Uhkien metsästys Threat Explorerissa ja reaaliaikaiset tunnistamiset Microsoft Defender for Office 365
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Microsoft 365 -organisaatioilla, joilla on Microsoft Defender for Office 365 sisältyvät tilaukseensa tai jotka on ostettu lisäosana, on Explorer (tunnetaan myös nimellä Threat Explorer) tai reaaliaikaisia tunnistuksia. Nämä ominaisuudet ovat tehokkaita, lähes reaaliaikaisia työkaluja, joiden avulla security operations (SecOps) -tiimit voivat tutkia uhkia ja vastata niihin. Lisätietoja on artikkelissa Tietoja uhkienhallinnasta ja reaaliaikaisia tunnistuksia Microsoft Defender for Office 365.
Threat Explorerin tai reaaliaikaisten tunnistusten avulla voit suorittaa seuraavat toiminnot:
- Katso Microsoft 365:n suojausominaisuuksien havaitsemat haittaohjelmat.
- Näytä tietojenkalastelun URL-osoite ja napsauta tuomion tietoja.
- Aloita automatisoitu tutkimus- ja reagointiprosessi (vain Threat Explorer).
- Tutki haitallisia sähköpostiviestejä.
- Ja paljon muuta.
Katso tästä lyhyestä videosta, miten voit etsiä ja tutkia sähköposti- ja yhteistyöuhkia Defender for Office 365 avulla.
Vihje
Kehittynyt metsästys Microsoft Defender XDR tukee helppokäyttöistä kyselyn muodostinta, joka ei käytä Kusto Query Languagea (KQL). Lisätietoja on artikkelissa Kyselyjen luominen ohjatun tilan avulla.
Seuraavat tiedot ovat saatavilla tässä artikkelissa:
- Uhkienhallinnan ja reaaliaikaisten tunnistusten yleiset ohjeet
- Uhkien metsästyskokemus Uhkienhallinnan ja reaaliaikaisten tunnistusten avulla
- Uhkienhallinnan laajennetut ominaisuudet
Vihje
Seuraavissa artikkeleissa on sähköpostiskenaarioita, joissa käytetään Uhkien hallintaa ja reaaliaikaisia tunnistuksia:
- Sähköpostisuojaus Threat Explorerin ja reaaliaikaisten tunnistusten avulla Microsoft Defender for Office 365
- Microsoft 365:ssä toimitettujen haitallisten sähköpostien tutkiminen
Jos etsit hyökkäyksiä, jotka perustuvat QR-koodeihin upotettuihin haitallisiin URL-osoitteisiin, URL-lähdesuodattimen arvon QR-koodi Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymistä Uhkienhallinnassa tai Reaaliaikaiset tunnistuksia -toiminnolla voit hakea sähköpostiviestiä QR-koodeista poimittujen URL-osoitteiden avulla.
Mitä on hyvä tietää ennen aloittamista?
Threat Explorer sisältyy Defender for Office 365 suunnitelmaan 2. Reaaliaikaiset tunnistamiset sisältyvät Defender for Officen palvelupakettiin 1:
- Threat Explorerin ja reaaliaikaisten tunnistusten väliset erot on kuvattu artikkelissa Tietoja Uhkienhallinnasta ja Reaaliaikaiset tunnistuksia Microsoft Defender for Office 365.
- Defender for Office 365 palvelupaketin 2 ja Defender for Officen palvelupaketin 1 väliset erot on kuvattu Defender for Office 365 palvelupaketin 1 ja palvelupaketin 2 pikaikkunassa.
Uhkienhallinnan ja reaaliaikaisten tunnistusten käyttöoikeudet ja käyttöoikeusvaatimukset ovat kohdassa Uhkienhallinnan ja reaaliaikaisten tunnistusten käyttöoikeudet ja käyttöoikeudet.
Uhkienhallinnan ja reaaliaikaisten tunnistusten vaiheittaiset ohjeet
Threat Explorer tai reaaliaikaiset tunnisteet ovat käytettävissä Microsoft Defender-portaalin Sähköposti & yhteistyö -osassa osoitteessa https://security.microsoft.com:
Reaaliaikaiset tunnistuksia on saatavilla palvelupakettiin 1 Defender for Office 365. Reaaliaikaisten tunnistusten sivu on saatavilla suoraan osoitteessa https://security.microsoft.com/realtimereportsv3.
