Email analyse dans les enquêtes pour Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Pendant l’examen automatisé des alertes, Microsoft Defender pour Office 365 analyse l’e-mail d’origine à la recherche de menaces et identifie les autres messages électroniques liés à l’e-mail d’origine et qui peuvent faire partie d’une attaque. Cette analyse est importante, car les attaques par e-mail sont rarement constituées d’un seul e-mail.

L’analyse automatisée des e-mails identifie les clusters de messagerie à l’aide des attributs de l’e-mail d’origine pour interroger les e-mails envoyés et reçus par votre organization. Cette analyse est similaire à la façon dont un analyste des opérations de sécurité recherche l’e-mail associé dans Explorer ou la chasse avancée. Plusieurs requêtes sont utilisées pour identifier les messages électroniques correspondants, car les attaquants transforment généralement les paramètres de messagerie pour éviter la détection de sécurité. L’analyse clustering effectue ces vérifications pour déterminer comment gérer les e-mails impliqués dans l’enquête :

  • L’analyse du courrier électronique crée des requêtes (clusters) d’e-mail à l’aide des attributs de l’e-mail d’origine : les valeurs de l’expéditeur (adresse IP, domaine de l’expéditeur) et le contenu (objet, ID de cluster) afin de rechercher les e-mails qui peuvent être liés.
  • Si l’analyse des URL et des fichiers de l’e-mail d’origine identifie que certains sont malveillants (c’est-à-dire, programme malveillant ou hameçonnage), elle crée également des requêtes ou des clusters d’e-mails contenant l’URL ou le fichier malveillant.
  • Email clustering analyse compte les menaces associées à l’e-mail similaire dans le cluster pour déterminer si l’e-mail est malveillant, suspect ou n’a pas de menaces claires. Si le cluster d’e-mails correspondant à la requête a une quantité suffisante de courrier indésirable, d’hameçonnage normal, d’hameçonnage à haut niveau de confiance ou de menaces de logiciels malveillants, le cluster de messagerie obtient ce type de menace qui lui est appliqué.
  • L’analyse du clustering des e-mails vérifie également l’emplacement de remise le plus récent de l’e-mail d’origine et des messages dans les clusters de messagerie pour identifier les messages qui peuvent nécessiter une suppression ou qui ont déjà été corrigés ou empêchés. Cette analyse est importante, car les attaquants modifient le contenu malveillant, les stratégies de sécurité et la protection peuvent varier d’une boîte aux lettres à l’autre. Cette fonctionnalité entraîne des situations où le contenu malveillant peut toujours rester dans les boîtes aux lettres, même si un ou plusieurs messages électroniques malveillants ont été empêchés ou détectés et supprimés par le vidage automatique zéro heure (ZAP).
  • Email clusters considérés comme malveillants en raison d’un programme malveillant, d’un hameçonnage à haut niveau de confiance, de fichiers malveillants ou de menaces d’URL malveillantes obtiennent une action en attente pour supprimer de manière réversible les messages qui se trouvent toujours dans la boîte aux lettres cloud (boîte de réception ou dossiers Email indésirables). Si les clusters de courrier ou de messagerie malveillants sont « Non dans la boîte aux lettres » (bloqué, mis en quarantaine, en échec, supprimé de manière réversible, etc.) ou « Local/Externe » sans aucune action dans la boîte aux lettres cloud, aucune action en attente n’est configurée pour les supprimer.
  • Si l’un des clusters de messagerie est déterminé comme étant malveillant, la menace identifiée par le cluster est appliquée à l’e-mail d’origine impliqué dans l’enquête. Ce comportement est similaire à celui d’un analyste des opérations de sécurité qui utilise les résultats de la chasse aux e-mails pour déterminer le verdict d’un e-mail d’origine en fonction d’un e-mail similaire. Ce résultat garantit que, que les URL, fichiers ou indicateurs de messagerie source d’un e-mail d’origine soient détectés ou non, le système peut identifier les messages électroniques malveillants qui échappent potentiellement à la détection par le biais de la personnalisation, de la transformation, de l’évasion ou d’autres techniques d’attaquant.
  • Dans l’enquête sur la compromission de l’utilisateur, des clusters de messagerie supplémentaires sont créés pour identifier les problèmes potentiels liés aux e-mails créés par la boîte aux lettres. Ce processus inclut un cluster de messagerie propre (courrier électronique correct provenant de l’utilisateur, exfiltration de données potentielle et e-mail de commande/contrôle potentiel), des clusters de courriers électroniques suspects (courrier contenant du courrier indésirable ou un hameçonnage normal) et des clusters de messagerie malveillants (e-mail contenant des logiciels malveillants ou hameçonnage à haut niveau de confiance). Ces clusters de messagerie fournissent des données d’analystes des opérations de sécurité pour déterminer d’autres problèmes qui peuvent nécessiter une résolution à partir d’une compromission et une visibilité sur les messages susceptibles d’avoir déclenché les alertes d’origine (par exemple, hameçonnage/courrier indésirable qui a déclenché des restrictions d’envoi d’utilisateurs)

Email clustering analyse par le biais de requêtes de similarité et d’entités malveillantes garantit que les problèmes de messagerie sont entièrement identifiés et nettoyés, même si un seul e-mail d’une attaque est identifié. Vous pouvez utiliser des liens à partir des affichages du panneau latéral détails du cluster de messagerie pour ouvrir les requêtes dans Explorer ou La chasse avancée pour effectuer une analyse plus approfondie et modifier les requêtes si nécessaire. Cette fonctionnalité permet d’affiner et de corriger manuellement si vous trouvez les requêtes du cluster de messagerie trop étroites ou trop larges (y compris les e-mails non liés).

Voici d’autres améliorations apportées à l’analyse des e-mails dans les enquêtes.

L’investigation AIR ignore les éléments de remise avancés (boîtes aux lettres SecOps et messages de simulation de hameçonnage)

Au cours de l’analyse de clustering e-mail, toutes les requêtes clustering ignorent les boîtes aux lettres SecOps et les URL de simulation de hameçonnage identifiées stratégie de remise avancée. Les boîtes aux lettres SecOps et les URL de simulation de hameçonnage ne sont pas affichées dans la requête pour que les attributs clustering restent simples et faciles à lire. Ces exclusions garantissent que les messages envoyés aux boîtes aux lettres SecOps et les messages qui contiennent des URL de simulation de hameçonnage sont ignorés pendant l’analyse des menaces et ne sont pas supprimés pendant toute correction.

Remarque

Lors de l’ouverture d’un cluster de messagerie pour l’afficher dans Explorer à partir des détails du cluster de messagerie, la simulation de hameçonnage et les filtres de boîte aux lettres SecOps sont appliqués dans Explorer, mais ne sont pas affichés. Si vous modifiez le Explorer filtres, les dates ou si vous actualisez la requête dans la page, les exclusions de filtre de simulation d’hameçonnage/SecOps sont supprimées et les messages électroniques correspondants s’affichent à nouveau. Si vous actualisez la page Explorer à l’aide de la fonction d’actualisation du navigateur, les filtres de requête d’origine sont rechargés, y compris les filtres de simulation de hameçonnage/SecOps, mais en supprimant les modifications ultérieures que vous avez apportées.

Mises à jour AIR en attente status d’action par e-mail

L’analyse des e-mails d’enquête calcule les menaces et les emplacements des e-mails au moment de l’enquête pour créer les preuves et les actions d’enquête. Ces données peuvent devenir obsolètes et obsolètes lorsque des actions en dehors de l’enquête affectent l’e-mail impliqué dans l’enquête. Par exemple, la chasse et la correction manuelles des opérations de sécurité peuvent propre e-mail inclus dans une investigation. De même, les actions de suppression approuvées dans les enquêtes parallèles ou les actions de mise en quarantaine automatique ZAP ont peut-être supprimé le courrier électronique. En outre, les détections différées des menaces après la remise des e-mails peuvent modifier le nombre de menaces incluses dans les requêtes/clusters de messagerie de l’enquête.

Pour vous assurer que les actions d’investigation sont à jour, les investigations qui contiennent des actions en attente réexécutent régulièrement les requêtes d’analyse des e-mails pour mettre à jour les emplacements et les menaces des e-mails.

  • Lorsque les données du cluster de messagerie changent, elles mettez à jour les nombres de menaces et d’emplacements de remise les plus récents.
  • Si le courrier électronique ou le cluster de messagerie avec des actions en attente ne se trouvent plus dans la boîte aux lettres, l’action en attente est annulée et l’e-mail/cluster malveillant est considéré comme corrigé.
  • Une fois que toutes les menaces de l’investigation ont été corrigées ou annulées comme décrit précédemment, l’examen passe à un état corrigé et l’alerte d’origine résolue.

Affichage des preuves d’incident pour les clusters de messagerie et de messagerie

Email preuves basées sur l’onglet Preuve et réponse d’un incident affiche désormais les informations suivantes.

Informations d’analyse des e-mails dans Preuve et réponse

À partir des légendes numérotées dans la figure :

  1. Vous pouvez effectuer des actions de correction, en plus du Centre de notifications.

  2. Vous pouvez effectuer une action de correction pour les clusters de messagerie avec un verdict malveillant (mais pas suspect).

  3. Pour le verdict du courrier indésirable, l’hameçonnage est divisé en hameçonnage à haute confiance et en hameçonnage normal.

    Pour un verdict malveillant, les catégories de menaces sont les programmes malveillants, l’hameçonnage à haut niveau de confiance, l’URL malveillante et le fichier malveillant.

    Pour un verdict suspect, les catégories de menaces sont courrier indésirable et hameçonnage normal.

  4. Le nombre d’e-mails par est basé sur l’emplacement de remise le plus récent et inclut des compteurs pour les e-mails dans les boîtes aux lettres, et non dans les boîtes aux lettres et localement.

  5. Inclut la date et l’heure de la requête, qui peuvent être mises à jour pour les données les plus récentes.

Pour les clusters de courrier électronique ou de messagerie dans l’onglet Entités d’une investigation, l’option Empêché signifie qu’il n’y avait pas d’e-mail malveillant dans la boîte aux lettres pour cet élément (courrier ou cluster). Voici un exemple.

E-mail empêché.

Dans cet exemple, l’e-mail est malveillant, mais pas dans une boîte aux lettres.

Prochaines étapes