בדוק דואר אלקטרוני זדוני שנשלח ב- Microsoft 365

• חל על:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

ארגוני Microsoft 365 Microsoft Defender עבור Office 365 במנוי שלהם או שנרכשו כהרחבה כוללים את סייר האיומים (הידוע גם כ- Threat Explorer) או זיהויים בזמן אמת. תכונות אלה הן כלים רבי-עוצמה, ליד כלים בזמן אמת, שיעזרו לצוותי פעולות אבטחה (SecOps) לחקור ולהגיב לאיומים. לקבלת מידע נוסף, ראה אודות Threat Explorer וזיהויים בזמן אמת ב- Microsoft Defender עבור Office 365.

סייר האיומים וזיהויים בזמן אמת מאפשרים לך לחקור פעילויות שמציבות אנשים בארגון שלך בסכנה, ולבצע פעולה כדי להגן על הארגון שלך. לדוגמה:

• חיפוש ומחיקה של הודעות.
• זהה את כתובת ה- IP של שולח דואר אלקטרוני זדוני.
• התחל תקרית לבדיקה נוספת.

מאמר זה מסביר כיצד להשתמש ב- Threat Explorer ובזיהויים בזמן אמת כדי למצוא דואר אלקטרוני זדוני בתיבות דואר של נמענים.

עצה

כדי לעבור ישירות להליכי התיקון, ראה תיקון הודעות דואר אלקטרוני זדוניות הנמסרות Office 365.

לקבלת תרחישי דואר אלקטרוני אחרים המשתמשים ב- Threat Explorer ובזיהויים בזמן אמת, עיין במאמרים הבאים:

• ציד איומים בסייר האיומים ובזיהויים בזמן אמת Microsoft Defender עבור Office 365
• אבטחת דואר אלקטרוני עם סייר האיומים וזיהויים בזמן אמת Microsoft Defender עבור Office 365

מה עליך לדעת לפני שתתחיל?

• 'סייר האיומים' כלול Defender עבור Office 365 תוכנית 2. זיהויים בזמן אמת כלולים ב- Defender for Office תוכנית 1:

  • ההבדלים בין סייר האיומים והזיהויים בזמן אמת מתוארים בנושא סייר האיומים וזיהויים בזמן אמת ב- Microsoft Defender עבור Office 365.
  • ההבדלים בין Defender עבור Office 365 תוכנית 2 לבין Defender עבור תוכנית Office 1 מתוארים Defender עבור Office 365 תוכנית 1 לעומת גיליון הוראות של תוכנית 2.

• עבור מאפייני מסנן הדורשים ממך לבחור ערך זמין אחד או יותר, השימוש במאפיין בתנאי הסינון שבו כל הערכים שנבחרו זהה לתוצאה של לא שימוש במאפיין בתנאי הסינון.

• לקבלת הרשאות ודרישות רישוי עבור Threat Explorer וזיהויים בזמן אמת, ראה הרשאות ורישוי עבור סייר האיומים וזיהויים בזמן אמת.

חיפוש דואר אלקטרוני חשוד שנשלח

1. השתמש באחד מהפעולות הבאות כדי לפתוח את Threat Explorer או זיהויים בזמן אמת:

   • סייר האיומים: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני & סייר>האבטחה. לחלופין, כדי לעבור ישירות לדף הסייר , השתמש ב- https://security.microsoft.com/threatexplorerv3.
   • זיהויים בזמן אמת: בפורטל Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני &>זיהויי אבטחה בזמן אמת. לחלופין, כדי לעבור ישירות לדף 'זיהויים בזמן אמת ', השתמש ב- https://security.microsoft.com/realtimereportsv3.

2. בדף סייר או זיהויים בזמן אמת , בחר תצוגה מתאימה:

   • סייר האיומים: ודא שהתצוגה 'כל הדואר האלקטרוני ' נבחרה.
   • זיהויים בזמן אמת: ודא שהתצוגה ' תוכנות זדוניות ' נבחרה, או בחר את תצוגת דיוג.

3. בחר את טווח התאריך/שעה. ברירת המחדל היא אתמול והיום.

   

4. צור תנאי סינון אחד או יותר באמצעות חלק מהמאפיינים והערכים הייעדיים הבאים או כולם. לקבלת הוראות מלאות, ראה מסנני מאפיינים ב- Threat Explorer ובזיהויים בזמן אמת. לדוגמה:

   • פעולת מסירה: הפעולה שבוצעה בהודעת דואר אלקטרוני עקב פריטי מדיניות או זיהוי קיימים. ערכים שימושיים הם:

     • נמסר: דואר אלקטרוני נמסר לתיבת הדואר הנכנס של המשתמש או לתיקיה אחרת שבה המשתמש יכול לגשת להודעה.
     • דואר זבל: דואר אלקטרוני נמסר לתיקיה 'דואר זבל' של המשתמש או לתיקיה 'פריטים שנמחקו' שבה המשתמש יכול לגשת להודעה.
     • חסום: הודעות דואר אלקטרוני שהועברו להסגר, המסירה נכשלה או שהושמטו.