Uhkienhallinta on käytettävissä palvelupaketin 2 Defender for Office 365. Explorer-sivu on saatavilla suoraan osoitteessa https://security.microsoft.com/threatexplorerv3.
Threat Explorer sisältää samat tiedot ja ominaisuudet kuin reaaliaikaiset tunnistuksia, mutta sisältää seuraavat lisäominaisuudet:
- Lisää näkymiä.
- Lisää ominaisuuksien suodatusasetuksia, mukaan lukien kyselyiden tallennusvaihtoehto.
- Uhkien metsästys- ja korjaustoimet.
Lisätietoja Defender for Office 365 palvelupaketin 1 ja 2 eroista on Defender for Office 365 palvelupaketin 1 ja palvelupaketin 2 pikaohjeissa.
Aloita tutkimus sivun yläreunassa olevien välilehtien (näkymien) avulla.
Uhkienhallinnan ja reaaliaikaisten tunnistusten käytettävissä olevat näkymät on kuvattu seuraavassa taulukossa:
Näytä | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
Kuvaus |
---|---|---|---|
Kaikki sähköpostit | ✔ | Uhkienhallinnan oletusnäkymä. Tietoja kaikista ulkoisten käyttäjien organisaatioosi lähettämiä sähköpostiviestejä tai organisaation sisäisten käyttäjien välillä lähetettyjä sähköpostiviestejä. | |
Haittaohjelma | ✔ | ✔ | Reaaliaikaisten tunnistusten oletusnäkymä. Tietoja haittaohjelmia sisältävistä sähköpostiviesteista. |
Tietojen kalastelu | ✔ | ✔ | Tietoja sähköpostiviesteista, jotka sisältävät tietojenkalasteluuhkia. |
Kampanjat | ✔ | Tietoja haitallisista sähköposteista, jotka Defender for Office 365 palvelupaketti 2 tunnistaa osana koordinoitua tietojenkalastelu- tai haittaohjelmakampanjaa. | |
Sisällön haittaohjelma | ✔ | ✔ | Tietoja seuraavien ominaisuuksien havaitsemista haitallisista tiedostoista: |
URL-osoitteen napsautukset | ✔ | Tietoja käyttäjien napsautuksista sähköpostiviesteissä, Teams-viesteissä, SharePoint-tiedostoissa ja OneDrive-tiedostoissa. |
Tarkenna tuloksia päivämäärä/aika-suodattimen ja näkymän käytettävissä olevien suodatinominaisuuksien avulla:
- Katso ohjeet suodattimien luomiseen kohdasta Ominaisuussuodattimet Uhkienhallinnassa ja Reaaliaikaiset tunnistuksia.
- Kunkin näkymän käytettävissä olevat suodatinominaisuudet on kuvattu seuraavissa sijainneissa:
- Suodatettavat ominaisuudet Threat Explorerin Kaikki sähköposti -näkymässä
- Suodatettavat ominaisuudet Haittaohjelma-näkymässä Threat Explorerissa ja reaaliaikaiset tunnistuksia varten
- Suodatettavissa olevat ominaisuudet Uhkienhallinnan tietojenkalastelunäkymässä ja reaaliaikaisten tunnistuksissa
- Suodatettavat ominaisuudet Threat Explorerin Kampanjat-näkymässä
- Suodatettavat ominaisuudet Uhkienhallinnan Sisältö-haittaohjelmanäkymässä ja reaaliaikaiset tunnistuksia varten
- Suodatettavissa olevat ominaisuudet URL-osoite napsauttaa -näkymää Uhkienhallinnassa
Vihje
Muista valita Päivitä suodattimen luomisen tai päivittämisen jälkeen. Suodattimet vaikuttavat kaavion tietoihin ja näkymän tietoalueeseen.
Voit ajatella kohdistuksen tarkentamista Uhkien hallinnassa tai reaaliaikaisia tunnistuksia kerroksina, jotka helpottavat vaiheiden seuraamista:
- Ensimmäinen kerros on käyttämäsi näkymä.
- Toinen myöhemmin on suodattimet, joita käytät tässä näkymässä.
Voit esimerkiksi jäljittää tekemäsi toimet uhan löytämiseksi tallentamalla tekemäsi päätökset näin: Voit etsiä ongelman Threat Explorerista käyttämällä Haittaohjelma-näkymää ja käyttämällä Vastaanottaja-suodattimen kohdistusta.
