Microsoft 365:ssä toimitettujen haitallisten sähköpostien tutkiminen

• Koskee seuraavia::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Microsoft 365 -organisaatioilla, joilla on Microsoft Defender for Office 365 sisältyvät tilaukseensa tai jotka on ostettu lisäosana, on Explorer (tunnetaan myös nimellä Threat Explorer) tai reaaliaikaisia tunnistuksia. Nämä ominaisuudet ovat tehokkaita, lähes reaaliaikaisia työkaluja, joiden avulla security operations (SecOps) -tiimit voivat tutkia uhkia ja vastata niihin. Lisätietoja on artikkelissa Tietoja uhkienhallinnasta ja reaaliaikaisia tunnistuksia Microsoft Defender for Office 365.

Threat Explorerin ja reaaliaikaisten tunnistusten avulla voit tutkia toimintoja, jotka vaarantavat organisaatiosi ihmisiä, ja ryhtyä toimiin organisaatiosi suojelemiseksi. Esimerkki:

• Etsi ja poista viestejä.
• Tunnista pahantahtoisen sähköpostin lähettäjän IP-osoite.
• Aloita tapaus lisätutkimuksia varten.

Tässä artikkelissa kerrotaan, miten voit käyttää Threat Exploreria ja reaaliaikaisia tunnistuksia löytääksesi haitallisia sähköpostiviestejä vastaanottajan postilaatikoista.

Vihje

Jos haluat siirtyä suoraan korjaustoimintoihin, katso Office 365 toimitettujen haitallisten sähköpostiviestien korjaaminen.

Muut Threat Exploreria ja reaaliaikaisia tunnistusta käyttävät sähköpostiskenaariot ovat seuraavissa artikkeleissa:

• Uhkien metsästys Threat Explorerissa ja reaaliaikaiset tunnistamiset Microsoft Defender for Office 365
• Sähköpostisuojaus Threat Explorerin ja reaaliaikaisten tunnistusten avulla Microsoft Defender for Office 365

Mitä on hyvä tietää ennen aloittamista?

• Threat Explorer sisältyy Defender for Office 365 suunnitelmaan 2. Reaaliaikaiset tunnistamiset sisältyvät Defender for Officen palvelupakettiin 1:

  • Threat Explorerin ja reaaliaikaisten tunnistusten väliset erot on kuvattu artikkelissa Tietoja Uhkienhallinnasta ja Reaaliaikaiset tunnistuksia Microsoft Defender for Office 365.
  • Defender for Office 365 palvelupaketin 2 ja Defender for Officen palvelupaketin 1 väliset erot on kuvattu Defender for Office 365 palvelupaketin 1 ja palvelupaketin 2 pikaikkunassa.

• Suodatinominaisuuksissa, jotka edellyttävät yhden tai useamman käytettävissä olevan arvon valitsemista, suodatinehdon ominaisuuden käytöllä kaikki arvot ovat samat kuin jos ominaisuutta ei käytetä suodatusehdossa.

• Uhkienhallinnan ja reaaliaikaisten tunnistusten käyttöoikeudet ja käyttöoikeusvaatimukset ovat kohdassa Uhkienhallinnan ja reaaliaikaisten tunnistusten käyttöoikeudet ja käyttöoikeudet.

Etsi epäilyttävä sähköpostiviesti, joka toimitettiin

1. Avaa Uhkien hallinta tai Reaaliaikaiset tunnistimet jollakin seuraavista vaiheista:

   • Uhkienhallinta: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Security>Explorer. Voit myös siirtyä suoraan Resurssienhallinta-sivulle valitsemalla https://security.microsoft.com/threatexplorerv3.
   • Reaaliaikaiset tunnistamiset: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Suojauksen>reaaliaikaiset tunnistuksia. Voit myös siirtyä suoraan Reaaliaikaiset tunnistuksia -sivulle valitsemalla https://security.microsoft.com/realtimereportsv3.

2. Valitse sopiva näkymä Resurssienhallinnan tai reaaliaikaisten tunnistusten sivulla:

   • Uhkien hallinta: Varmista, että Kaikki sähköpostit -näkymä on valittuna.
   • Reaaliaikaiset tunnistamiset: Varmista, että Haittaohjelma-näkymä on valittuna, tai valitse tietojen kalastelunäkymä.

