אבטחת דואר אלקטרוני עם סייר האיומים וזיהויים בזמן אמת Microsoft Defender עבור Office 365

• חל על:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.

ארגוני Microsoft 365 Microsoft Defender עבור Office 365 במנוי שלהם או שנרכשו כהרחבה כוללים את סייר האיומים (הידוע גם כ- Threat Explorer) או זיהויים בזמן אמת. תכונות אלה הן כלים רבי-עוצמה, ליד כלים בזמן אמת, שיעזרו לצוותי פעולות אבטחה (SecOps) לחקור ולהגיב לאיומים. לקבלת מידע נוסף, ראה אודות Threat Explorer וזיהויים בזמן אמת ב- Microsoft Defender עבור Office 365.

מאמר זה מסביר כיצד להציג ולחקור תוכנות זדוניות וניסיונות דיוג שזוהו בדואר אלקטרוני באמצעות Threat Explorer או זיהויים בזמן אמת.

עצה

לקבלת תרחישי דואר אלקטרוני אחרים המשתמשים ב- Threat Explorer ובזיהויים בזמן אמת, עיין במאמרים הבאים:

• ציד איומים בסייר האיומים ובזיהויים בזמן אמת Microsoft Defender עבור Office 365
• בדוק דואר אלקטרוני זדוני שנשלח ב- Microsoft 365

מה עליך לדעת לפני שתתחיל?

• 'סייר האיומים' כלול Defender עבור Office 365 תוכנית 2. זיהויים בזמן אמת כלולים ב- Defender for Office תוכנית 1:

  • ההבדלים בין סייר האיומים והזיהויים בזמן אמת מתוארים בנושא סייר האיומים וזיהויים בזמן אמת ב- Microsoft Defender עבור Office 365.
  • ההבדלים בין Defender עבור Office 365 תוכנית 2 לבין Defender עבור תוכנית Office 1 מתוארים Defender עבור Office 365 תוכנית 1 לעומת גיליון הוראות של תוכנית 2.

• לקבלת הרשאות ודרישות רישוי עבור Threat Explorer וזיהויים בזמן אמת, ראה הרשאות ורישוי עבור סייר האיומים וזיהויים בזמן אמת.

הצגת דואר אלקטרוני של דיוג שנשלח למשתמשים התחזות ולתחום

לקבלת מידע נוסף אודות הגנה על התחזות של משתמשים ותחום במדיניות למניעת דיוג ב- Defender עבור Office 365, ראה הגדרות התחזות במדיניות למניעת דיוג ב- Microsoft Defender עבור Office 365.

במדיניות ברירת המחדל או במדיניות מותאמת אישית למניעת דיוג, עליך לציין את המשתמשים והתחום להגנה מפני התחזות, כולל תחומים בבעלותך (תחומים מקובלים). במדיניות האבטחה הקבועה מראש הרגילה או הקפדה, תחומים בבעלותך מקבלים באופן אוטומטי הגנת התחזות, אך עליך לציין משתמשים או תחומים מותאמים אישית לשם הגנה מפני התחזות. לקבלת הוראות, עיין במאמרים הבאים:

• מדיניות אבטחה קבועה מראש ב- EOP וב- Microsoft Defender עבור Office 365
• קביעת תצורה של מדיניות למניעת דיוג ב- Microsoft Defender עבור Office 365

השתמש בשלבים הבאים כדי לסקור הודעות דיוג ולחפש משתמשים או תחומים מתחזים.

1. השתמש באחד מהפעולות הבאות כדי לפתוח את Threat Explorer או זיהויים בזמן אמת:

   • סייר האיומים: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני & סייר>האבטחה. לחלופין, כדי לעבור ישירות לדף הסייר , השתמש ב- https://security.microsoft.com/threatexplorerv3.
   • זיהויים בזמן אמת: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני &>זיהויי אבטחה בזמן אמת. לחלופין, כדי לעבור ישירות לדף 'זיהויים בזמן אמת ', השתמש ב- https://security.microsoft.com/realtimereportsv3.

2. בדף סייר אוזיהויים בזמן אמת , בחר את תצוגת דיוג . לקבלת מידע נוסף אודות תצוגת דיוג , ראה תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת.

3. בחר את טווח התאריך/שעה. ברירת המחדל היא אתמול והיום.

4. בצע אחד מהפעולות הבאות:

   • חפש ניסיונות התחזות של משתמש או תחום:

     • בחר את התיבה כתובת שולח (מאפיין) ולאחר מכן בחר טכנולוגיית זיהוי במקטע בסיסי של הרשימה הנפתחת.
     • ודא שהאפשרויות שווה לאופרטור כלשהו נבחרו בתור אופרטור המסנן.
     • בתיבת ערך המאפיין, בחר תחום התחזותומשתמש התחזות

   • חפש ניסיונות משתמש ספציפיים מתחזים:

     • בחר את התיבה כתובת שולח (מאפיין ) ולאחר מכן בחר משתמש מתחזה במקטע בסיסי של הרשימה הנפתחת.
     • ודא שהאפשרויות שווה לאופרטור כלשהו נבחרו בתור אופרטור המסנן.
     • בתיבה ערך המאפיין, הזן את כתובת הדואר האלקטרוני המלאה של הנמען. הפרד בין ערכי נמענים מרובים באמצעות פסיקים.

   • חפש ניסיונות תחום ספציפיים מתחזים:

     • בחר את התיבה כתובת שולח (מאפיין ) ולאחר מכן בחר תחום מתחזה במקטע בסיסי של הרשימה הנפתחת.
     • ודא שהאפשרויות שווה לאופרטור כלשהו נבחרו בתור אופרטור המסנן.
     • בתיבה ערך המאפיין, הזן את התחום (לדוגמה, contoso.com). הפרד בין ערכי תחום מרובים באמצעות פסיקים.

5. הזן תנאים נוספים באמצעות מאפיינים אחרים הניתנים לסינון לפי הצורך. לקבלת הוראות, ראה מסנני מאפיינים ב- Threat Explorer ובזיהוי בזמן אמת.

6. לאחר שתסיים ליצור את תנאי המסנן, בחר רענן.

7. באזור הפרטים מתחת לתרשים, ודא שהכרטיסיה דואר אלקטרוני (תצוגה) נבחרה.

   באפשרותך למיין את הערכים ולהציג עמודות נוספות כמתואר בתצוגת דואר אלקטרוני עבור אזור הפרטים של תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת.

   • אם תבחר בערך נושא של ערך בטבלה, ייפתח תפריט נשלף של פרטי דואר אלקטרוני. תפריט נשלף זה של פרטים נקרא לוח סיכום דואר אלקטרוני והוא מכיל מידע סיכום סטנדרטי הזמין גם בדף ישות דואר אלקטרוני עבור ההודעה.

     לקבלת פרטים אודות המידע בלוח סיכום דואר אלקטרוני, ראה לוח הסיכום דואר אלקטרוני.

     לקבלת מידע אודות הפעולות הזמינות בחלק העליון של לוח הסיכום 'דואר אלקטרוני' עבור 'סייר האיומים' ו'זיהוי בזמן אמת', ראה פרטי דואר אלקטרוני מהתצוגה דואר אלקטרוני של אזור הפרטים בתצוגה 'כל הדואר האלקטרוני ' (אותן פעולות זמינות גם בתצוגת דיוג) .

   • אם תבחר את ערך הנמען של ערך בטבלה, ייפתח תפריט נשלף אחר של פרטים. לקבלת מידע נוסף, ראה פרטי נמען מתוך התצוגה דואר אלקטרוני של אזור הפרטים בתצוגת דיוג.

ייצוא נתוני לחיצה על כתובת URL

באפשרותך לייצא נתוני לחיצה על כתובת URL לקובץ CSV כדי להציג את מזהה הודעת הרשת וללחוץ על ערכי גזרה, שמסבירים מהיכן הגיעה תעבורת הלחיצה של כתובת ה- URL.

1. השתמש באחד מהפעולות הבאות כדי לפתוח את Threat Explorer או זיהויים בזמן אמת:

   • סייר האיומים: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני & סייר>האבטחה. לחלופין, כדי לעבור ישירות לדף הסייר , השתמש ב- https://security.microsoft.com/threatexplorerv3.
   • זיהויים בזמן אמת: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני &>זיהויי אבטחה בזמן אמת. לחלופין, כדי לעבור ישירות לדף 'זיהויים בזמן אמת ', השתמש ב- https://security.microsoft.com/realtimereportsv3.

2. בדף סייר אוזיהויים בזמן אמת , בחר את תצוגת דיוג . לקבלת מידע נוסף אודות תצוגת דיוג , ראה תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת.

3. בחר את טווח התאריך/שעה ולאחר מכן בחר רענן. ברירת המחדל היא אתמול והיום.

4. באזור הפרטים, בחר את הכרטיסיה כתובות URL מובילות או לחיצות מובילות (תצוגה).

5. בתצוגת כתובות URL מובילות או לחיצות מובילות, בחר ערך אחד או יותר מהטבלה על-ידי בחירה בתיבת הסימון לצד העמודה הראשונה ולאחר מכן בחר יצא. חוקר>דיוג>קליקים>כתובות URL מובילות אולחיצות ראשונות> של כתובות URL בחר רשומה כלשהי כדי לפתוח את התפריט הנשלף של כתובת ה- URL.

באפשרותך להשתמש בערך 'מזהה הודעת רשת' כדי לחפש הודעות ספציפיות ב- Threat Explorer או בזיהוי בזמן אמת או בכלים חיצוניים. חיפושים אלה מזהים את הודעת הדואר האלקטרוני המשויכת לתוצאה של לחיצה. שימוש במזהה הודעת הרשת המתאם מאפשר ניתוח מהיר וחזק יותר.

הצגת תוכנה זדונית שזוהתה בדואר אלקטרוני

השתמש בשלבים הבאים ב- Threat Explorer או בזיהוי בזמן אמת כדי לראות את התוכנה הזדונית שזוהתה בדואר אלקטרוני על-ידי Microsoft 365.

1. השתמש באחד מהפעולות הבאות כדי לפתוח את Threat Explorer או זיהויים בזמן אמת:

   • סייר האיומים: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני & סייר>האבטחה. לחלופין, כדי לעבור ישירות לדף הסייר , השתמש ב- https://security.microsoft.com/threatexplorerv3.
   • זיהויים בזמן אמת: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני &>זיהויי אבטחה בזמן אמת. לחלופין, כדי לעבור ישירות לדף 'זיהויים בזמן אמת ', השתמש ב- https://security.microsoft.com/realtimereportsv3.

2. בדף סייר או זיהוי בזמן אמת, בחר את התצוגה תוכנות זדוניות . לקבלת מידע נוסף אודות תצוגת דיוג , ראה תצוגת תוכנות זדוניות בסייר האיומים ובזיהויים בזמן אמת.

3. בחר את טווח התאריך/שעה. ברירת המחדל היא אתמול והיום.

4. בחר את התיבה כתובת שולח (מאפיין) ולאחר מכן בחר טכנולוגיית זיהוי במקטע בסיסי של הרשימה הנפתחת.

   • ודא שהאפשרויות שווה לאופרטור כלשהו נבחרו בתור אופרטור המסנן.
   • בתיבת ערך המאפיין, בחר אחד או יותר מהערכים הבאים:
     • הגנה מפני תוכנות זדוניות
     • נפץ קובץ
     • מוניטין של נפץ קובץ
     • מוניטין קובץ
     • התאמת טביעת אצבע

5. הזן תנאים נוספים באמצעות מאפיינים אחרים הניתנים לסינון לפי הצורך. לקבלת הוראות, ראה מסנני מאפיינים ב- Threat Explorer ובזיהוי בזמן אמת.

6. לאחר שתסיים ליצור את תנאי המסנן, בחר רענן.

הדוח מציג את התוצאות שתוכנות זדוניות זוהו בדואר אלקטרוני, באמצעות אפשרויות הטכנולוגיה שבחרת. מכאן, תוכל לבצע ניתוח נוסף.

דווח על הודעות כהודעות נקיות

באפשרותך להשתמש בדף ' שליחות ' בפורטל Defender ב כדי https://security.microsoft.com/reportsubmission לדווח על הודעות כהודעות נקיות (תוצאות חיוביות מוטעות) ל- Microsoft. עם זאת, באפשרותך גם לשלוח הודעות כהודעות נקיות ל- Microsoft דרך 'בצע פעולה' ב- Threat Explorer או מהדף 'ישות דואר אלקטרוני'.

לקבלת הוראות, ראה ציד איומים: אשף ביצוע הפעולה.

כדי לסכם:

• בחר בצע פעולה באמצעות אחת מהשיטות הבאות:

  • בחר הודעה אחת או יותר מטבלת הפרטים בכרטיסיה דואר אלקטרוני (תצוגה) בתצוגות כל הדואר האלקטרוני, תוכנות זדוניות או דיוג על-ידי בחירה בתיבות הסימון עבור הערכים.

  או

  • בתפריט הנשלף של הפרטים לאחר בחירת הודעה מטבלת הפרטים בכרטיסיה דואר אלקטרוני (תצוגה) בתצוגות כל הדואר האלקטרוני, התוכנות הזדוניות או דיוג על-ידי לחיצה על הערך נושא.

• באשף 'בצע פעולה', בחר שלח ל-> Microsoftלסקירה אישרתי שהיא נקייה.

הצג את כתובת ה- URL של דיוג ולחץ על נתוני גזר דין

הגנה על קישורים בטוחים עוקבת אחר כתובות URL שהורשו, נחסמו ונחסמו. הגנה על קישורים בטוחים מופעלת כברירת מחדל, הודות להגנה מוכללת במדיניות אבטחה קבועה מראש. הגנה על קישורים בטוחים מופעלת במדיניות האבטחה הקבועה מראש הרגילה והקפדן. באפשרותך גם ליצור ולהגדיר הגנה על קישורים בטוחים במדיניות קישורים בטוחים מותאמת אישית. לקבלת מידע נוסף אודות הגדרות מדיניות קישורים בטוחים, ראה הגדרות מדיניות קישורים בטוחים.

השתמש בשלבים הבאים כדי לראות ניסיונות דיוג באמצעות כתובות URL בהודעות דואר אלקטרוני.

1. השתמש באחד מהפעולות הבאות כדי לפתוח את Threat Explorer או זיהויים בזמן אמת:

   • סייר האיומים: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני & סייר>האבטחה. לחלופין, כדי לעבור ישירות לדף הסייר , השתמש ב- https://security.microsoft.com/threatexplorerv3.
   • זיהויים בזמן אמת: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני &>זיהויי אבטחה בזמן אמת. לחלופין, כדי לעבור ישירות לדף 'זיהויים בזמן אמת ', השתמש ב- https://security.microsoft.com/realtimereportsv3.

2. בדף סייר אוזיהויים בזמן אמת , בחר את תצוגת דיוג . לקבלת מידע נוסף אודות תצוגת דיוג , ראה תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת.

3. בחר את טווח התאריך/שעה. ברירת המחדל היא אתמול והיום.

4. בחר את התיבה כתובת שולח (מאפיין) ולאחר מכן בחר לחץ על גזר הדין במקטע כתובות URL של הרשימה הנפתחת.

   • ודא שהאפשרויות שווה לאופרטור כלשהו נבחרו בתור אופרטור המסנן.
   • בתיבת ערך המאפיין, בחר אחד או יותר מהערכים הבאים:
     • חסום
     • המערכת חסמה את החסומים

   לקבלת הסברים אודות ערכי 'לחץ על גזר הדין', ראה לחיצה על גזר הדין במאפיינים הניתנים לסינון בתצוגה 'כל הדואר האלקטרוני' בסייר האיומים.

5. הזן תנאים נוספים באמצעות מאפיינים אחרים הניתנים לסינון לפי הצורך. לקבלת הוראות, ראה מסנני מאפיינים ב- Threat Explorer ובזיהוי בזמן אמת.

6. לאחר שתסיים ליצור את תנאי המסנן, בחר רענן.

הכרטיסיה כתובות URL מובילות (תצוגה) באזור הפרטים מתחת לתרשים מציגה את ספירת הודעות שנחסמו, הודעות זבל והודעות הנמסרות עבור חמש כתובות ה- URL המובילות. לקבלת מידע נוסף, ראה תצוגת כתובות URL מובילות עבור אזור הפרטים של תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת.

הכרטיסיה לחיצות מובילות (תצוגה) באזור הפרטים שמתחת לתרשים מציגה את חמשת הקישורים העליונה ללחוץ שהיו גולשות על-ידי קישורים בטוחים. לחיצות על כתובות URL על קישורים שלא מיפויו אינן מופיעות כאן. לקבלת מידע נוסף, ראה תצוגת לחיצות מובילות עבור אזור הפרטים של תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת.

טבלאות URL אלה מציגות כתובות URL שנחסמו או שבהם ביקרת למרות אזהרה. מידע זה מציג את הקישורים הרעים הפוטנציאליים שהוצגו למשתמשים. מכאן, תוכל לבצע ניתוח נוסף.

בחר כתובת URL מתוך ערך בתצוגה לקבלת פרטים. לקבלת מידע נוסף, ראה פרטי כתובת URL עבור הכרטיסיות 'כתובות URL מובילות' ו'לחיצות מובילות' בתצוגת דיוג.

עצה

בתפריט הנשלף של פרטי כתובת ה- URL, הסינון בהודעות דואר אלקטרוני מוסר כדי להציג את התצוגה המלאה של חשיפת כתובת ה- URL בסביבה שלך. אופן פעולה זה מאפשר לך לסנן הודעות דואר אלקטרוני ספציפיות, לחפש כתובות URL ספציפיות המהוות איומים פוטנציאליים ולאחר מכן להרחיב את ההבנה של חשיפת כתובת ה- URL בסביבה שלך מבלי שתצטרך להוסיף מסנני כתובות URL בתצוגת דיוג.

פרשנות של גזרי דין של לחיצה

תוצאות המאפיין לחץ על גזר הדין גלויות במיקומים הבאים:

• לחץ על ציר תרשים של גזרה דין עבור תצוגת הלחיצה של כתובת ה- URL של אזור הפרטים של תצוגת כל הדואר האלקטרוני (סייר האיומים בלבד) או תצוגת דיוג
• תצוגת לחיצות מובילות עבור אזור הפרטים של תצוגת כל הדואר האלקטרוני בסייר האיומים
• תצוגת לחיצות מובילות עבור אזור הפרטים של תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת
• תצוגת לחיצות מובילות עבור אזור הפרטים של תצוגת לחיצות כתובת ה- URL בסייר האיומים

ערכי גזר הדין מתוארים ברשימה הבאה:

• מותר: המשתמש הורשה לפתוח את כתובת ה- URL.
• חסימה מוחלפת: פתיחת כתובת ה- URL ישירה נחסמה על-ידי המשתמש, אך הוא החחליף את הבלוק כדי לפתוח את כתובת ה- URL.
• חסום: פתיחת כתובת ה- URL נחסמה על-ידי המשתמש.
• שגיאה: המשתמש הוצג עם דף השגיאה, או שאירעה שגיאה בלכידת גזר הדין.
• כשל: אירעה חריגה לא ידועה בעת לכידת גזר הדין. ייתכן שהמשתמש פתח את כתובת ה- URL.
• ללא: אין אפשרות ללכוד את גזר הדין עבור כתובת ה- URL. ייתכן שהמשתמש פתח את כתובת ה- URL.
• קביעת דין ממתינה: המשתמש הוצג עם הדף הממתין להפסקה.
• קביעת הדין בהמתנה עברה: המשתמש הוצג עם דף הנ נפץ, אך הוא החליף את ההודעה כדי לפתוח את כתובת ה- URL.

התחל חקירה ותגובה אוטומטיות ב- Threat Explorer

חקירה אוטומטית ותגובה (AIR) Defender עבור Office 365 תוכנית 2 יכולות לחסוך זמן ומאמץ בזמן שאתה חוקר ולצמצם מתקפות סייבר. באפשרותך לקבוע את התצורה של התראות שמפעילות ספר הפעלות אבטחה, ולהפעיל את AIR ב- Threat Explorer. לקבלת פרטים, ראה דוגמה: מנהל אבטחה מפעיל חקירה מהסייר.

מאמרים אחרים

בדיקת דואר אלקטרוני באמצעות הדף 'ישות דואר אלקטרוני'