Muista myös testata näyttöasetuksiasi. Eri käyttäjäryhmät (esimerkiksi hallinta) saattavat reagoida samojen tietojen eri esityksiin paremmin tai huonommin.
Esimerkiksi Threat Explorerin Kaikki sähköposti -näkymässä Sähköpostin alkuperä - ja Kampanjat-näkymät (välilehdet) ovat käytettävissä sivun alareunan tietoalueella:
Joillekin yleisöille Sähköpostin alkuperä -välilehden maailmankartta voi auttaa näyttämään, kuinka laajalle levinneitä havaitut uhat ovat.
Toiset saattavat pitää taulukon yksityiskohtaisia tietoja Kampanjat-välilehdellä hyödyllisempinä tietojen välittämisessä.
Voit käyttää näitä tietoja seuraavissa tuloksissa:
- Suojauksen tarpeen osoittamiseksi.
- Osoittaakseen myöhemmin kaikkien toimien tehokkuuden.
Sähköpostitutkimus
Kaikki sähköposti-, haittaohjelma- tai tietojenkalastelunäkymät Uhkienhallinnassa tai Reaaliaikaiset tunnistuksia -kohdassa sähköpostiviestien tulokset näytetään taulukossa Sähköposti-välilehdellä (näkymässä) kaavion alapuolella olevalla tietoalueella.
Kun näet epäilyttävän sähköpostiviestin, napsauta merkinnän Aihe-arvoa taulukossa. Näyttöön avautuva tietoikkuna sisältää Avaussähköposti-entiteetin pikaikkunan yläosassa.
Sähköposti-entiteetin sivu kokoaa yhteen kaiken, mitä sinun on tiedettävä viestistä ja sen sisällöstä, jotta voit selvittää, onko viesti uhka. Lisätietoja on artikkelissa Sähköposti-entiteetin sivun yleiskatsaus.
Sähköpostin korjaus
Kun olet toteanut, että sähköpostiviesti on uhka, seuraava vaihe on uhan korjaaminen. Voit korjata uhan Uhkienhallinnassa tai reaaliaikaisia tunnistuksia käyttämällä Toimi-toimintoa.
Toiminto on käytettävissä Kaikki sähköposti-, Haittaohjelma- tai Tietojen kalastelu -näkymissä Threat Explorerissa tai Reaaliaikaiset tunnistuksia Sähköposti-välilehdellä (näkymässä) kaavion alla olevalta tietoalueelta:
Valitse vähintään yksi taulukon merkintä valitsemalla ensimmäisen sarakkeen vieressä oleva valintaruutu. Toiminto on käytettävissä suoraan välilehdessä.
Vihje
Toiminto korvaa avattavan Sanomatoiminnot-luettelon .
Jos valitset enintään 100 merkintää, voit suorittaa viesteille useita toimintoja ohjatussa Toiminto-toiminnossa .
Jos valitset 101 - 200 000 merkintää, ohjatussa Toiminnon suorittaminen -toiminnossa on käytettävissä vain seuraavat toiminnot:
- Uhkienhallinta: Siirry postilaatikkoon ja ehdota korjausta ovat käytettävissä, mutta ne ovat toisensa poissulkevia (voit valita jommankumman).
- Reaaliaikaiset tunnistukset: Lähetä Microsoftille vain tarkistettavaksi ja luo vastaavat salli/estä-merkinnät Vuokraajan salli/estä-luettelossa.
Napsauta taulukon merkinnän Aihe-arvoa . Näyttöön avautuvassa tiedot-pikaikkunassa on Suorita toiminto pikaikkunan yläosassa.
