שתף באמצעות


ניתוח דואר אלקטרוני בחקירות Microsoft Defender עבור Office 365

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

במהלך חקירה אוטומטית של התראות, Microsoft Defender עבור Office 365 מנתח את הדואר האלקטרוני המקורי כדי לאתר איומים ומזהה הודעות דואר אלקטרוני אחרות הקשורות לדואר האלקטרוני המקורי וייתכן שיש בהן חלק מהמתקפה. ניתוח זה חשוב מכיוון שתקיפות דואר אלקטרוני מורכבות לעתים רחוקות מהודעת דואר אלקטרוני בודדת.

ניתוח הדואר האלקטרוני של החקירה האוטומטית מזהה אשכולות דואר אלקטרוני באמצעות תכונות מהודעת הדואר האלקטרוני המקורית לביצוע שאילתה עבור דואר אלקטרוני שנשלח והתקבלו על-ידי הארגון שלך. ניתוח זה דומה לאופן שבו אנליסט של פעולות אבטחה יצוד את הדואר האלקטרוני הקשור בסייר או בה ציד מתקדם. מספר שאילתות משמשות לזיהוי הודעות דואר אלקטרוני תואמות מאחר שתוקפים בדרך כלל תוקפים מקשים על פרמטרי הדואר האלקטרוני כדי להימנע מזיהוי אבטחה. ניתוח הקיבוץ באשכולות מבצע בדיקות אלה כדי לקבוע כיצד לטפל בדואר אלקטרוני המעורב בחקירה:

  • ניתוח הדואר האלקטרוני יוצר שאילתות (אשכולות) של דואר אלקטרוני באמצעות תכונות מהודעת הדואר האלקטרוני המקורית: ערכי שולח (כתובת IP, תחום שולח) ותוכן (נושא, מזהה אשכול) כדי למצוא דואר אלקטרוני שעשוי להיות קשור.
  • אם ניתוח של כתובות ה- URL והקבצים המקוריים של הדואר האלקטרוני מזהה שחלקן זדוניות (תוכנה זדונית או דיוג), הוא גם יוצר שאילתות או אשכולות של דואר אלקטרוני המכילים את כתובת ה- URL או הקובץ זדוניים.
  • ניתוח קיבוץ באשכולות של דואר אלקטרוני סופר את האיומים המשויכים לדואר האלקטרוני הדומה באשכול כדי לקבוע אם הודעת הדואר האלקטרוני זדונית, חשודה או שאין לה איומים ברורים. אם לאשכול הדואר האלקטרוני התואם לשאילתה יש כמות מספקת של הודעות זבל, דיוג רגיל, איומי דיוג או תוכנות זדוניות ברמת מהימנות גבוהה, אשכול הדואר האלקטרוני מקבל סוג איום זה.
  • ניתוח קיבוץ באשכולות של דואר אלקטרוני בודק גם את מיקום המסירה העדכני ביותר של הדואר האלקטרוני וההודעות המקוריות באשכולות הדואר האלקטרוני כדי לסייע בזיהוי הודעות שעשויות לדרוש הסרה או שכבר תוכנות או נמנעו. ניתוח זה חשוב מכיוון שתוקפים תוקפים תוכן זדוני בנוסף למדיניות אבטחה והגנה עשויים להשתנות בין תיבות דואר. יכולת זו מובילה למצבים שבהם תוכן זדוני עשוי עדיין להיכלל בתיבות דואר, למרות שהודעות דואר אלקטרוני זדוניות אחד או יותר מנעו או זוהו והוסרו על-ידי מחיקה אוטומטית של אפס שעות (ZAP).
  • אשכולות דואר אלקטרוני הנחשמים זדוניות עקב תוכנות זדוניות, דיוג בביטחון גבוה, קבצים זדוניים או איומים זדוניים של כתובת URL מקבלים פעולה ממתינה למחיקת הודעות רכות שעדיין נמצאות בתיבת הדואר בענן (תיקיות תיבת דואר נכנס או דואר זבל). אם אשכולות דואר אלקטרוני או דואר אלקטרוני זדוניים הם "לא בתיבת דואר" (חסומה, בהסגר, נכשלה, נמחקה זמנית וכולי) או "מקומית/חיצונית" ללא בתיבת הדואר בענן, לא מוגדרת פעולה ממתינה להסרתן.
  • אם אחד מאשכולות הדואר האלקטרוני נקבע להיות זדוני, האיום המזוהה על-ידי האשכול יוחל בחזרה על הודעת הדואר האלקטרוני המקורית המעורבת בחקירה. אופן פעולה זה דומה לאנליסט של פעולות אבטחה המשתמש בתוצאות ציד דואר אלקטרוני כדי לקבוע את קביעת גזר הדין של הודעת דואר אלקטרוני מקורית בהתבסס על דואר אלקטרוני דומה. תוצאה זו מבטיחה שלא משנה אם זוהו כתובות URL, קבצים או מחווני דואר אלקטרוני מקוריים של דואר אלקטרוני המהווים מקור, המערכת יכולה לזהות הודעות דואר אלקטרוני זדוניות שעשויות להתחמק מזיהוי באמצעות התאמה אישית, שינוי צורה, התחמקות או טכניקות תוקף אחרות.
  • בחקירה שנחשף לסכנה על-ידי המשתמש, אשכולות דואר אלקטרוני נוספים נוצרים כדי לזהות בעיות דואר אלקטרוני פוטנציאליות שנוצרו על-ידי תיבת הדואר. תהליך זה כולל אשכול דואר אלקטרוני נקי (דואר אלקטרוני טוב ממשתמש, סינון נתונים פוטנציאלי והודעות דואר אלקטרוני פוטנציאליות של פקודה/שליטה), אשכולות דואר אלקטרוני חשודים (דואר אלקטרוני המכיל דואר זבל או דיוג רגיל) ואשכולות דואר אלקטרוני זדוניות (דואר אלקטרוני המכיל תוכנות זדוניות או דיוג ברמת מהימנות גבוהה). אשכולות דואר אלקטרוני אלה מספקים נתוני אנליסטים של פעולות אבטחה כדי לקבוע בעיות אחרות שעשויות להיחשב לסכנה, וניראות לגבי אילו הודעות אולי הפעילו את ההתראות המקוריות (לדוגמה, דיוג/דואר זבל שהפעילו הגבלות על שליחת משתמשים)

