בדוק דואר אלקטרוני זדוני שנשלח ב- Microsoft 365

עצה

הידעת שבאפשרותך לנסות את התכונות ב- Microsoft 365 Defender עבור Office 365 Plan 2 ללא תשלום? השתמש בגירסה ל- 90 יום של גירסת הניסיון של Defender עבור Office 365 במרכז הניסויים של פורטל Microsoft 365 Defender. למד מי יכול להירשם ולתנאי ניסיון כאן.

חל על:

Microsoft Defender עבור Office 365 מאפשרת לך לחקור פעילויות שמציבות אנשים בארגון שלך בסיכון, ולבצע פעולה כדי להגן על הארגון שלך. לדוגמה, אם אתה חלק מצוות האבטחה של הארגון שלך, באפשרותך לחפש ולחקור הודעות דואר אלקטרוני חשודות שנשלחו. ניתן לעשות זאת באמצעות Threat Explorer (או זיהויים בזמן אמת).

הערה

עבור למאמר התיקון כאן.

לפני שתתחיל

ודא שהדרישות הבאות עומדות בדרישות:

הצג הרשאות תפקיד בתצוגה מקדימה

כדי לבצע פעולות מסוימות, כגון הצגת כותרות הודעות או הורדת תוכן של הודעות דואר אלקטרוני, עליך להוסיף את התפקיד 'תצוגה מקדימה' לקבוצת תפקידים מתאימה אחרת. הטבלה הבאה מבהירה את התפקידים וההרשאות הדרושים.

פעילות קבוצת תפקידים נדרש תפקיד תצוגה מקדימה?
השתמש ב- Threat Explorer (ובזיהויים בזמן אמת) כדי לנתח איומים מנהל מערכת כללי

מנהל אבטחה

קורא אבטחה

לא
השתמש ב- Threat Explorer (ובזיהויים בזמן אמת) כדי להציג כותרות עבור הודעות דואר אלקטרוני וכן להציג בתצוגה מקדימה ולהוריד הודעות דואר אלקטרוני בהסגר מנהל מערכת כללי

מנהל אבטחה

קורא אבטחה

לא
שימוש בסייר האיומים כדי להציג כותרות, להציג תצוגה מקדימה של דואר אלקטרוני (רק בדף ישות הדואר האלקטרוני) ולהוריד הודעות דואר אלקטרוני הנמסרות לתיבות דואר מנהל מערכת כללי

מנהל אבטחה

קורא אבטחה

תצוגה מקדימה

כן

הערה

תצוגה מקדימה היא תפקיד, ולא קבוצת תפקידים. יש להוסיף את התפקיד Preview לקבוצת תפקידים קיימת או לקבוצת תפקידים חדשה בפורטל Microsoft 365 Defender הבא. לקבלת מידע נוסף, ראה הרשאות בפורטל Microsoft 365 Defender.

התפקיד 'מנהל מערכת כללי' מוקצה ל- מרכז הניהול של Microsoft 365 ב- https://admin.microsoft.com. התפקידים 'מנהל אבטחה' ו'קורא אבטחה' מוקצים Microsoft 365 Defender שלך.

אנחנו מבינים שתצוגה מקדימה והורדה של דואר אלקטרוני הן פעילויות רגישות, ולכן הביקורת מופעלת עבור פעילויות אלה. לאחר שמנהל מערכת מבצע פעילויות אלה בדואר אלקטרוני, יומני ביקורת נוצרים עבור אותו הדבר ובאפשרותך לראות אותם בפורטל Microsoft 365 Defender https://security.microsoft.com> בכרטיסיה חיפוש ביקורת ולסנן לפי שם מנהל המערכת בתיבה משתמשים. התוצאות המסוננים יציגו את הפעילות AdminMailAccess. בחר שורה כדי להציג פרטים במקטע מידע נוסף אודות תצוגה מקדימה או הורדה של דואר אלקטרוני.

חיפוש דואר אלקטרוני חשוד שנשלח

Threat Explorer הוא דוח רב-עוצמה שניתן לשרת מטרות מרובות, כגון חיפוש ומחיקה של הודעות, זיהוי כתובת ה- IP של שולח דואר אלקטרוני זדוני, או הפעלת מקרה בחקירה נוספת. ההליך הבא מתמקד בשימוש בסייר כדי לחפש ולמחוק דואר אלקטרוני זדוני מתיבות הדואר של הנמען.