Ohjattu toiminnon suorittaminen
Kun valitset Suorita toiminto , ohjatun toiminnon suorittaminen avautuu pikaikkunassa. Defender for Office 365 palvelupaketin 2 ja Defender for Office 365 palvelupaketin 1 ohjatun toiminnon käytettävissä olevat toiminnot on lueteltu seuraavassa taulukossa:
Toiminta | Defender ille Office 365 palvelupaketti 2 |
Defender ille Office 365 palvelupaketti 1 |
---|---|---|
Siirrä postilaatikkokansioon | ✔¹ | |
Vapauta karanteeniin asetettuja viestejä joillekin tai kaikille alkuperäisille vastaanottajille² | ✔ | |
Lähetä Microsoftille tarkistettavaksi | ✔ | ✔ |
Salli tai estä merkinnät vuokraajan Salli/Estä luettelo³ -kohdassa | ✔ | ✔ |
Aloita automatisoitu tutkinta | ✔ | |
Ehdota korjausta | ✔ |
¹ Tämä toiminto edellyttää haku- ja tyhjennysroolia& yhteiskäyttöoikeuksia. Oletusarvoisesti tämä rooli määritetään vain tietotutkijan ja organisaation hallinnan rooliryhmille. Voit lisätä käyttäjiä kyseisiin rooliryhmiin tai luoda uuden rooliryhmän , jolle on määritetty Hae ja tyhjennä-rooli , ja lisätä käyttäjät mukautettuun rooliryhmään.
² Tämä vaihtoehto on käytettävissä karanteeniin asetetuissa viesteissä, kun valitset siirtosijainniksi Saapuneet .
³ Tämä toiminto on käytettävissä kohdassa Lähetä Microsoftille tarkistettavaksi.
Ohjattu toiminnon luominen on kuvattu seuraavassa luettelossa:
Valitse vastaustoiminnot -sivulla on käytettävissä seuraavat asetukset:
Näytä kaikki vastaustoiminnot: Tämä vaihtoehto on käytettävissä vain Threat Explorerissa.
Oletusarvon mukaan jotkin toiminnot eivät ole käytettävissä tai näkyvät harmaina viestin viimeisimmän toimitussijainnin arvon perusteella. Jos haluat näyttää kaikki käytettävissä olevat vastaustoiminnot, siirrä valitsin Käytössä-kohtaan.
Siirrä postilaatikkokansioon: Valitse jokin käytettävissä olevista arvoista:
Roskaposti: Siirrä viesti Roskaposti-kansioon.
Saapuneet: Siirrä viesti Saapuneet-kansioon. Tämän arvon valitseminen saattaa myös paljastaa seuraavat vaihtoehdot:
Siirrä takaisin Lähetetyt-kansioon: Jos viestin lähetti sisäinen lähettäjä ja viesti poistettiin pehmeästi (siirrettiin Palautettavat kohteet\Poistot-kansioon), tämän vaihtoehdon valitseminen yrittää siirtää viestin takaisin Lähetetyt-kansioon. Tämä asetus on kumoamistoiminto, jos aiemmin valitsit Siirrä postilaatikkoon -kansion>Pehmeät poistetut kohteet ja valitsit viestin poistajan kopion .
Jos sanoman arvo on Karanteeniuusimman toimituksen sijainti -ominaisuudelle, Saapuneet-kansion valitseminen vapauttaa viestin karanteenista, joten käytettävissä ovat myös seuraavat vaihtoehdot:
- Vapauta vähintään yhdelle sähköpostiviestin alkuperäisistä vastaanottajista: Jos valitset tämän arvon, näkyviin tulee ruutu, jossa voit valita karanteeniin asetetun viestin alkuperäiset vastaanottajat tai poistaa niiden valinnan.
- Julkaise kaikille vastaanottajille
Poistetut: Siirrä viesti Poistetut-kansioon.
Pehmeästi poistetut kohteet: Siirrä viesti Palautettavat kohteet\Poistot-kansioon, joka vastaa viestin poistamista Poistetut-kansiosta. Käyttäjä ja järjestelmänvalvojat voivat palauttaa viestin.
Poista lähettäjän kopio: Jos viestin on lähettänyt sisäinen lähettäjä, yritä poistaa viesti myös lähettäjän Lähetetyt-kansiosta.
Vaikeasti poistetut kohteet: Tyhjennä poistettu viesti. Järjestelmänvalvojat voivat palauttaa poistettuja pysyväiskohteita yhden kohteen palautuksen avulla. Lisätietoja poistetuista ja pehmeistä poistetuista kohteista on kohdassa Pehmeästi poistetut ja poistetut kohteet.
Lähetä Microsoftille tarkistettavaksi: Valitse jokin käytettävissä olevista arvoista:
Olen varmistanut, että se on puhdas: Valitse tämä arvo, jos olet varma, että viesti on puhdas. Näkyviin tulevat seuraavat asetukset:
-
Salli tämän kaltaiset viestit: Jos valitset tämän arvon, salli merkinnät lisätään lähettäjän vuokraajan sallittujen tai estettyjen luetteloon ja viestiin liittyviin URL-osoitteisiin tai liitteisiin. Näkyviin tulevat myös seuraavat vaihtoehdot:
- Poista merkintä jälkeen: Oletusarvo on 1 päivä, mutta voit myös valita 7 päivää, 30 päivää tai tietyn päivämäärän , joka on alle 30 päivää.
