Jaa

Sähköpostianalyysi tutkimuksissa Microsoft Defender for Office 365

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Hälytysten automaattisen tutkinnan aikana Microsoft Defender for Office 365 analysoi alkuperäisen sähköpostin uhkien varalta ja tunnistaa muut sähköpostiviestit, jotka liittyvät alkuperäiseen sähköpostiin ja mahdollisesti osaan hyökkäystä. Tämä analyysi on tärkeä, koska sähköpostihyökkäykset koostuvat harvoin yksittäisestä sähköpostiviestistä.

Automatisoidun tutkinnan sähköpostianalyysi tunnistaa sähköpostiklusterit alkuperäisen sähköpostin määritteiden avulla organisaation lähettämän ja vastaanottaman sähköpostin kyselyyn. Tämä analyysi muistuttaa sitä, miten turvallisuustoiminta-analyytikko etsisi aiheeseen liittyviä sähköpostiviestejä Explorerissa tai Kehittyneessä metsästyksessä. Vastaavia sähköpostiviestejä tunnistetaan useilla kyselyillä, koska hyökkääjät yleensä muuttavat sähköpostiparametreja välttääkseen suojauksen havaitsemisen. Klusterointianalyysi suorittaa nämä tarkistukset määrittääkseen, miten tutkimuksessa mukana olevia sähköpostiviestejä käsitellään:

  • Sähköpostianalyysi luo sähköpostiviestin kyselyitä (klustereita) käyttämällä alkuperäisen sähköpostin määritteitä: lähettäjäarvoja (IP-osoite, lähettäjän toimialue) ja sisältöä (aihe, klusterin tunnus) mahdollisesti liittyvien sähköpostien löytämiseksi.
  • Jos alkuperäisen sähköpostin URL-osoitteiden ja tiedostojen analyysi havaitsee, että jotkin niistä ovat haitallisia (eli haittaohjelmia tai tietojenkalastelua), se luo myös kyselyitä tai sähköpostiklustereita, jotka sisältävät haitallisen URL-osoitteen tai tiedoston.
  • Sähköpostin klusterointianalyysi laskee klusterin vastaavaan sähköpostiin liittyvät uhat sen määrittämiseksi, onko sähköposti haitallinen, epäilyttävä vai eikö sillä ole selviä uhkia. Jos kyselyä vastaavassa sähköpostiklusterissa on riittävästi roskapostia, normaalia tietojenkalastelua, erittäin luotettavaa tietojenkalastelua tai haittaohjelmauhkia, siihen sovelletaan kyseistä uhkatyyppiä.
  • Sähköpostiklusterointianalyysi tarkistaa myös alkuperäisen sähköpostiviestin ja viestien viimeisimmän toimitussijainnin sähköpostiklustereista tunnistaakseen viestit, jotka saattavat olla poistettaviksi tai jotka on jo korjattu tai estetty. Tämä analyysi on tärkeä, koska hyökkääjät muokkaavat haitallista sisältöä sekä suojauskäytäntöjä ja suojausta, jotka saattavat vaihdella postilaatikoiden välillä. Tämä ominaisuus johtaa tilanteisiin, joissa haitallista sisältöä saattaa edelleen olla postilaatikoissa, vaikka yksi tai useampi haitallinen sähköpostiviesti on estetty tai havaittu ja poistettu nolla tunnin automaattisella puhdistuksella (ZAP).
  • Sähköpostiklusterit, joita pidetään haitallisina haittaohjelmien, erittäin luotettavan tietojenkalastelun, haitallisten tiedostojen tai haitallisten URL-uhkien vuoksi, saavat odottavan toiminnon, jolla poistetaan edelleen pilvipalvelupostilaatikossa olevat viestit (Saapuneet- tai Roskaposti-kansiot). Jos haitallisia sähköposti- tai sähköpostiklustereita ovat "Ei postilaatikossa" (estetty, karanteenissa, epäonnistunut, pehmeä poistettu jne.) tai "Paikallinen/Ulkoinen" ilman mitään pilvipalvelupostilaatikossa, niiden poistamiseksi ei ole määritetty odottavaa toimintoa.
  • Jos jokin sähköpostiklustereista on määritetty haitallisiksi, klusterin tunnistamaa uhkaa sovelletaan takaisin tutkimukseen liittyvään alkuperäiseen sähköpostiin. Tämä toiminta muistuttaa suojaustoimintojen analyytikkoa, joka käyttää sähköpostin metsästystuloksia alkuperäisen sähköpostin tuomion määrittämiseen samanlaisen sähköpostin perusteella. Tämä tulos varmistaa, että riippumatta siitä, havaitaanko alkuperäisen sähköpostiviestin URL-osoitteet, tiedostot tai lähdesähköposti-ilmaisimet vai ei, järjestelmä voi tunnistaa haitallisia sähköpostiviestejä, jotka mahdollisesti välttävät tunnistamista mukauttamisen, morfiinin, veronkierron tai muiden hyökkääjien tekniikoiden avulla.
  • Käyttäjän kompromissitutkinnassa luodaan lisää sähköpostiklustereita postilaatikon mahdollisten sähköpostiongelmien tunnistamiseksi. Tämä prosessi sisältää puhtaan sähköpostiklusterin (hyvä sähköpostiosoite käyttäjältä, mahdollinen tietojen suodatus ja mahdollinen komento-/hallintasähköposti), epäilyttäviä sähköpostiklustereita (roskapostia tai normaalia tietojenkalastelua sisältävä sähköposti) sekä haitallisia sähköpostiklustereita (haittaohjelmia sisältävä sähköposti tai erittäin luotettava tietojenkalastelu). Nämä sähköpostiklusterit tarjoavat suojaustoimintojen analyytikoille tietoja, joiden avulla voidaan määrittää muita ongelmia, jotka on ehkä käsiteltävä kompromissista, ja näkyvyyttä siitä, mitkä viestit ovat saattaneet käynnistää alkuperäiset hälytykset (esimerkiksi tietojenkalastelu/roskaposti, joka aiheutti käyttäjien lähettämisrajoituksia)