הערה

חיפושי ברירת מחדל בסייר אינם כוללים כעת פריטים שהוסרו מתיבת הדואר בענן על-ידי מחיקה אוטומטית של אפס שעות (ZAP). מגבלה זו חלה על כל התצוגות (לדוגמה, התצוגות 'תוכנה זדונית בדואר > אלקטרוני' או 'דיוג > בדואר אלקטרוני'). כדי לכלול פריטים שהוסרו על-ידי ZAP, עליך להוסיף קבוצת פעולות מסירה כדי לכלול את האפשרות הוסרה על-ידי ZAP. אם תכלול את כל האפשרויות, תראה את כל תוצאות פעולת המסירה, כולל פריטים שהוסרו על-ידי ZAP.

  1. בפורטל Microsoft 365 Defender , עבור https://security.microsoft.comאל סייר שיתוף הפעולה & של הדואר>האלקטרוני . כדי לעבור ישירות לדף הסייר , השתמש ב- https://security.microsoft.com/threatexplorer.

    בדף הסייר , העמודה פעולות נוספות מציגה למנהלי מערכת את התוצאה של עיבוד הודעת דואר אלקטרוני. ניתן לגשת לעמודה פעולות נוספות באותו מקום שבו נמצאות פעולות המסירה ומיקוםהמסירה. ייתכן שפעולות מיוחדות יעודכנו בסוף ציר הזמן של הדואר האלקטרוני של סייר האיומים, שהוא תכונה חדשה שמטרתה להפוך את חוויית הציד לטובה יותר עבור מנהלי מערכת.

  2. בתפריט תצוגה , בחר שלח בדואר אלקטרוני>את כל הדואר האלקטרוני מהרשימה הנפתחת.

    הרשימה הנפתחת 'תוכנות זדוניות'

    התצוגה ' תוכנות זדוניות' היא כעת ברירת המחדל, והיא לוכדת הודעות דואר אלקטרוני שבהן מזוהה איום של תוכנה זדונית. תצוגת דיוג פועלת באותו אופן, עבור דיוג.

    עם זאת, כל תצוגת הדואר האלקטרוני מפרטת כל דואר שהתקבל על-ידי הארגון, בין אם זוהו איומים או לא. כפי שאתה יכול לדמיין, אלה נתונים רבים, ולכן תצוגה זו מציגה מציין מיקום שמציג בקשה להחיל מסנן. (תצוגה זו זמינה רק עבור לקוחות Defender עבור Office 365 P2.)

    התצוגה 'שליחות' מציגה את כל הודעות הדואר שנשלחו על-ידי מנהל מערכת או משתמש שדווחו Microsoft.

  3. חיפוש וסינון בסייר האיומים: מסננים מופיעים בחלק העליון של הדף בסרגל החיפוש כדי לעזור למנהלי מערכת בחקירות שלהם. שים לב שניתן להחיל מסננים מרובים בו-זמנית, וערכים מרובים המופרדים באמצעות פסיק מתווספים למסנן כדי לצמצם את החיפוש. זוכר:

    • מסננים מתאימים באופן מדויק ברוב תנאי הסינון.
    • מסנן הנושא משתמש בשאילתת CONTAINS.
    • מסנני כתובות URL פועלים עם או ללא פרוטוקולים (לדוגמה, https).
    • תחום כתובת URL, נתיב כתובת URL ומסנני תחום ונתיב של כתובת URL אינם דורשים פרוטוקול לסינון.
    • עליך ללחוץ על סמל הרענון בכל פעם שאתה משנה את ערכי המסנן כדי לקבל תוצאות רלוונטיות.
  4. מסננים מתקדמים: באמצעות מסננים אלה, באפשרותך לבנות שאילתות מורכבות ולסנן את ערכת הנתונים שלך. לחיצה על מסננים מתקדמים פותחת תפריט נשלף עם אפשרויות.