ניתוח קיבוץ באשכולות בדואר אלקטרוני באמצעות שאילתות דמיון וישות זדונית מבטיח זיהוי וניקיון מלא של בעיות בדואר אלקטרוני, גם אם רק הודעת דואר אלקטרוני אחת מהתקיפה מזוהה. באפשרותך להשתמש בקישורים מהתצוגות של לוח הצדדי של פרטי אשכול הדואר האלקטרוני כדי לפתוח את השאילתות בסייר או ב'ציד מתקדם' כדי לבצע ניתוח מעמיק יותר ולשנות את השאילתות במידת הצורך. יכולת זו מאפשרת מיקוד ותיקון ידניים אם אתה מוצא את השאילתות של אשכול הדואר האלקטרוני צרים או רחבים מדי (כולל דואר אלקטרוני לא קשור).

להלן שיפורים נוספים בניתוח דואר אלקטרוני בחקירות.

חקירת AIR מתעלמת מפרטי מסירה מתקדמים (תיבות דואר של SecOps והודעות הדמיית דיוג)

במהלך ניתוח קיבוץ באשכולות של דואר אלקטרוני, כל שאילתות הקיבוץ באשכולות מתעלמות מתיבות דואר של SecOps ומכתובות URL של הדמיות דיוג המזוהות מדיניות מסירה מתקדמת. תיבות דואר של SecOps וכתובות URL של הדמיות דיוג אינן מוצגות בשאילתה כדי לשמור על תכונות קיבוץ באשכולות פשוטות וקלות לקריאה. פריטים שאינם נכללים אלה מבטיחים שההודעות הנשלחות לתיבות הדואר וההודעות של SecOps המכילות כתובות URL של הדמיות דיוג אינן נכללות במהלך ניתוח איומים והן אינן מוסרות במהלך תיקון כלשהו.