3. Valitse päivämäärä/aika-alue. Oletusarvo on eilen ja tänään.

   

4. Create vähintään yhden suodatusehdon käyttämällä seuraavia kohdennettuja ominaisuuksia ja arvoja. Katso täydelliset ohjeet kohdasta Ominaisuussuodattimet Uhkien hallinnassa ja Reaaliaikaiset tunnistuksia. Esimerkki:

   • Toimitustoiminto: Sähköpostiviestissä aiemmin luotujen käytäntöjen tai tunnistusten vuoksi tehty toiminto. Hyödyllisiä arvoja ovat:

     • Toimitettu: Sähköpostiviesti, joka toimitetaan käyttäjän Saapuneet-kansioon tai muuhun kansioon, jossa käyttäjä voi käyttää viestiä.
     • Roskaposti: Sähköpostiviesti, joka toimitetaan käyttäjän Roskaposti-kansioon tai Poistetut-kansioon, jossa käyttäjä voi käyttää viestiä.
     • Estetty: Sähköpostiviestit, jotka oli asetettu karanteeniin, joiden toimitus epäonnistui tai jotka hylättiin.

   • Alkuperäinen toimituspaikka: Minne sähköposti meni ennen järjestelmän tai järjestelmänvalvojien automaattisia tai manuaalisia jälkitoimitustoimia (esimerkiksi ZAP tai karanteeniin siirretty). Hyödyllisiä arvoja ovat:

     • Poistetut-kansio
     • Pudotettiin: Viesti menetettiin jossakin postinkulussa.
     • Epäonnistui: Viesti ei päässyt postilaatikkoon.
     • Saapuneet/kansio
     • Roskapostikansio
     • On-prem/external: Postilaatikkoa ei ole Microsoft 365 -organisaatiossa.
     • Karanteeni
     • Tuntematon: Esimerkiksi toimituksen jälkeen Saapuneet-kansion sääntö siirsi viestin Oletuskansioon (esimerkiksi Luonnos tai Arkisto) Saapuneet-kansion tai Roskaposti-kansion sijaan.

   • Viimeinen toimituspaikka: Mihin sähköposti päättyi järjestelmän tai järjestelmänvalvojien automaattisten tai manuaalisten jälkitoimitteiden jälkeen. Samat arvot ovat käytettävissä alkuperäisestä toimitussijainnista.

   • Suunta: Kelvolliset arvot ovat:

     • Saapuva
     • Organisaationsisäinen
     • Lähtevän

     Nämä tiedot voivat auttaa tunnistamaan tekeytymisen ja tekeytymisen. Esimerkiksi sisäisten toimialueiden lähettäjien viestien on oltava organisaation sisäisiä, ei saapuvia.

   • Lisätoiminto: Kelvolliset arvot ovat:

     • Automaattinen korjaus (Defender for Office 365 palvelupaketti 2)
     • Dynaaminen toimitus: Lisätietoja on kohdassa Dynaaminen toimitus turvallisten liitteiden käytännöissä.
     • Manuaalinen korjaus
     • Ei mitään
     • Karanteenin vapauttaminen
     • Käsitelty uudelleen: Viesti tunnistettiin takautuvasti hyväksi.
     • ZAP: Lisätietoja on kohdassa Nollatuntinen automaattinen puhdistus (ZAP) Microsoft Defender for Office 365.

   • Ensisijainen ohitus: Jos organisaation tai käyttäjän asetukset ovat sallittuja tai estettyjä viestejä, jotka muuten olisi estetty tai sallittu. Arvot ovat:

     • Organisaation käytännön sallima
     • Käyttäjäkäytännön sallima
     • Organisaation käytännön estämä
     • Käyttäjäkäytännön estämä
     • Ei mitään

     Ensisijainen ohituslähde -ominaisuus tarkentaa näitä luokkia tarkemmin.

   • Ensisijainen ohituslähde Organisaation käytännön tai käyttäjäasetuksen tyyppi, joka salli tai esti viestit, jotka muuten olisi estetty tai sallittu. Arvot ovat:

     • Kolmannen osapuolen suodatin
     • Hallinta aloitettu aikamatkustus
     • Haittaohjelmien torjuntakäytännön esto tiedostotyypin mukaan: Yleiset liitteet suodatetaan haittaohjelmien torjuntakäytännöissä
     • Antispam-käytäntöasetukset
     • Yhteyskäytäntö: Yhteyssuodatuksen määrittäminen
     • Exchange-siirtosääntö (postinkulun sääntö)
     • Poissulkeva tila (käyttäjän ohitus): Vain luottamussähköpostiosoitteet turvallisten lähettäjien ja toimialueiden luettelossa sekä Turvalliset postitusluettelot -asetus postilaatikon safelist-kokoelmassa.
     • Suodatus ohitettiin organisaation ennakkotoiminnon vuoksi
     • IP-alueen suodatin käytännöstä: Näistä maista suodatetaan roskapostin vastaisissa käytännöissä.
     • Kielisuodatin käytännöstä: Sisältää tiettyjä kieliä -suodatin roskapostin vastaisissa käytännöissä.
     • Tietojenkalastelusimulaatio: Kolmannen osapuolen tietojenkalastelusimulaatioiden määrittäminen laajennetun toimituksen käytännössä
     • Karanteenin vapauttaminen: Vapauta karanteeniin asetettu sähköposti
     • SecOps-postilaatikko: Määritä SecOps-postilaatikot laajennetun toimituksen käytännössä
     • Lähettäjän osoiteluettelo (Hallinta ohitus): Sallittujen lähettäjien luettelo tai estettyjen lähettäjien luettelo roskapostin vastaisissa käytännöissä.
     • Lähettäjän osoiteluettelo (käyttäjän ohitus): Lähettäjän sähköpostiosoitteet postilaatikon safelist-kokoelmanEstettyjen lähettäjien luettelossa.
     • Lähettäjän toimialueluettelo (Hallinta ohitus): Roskapostin estokäytännöissä sallittujen toimialueiden luettelo tai estettyjen toimialueiden luettelo.
     • Lähettäjän toimialueluettelo (käyttäjän ohitus): Lähettäjän toimialueet postilaatikon safelist-kokoelmanEstettyjen lähettäjien luettelossa.
     • Palveltavan kohteen Sallittu/Estä luettelo -tiedostolohko: Create tiedostojen estomerkinnät
     • Vuokraajan sallittujen tai estettyjen luetteloiden lähettäjän sähköpostiosoitelohko: Create estää toimialueiden ja sähköpostiosoitteiden merkinnät
     • Palveltavan kohteen Salli/Estä luettelo -huijauslohko: Create estettyjä merkintöjä huijatuille lähettäjille
     • Vuokraajan sallittujen tai estettyjen luetteloiden URL-lohko: Create url-osoitteiden estomerkinnät
     • Luotettu yhteystietoluettelo (käyttäjän ohitus): Luottamussähköpostiyhteystiedoistani -asetus postilaatikon safelist-kokoelmassa.
     • Palveltavan kohteen Sallittu/Estä luettelo -tiedostolohko: Create tiedostojen estomerkinnät
     • Luotettu toimialue (käyttäjän ohitus): Lähettäjän toimialueet postilaatikon SafeSenders -luettelossa.
     • Luotettu vastaanottaja (käyttäjän ohitus): Vastaanottajan sähköpostiosoitteet tai toimialueet postilaatikon SafeRecipients -luettelossa.
     • Vain luotetut lähettäjät (käyttäjän ohitus): Vain Turvalliset Lists: Vain Turvalliset lähettäjät- tai Turvalliset vastaanottajat -luettelon henkilöiltä tai toimialueilta peräisin olevat viestit toimitetaanpostilaatikon Safelist-kokoelman Saapuneet-asetukseen.

   • Ohita lähde: Samat käytettävissä olevat arvot kuin Ensisijainen ohituslähde.

     Vihje

     Sähköposti-välilehdellä (näkymä) Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymien tietoalueella vastaavat ohitussarakkeet nimetään Järjestelmän ohitukset ja Järjestelmä ohittaa lähteen.

   • URL-uhka: Kelvolliset arvot ovat:

     • Haittaohjelmien
     • Phish
     • Roskapostia

5. Kun päivämäärä-/aika- ja ominaisuussuodattimet on määritetty, valitse Päivitä.

Sähköposti-välilehti (näkymä) Kaikki sähköposti-, Haittaohjelma- tai Tietojenkalastelu -näkymien tietoalueella sisältää tiedot, joita tarvitset epäilyttävän sähköpostin tutkimiseen.

Esimerkiksi Käytä Toimitustoiminto-, Alkuperäinen toimitussijainti- ja Viimeinen toimitussijainti -sarakkeita Sähköposti-välilehdessä (näkymässä) saadaksesi täydellisen kuvan siitä, minne kyseiset viestit menivät. Arvot selitettiin vaiheessa 4.

Vie-toiminnolla voit valikoivasti viedä enintään 200 000 suodatettua tai suodattamatonta tulosta CSV-tiedostoon.

Korjaa toimitettu haitallinen sähköpostiviesti

Kun olet tunnistanut lähetetyt haitalliset sähköpostiviestit, voit poistaa ne vastaanottajan postilaatikoista. Katso ohjeet artikkelista Microsoft 365:ssä toimitettujen haitallisten sähköpostiviestien korjaaminen.

Aiheeseen liittyviä artikkeleita

Office 365:ssä toimitettujen haitallisten sähköpostien korjaaminen

Microsoft Defender for Office 365

Näytä Defender for Office 365 raportit