    סינון מתקדם הוא תוספת נהדרת ליכולות החיפוש. NOT בוליאני במסנני התחום 'נמען', 'שולח' ו'שולח' מאפשר למנהלי מערכת לחקור על-ידי אי-הכללת ערכים. אפשרות זו אינה שווה לבחירה . אפשרות זו מאפשרת למנהלי מערכת לא לכלול תיבות דואר לא רצויות בחקירות (לדוגמה, תיבות דואר של התראה ותיבות דואר של תשובה המהוות ברירת מחדל), והיא שימושית במקרים שבהם מנהלי מערכת חפשו נושא מסוים (לדוגמה, תשומת לב) שבהם ניתן להגדיר את הנמען ל'שווה לאף אחד' מ : defaultMail@contoso.com. זהו חיפוש ערך מדויק.

    החלונית 'נמענים'

    הוספת מסנן זמן לתאריך ההתחלה ולתאריך הסיום עוזרת לצוות האבטחה לבצע הסתעפות מהירה. משך הזמן הקצר ביותר המותר הוא 30 דקות. אם באפשרותך לצמצם את הפעולה החשודה לפי מסגרת זמן (לדוגמה, היא התרחשה לפני 3 שעות), פעולה זו תגביל את ההקשר ותסייע בפתרון הבעיה.

    האפשרות 'סינון לפי שעות'

  5. שדות בסייר האיומים: סייר האיומים חושף מידע רב יותר הקשור לאבטחה, כגון פעולת מסירה, מיקום מסירה, פעולהמיוחדת, כיווניות, עקיפה ואיומי כתובת URL. היא גם מאפשרת לצוות האבטחה של הארגון שלך לחקור ב ודאות גבוהה יותר.

    פעולת מסירה היא הפעולה שבוצעה בהודעת דואר אלקטרוני עקב פריטי מדיניות או זיהוי קיימים. להלן הפעולות האפשריות שהודעות דואר אלקטרוני יכולות לבצע:

    • נמסר – דואר אלקטרוני נמסר לתיבת הדואר הנכנס או לתיקיה של משתמש, והמשתמש יכול לגשת אליו ישירות.
    • דואר זבל (נמסר לדואר זבל)– דואר אלקטרוני נשלח לתיקיית דואר הזבל של המשתמש או לתיקיה שנמחקה, ולמשתמש יש גישה להודעות דואר אלקטרוני בתיקיה 'דואר זבל' או 'נמחק'.
    • חסום – הודעות דואר אלקטרוני שהועברו להסגר, שנכשלו או הושמטו.
    • הוחלף – כל הודעת דואר אלקטרוני שבה קבצים מצורפים זדוניים מוחלפים .txt קבצים שמצינים שהקובץ המצורף זדוני

    מיקום מסירה: המסנן 'מיקום מסירה' זמין כדי לעזור למנהלי מערכת להבין היכן דואר זדוני חשוד הסתיים והפעולות שבוצעו בו. ניתן לייצא את הנתונים המתוצאים לגיליון אלקטרוני. מיקומי מסירה אפשריים הם:

    • תיבת דואר נכנס או תיקיה – הדואר האלקטרוני נמצא בתיבת הדואר הנכנס או בתיקיה ספציפית, בהתאם לכללי הדואר האלקטרוני שלך.
    • מקומי או חיצוני – תיבת הדואר אינה קיימת בענן אך היא מקומית.
    • תיקיית דואר זבל – הדואר האלקטרוני נמצא בתיקיית דואר הזבל של המשתמש.
    • התיקיה 'פריטים שנמחקו' – הדואר האלקטרוני נמצא בתיקיה 'פריטים שנמחקו' של משתמש.
    • העבר להסגר – הדואר האלקטרוני בהסגר ולא בתיבת דואר של משתמש.
    • נכשל – הדואר האלקטרוני לא הצליח להגיע לתיבת הדואר.
    • ירד – הודעת הדואר האלקטרוני אבדה במקום כלשהו בזרימת הדואר.

    כיווניות: אפשרות זו מאפשרת לצוות פעולות האבטחה שלך לסנן לפי ה'כיוון' ממנו מגיע דואר, או שהוא מתקדם. ערכי כיווניות הם Inbound, Outbound ו- Intra-org (התואמים לדואר שמגיע לארגון שלך מבחוץ, נשלחים מהרגון שלך או נשלחים באופן פנימי לארגון שלך, בהתאמה). מידע זה יכול לעזור לצוותי פעולות האבטחה לזהות התחזות וה התחזות, מכיוון ש חוסר התאמה בין ערך הכיוון (לדוגמה, כניסה) לבין התחום של השולח (אשר נראה כתחום פנימי) יהיה ברור! ערך הכיוון הוא נפרד, והוא עשוי להיות שונה ממעקב אחר הודעות. ניתן לייצא את התוצאות לגיליון אלקטרוני.