- Salli merkintähuomautus: Kirjoita valinnainen huomautus, joka sisältää lisätietoja.
-
Salli tämän kaltaiset viestit: Jos valitset tämän arvon, salli merkinnät lisätään lähettäjän vuokraajan sallittujen tai estettyjen luetteloon ja viestiin liittyviin URL-osoitteisiin tai liitteisiin. Näkyviin tulevat myös seuraavat vaihtoehdot:
Se vaikuttaa puhtaalta tai vaikuttaa epäilyttävältä: Valitse jokin näistä arvoista, jos et ole varma ja haluat Microsoftin tuomion.
Olen vahvistanut, että se on uhka: Valitse tämä arvo, jos olet varma, että kohde on haitallinen, ja valitse sitten jokin seuraavista arvoista avautuvasta Valitse luokka -osiosta:
- Tietojen kalastelu
- Haittaohjelma
- Roskaposti
Kun olet valinnut jonkin näistä arvoista, näyttöön avautuu Valitse entiteetit, jotka estävät pikaikkunan, jossa voit valita vähintään yhden viestiin liittyvän entiteetin (lähettäjän osoite, lähettäjän toimialue, URL-osoitteet tai liitetiedostot), joka lisätään lohkomerkinnöiksi Vuokraajan salliminen/estä -luetteloon.
Kun olet valinnut estettävät kohteet, valitse Lisää estääksesi säännönsulkeaksesi Valitse entiteetit estääksesi pikaikkunan. Voit myös valita ei kohteita ja valita sitten Peruuta.
Valitse Valitse vastaustoiminnot -sivulla vanhentumisasetus lohkomerkinnöille:
- Vanhentumispäivä: Valitse päivämäärä, jolloin estomerkinnät vanhenevat.
- Ei vanhene koskaan
Estettyjen entiteettien määrä näytetään (esimerkiksi 4/4 estettävää entiteettiä). Valitse Muokkaa , jos haluat avata uudelleen Lisää estääksesi säännön ja tehdäksesi muutoksia.
Aloita automatisoitu tutkimus: vain Threat Explorer. Valitse jokin seuraavista näkyvistä arvoista:
- Sähköpostin tutkiminen
- Tutki vastaanottajaa
- Tutki lähettäjää: Tämä arvo koskee vain lähettäjiä organisaatiossasi.
- Yhteyshenkilön vastaanottajat
Ehdota korjausta: Valitse jokin seuraavista näkyvistä arvoista:
Luo uusi: Tämä arvo käynnistää pehmeän poiston odottavan toiminnon, joka järjestelmänvalvojan on hyväksyttävä toimintokeskuksessa. Tätä tulosta kutsutaan myös kaksivaiheiseksi hyväksynnäksi.
Lisää aiemmin luotuun: Käytä tätä arvoa, jos haluat käyttää toimintoja tähän aiemmin luodun korjauksen sähköpostiviestiin. Valitse Lähetä sähköpostiviesti seuraavaan korjaukseen -ruudussa olemassa oleva korjaus.
Vihje
SecOps henkilöstö, jolla ei ole riittävästi käyttöoikeuksia, voi käyttää tätä vaihtoehtoa korjauksen luomiseen, mutta jonkun, jolla on käyttöoikeudet, on hyväksyttävä toiminto toimintokeskuksessa.
Kun olet valmis Valitse vastaustoiminnot -sivulla, valitse Seuraava.
Määritä Valitse kohdeentiteetit -sivulla seuraavat asetukset:
- Nimi ja kuvaus: Anna yksilöllinen, kuvaava nimi ja valinnainen kuvaus valitun toiminnon seuraamiseksi ja tunnistamiseksi.
