Spor og reager på nye trusler med kampagner i Microsoft Defender for Office 365
Kampagner kan bruges til at spore og reagere på nye trusler, fordi kampagner giver dig mulighed for at undersøge et koordineret mailangreb mod din organisation. Når nye trusler er målrettet din organisation, registrerer og korrelerer Microsoft Defender for Office 365 automatisk skadelige meddelelser.
Det skal du bruge
- Microsoft Defender for Office 365 Plan 2 (inkluderet i E5-planer).
- Tilstrækkelige tilladelser (rollen Sikkerhedslæser).
- Fem til ti minutter til at udføre disse trin.
Hvad er en kampagne i Microsoft Defender for Office 365
En kampagne er et koordineret mailangreb mod en eller mange organisationer. Mailangreb, der stjæler legitimationsoplysninger og virksomhedsdata, er en stor og indbringende branche. Efterhånden som teknologier til at stoppe angreb vokser og formere sig, ændrer angribere deres metoder for at fortsætte deres succes.
Microsoft udnytter store mængder data om anti-phishing, anti-spam og antimalware på tværs af hele tjenesten for at hjælpe med at identificere kampagner. Vi analyserer og klassificerer angrebsoplysningerne i henhold til flere faktorer, f.eks.:
- Angrebskilde: Kilde-IP-adresserne og afsendermaildomænerne.
- Meddelelsesegenskaber: Meddelelsernes indhold, typografi og tone.
- Meddelelsesmodtagere: Hvordan modtagere er relaterede, f.eks. modtagerdomæner, funktioner for modtagerjob (f.eks. administratorer og direktører), virksomhedstyper (f.eks. store, små, offentlige og private) og brancher.
- Nyttedata for angreb: Ondsindede links, vedhæftede filer eller andre nyttedata i meddelelserne.
En kampagne kan være kortlevende eller kunne strække sig over flere dage, uger eller måneder med aktive og inaktive perioder. En kampagne kan blive startet i forhold til din specifikke organisation, eller din organisation kan være en del af en større kampagne på tværs af flere virksomheder.
Tip
Hvis du vil vide mere om de data, der er tilgængelige i en kampagne, skal du læse Kampagnevisninger i Microsoft Defender for Office 365.
Se videoen Udforsk kampagnevisninger
Undersøgelse af en mistænkelig mailkampagne ved hjælp af trusselsrapporter
Hvis en kampagne har målrettet din organisation, og du gerne vil vide mere om effekten:
- Gå til kampagnesiden.
- Vælg det kampagnenavn, du vil undersøge.
- Ved åbning af pop op-vinduet skal du vælge Download trusselsrapport.
- Åbn trusselsrapporten, så giver den flere oplysninger om kampagnen. Oplysningerne i rapporten omfatter:
- Resumé: Overordnet oversigt over kampagnetypen og antallet af brugere, der er målrettet i din organisation.
- Analyse: Tidslinjediagram over, hvornår kampagnen startede, antallet af meddelelser, der er målrettet til din organisation, samt destinationen og dommene i meddelelserne.
- Angrebs oprindelse: Top afsendelse af IP-adresser og domæner med et antal meddelelser, der blev leveret til indbakker i din organisation. Dette giver dig mulighed for at undersøge, hvem der er målrettet til din organisation.
- Mailskabelon og nyttedata: Emnelinjen for de mails, der var en del af kampagnen og URL-adresserne (og deres hyppighed), der er til stede som en del af kampagnen.
- Anbefalinger: Anbefalinger til næste trin til afhjælpning af meddelelser.
Undersøg indbakkede meddelelser, der er en del af en mailtrusselkampagne
- Gå til kampagnesiden.
- Rul gennem listen over kampagner i visningen Detaljer under grafen.
- Vælg det kampagnenavn, du vil undersøge. Hvis kampagnen har et klikantal på mere end nul, angiver det, at en bruger i din organisation har klikket på en URL-adresse eller downloadet en fil fra mailen.
- I pop op-vinduet til kampagnen vises flere oplysninger om kampagnen, grafen viser en tidslinje for kampagnen fra kampagnestart til slutdato, og det vandrette flowdiagram viser faserne i kampagnen fra dens oprindelse, dommen og den aktuelle placering af meddelelserne.
- Under rutediagrammet skal du vælge fanen URL-klik for at få vist oplysninger om kliket. Her kan du se den bruger, der har klikket på en URL-adresse, hvis brugeren er mærket som en prioritetskontobruger, selve URL-adressen og tidspunktet for klik.
- Hvis du vil vide mere om de indbakkede og klikkede meddelelser, skal du vælge Udforsk meddelelser>indbakkede meddelelser. En ny fane åbnes og navigerer til Threat Explorer.
- I detaljevisningen af Stifinder kan du se Seneste levering for at afgøre, om en meddelelse stadig er i indbakken eller er blevet flyttet i karantæne af systemets ZAP. Hvis du vil have flere oplysninger om den specifikke meddelelse, skal du vælge meddelelsen. Pop op-vinduet indeholder ekstra oplysninger. Når du vælger siden Åbn mailobjekt øverst til venstre i pop op-vinduet, åbnes en ny fane, og du får yderligere oplysninger om meddelelsen.
- Hvis du vil udføre en handling og flytte meddelelserne ud af indbakken, kan du markere meddelelsen og derefter vælge Udfør handling>Flyt til mappen Uønsket mail. Dette sikrer, at din bruger ikke fortsætter med at interagere med den skadelige meddelelse, der kan resultere i et potentielt brud.
Næste trin
Du kan få mere at vide ved at læse Kampagnevisninger i Microsoft Defender for Office 365.