    עקיפות: מסנן זה מקבל מידע המופיע בכרטיסיה פרטים של הדואר ומשתמש בו כדי לחשוף היכן הארגון, או פריטי המדיניות של המשתמש, כדי לאפשר ולחסימה של הודעות דואר עוקפים. הדבר החשוב ביותר במסנן זה הוא שהוא עוזר לצוות האבטחה של הארגון שלך לראות כמה הודעות דואר אלקטרוני חשודות נמסרו עקב קביעת תצורה. פעולה זו מעניקה להם הזדמנות לשנות את מאפשרים ובלוקים לפי הצורך. ניתן לייצא ערכת תוצאות זו של מסנן זה לגיליון אלקטרוני.

    עקיפות של סייר האיומים למה הם מתכוונת
    מותר על-ידי מדיניות ארגונית דואר הורשה להיכנס לתיבת הדואר כפי שהופנה על-ידי מדיניות הארגון.
    נחסם על-ידי מדיניות ארגונית מסירה לתיבת הדואר נחסמה על-ידי המדיניות הארגונית על-ידי דואר.
    סיומת הקובץ נחסמה על-ידי מדיניות הארגון מסירת הקובץ לתיבת הדואר נחסמה בהתאם למדיניות הארגון.
    מותר על-ידי מדיניות המשתמש דואר הורשה להיכנס לתיבת הדואר כפי שהופנה על-ידי מדיניות המשתמש.
    נחסם על-ידי מדיניות המשתמש מסירה לתיבת הדואר נחסמה על-ידי דואר כפי שהופנה על-ידי מדיניות המשתמש.

    איום כתובת URL: שדה האיום של כתובת ה- URL נכלל בכרטיסיה פרטים של הודעת דואר אלקטרוני כדי לציין את האיום המוצג על-ידי כתובת URL. איומים המוצגים על-ידי כתובת URL יכולים לכלול תוכנות זדוניות, דיוג או דואר זבל, וכתובת URL ללא איום תוצג ללא במקטע 'איומים'.

  6. תצוגת ציר זמן של דואר אלקטרוני: ייתכן שצוות פעולות האבטחה שלך יצטרכו להיכנס לעומק לפרטי הדואר האלקטרוני כדי להמשיך ולחקור. ציר הזמן של הדואר האלקטרוני מאפשר למנהלי מערכת להציג פעולות שבוצעו בהודעת דואר אלקטרוני ממסירה לאחר המסירה. כדי להציג ציר זמן של דואר אלקטרוני, לחץ על הנושא של הודעת דואר אלקטרוני ולאחר מכן לחץ על ציר זמן של דואר אלקטרוני. (היא מופיעה בין כותרות אחרות בלוח, כגון סיכום או פרטים.) ניתן לייצא תוצאות אלה לגיליון אלקטרוני.

    ציר הזמן של הדואר האלקטרוני ייפתח בטבלה המציגה את כל אירועי המסירה וההודעה לאחר המסירה עבור הדואר האלקטרוני. אם אין פעולות נוספות בהודעת הדואר האלקטרוני, אתה אמור לראות אירוע יחיד עבור המסירה המקורית המציין תוצאה, כגון חסום, עם גזר דין כמו דיוג. מנהלי מערכת יכולים לייצא את ציר הזמן המלא של הדואר האלקטרוני, כולל כל הפרטים בכרטיסיה וכתובת הדואר האלקטרוני (כגון נושא, שולח, נמען, רשת ומזהה הודעה). ציר הזמן של הדואר האלקטרוני מחתוך את האקראיות מכיוון שיש פחות זמן שהושקע בבדיקת מיקומים שונים כדי לנסות להבין אירועים שקרה מאז הגעת הדואר האלקטרוני. כאשר אירועים מרובים מתרחשים בהודעת דואר אלקטרוני, או קרובים לה, אירועים אלה מופיעים בתצוגת ציר זמן.

  7. תצוגה מקדימה /הורדה: Threat Explorer מספק לצוות פעולות האבטחה שלך את הפרטים הדרושים כדי לחקור דואר אלקטרוני חשוד. צוות פעולות האבטחה שלך יכול:

בדוק את פעולת המסירה ואת המיקום

בסייר האיומים (ובזיהויים בזמן אמת),כעת יש לך עמודות 'פעולת מסירה' ו'מיקום מסירה' במקום העמודה 'מצב מסירה' לשעבר. התוצאה היא תמונה מלאה יותר של המקום שבו הודעות הדואר האלקטרוני שלך מגיעות. חלק מהיעד של שינוי זה הוא להקל על צוותי פעולות האבטחה, אך התוצאה הנטו היא לדעת את המיקום של הודעות דואר אלקטרוני של בעיות במבט מהיר.

מצב מסירה מנותק כעת לשתי עמודות:

  • פעולת מסירה - מהו המצב של הודעת דואר אלקטרוני זו?
  • מיקום מסירה - היכן נותב הדואר האלקטרוני כתוצאה מכך?

פעולת מסירה היא הפעולה שבוצעה בהודעת דואר אלקטרוני עקב פריטי מדיניות או זיהוי קיימים. להלן הפעולות האפשריות שהודעות דואר אלקטרוני יכולות לבצע:

  • נמסר – דואר אלקטרוני נמסר לתיבת הדואר הנכנס או לתיקיה של משתמש, והמשתמש יכול לגשת אליו ישירות.
  • זבל – דואר אלקטרוני נשלח לתיקיית דואר הזבל של המשתמש או לתיקיה שנמחקה, ולמשתמש יש גישה להודעות דואר אלקטרוני בתיקיה 'דואר זבל' או 'נמחק'.
  • חסום – הודעות דואר אלקטרוני שהועברו להסגר, שנכשלו או הושמטו.
  • הוחלף – כל הודעת דואר אלקטרוני שבה קבצים מצורפים זדוניים מוחלפים .txt קבצים שמצינים שהקובץ המצורף זדוני.

מיקום מסירה מציג את התוצאות של פריטי מדיניות וזיהויים שפועלים לאחר המסירה. הוא מקושר לפעולת מסירה. שדה זה נוסף כדי לספק תובנות לגבי הפעולה שננקטה כאשר נמצא דואר בעייתי. להלן הערכים האפשריים של מיקום המסירה:

  • תיבת דואר נכנס או תיקיה – הדואר האלקטרוני נמצא בתיבת הדואר הנכנס או בתיקיה (בהתאם לכללי הדואר האלקטרוני שלך).
  • מקומי או חיצוני – תיבת הדואר אינה קיימת בענן אך היא מקומית.
  • תיקיית דואר זבל – הדואר האלקטרוני נמצא בתיקיית דואר הזבל של המשתמש.
  • התיקיה 'פריטים שנמחקו' – הדואר האלקטרוני נמצא בתיקיה 'פריטים שנמחקו' של משתמש.
  • העבר להסגר – הדואר האלקטרוני בהסגר ולא בתיבת דואר של משתמש.
  • נכשל – הדואר האלקטרוני לא הצליח להגיע לתיבת הדואר.
  • ירד – הודעת הדואר האלקטרוני תאבד במקום כלשהו בזרימת הדואר.

הצגת ציר הזמן של הדואר האלקטרוני שלך

ציר הזמן של הדואר האלקטרוני הוא שדה ב- Threat Explorer שמקל על צוות פעולות האבטחה שלך לצוד. כאשר אירועים מרובים מתרחשים בו-זמנית או קרובים להודעת דואר אלקטרוני, אירועים אלה מופיעים בתצוגת ציר זמן. אירועים מסוימים שקורים לאחר מסירה לדואר אלקטרוני נלכדים בעמודה פעולות מיוחדות . שילוב מידע מציר הזמן של הודעת דואר אלקטרוני עם פעולות מיוחדות שבוצעו לאחר המסירה מספק למנהלי מערכת תובנות לגבי מדיניות וטיפול באיומים (כגון מיקום ניתוב הדואר, ובבמקרים מסוימים, מה הייתה ההערכה הסופית).

חשוב

דלג לנושא תיקון כאן.

תיקון דואר אלקטרוני זדוני שנמסר Office 365

Microsoft Defender עבור Office 365

הגנה מפני איומים Office 365

הצגת דוחות עבור Defender עבור Office 365