeller viser URL-adresser, der blev blokeret eller besøgt på trods af en advarsel. Disse oplysninger viser de potentielle forkerte links, der blev præsenteret for brugerne. Herfra kan du foretage yderligere analyser.
Vælg en URL-adresse fra en post i visningen for at få flere oplysninger. Du kan finde flere oplysninger under URL-oplysninger om de øverste URL-adresser og fanerne Med de vigtigste klik i phishvisning.
Tip
I pop op-vinduet med url-oplysninger fjernes filtreringen på mailmeddelelser for at få vist den fulde visning af URL-adressens eksponering i dit miljø. Denne funktionsmåde giver dig mulighed for at filtrere efter bestemte mails, finde bestemte URL-adresser, der er potentielle trusler, og derefter udvide din forståelse af eksponeringen af URL-adresser i dit miljø uden at skulle tilføje URL-filtre i Phish-visningen .
Fortolkning af click-dommene
Resultaterne af egenskaben Klik på dom kan ses på følgende placeringer:
- Klik på pivotdiagrammet dom for url-klikvisningen for detaljeområdet i visningen Alle mails (kun Threat Explorer) eller Phish
- Visning med de mest populære klik for detaljeområdet i visningen Alle mails i Threat Explorer
- Visning med de mest populære klik for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid
- Visning af de mest populære klik for detaljeområdet i visningen URL-klik i Threat Explorer
Dommens værdier er beskrevet på følgende liste:
- Tilladt: Brugeren fik tilladelse til at åbne URL-adressen.
- Blok tilsidesat: Brugeren blev blokeret fra at åbne URL-adressen direkte, men brugeren tilsidesætter blokken for at åbne URL-adressen.
- Blokeret: Brugeren blev blokeret fra at åbne URL-adressen.
- Fejl: Brugeren blev præsenteret for fejlsiden, eller der opstod en fejl under hentning af dommen.
- Fejl: Der opstod en ukendt undtagelse under hentning af dommen. Brugeren har muligvis åbnet URL-adressen.
- Ingen: Dommen for URL-adressen kunne ikke registreres. Brugeren har muligvis åbnet URL-adressen.
- Afventer dom: Brugeren blev præsenteret for den ventende side med detonation.
- Afventende dom blev tilsidesat: Brugeren blev præsenteret for detonationssiden, men de tilsidesætter meddelelsen for at åbne URL-adressen.
Start automatiseret undersøgelse og svar i Threat Explorer
Automatiseret undersøgelse og svar (AIR) i Defender for Office 365 Plan 2 kan spare tid og kræfter, når du undersøger og afhjælper cyberangreb. Du kan konfigurere beskeder, der udløser en sikkerhedslegebog, og du kan starte AIR i Threat Explorer. Du kan finde flere oplysninger under Eksempel: En sikkerhedsadministrator udløser en undersøgelse fra Stifinder.