Undersøg skadelig mail, der blev leveret i Microsoft 365

Tip

Vidste du, at du kan prøve funktionerne i Microsoft 365 Defender for Office 365 Plan 2 gratis? Brug den 90-dages prøveversion af Defender for Office 365 på Microsoft 365 Defender Portal-prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Gælder for:

Microsoft Defender for Office 365 giver dig mulighed for at undersøge aktiviteter, der sætter personer i din organisation i fare, og udføre handlinger for at beskytte din organisation. Hvis du f.eks. er en del af organisationens sikkerhedsteam, kan du finde og undersøge mistænkelige mails, der blev leveret. Det kan du gøre ved hjælp af Threat Explorer (eller registreringer i realtid).

Bemærk!

Gå til artiklen om afhjælpning her.

Før du begynder

Sørg for, at følgende krav er opfyldt:

Visning af rolletilladelser

Hvis du vil udføre visse handlinger, f.eks. visning af brevhoveder eller hentning af mailindhold, skal du have rollen Eksempel føjet til en anden relevant rollegruppe. I følgende tabel vises de påkrævede roller og tilladelser.

Aktivitet Rollegruppe Skal du have en forhåndsvisningsrolle?
Brug Threat Explorer (og registreringer i realtid) til at analysere trusler Global administrator

Sikkerhedsadministrator

Sikkerhedslæser

Nej
Brug Threat Explorer (og registreringer i realtid) til at få vist headere for mails samt få vist og downloade karantænerede mails Global administrator

Sikkerhedsadministrator

Sikkerhedslæser

Nej
Brug Threat Explorer til at få vist brevhoveder, få vist mail (kun på mailenhedssiden) og downloade mails, der er leveret til postkasser Global administrator

Sikkerhedsadministrator

Sikkerhedslæser

Preview

Ja

Bemærk!

Eksempel er en rolle, ikke en rollegruppe. Eksempelrollen skal føjes til en eksisterende rollegruppe eller en ny rollegruppe på Microsoft 365 Defender portalen. Du kan få flere oplysninger under Tilladelser på Microsoft 365 Defender-portalen.

Rollen Global administrator tildeles Microsoft 365 Administration på https://admin.microsoft.com. Rollerne Sikkerhedsadministrator og Sikkerhedslæser tildeles på Microsoft 365 Defender portal.

Vi forstår, at eksempelvisning og download af mail er følsomme aktiviteter, så overvågning er aktiveret for disse aktiviteter. Når en administrator udfører disse aktiviteter på mail, oprettes overvågningslogge for det samme og kan ses på Microsoft 365 Defender portalen under https://security.microsoft.com fanen Overvågningssøgning> og filtrere på administratornavnet i feltet Brugere. De filtrerede resultater viser aktiviteten AdminMailAccess. Vælg en række for at få vist detaljer i afsnittet Flere oplysninger om forhåndsvist eller downloadet mail.

Find mistænkelig mail, der blev leveret

Threat Explorer er en effektiv rapport, der kan tjene flere formål, f.eks. at finde og slette meddelelser, identificere IP-adressen for en ondsindet mailafsender eller starte en hændelse for yderligere undersøgelse. I følgende procedure fokuseres der på, hvordan du bruger Stifinder til at finde og slette skadelige mails fra modtagerens postkasser.

Bemærk!

Standardsøgninger i Stifinder omfatter i øjeblikket ikke leverede elementer, der blev fjernet fra cloudpostkassen med automatisk udrensning på nul timer . Denne begrænsning gælder for alle visninger (f.eks. mailmalware>- eller mail-phishvisninger>). Hvis du vil medtage elementer, der er fjernet af ZAP, skal du tilføje et handlingssæt af typen Levering , der skal inkludere Fjernet af ZAP. Hvis du inkluderer alle indstillinger, får du vist alle resultater af leveringshandlingen, herunder elementer, der er fjernet af ZAP.

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comskal du gå tilMailsamarbejdsstifinder&> . Hvis du vil gå direkte til siden Stifinder , skal du bruge https://security.microsoft.com/threatexplorer.