הערה

בעת פתיחת אשכול דואר אלקטרוני כדי להציג אותו בסייר מתוך פרטי אשכול הדואר האלקטרוני, מסנני הדמיות דיוג ותיבות דואר SecOps מוחלים בסייר, אך אינם מוצגים. אם תשנה את מסנני הסייר, התאריכים או תרענן את השאילתה בתוך הדף, פריטים שאינם נכללים במסנן הדמיות דיוג/SecOps יוסרו, והודעות דואר אלקטרוני תואמות יוצגו שוב. אם תרענן את דף הסייר באמצעות פונקציית הרענון של הדפדפן, מסנני השאילתה המקוריים ייטענו מחדש, כולל המסננים הדמיות דיוג/SecOps, אך יסירו את השינויים הבאים שביצעת.

עדכוני AIR ממתינים למצב פעולת דואר אלקטרוני

ניתוח הדואר האלקטרוני של החקירה מחשב איומי דואר אלקטרוני ומיקומים בזמן החקירה כדי ליצור את הראיות והפעולות בחקירה. נתונים אלה יכולים להיות מיושנים ומיושן כאשר פעולות מחוץ לחקירה משפיעות על הדואר האלקטרוני המעורב בחקירה. לדוגמה, ציד ותיקון ידניים של פעולות אבטחה עשויות לנקות דואר אלקטרוני הכלול בחקירה. בדומה לכך, ייתכן שפעולות מחיקה שאושרו בחקירות מקבילות או פעולות ההסגר האוטומטיות של ZAP הסירו דואר אלקטרוני. בנוסף, זיהויים מושהים של איומים לאחר מסירת דואר אלקטרוני עשויים לשנות את מספר האיומים הכלולים בשאילתות/אשכולות הדואר האלקטרוני של החקירה.

כדי להבטיח שפעולות החקירה יהיו עדכניות, חקירות המכילות פעולות ממתינות יפעילו מחדש מעת לעת את שאילתות ניתוח הדואר האלקטרוני כדי לעדכן את המיקומים והאיומים של הדואר האלקטרוני.

  • כאשר נתוני אשכול הדואר האלקטרוני משתנים, הם מעדכו את האיום ואת ספירות מיקומי המסירה העדכניות ביותר.
  • אם דואר אלקטרוני או אשכול דואר אלקטרוני עם פעולות ממתינות כבר לא נמצאים בתיבת הדואר, הפעולה הממתינה מבוטלת, והודעת הדואר האלקטרוני/האשכול הזדון נחשבת לתיקון.
  • לאחר שכל האיומים של החקירה עודכנו או בוטלו כפי שתואר קודם לכן, החקירה תעבר למצב מותקן וההתראה המקורית תיפתר.

הצגת ראיות לתקריות עבור אשכולות דואר אלקטרוני והודעות דואר אלקטרוני

ראיות מבוססות דואר אלקטרוני בכרטיסיה 'ראיות' ו'תגובה ' עבור מקרה מציגות כעת את המידע הבא.

פרטי ניתוח הדואר האלקטרוני ב'ראיות' ו'תגובה'

מההסברים המספורים באיור:

  1. באפשרותך לבצע פעולות תיקון, בנוסף למרכז הפעולות.

  2. באפשרותך לבצע פעולת תיקון עבור אשכולות דואר אלקטרוני עם גזר דין זדוני (אך לא חשוד).

  3. עבור גזר הדין של דואר זבל, דיוג מפוצל למהימנות גבוהה ודיוג רגיל.

    עבור גזר דין זדוני, קטגוריות האיומים הן תוכנות זדוניות, דיוג בביטחון גבוה, כתובת URL זדונית וקובץ זדוני.

    עבור גזר דין חשוד, קטגוריות האיומים הן דואר זבל ודיוג רגיל.

  4. ספירת הדואר האלקטרוני לפי מבוססת על מיקום המסירה העדכני ביותר וכוללת מונים עבור דואר אלקטרוני בתיבות דואר, לא בתיבות דואר ובסביבה המקומית.

  5. כולל את התאריך והשעה של השאילתה, שעשויים להתעדכן לקבלת הנתונים העדכניים ביותר.

עבור אשכולות דואר אלקטרוני או דואר אלקטרוני בכרטיסיה 'ישויות' של חקירה, האפשרות 'מונע' פירושה שלא היתה דואר אלקטרוני זדוני בתיבת הדואר עבור פריט זה (דואר או אשכול). הנה דוגמה.

הודעת דואר אלקטרוני מנעה.

בדוגמה זו, הודעת הדואר האלקטרוני זדונית אך לא בתיבת דואר.

השלבים הבאים