Sähköpostin klusterointianalyysi samankaltaisuuden ja haitallisten entiteettikyselyiden kautta varmistaa, että sähköpostiongelmat tunnistetaan ja puhdistetaan täysin, vaikka vain yksi hyökkäyksen sähköpostiviesti tunnistetaan. Voit käyttää sähköpostiklusterin tietojen sivupaneelin näkymien linkkejä kyselyiden avaamiseen Explorerissa tai Kehittyneessä metsästyksessä, jos haluat suorittaa syvällisemmän analyysin ja muuttaa kyselyitä tarvittaessa. Tämä ominaisuus mahdollistaa manuaalisen tarkennuksen ja korjaamisen, jos sähköpostiklusterin kyselyt ovat liian kapeita tai liian laajoja (mukaan lukien liittymätön sähköposti).

Seuraavassa on lisäparannuksia sähköpostianalyysiin tutkimuksissa.

AIR-tutkimuksessa ei oteta huomioon kehittyneitä toimituskohteita (SecOps-postilaatikot ja tietojenkalastelusimulaatioviestit)

Sähköpostiviestien klusterointianalyysin aikana kaikki klusterointikyselyt ohittavat SecOps-postilaatikot ja tietojenkalastelusimulaatioiden URL-osoitteet, jotka on määritetty kehittyneen toimituksen käytännössä. SecOps-postilaatikoita ja tietojenkalastelusimuloinnin URL-osoitteita ei näytetä kyselyssä, jotta klusterointimääritteet pysyisivät yksinkertaisina ja helppolukuina. Nämä poikkeukset varmistavat, että SecOps-postilaatikoihin ja viesteihin lähetetyt viestit, jotka sisältävät tietojenkalastelusimulaatioiden URL-osoitteita, ohitetaan uhka-analyysin aikana, eikä niitä poisteta korjauksen aikana.