    På siden Stifinder viser kolonnen Yderligere handlinger , hvordan administratorer behandler en mail. Du kan få adgang til kolonnen Yderligere handlinger på samme sted som leveringshandlingen og leveringsplaceringen. Særlige handlinger kan blive opdateret i slutningen af Threat Explorers mailtidslinje, som er en ny funktion, der har til formål at gøre jagtoplevelsen bedre for administratorer.

  2. I menuen Vis skal du vælge Mail>alle mails på rullelisten.

    Rullelisten Malware

    Visningen Malware er i øjeblikket standard og registrerer mails, hvor der registreres en malwaretrussel. Phish-visningen fungerer på samme måde for Phish.

    Alle mails vises dog på en liste over alle mails, der modtages af organisationen, uanset om der blev registreret trusler eller ej. Som du kan forestille dig, er dette en masse data, og derfor viser denne visning en pladsholder, hvor der anmodes om et filter. Denne visning er kun tilgængelig for Defender for Office 365 P2-kunder.

    Visningen Indsendelser viser alle mails, der er sendt af administratoren eller brugeren, og som blev rapporteret til Microsoft.

  3. Søg og filtre i Threat Explorer: Filtre vises øverst på siden i søgelinjen for at hjælpe administratorer med deres undersøgelser. Bemærk, at der kan anvendes flere filtre på samme tid, og at der kan føjes flere kommaseparerede værdier til et filter for at indsnævre søgningen. Huske:

    • Filtre matcher nøjagtigt på de fleste filterbetingelser.
    • Emnefilteret bruger en CONTAINS-forespørgsel.
    • URL-filtre fungerer med eller uden protokoller (f.eks. https).
    • Url-domæne, URL-sti og URL-domæne- og stifiltre kræver ikke en protokol at filtrere.
    • Du skal klikke på ikonet Opdater, hver gang du ændrer filterværdierne for at få relevante resultater.
  4. Avancerede filtre: Med disse filtre kan du oprette komplekse forespørgsler og filtrere dit datasæt. Når du klikker på Avancerede filtre , åbnes et pop op-vindue med indstillinger.

    Avanceret filtrering er en fantastisk tilføjelse til søgefunktioner. En boolesk NOT på domænefiltreneModtager, Afsender og Afsender gør det muligt for administratorer at undersøge det ved at udelade værdier. Denne indstilling er lig med intet valg . Denne indstilling gør det muligt for administratorer at udelade uønskede postkasser fra undersøgelser (f.eks. postkasser til beskeder og standardpostkasser for svar) og er nyttig i de tilfælde, hvor administratorer søger efter et bestemt emne (f.eks. Opmærksomhed), hvor modtageren kan angives til lig med ingen af: defaultMail@contoso.com. Dette er en nøjagtig værdisøgning.

    Ruden Modtagere

    Hvis du føjer et tidsfilter til startdatoen og slutdatoen, hjælper det sikkerhedsteamet med hurtigt at foretage detailudledning. Den korteste tilladte varighed er 30 minutter. Hvis du kan indsnævre den mistænkelige handling efter tidsramme (f.eks. skete det for 3 timer siden), begrænser dette konteksten og hjælper med at identificere problemet.

    Indstillingen Filtrering efter timer

  5. Felter i Threat Explorer: Threat Explorer fremviser meget flere sikkerhedsrelaterede mailoplysninger, f.eks . Leveringshandling, Leveringsplacering, Særlig handling, Retningsbestemthed, Tilsidesættelser og URL-trussel. Det giver også organisationens sikkerhedsteam mulighed for at undersøge det med større sikkerhed.

