Undersøg skadelig mail, der blev leveret i Microsoft 365

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Microsoft 365-organisationer, der har Microsoft Defender for Office 365 inkluderet i deres abonnement eller købt som et tilføjelsesprogram, har Explorer (også kendt som Threat Explorer) eller registreringer i realtid. Disse funktioner er effektive værktøjer i næsten realtid, der hjælper SecOps-teams (Security Operations) med at undersøge og reagere på trusler. Du kan få flere oplysninger under Om Trusselsoversigt og registreringer i realtid i Microsoft Defender for Office 365.

Trusselsoversigt og registreringer i realtid giver dig mulighed for at undersøge aktiviteter, der sætter personer i din organisation i fare, og udføre handlinger for at beskytte din organisation. Det kan f.eks. være:

• Find og slet meddelelser.
• Identificer IP-adressen på en ondsindet mailsender.
• Start en hændelse for yderligere undersøgelse.

I denne artikel forklares det, hvordan du bruger Trusselsstifinder og registreringer i realtid til at finde skadelige mails i modtagerpostkasser.

Tip

Hvis du vil gå direkte til afhjælpningsprocedurerne, skal du se Afhjælp skadelig mail, der er leveret i Office 365.

Du kan se andre mailscenarier ved hjælp af Threat Explorer og registreringer i realtid i følgende artikler:

• Trusselsjagt i Threat Explorer og registreringer i realtid i Microsoft Defender for Office 365
• Mailsikkerhed med Threat Explorer og registreringer i realtid i Microsoft Defender for Office 365

Hvad har du brug for at vide, før du begynder?

• Threat Explorer er inkluderet i Defender for Office 365 Plan 2. Registreringer i realtid er inkluderet i Defender for Office Plan 1:

  • Forskellene mellem Trusselsoversigt og Realtidsregistreringer er beskrevet i Om Threat Explorer og registreringer i realtid i Microsoft Defender for Office 365.
  • Forskellene mellem Defender for Office 365 Plan 2 og Defender for Office Plan 1 er beskrevet i snydearket Defender for Office 365 Plan 1 vs. Plan 2.

• For filteregenskaber, der kræver, at du vælger en eller flere tilgængelige værdier, har brugen af egenskaben i filterbetingelsen med alle de valgte værdier det samme resultat som ikke at bruge egenskaben i filterbetingelsen.

• Du kan få oplysninger om tilladelser og licenskrav til Trusselsoversigt og registreringer i realtid under Tilladelser og licenser til Threat Explorer og registreringer i realtid.

Find mistænkelig mail, der blev leveret

1. Brug et af følgende trin til at åbne Trusselsoversigt eller Registreringer i realtid:

   • Threat Explorer: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Security>Explorer. Du kan også gå direkte til siden Stifinder ved at bruge https://security.microsoft.com/threatexplorerv3.
   • Registreringer i realtid: I Defender-portalen på https://security.microsoft.comskal du gå til Mail & Sikkerhedsregistreringer> irealtid. Du kan også gå direkte til siden Registreringer i realtid ved at bruge https://security.microsoft.com/realtimereportsv3.

2. Vælg en passende visning på siden Stifinder - eller realtidsregistreringer :

   • Threat Explorer: Kontrollér, at visningen Alle mails er valgt.
   • Registreringer i realtid: Kontrollér, at visningen Malware er valgt, eller vælg visningen Phish.

3. Vælg dato-/klokkeslætsintervallet. Standarden er i går og i dag.

   

4. Create en eller flere filterbetingelser ved hjælp af nogle eller alle af følgende målrettede egenskaber og værdier. Du kan finde komplette instruktioner under Egenskabsfiltre i Threat Explorer og registreringer i realtid. Det kan f.eks. være:

   • Leveringshandling: Den handling, der udføres på en mail på grund af eksisterende politikker eller registreringer. Nyttige værdier er:

     • Leveret: Mail leveres til brugerens indbakke eller en anden mappe, hvor brugeren kan få adgang til meddelelsen.
     • Uønsket mail: Mail, der leveres til brugerens mappe med uønsket mail eller mappen Slettet post, hvor brugeren kan få adgang til meddelelsen.
     • Blokeret: Mailmeddelelser, der er sat i karantæne, som ikke blev leveret, eller som blev droppet.

   • Oprindelig leveringsplacering: Hvor mailen gik, før systemets eller administratorens automatiske eller manuelle handlinger efter levering blev leveret (f.eks. ZAP eller flyttet til karantæne). Nyttige værdier er:

     • Mappen Slettet post
     • Mistet: Meddelelsen gik tabt et sted i mailflowet.
     • Mislykket: Meddelelsen kunne ikke få forbindelse til postkassen.
     • Indbakke/mappe
     • Mappen Uønsket mail
     • I det lokale miljø/eksternt: Postkassen findes ikke i Microsoft 365-organisationen.
     • Karantæne
     • Ukendt: Efter levering flyttede en indbakkeregel f.eks. meddelelsen til en standardmappe (f.eks. Kladde eller Arkiv) i stedet for til mappen Indbakke eller Uønsket mail.

   • Placering af seneste levering: Hvor mailen sluttede efter eventuelle automatiske eller manuelle handlinger efter levering af systemet eller administratorer. De samme værdier er tilgængelige fra Den oprindelige leveringsplacering.

   • Retningsbestemthed: Gyldige værdier er:

     • Indgående
     • Intern organisation
     • Udgående

     Disse oplysninger kan hjælpe med at identificere spoofing og repræsentation. Meddelelser fra interne domænesendere skal f.eks. være Intern organisation og ikke Indgående.

   • Yderligere handling: Gyldige værdier er:

     • Automatiseret afhjælpning (Defender for Office 365 Plan 2)
     • Dynamisk levering: Du kan få flere oplysninger under Dynamisk levering i Politikker for vedhæftede filer, der er tillid til.
     • Manuel afhjælpning
     • Ingen
     • Karantænefrigivelse
     • Genbehandlet: Meddelelsen blev identificeret med tilbagevirkende kraft som god.
     • ZAP: Du kan få flere oplysninger under Automatisk rensning på nul timer (ZAP) i Microsoft Defender for Office 365.

   • Primær tilsidesættelse: Hvis organisations- eller brugerindstillinger er tilladt eller blokerede meddelelser, der ellers ville være blevet blokeret eller tilladt. Værdierne er:

     • Tilladt efter organisationspolitik
     • Tilladt af brugerpolitik
     • Blokeret af organisationspolitik
     • Blokeret af brugerpolitik
     • Ingen

     Disse kategorier er yderligere afgrænset af egenskaben Primær tilsidesættelseskilde .

   • Primær tilsidesættelseskilde Den type organisationspolitik eller brugerindstilling, der tillader eller blokerede meddelelser, som ellers ville være blevet blokeret eller tilladt. Værdierne er:

     • Tredjepartsfilter
     • Administration påbegyndte tidsrejser
     • Blokering af antimalwarepolitik efter filtype: Filter for almindelige vedhæftede filer i politikker til antimalware
     • Indstillinger for antispampolitik
     • Forbindelsespolitik: Konfigurer forbindelsesfiltrering
     • Exchange-transportregel (regel for mailflow)
     • Udelt tilstand (brugertilsidesættelse): Indstillingen Hav kun tillid til mailadresser fra adresser på listen Afsendere og domæner, der er tillid til og lister, der er tillid til i samlingen af sikre lister i en postkasse.
     • Filtreringen blev sprunget over pga. organisationen i det lokale miljø
     • IP-områdefilter fra politik: Filteret Fra disse lande filtrerer i politikker mod spam.
     • Sprogfilter fra politik: Filteret Indeholder bestemte sprog i politikker til bekæmpelse af spam.
     • Phishingsimulering: Konfigurer phishing-simuleringer fra tredjepart i den avancerede leveringspolitik
     • Karantænefrigivelse: Frigiv karantænemail
     • SecOps-postkasse: Konfigurer SecOps-postkasser i politikken for avanceret levering
     • Afsenderadresseliste (Administration Tilsidesættelse): Listen over tilladte afsendere eller listen over blokerede afsendere i politikker til bekæmpelse af spam.
     • Afsenderadresseliste (brugertilsidesættelse): Afsendermailadresser på listen Blokerede afsendere i samlingen af sikre lister i en postkasse.
     • Afsenderdomæneliste (Administration Tilsidesættelse): Listen over tilladte domæner eller listen over blokerede domæner i politikker til bekæmpelse af spam.
     • Liste over afsenderdomæner (brugertilsidesættelse): Afsenderdomæner på listen Blokerede afsendere i gruppen af sikre lister i en postkasse.
     • Blokering af listefil for lejer: Create blokere poster for filer
     • Mailadresseblok for lejerens tilladelse/blokering af liste over afsendere: Create blokerede poster for domæner og mailadresser
     • Lejerens tilladelses-/bloklistepoofblok: Create blokposter for spoofede afsendere
     • Blokering af URL-adresse til lejerliste: Create blokeringsposter for URL-adresser
     • Liste over kontakter, der er tillid til (brugertilsidesættelse): Indstillingen Hav tillid til mail fra mine kontakter i gruppen af sikre lister i en postkasse.
     • Blokering af listefil for lejer: Create blokere poster for filer
     • Domæne, der er tillid til (brugertilsidesættelse): Afsenderdomæner på listen Afsendere, der er tillid til i samlingen af sikre lister i en postkasse.
     • Modtager, der er tillid til (brugertilsidesættelse): Modtagermailadresser eller domæner på listen Modtagere, der er tillid til i samlingen af sikre lister i en postkasse.
     • Kun afsendere, der er tillid til (brugertilsidesættelse): Indstillingen Kun sikker Lister: Det er kun mails fra personer eller domæner på listen Afsendere, der er tillid til eller Listen Modtagere, der er tillid til, der leveres til din indbakke i samlingen af sikre lister i en postkasse.

   • Tilsidesæt kilde: De samme tilgængelige værdier som den primære tilsidesættelseskilde.

     Tip

     Under fanen Mail (visning) i detaljeområdet i visningerne Alle mails, Malware og Phish kaldes de tilsvarende tilsidesættelseskolonner kilden Systemtilsidesættelser og Systemtilsidesættelser.

   • URL-trussel: Gyldige værdier er:

     • Malware
     • Phish
     • Spam

5. Når du er færdig med at konfigurere dato-/klokkeslæts- og egenskabsfiltre, skal du vælge Opdater.

Fanen Mail (visning) i detaljeområdet i visningerne Alle mails, Malware eller Phish indeholder de oplysninger, du skal bruge for at undersøge mistænkelige mails.

Brug f.eks. kolonnerne Leveringshandling, Oprindelig leveringsplacering og Sidste leveringsplacering under fanen Mail (visning) til at få et komplet billede af, hvor de berørte meddelelser blev sendt. Værdierne blev forklaret i trin 4.

Brug Eksportér til selektivt at eksportere op til 200.000 filtrerede eller ufiltrerede resultater til en CSV-fil.

Afhjælp skadelig mail, der blev leveret

Når du har identificeret de skadelige mails, der blev leveret, kan du fjerne dem fra modtagerpostkasser. Du kan finde instruktioner under Afhjælpning af skadelig mail, der er leveret i Microsoft 365.

Relaterede artikler

Afhjælp skadelig mail leveret i Office 365

Microsoft Defender for Office 365

Få vist rapporter for Defender for Office 365