   • מיקום מסירה מקורי: המקום שבו נשלח דואר אלקטרוני לפני פעולות אוטומטיות או ידניות לאחר מסירה על-ידי המערכת או על-ידי מנהלי המערכת (לדוגמה, ZAP או הועבר להסגר). ערכים שימושיים הם:

     • התיקיה 'פריטים שנמחקו'
     • ירד: ההודעה אבדה במקום כלשהו בזרימת הדואר.
     • נכשל: ההודעה לא הצלחנו להגיע לתיבת הדואר.
     • תיבת דואר נכנס/תיקיה
     • תיקיית דואר זבל
     • מקומי/חיצוני: תיבת הדואר אינה קיימת בארגון Microsoft 365.
     • הסגר
     • לא ידוע: לדוגמה, לאחר המסירה, כלל תיבת דואר נכנס העביר את ההודעה לתיקיית ברירת מחדל (לדוגמה, 'טיוטה' או 'ארכיון') במקום לתיקיה 'תיבת דואר נכנס' או 'דואר זבל'.

   • מיקום המסירה האחרון: כאשר הדואר האלקטרוני הסתיים לאחר פעולות אוטומטיות או ידניות לאחר מסירה על-ידי המערכת או על-ידי מנהלי המערכת. אותם ערכים זמינים ממיקום המסירה המקורי.

   • כיווניות: ערכים חוקיים הם:

     • כניסה
     • אינטרא-ארגוני
     • יוצאת

     מידע זה יכול לעזור לזהות התחזות וה התחזות. לדוגמה, הודעות משולחי תחום פנימיים צריכות להיות Intra-org, לא Inbound.

   • פעולה נוספת: ערכים חוקיים הם:

     • תיקון אוטומטי (Defender עבור Office 365 תוכנית 2)
     • מסירה דינאמית: לקבלת מידע נוסף, ראה מדיניות מסירה דינאמית בקבצים מצורפים בטוחים.
     • תיקון ידני
     • ללא
     • שחרור ההסגר
     • תעבד מחדש: ההודעה זוהתה באופן רטרואקטיבי כהודעה טובה.
     • ZAP: לקבלת מידע נוסף, ראה מחיקה אוטומטית של אפס שעות (ZAP) Microsoft Defender עבור Office 365.

   • עקיפה ראשית: אם הגדרות הארגון או המשתמשים הותר או נחסמו הודעות היו נחסמות או מותרות בדרך אחרת. הערכים הם:

     • מדיניות ארגונית מותרת
     • מדיניות המשתמשים מותרת
     • נחסם על-ידי מדיניות הארגון
     • נחסם על-ידי מדיניות המשתמש
     • ללא

     קטגוריות אלה ממוקדות עוד יותר על-ידי מאפיין מקור העקיפה הראשי.

   • מקור עקיפה ראשי סוג המדיניות הארגונית או הגדרת המשתמשים המותרים או החסומים של הודעות היו נחסמות או מותרות בדרך אחרת. הערכים הם:

     • מסנן צד שלישי
     • מרכז הניהול זמן שהותחלה
     • חסימת מדיניות נגד תוכנות זדוניות לפי סוג קובץ: מסנן קבצים מצורפים נפוצים במדיניות למניעת תוכנות זדוניות
     • הגדרות מדיניות נגד תוכנות זדוניות
     • מדיניות חיבור: קביעת תצורה של סינון חיבורים
     • כלל תעבורה של Exchange (כלל זרימת דואר)
     • מצב בלעדי (עקיפת משתמש): ההגדרה תן אמון רק בדואר אלקטרוני מכתובות ברשימת השולחים והתחום הבטוחים וברשימות הדיוור הבטוחות שלי באוסף הרשימה הבטוחה בתיבת דואר.
     • המערכת דילגה על הסינון עקב ארגון מקומי
     • מסנן אזור IP ממדיניות: המסנן ממדינות אלה במדיניות למניעת דואר זבל.
     • מסנן שפה ממדיניות: המסנן מכיל שפות ספציפיות במדיניות למניעת דואר זבל.
     • הדמיית דיוג: קביעת תצורה של הדמיות דיוג של ספקים חיצוניים במדיניות המסירה המתקדמות
     • שחרור הסגר: שחרור דואר אלקטרוני בהסגר
     • תיבת דואר של SecOps: קביעת תצורה של תיבות דואר של SecOps במדיניות המסירה המתקדמות
     • רשימת כתובות שולח (מרכז הניהול עקיפה): רשימת השולחים המותרים או רשימת השולחים החסומים במדיניות למניעת דואר זבל.
     • רשימת כתובות שולח (עקיפת משתמש): כתובות דואר אלקטרוני של שולח ברשימת השולחים החסומים באוסף הרשימה הבטוחה בתיבת דואר.
     • רשימת תחומים שולח (מרכז הניהול עקיפה): רשימת התחומים המותרים או רשימת התחומים החסומים במדיניות למניעת דואר זבל.
     • רשימת תחומים של שולח (עקיפת משתמש): תחומי שולח ברשימת השולחים החסומים באוסף הרשימה הבטוחה בתיבת דואר.
     • חסימת קבצים של רשימות דיירים/חסימות: יצירת ערכי חסימה עבור קבצים
     • בלוק כתובת דואר אלקטרוני של שולח של רשימת דיירים/חסימה: יצירת ערכי חסימה עבור תחומים וכתובות דואר אלקטרוני
     • חסימת התחזות של רשימות דיירים/חסימות: יצירת ערכי חסימה עבור שולחים התחזים
     • בלוק כתובת URL של רשימת חסימות/התרה של דייר: יצירת ערכי חסימה עבור כתובות URL
     • רשימת אנשי קשר מהימנה (עקיפת משתמש): ההגדרה תן אמון בדואר אלקטרוני מתוך אנשי הקשר שלי באוסף הרשימה הבטוחה בתיבת דואר.
     • חסימת קבצים של רשימות דיירים/חסימות: יצירת ערכי חסימה עבור קבצים
     • תחום מהימן (עקיפת משתמש): תחומי שולח ברשימת השולחים הבטוחיםבאוסף הרשימה הבטוחה בתיבת דואר.
     • נמען מהימן (עקיפת משתמש): כתובות דואר אלקטרוני של נמענים או תחומים ברשימה נמענים בטוחים באוסף הרשימה הבטוחה בתיבת דואר.
     • שולחים מהימנים בלבד (עקיפת משתמש): ההגדרה בטוח רשימות בלבד: רק דואר מאנשים או תחומים ברשימת השולחים הבטוחים או ברשימת הנמענים הבטוחים יועבר להגדרה תיבת הדואר הנכנס שלך באוסף הרשימה הבטוחה בתיבת דואר.

   • מקור עקיפה: אותם ערכים זמינים כמקור עקיפה ראשי.

     עצה

     בכרטיסיה דואר אלקטרוני (תצוגה) באזור הפרטים של התצוגות 'כל הדואר האלקטרוני', 'תוכנות זדוניות' ו'דיוג', עמודות העקיפה המתאימות נקראות 'עקיפת מערכת' והמערכת עוקפת את המקור.

   • איום כתובת URL: ערכים חוקיים הם:

     • תוכנות זדוניות
     • דיוג
     • דואר זבל

5. לאחר שתסיים לקבוע את התצורה של מסנני תאריך/שעה ומאפיינים, בחר רענן.

הכרטיסיה דואר אלקטרוני (תצוגה) באזור הפרטים של התצוגות 'כל הדואר האלקטרוני ', 'תוכנות זדוניות' או 'דיוג' מכילה את הפרטים הדרושים כדי לחקור דואר אלקטרוני חשוד.

לדוגמה, השתמש בעמודות פעולת מסירה, מיקום מסירה מקורי ומיקום מסירה אחרון בכרטיסיה דואר אלקטרוני (תצוגה) כדי לקבל תמונה מלאה של המיקום שאליו ההודעות המושפעות הלכו. הערכים הוסברו בשלב 4.

השתמש בייצוא כדי לייצא באופן סלקטיבי עד 200,000 תוצאות מסוננים או לא מסוננים לקובץ CSV.

תיקון דואר אלקטרוני זדוני שנשלח

לאחר זיהוי הודעות הדואר האלקטרוני הזדון שנשלחו, באפשרותך להסיר אותן מתיבות הדואר של הנמענים. לקבלת הוראות, ראה תיקון דואר אלקטרוני זדוני שנשלח ב- Microsoft 365.

מאמרים קשורים

תיקון דואר אלקטרוני זדוני שנמסר Office 365

Microsoft Defender עבור Office 365

הצגת דוחות עבור Defender עבור Office 365