    Leveringshandling er den handling, der udføres på en mail på grund af eksisterende politikker eller registreringer. Her er de mulige handlinger, en mail kan tage:

    • Leveret – mailen blev leveret til en brugers indbakke eller mappe, og brugeren kan få direkte adgang til den.
    • Uønsket mail (leveret til uønsket mail) – mail blev sendt til enten brugerens mappe med uønsket mail eller slettet mappe, og brugeren har adgang til mails i mappen Uønsket eller Slettet.
    • Blokeret – alle mails, der er sat i karantæne, som mislykkedes eller blev fjernet.
    • Erstattet – alle mails, hvor skadelige vedhæftede filer erstattes af .txt filer, der angiver, at den vedhæftede fil var skadelig

    Leveringsplacering: Filteret Leveringsplacering er tilgængeligt for at hjælpe administratorer med at forstå, hvor mistanken om skadelig mail endte, og hvilke handlinger der blev udført på den. De resulterende data kan eksporteres til regneark. Mulige leveringssteder er:

    • Indbakke eller mappe – mailen er i indbakken eller en bestemt mappe i henhold til dine mailregler.
    • I det lokale miljø eller eksternt – postkassen findes ikke i cloudmiljøet, men er i det lokale miljø.
    • Mappen Uønsket mail – mailen er i en brugers mappe med uønsket mail.
    • Mappen Slettet post – mailen er i en brugers mappe Slettet post.
    • Quarantine – mailen i karantæne og ikke i en brugers postkasse.
    • Mislykkedes – Mailen kunne ikke få adgang til postkassen.
    • Droppet – mailen gik tabt et sted i mailflowet.

    Retningsbestemthed: Denne indstilling gør det muligt for dit team af sikkerhedshandlinger at filtrere efter den "retning", som en mail kommer fra, eller den er i gang. Retningsbestemthedsværdier er indgående, udgående og intern organisation (svarende til mails, der kommer udefra til din organisation, sendes ud af din organisation eller sendes internt til din organisation). Disse oplysninger kan hjælpe sikkerhedshandlinger teams med at spotte spoofing og repræsentation, fordi en uoverensstemmelse mellem retningsbestemthedsværdien (f.eks. indgående) og afsenderens domæne (som ser ud til at være et internt domæne) vil være tydelig! Værdien for Retningsbestemthed er separat og kan afvige fra meddelelsessporingen. Resultater kan eksporteres til regneark.

    Tilsidesættelser: Dette filter tager oplysninger, der vises på fanen med oplysninger om mailen, og bruger dem til at vise, hvor organisationens eller brugerens politikker for tilladelse og blokering af mails er blevet tilsidesat. Det vigtigste ved dette filter er, at det hjælper din organisations sikkerhedsteam med at se, hvor mange mistænkelige mails der blev leveret på grund af konfigurationen. Dette giver dem mulighed for at ændre tillader og blokke efter behov. Dette resultatsæt for dette filter kan eksporteres til et regneark.

    Tilsidesættelser af Threat Explorer Hvad de betyder
    Tilladt af organisationspolitik Mail blev tilladt i postkassen som angivet i organisationspolitikken.
    Blokeret af organisationens politik Mail blev blokeret fra levering til postkassen som angivet i organisationspolitikken.
    Filtypenavnet er blokeret af organisationspolitikken Filen blev blokeret fra levering til postkassen som angivet i organisationspolitikken.
    Tilladt af brugerpolitik Mail blev tilladt i postkassen som angivet af brugerpolitikken.
    Blokeret af brugerpolitik Mail blev blokeret fra levering til postkassen som angivet af brugerpolitikken.

    URL-trussel: URL-trusselsfeltet er blevet inkluderet under fanen Detaljer i en mail for at angive den trussel, der er præsenteret af en URL-adresse. Trusler, der præsenteres af en URL-adresse, kan omfatte malware, phish eller spam, og en URL-adresse uden trussel vil sige Ingen i afsnittet om trusler.

  6. Visning af mailtidslinje: Dit team for sikkerhedshandlinger skal muligvis gå i dybden med mailoplysninger for at undersøge det nærmere. Mailtidslinjen giver administratorer mulighed for at få vist de handlinger, der udføres på en mail fra levering til efter levering. Hvis du vil have vist en mailtidslinje, skal du klikke på emnet i en mail og derefter klikke på Mailtidslinje. (Det vises blandt andre overskrifter i panelet, f.eks. Oversigt eller Detaljer). Disse resultater kan eksporteres til regneark.

    Mailtidslinjen åbnes i en tabel, der viser alle leverings- og efterleveringshændelser for mailen. Hvis der ikke er yderligere handlinger i mailen, bør du se en enkelt hændelse for den oprindelige levering, der angiver et resultat, f.eks . Blokeret, med en dom som Phish. Administratorer kan eksportere hele mailtidslinjen, herunder alle detaljer under fanen og mail (f.eks. Emne, Afsender, Modtager, Netværk og Meddelelses-id). Mailtidslinjen skærer ned på randomisering, fordi der er mindre tid brugt på at kontrollere forskellige placeringer for at forsøge at forstå hændelser, der er sket, siden mailen ankom. Når der sker flere hændelser på eller tæt på på samme tid i en mail, vises disse hændelser i en tidslinjevisning.

  7. Prøveversion/download: Threat Explorer giver dit team af sikkerhedshandlinger de oplysninger, de har brug for til at undersøge mistænkelig mail. Dit team af sikkerhedshandlinger kan enten:

Kontrollér leveringshandlingen og placeringen

I Threat Explorer (og registreringer i realtid) har du nu kolonnerne Leveringshandling og Leveringsplacering i stedet for den tidligere kolonne Leveringsstatus . Dette resulterer i et mere komplet billede af, hvor dine mails lander. En del af målet med denne ændring er at gøre undersøgelser nemmere for sikkerhedsteams, men nettoresultatet er at kende placeringen af problemmails på et øjeblik.

Leveringsstatus er nu opdelt i to kolonner:

  • Leveringshandling - Hvad er status for denne mail?
  • Leveringssted – Hvor blev denne mail distribueret som et resultat?

Leveringshandling er den handling, der udføres på en mail på grund af eksisterende politikker eller registreringer. Her er de mulige handlinger, en mail kan tage:

  • Leveret – mailen blev leveret til en brugers indbakke eller mappe, og brugeren kan få direkte adgang til den.
  • Uønsket mail – mail blev sendt til brugerens mappe med uønsket mail eller slettet mappe, og brugeren har adgang til mails i mappen Uønsket eller Slettet.
  • Blokeret – alle mails, der er sat i karantæne, som mislykkedes eller blev fjernet.
  • Erstattet – alle mails, hvor skadelige vedhæftede filer erstattes af .txt filer, der angiver, at den vedhæftede fil var skadelig.

Leveringsplaceringen viser resultaterne af politikker og registreringer, der kører efter levering. Den er knyttet til en leveringshandling. Dette felt blev tilføjet for at give indsigt i den handling, der udføres, når der findes en problemmail. Her er de mulige værdier for leveringsplacering:

  • Indbakke eller mappe – mailen er i indbakken eller en mappe (i henhold til dine mailregler).
  • I det lokale miljø eller eksternt – postkassen findes ikke i skyen, men den er i det lokale miljø.
  • Mappen Uønsket mail – mailen er i en brugers mappe med uønsket mail.
  • Mappen Slettet post – mailen er i en brugers mappe Slettet post.
  • Quarantine – mailen i karantæne og ikke i en brugers postkasse.
  • Mislykkedes – Mailen kunne ikke få adgang til postkassen.
  • Droppet – mailen går tabt et sted i mailflowet.

Få vist tidslinjen for din mail

Mailtidslinje er et felt i Threat Explorer, der gør jagt nemmere for dit team af sikkerhedshandlinger. Når der sker flere hændelser på eller tæt på samme tid i en mail, vises disse hændelser i en tidslinjevisning. Nogle hændelser, der sker efter levering til mail, registreres i kolonnen Specielle handlinger . Ved at kombinere oplysninger fra tidslinjen for en mail med eventuelle særlige handlinger, der blev udført efter levering, får administratorer indsigt i politikker og trusselshåndtering (f.eks. hvor mailen blev distribueret, og i nogle tilfælde, hvad den endelige vurdering var).

Vigtigt!

Gå til et afhjælpningsemne her.

Afhjælp skadelig mail leveret i Office 365

Microsoft Defender for Office 365

Beskyt mod trusler i Office 365

Få vist rapporter for Defender for Office 365