Sivun loppuosa on taulukko, jossa luetellaan kyseiset resurssit. Taulukko on järjestetty seuraavien sarakkeiden mukaan:
-
Resurssi, johon vaikutus kohdistui: Kyseessä olevat resurssit edelliseltä sivulta. Esimerkki:
- Vastaanottajan sähköpostiosoite
- Koko vuokraaja
-
Toiminto: Valitut toiminnot resursseille edelliseltä sivulta. Esimerkki:
-
Tarkistettavat arvot Lähetä Microsoftille -kohdasta:
- Raportti puhtaana
- Raportti
- Ilmoita haittaohjelmaksi, ilmoita roskapostiksi tai ilmoita tietojenkalasteluksi
- Lohkon lähettäjä
- Estä lähettäjän toimialue
- Estä URL-osoite
- Estä liite
-
Automatisoidun tutkimuksen aloittamisen arvot:
- Sähköpostin tutkiminen
- Tutki vastaanottajaa
- Tutki lähettäjää
- Yhteyshenkilön vastaanottajat
-
Ehdota korjausta -arvot:
- Luo uusi korjaus
- Lisää olemassa olevaan korjaukseen
-
Tarkistettavat arvot Lähetä Microsoftille -kohdasta:
-
Kohde-entiteetti: Esimerkiksi:
- Sähköpostiviestin verkkoviestin tunnusarvo .
- Estetty lähettäjän sähköpostiosoite.
- Estetty lähettäjän toimialue.
- Estetty URL-osoite.
- Estetty liite.
-
Vanhentuu: Vain vuokraaja-/salli estetty-luettelon sallittujen tai estettyjen merkintöjen arvot ovat olemassa. Esimerkki:
- Älä koskaan vanhene lohkomerkinnöissä.
- Sallittujen tai estettyjen merkintöjen vanhentumispäivämäärä.
- Laajuus: Yleensä tämä arvo on MDO.
Tässä vaiheessa voit myös kumota joitakin toimintoja. Jos haluat esimerkiksi luoda lohkomerkinnän vain vuokraajan sallittujen ja estettyjen luetteloon lähettämättä entiteettiä Microsoftille, voit tehdä sen täällä.
Kun olet valmis Valitse kohdeentiteetit -sivulla, valitse Seuraava.
Tarkista aiemmat valintasi Tarkista ja lähetä -sivulla.
Valitse Vie , jos haluat viedä kohderesurssit CSV-tiedostoon. Tiedostonimi on oletusarvoisesti Impacted assets.csv sijaitsee Lataukset-kansiossa .
Palaa takaisin ja muuta valintoja valitsemalla Takaisin .
Kun olet valmis Tarkista ja lähetä -sivulla, valitse Lähetä.
Vihje
Toimintojen näkyminen liittyvillä sivuilla saattaa kestää kauan, mutta korjausnopeus ei muutu.
Uhkien metsästyskokemus Uhkienhallinnan ja reaaliaikaisten tunnistusten avulla
Threat Explorerin tai reaaliaikaisten tunnistusten avulla tietoturvatiimisi voi tutkia uhkia ja vastata niihin tehokkaasti. Seuraavissa alakohdissa selitetään, miten Threat Explorer ja reaaliaikaiset tunnistimet voivat auttaa sinua löytämään uhkia.
Uhkien metsästys hälytyksistä
Ilmoitukset-sivu on käytettävissä Defender-portaalissa kohdassa Tapaukset & hälytyksiä> tai suoraan osoitteessa .https://security.microsoft.com/alerts
Monilla hälytyksillä, joiden tunnistuslähteen arvo on MDO , on Näytä viestit Explorerissa -toiminto käytettävissä ilmoituksen tietojen pikaikkunan yläosassa.
Ilmoitustietojen pikaikkuna avautuu, kun napsautat mitä tahansa muuta ilmoitusta kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua. Esimerkki:
- Havaittiin mahdollisesti haitallinen URL-osoitteen napsautus
- Järjestelmänvalvojan lähetyksen tulos on valmis
- Haitallisen URL-osoitteen sisältävät sähköpostiviestit poistettiin toimituksen jälkeen
- Sähköpostiviestit poistettu toimituksen jälkeen
- Haitallisia entiteettejä sisältäviä viestejä ei poistettu toimituksen jälkeen
- Tietojen kalastelua ei ole zapped, koska ZAP on poistettu käytöstä
Kun valitset Näytä viestit Resurssienhallinnassa , Uhkien hallinta avautuu Kaikki sähköposti -näkymään, jossa on ominaisuussuodatin Hälytystunnus valittuna ilmoitukselle. Hälytystunnuksen arvo on ilmoituksen yksilöllinen GUID-arvo (esimerkiksi 89e00cdc-4312-7774-6000-08dc33a24419).