Huomautus

Kun avaat sähköpostiklusterin ja tarkastelet sitä Explorerissa sähköpostiklusterin tiedoista, tietojenkalastelusimulaatiota ja SecOps-postilaatikkosuodattimia käytetään Explorerissa, mutta niitä ei näytetä. Jos muutat Resurssienhallinnan suodattimia, päivämääriä tai päivität kyselyn sivulla, tietojenkalastelun simuloinnin/SecOps-suodattimen poikkeukset poistetaan ja vastaavat sähköpostiviestit näytetään uudelleen. Jos päivität Explorer-sivun selaimen päivitystoiminnolla, alkuperäiset kyselysuodattimet ladataan uudelleen, mukaan lukien tietojenkalastelun simulointi- ja secops-suodattimet, mutta poistetaan tekemäsi myöhemmät muutokset.

AIR-päivitykset odottavat sähköpostitoiminnon tilaa

Tutkimuksen sähköpostianalyysi laskee sähköpostiuhat ja -sijainnit tutkinnan aikana tutkimustodisteiden ja -toimien luomiseksi. Nämä tiedot voivat vanhentua, kun tutkimuksen ulkopuoliset toimet vaikuttavat tutkimukseen liittyvään sähköpostiin. Esimerkiksi turvallisuustoiminnan manuaalinen metsästys ja korjaus saattavat puhdistaa tutkintaan sisältyvän sähköpostin. Samoin rinnakkaisissa tutkimuksissa hyväksytyt poistotoiminnot tai ZAP:n automaattiset karanteenitoiminnot ovat saattaneet poistaa sähköpostin. Lisäksi viive uhkien havaitseminen sähköpostin toimituksen jälkeen saattaa muuttaa tutkimuksen sähköpostikyselyihin/klustereihin sisältyvien uhkien määrää.

Jotta tutkimustoiminnot ovat ajan tasalla, odottavia toimintoja sisältävät tutkimukset suorittavat ajoittain sähköpostianalyysikyselyt uudelleen sähköpostin sijaintien ja uhkien päivittämiseksi.

  • Kun sähköpostiklusterin tiedot muuttuvat, se päivittää uhkan ja uusimmat toimituspaikkamäärät.
  • Jos sähköposti- tai sähköpostiklusteri, jossa on odottavia toimintoja, ei ole enää postilaatikossa, odottava toiminto peruutetaan ja haitallista sähköpostia tai klusteria pidetään korjautuneena.
  • Kun kaikki tutkimuksen uhat on korjattu tai peruutettu aiemmin kuvatulla tavalla, tutkinta siirtyy korjattuun tilaan ja alkuperäinen hälytys on ratkaistu.

Tapausnäyttö sähköposti- ja sähköpostiklustereissa

Sähköpostiin perustuvat todisteet tapauksen Todiste ja vastaus -välilehdessä näyttävät nyt seuraavat tiedot.

Sähköpostianalyysin tiedot kohdassa Todisteet ja vastaus

Kuvan numeroiduista kuvaselitteistä:

  1. Voit suorittaa korjaustoimintoja toimintokeskuksen lisäksi.

  2. Voit ryhtyä sähköpostiklustereiden korjaustoimintoon malicious-tuomiolla (mutta ei epäilyttävällä).

  3. Sähköpostin roskapostituomiota varten tietojenkalastelu jaetaan erittäin luotettavaan ja normaaliin tietojenkalasteluun.

    Haittaohjelmatuomiota varten uhkaluokat ovat haittaohjelmat, erittäin luotettava tietojenkalastelu, haitallinen URL-osoite ja haitallinen tiedosto.

    Epäilyttävän tuomion kohdalla uhkaluokat ovat roskaposti ja normaali tietojenkalastelu.

  4. Sähköpostien määrä perustuu uusimpaan toimitussijaintiin ja sisältää sähköpostin laskurit postilaatikoissa, ei postilaatikoissa ja paikallisesti.

  5. Sisältää kyselyn päivämäärän ja kellonajan, jolloin uusimmat tiedot saatetaan päivittää.

Jos kyseessä on sähköposti- tai sähköpostiklusteri tutkimuksen Entiteetit-välilehdellä , Estynyt tarkoittaa sitä, että tämän kohteen (sähköposti tai klusteri) postilaatikossa ei ollut haitallisia sähköpostiviestejä. Tässä on esimerkki.

Estetty sähköposti.

Tässä esimerkissä sähköposti on haitallinen, mutta ei postilaatikossa.

Seuraavat vaiheet