Hälytystunnus on suodatettava ominaisuus seuraavissa Uhkien hallinta- ja Reaaliaikaisten tunnistusten näkymissä:
- Kaikki sähköpostit -näkymä Threat Explorerissa.
- Haittaohjelmanäkymä Threat Explorerissa ja reaaliaikaiset tunnistuksia varten
- Uhkienhallinnan **tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia
Näissä näkymissä ilmoitustunnus on käytettävissä valittavissa olevana sarakkeena kaavion alapuolella olevalla tietoalueella seuraavissa välilehdissä (näkymissä):
- Uhkakeskuksen Kaikki sähköpostit -näkymän tietoalueen Sähköposti-näkymä
- Haittaohjelmanäkymän tietoalueen Sähköposti-näkymä Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
- Tietojenkalastelunäkymän tietoalueen Sähköposti-näkymä Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
Kun napsautat jonkin merkinnän Aihe-arvoa sähköpostitietojen pikaikkunassa, Ilmoitustunnus-linkki on käytettävissä pikaikkunan Sähköpostitiedot-osiossa. Ilmoitustunnus-linkin valitseminen avaa Näytä ilmoitukset -sivun, https://security.microsoft.com/viewalertsv2 jossa ilmoitus on valittuna, ja tiedot-pikaikkunan ilmoitukselle.
Tunnisteet Uhkien hallinnassa
Defender for Office 365:n palvelupaketti 2:ssa voit käyttää kyseisiä tunnisteita suodattimina, jos käytät käyttäjätunnisteita suuriarvoisten kohteiden tilien merkitsemiseen (esimerkiksi Priority-tilitunniste ). Tämä menetelmä näyttää tietojenkalasteluyritykset, jotka on suunnattu korkean arvon kohdetileihin tietyn ajanjakson aikana. Lisätietoja käyttäjätunnisteista on kohdassa Käyttäjätunnisteet.
Käyttäjätunnisteet ovat käytettävissä seuraavissa Threat Explorerin sijainneissa:
- Kaikki sähköpostinäkymät :
- Haittaohjelmanäkymä :
- Tietojen kalastelunäkymä :
- URL-osoite napsauttaa näkymää :
Sähköpostiviestien uhkatiedot
Sähköpostiviestien ennakko- ja jälkitoimitustoiminnot yhdistetään yhdeksi tietueeksi riippumatta siitä, mitkä toimituksen jälkeiset tapahtumat vaikuttivat viestiin. Esimerkki:
- Automaattinen tyhjennys nollatunnilla (ZAP).
- Manuaalinen korjaus (järjestelmänvalvojan toiminto).
- Dynaaminen toimitus.
Sähköpostin tiedot -pikaikkuna Sähköposti-välilehdestä (näkymä)Kaikki sähköposti-, Haittaohjelma- tai Tietojenkalastelu -näkymistä näyttää liittyvät uhat ja vastaavat sähköpostiviestiin liittyvät tunnistustekniikat. Viestillä voi olla nolla, yksi tai useita uhkia.
Toimitustiedot-osiossaTunnistustekniikka-ominaisuus näyttää uhan tunnistaneen tunnistustekniikan. Tunnistustekniikka on myös käytettävissä kaavion pivot-taulukkona tai tietotaulukon sarakkeena monille näkymille Threat Explorerissa ja Reaaliaikaisissa tunnistuksia varten.
URL-osoitteet-osiossa näytetään tietyt uhkatiedot kaikista viestin URL-osoitteista. Esimerkiksi Haittaohjelma, Tietojenkalastelu, **Roskaposti tai Ei mitään.
Vihje
Tuomioanalyysi ei välttämättä ole sidottu entiteetteihin. Suodattimet arvioivat sähköpostiviestin sisällön ja muut tiedot ennen tuomion antamista. Esimerkiksi sähköpostiviesti voidaan luokitella tietojenkalasteluksi tai roskapostiksi, mutta viestin URL-osoitteisiin ei ole leimattu tietojenkalastelu- tai roskapostipäätöstä.
Valitse Avaussähköposti-entiteetti pikaikkunan yläreunasta, jotta saat tyhjentäviä tietoja sähköpostiviestistä. Lisätietoja on artikkelissa Microsoft Defender for Office 365 Sähköposti-entiteettisivu.
Uhkienhallinnan laajennetut ominaisuudet
Seuraavat aliosat kuvaavat suodattimia, jotka ovat yksinoikeudella Threat Explorerin käytössä.
Exchange-postinkulun säännöt (siirtosäännöt)
Jos haluat etsiä viestejä, joihin Exchange-postinkulun säännöt (joita kutsutaan myös siirtosäännöiksi), sinulla on seuraavat vaihtoehdot Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymissä (ei reaaliaikaisia tunnistuksia):
- Exchange-siirtosääntö on ensisijaisen ohituslähteen, ohituslähteen ja käytäntötyypin suodatettavien ominaisuuksien valittavissa oleva arvo.
- Exchange-siirtosääntö on suodatettava ominaisuus. Kirjoitat säännön nimelle osittaisen tekstiarvon.
Lisätietoja on seuraavissa linkeissä:
- Kaikki sähköpostinäkymät Threat Explorerissa
- Haittaohjelmanäkymä Threat Explorerissa ja reaaliaikaiset tunnistuksia
- Uhkienhallinnan tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia
Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymien Tiedot-alueen Sähköposti-välilehdessä (näkymä) on myös Exchange-siirtosääntö käytettävissä olevana sarakkeena, jota ei ole oletusarvoisesti valittu. Tässä sarakkeessa näkyy siirtosäännön nimi. Lisätietoja on seuraavissa linkeissä:
- Uhkakeskuksen Kaikki sähköpostit -näkymän tietoalueen sähköpostinäkymä
- Sähköpostinäkymä Haittaohjelma-näkymän tietoalueelle Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
- Tietojenkalastelunäkymän tietoalueen sähköpostinäkymä Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
Vihje
Katso käyttöoikeudet, joita tarvitaan postinkulun sääntöjen etsimiseen nimeltä Threat Explorerissa, artikkelista Uhkienhallinnan ja reaaliaikaisten tunnistusten käyttöoikeudet. Sääntöjen nimien näkemiseen sähköpostitietojen pikaikkunassa, tietotaulukoissa ja viedyissä tuloksissa ei tarvita erityisiä käyttöoikeuksia.
Saapuvat liittimet
Saapuvat liittimet määrittävät tietyt asetukset Microsoft 365:n sähköpostilähteille. Lisätietoja on artikkelissa Postinkulun määrittäminen liittimien avulla Exchange Online.
Voit etsiä viestejä, joihin saapuvat liittimet vaikuttivat, käyttämällä Liittimen suodatettavaa ominaisuutta etsiäksesi liittimiä nimen mukaan Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymistä (ei reaaliaikaisten tunnistusten näkymissä). Anna liittimen nimelle osittainen tekstiarvo. Lisätietoja on seuraavissa linkeissä:
- Kaikki sähköpostinäkymät Threat Explorerissa
- Haittaohjelmanäkymä Threat Explorerissa ja reaaliaikaiset tunnistuksia
- Uhkienhallinnan tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia
Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymien Tiedot-alueen Sähköposti-välilehdessä (näkymässä) on myös Liitin käytettävissä olevana sarakkeena, jota ei ole oletusarvoisesti valittu. Tässä sarakkeessa näkyy liittimen nimi. Lisätietoja on seuraavissa linkeissä:
- Uhkakeskuksen Kaikki sähköpostit -näkymän tietoalueen sähköpostinäkymä
- Sähköpostinäkymä Haittaohjelma-näkymän tietoalueelle Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
- Tietojenkalastelunäkymän tietoalueen sähköpostinäkymä Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
Sähköpostin suojausskenaariot Uhkien hallinnassa ja reaaliaikaiset tunnistuksia varten
Katso tarkat skenaariot seuraavista artikkeleista:
- Sähköpostisuojaus Threat Explorerin ja reaaliaikaisten tunnistusten avulla Microsoft Defender for Office 365
- Microsoft 365:ssä toimitettujen haitallisten sähköpostien tutkiminen
Lisää tapoja käyttää Uhkienhallintaa ja reaaliaikaisia tunnistuksia
Tässä artikkelissa kuvattujen skenaarioiden lisäksi sinulla on enemmän vaihtoehtoja Resurssienhallinnassa tai Reaaliaikaiset tunnistukset. Lisätietoja on seuraavissa artikkeleissa: