ציד איומים בסייר האיומים ובזיהויים בזמן אמת Microsoft Defender עבור Office 365
עצה
הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.
ארגוני Microsoft 365 Microsoft Defender עבור Office 365 במנוי שלהם או שנרכשו כהרחבה כוללים את סייר האיומים (הידוע גם כ- Threat Explorer) או זיהויים בזמן אמת. תכונות אלה הן כלים רבי-עוצמה, ליד כלים בזמן אמת, שיעזרו לצוותי פעולות אבטחה (SecOps) לחקור ולהגיב לאיומים. לקבלת מידע נוסף, ראה אודות Threat Explorer וזיהויים בזמן אמת ב- Microsoft Defender עבור Office 365.
סייר האיומים או זיהויים בזמן אמת מאפשרים לך לבצע את הפעולות הבאות:
- ראה תכונות אבטחה של Microsoft 365 שזוהו על-ידי תוכנות זדוניות.
- הצג את כתובת ה- URL של דיוג ולחץ על נתוני גזר דין.
- התחל תהליך חקירה ותגובה אוטומטי (סייר האיומים בלבד).
- חקור דואר אלקטרוני זדוני.
- ועוד.
צפה בסרטון וידאו קצר זה כדי ללמוד כיצד לחפש ולחקור איומים מבוססי דואר אלקטרוני ושיתוף פעולה באמצעות Defender עבור Office 365.
עצה
ציד מתקדם Microsoft Defender XDR תומך בבונה שאילתות קל לשימוש שאינו משתמש בשפת השאילתות Kusto (KQL). לקבלת מידע נוסף, ראה בניית שאילתות באמצעות מצב מודרך.
המידע הבא זמין במאמר זה:
- הדרכה כללית של סייר האיומים והזיהויים בזמן אמת
- חוויית ציד האיומים באמצעות Threat Explorer וזיהויים בזמן אמת
- יכולות מורחבות ב- Threat Explorer
עצה
לקבלת תרחישי דואר אלקטרוני המשתמשים ב- Threat Explorer ובזיהויים בזמן אמת, עיין במאמרים הבאים:
- אבטחת דואר אלקטרוני עם סייר האיומים וזיהויים בזמן אמת Microsoft Defender עבור Office 365
- בדוק דואר אלקטרוני זדוני שנשלח ב- Microsoft 365
אם אתה מחפש תקיפות בהתבסס על כתובות URL זדוניות המוטבעות בקודי QR, קוד ה- QR של ערך מסנן מקור כתובת ה- URL בתצוגות All email, Malware ו- Phish ב- Threat Explorer או בזיהויים בזמן אמת מאפשר לך לחפש הודעת דואר אלקטרוני עם כתובות URL שחולצו מקודי QR.
מה עליך לדעת לפני שתתחיל?
'סייר האיומים' כלול Defender עבור Office 365 תוכנית 2. זיהויים בזמן אמת כלולים ב- Defender for Office תוכנית 1:
- ההבדלים בין סייר האיומים והזיהויים בזמן אמת מתוארים בנושא סייר האיומים וזיהויים בזמן אמת ב- Microsoft Defender עבור Office 365.
- ההבדלים בין Defender עבור Office 365 תוכנית 2 לבין Defender עבור תוכנית Office 1 מתוארים Defender עבור Office 365 תוכנית 1 לעומת גיליון הוראות של תוכנית 2.
לקבלת הרשאות ודרישות רישוי עבור Threat Explorer וזיהויים בזמן אמת, ראה הרשאות ורישוי עבור סייר האיומים וזיהויים בזמן אמת.
הדרכה של סייר האיומים וזיהוי בזמן אמת
סייר האיומים או זיהויים בזמן אמת זמינים במקטע שיתוף & דואר אלקטרוני בפורטל Microsoft Defender בhttps://security.microsoft.com:
זיהויים בזמן אמת זמינים ב- Defender עבור Office 365 תוכנית 1. הדף 'זיהויים בזמן אמת ' זמין ישירות ב- https://security.microsoft.com/realtimereportsv3.
סייר האיומים זמין ב- Defender עבור Office 365 תוכנית 2. דף הסייר זמין ישירות בכתובת https://security.microsoft.com/threatexplorerv3.
סייר האיומים מכיל את אותן מידע ויכולות כמו זיהוי בזמן אמת, אך עם התכונות הנו נוספות הבאות:
- תצוגות נוספות.
- אפשרויות סינון מאפיינים נוספות, כולל האפשרות לשמירת שאילתות.
- פעולות ציד ותיקון של איומים.
לקבלת מידע נוסף אודות ההבדלים בין Defender עבור Office 365 תוכנית 1 ותוכנית 2, עיין Defender עבור Office 365 תוכנית 1 לעומת גיליון הוראות של תוכנית 2.
השתמש בכרטיסיות (תצוגות) בחלק העליון של הדף כדי להתחיל בחקירה.
התצוגות הזמינות בסייר האיומים ובזיהויים בזמן אמת מתוארות בטבלה הבאה:
תצוגה | איום חוקר |
בזמן אמת זיהויים וזיהויים |
תיאור |
---|---|---|---|
כל הדואר האלקטרוני | ✔ | תצוגת ברירת מחדל עבור סייר האיומים. מידע אודות כל הודעות הדואר האלקטרוני שנשלחו על-ידי משתמשים חיצוניים לתוך הארגון שלך, או דואר אלקטרוני שנשלח בין משתמשים פנימיים בארגון שלך. | |
תוכנות זדוניות | ✔ | ✔ | תצוגת ברירת מחדל עבור זיהויים בזמן אמת. מידע אודות הודעות דואר אלקטרוני המכילות תוכנות זדוניות. |
דיוג | ✔ | ✔ | מידע אודות הודעות דואר אלקטרוני המכילות איומי דיוג. |
קמפיינים | ✔ | מידע אודות דואר אלקטרוני זדוני Defender עבור Office 365 תוכנית 2 המזוהה כחלק מקמפיין מתוזמן של דיוג או תוכנות זדוניות. | |
תוכנה זדונית של תוכן | ✔ | ✔ | מידע אודות קבצים זדוניים שזוהו על-ידי התכונות הבאות: |
לחיצות על כתובת URL | ✔ | מידע אודות לחיצה על כתובות URL של משתמשים בהודעות דואר אלקטרוני, הודעות Teams, קבצי SharePoint וקבצים של OneDrive. |
השתמש במסנן התאריך/שעה ובמאפיינים המסנן הזמינים בתצוגה כדי למקד את התוצאות:
- לקבלת הוראות ליצירת מסננים, ראה מסנני מאפיינים ב- Threat Explorer ובזיהויים בזמן אמת.
- מאפייני המסנן הזמינים עבור כל תצוגה מתוארים במיקומים הבאים:
- מאפיינים הניתנים לסינון בתצוגה 'כל הדואר האלקטרוני' בסייר האיומים
- מאפיינים הניתנים לסינון בתצוגה 'תוכנות זדוניות' ב- Threat Explorer ובזיהויים בזמן אמת
- מאפיינים הניתנים לסינון בתצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת
- מאפיינים הניתנים לסינון בתצוגה 'קמפיינים' בסייר האיומים
- מאפיינים הניתנים לסינון בתצוגה 'תוכנה זדונית של תוכן' ב- Threat Explorer ובזיהויים בזמן אמת
- מאפיינים הניתנים לסינון בתצוגת לחיצות כתובת URL בסייר האיומים
עצה
זכור לבחור רענן לאחר יצירה או עדכון של המסנן. המסננים משפיעים על המידע בתרשים ועל אזור הפרטים של התצוגה.
ניתן לחשוב על מיקוד המיקוד בסייר האיומים או בזיהוי בזמן אמת כשכבות כדי להקל על ביצוע השלבים שלך:
- השכבה הראשונה היא התצוגה שבה אתה משתמש.
- השני מאוחר יותר הוא המסננים שבהם אתה משתמש בתצוגה זו.
לדוגמה, באפשרותך לבצע שוב את השלבים שבצעת כדי למצוא איום על-ידי הקלטת ההחלטות שלך באופן הבא: כדי למצוא את הבעיה בסייר האיומים, השתמשתי בתצוגה 'תוכנות זדוניות' והשתמשתי במוקד של מסנן נמענים.
כמו כן, הקפד לבדוק את אפשרויות התצוגה. קהלים שונים (לדוגמה, ניהול) עשויים להגיב בצורה טובה יותר או גרועה יותר למצגות שונות של אותם נתונים.
לדוגמה, בסייר האיומים, התצוגה כל הדואר האלקטרוני, התצוגות מקור דואר אלקטרוני וקמפיינים (כרטיסיות) זמינות באזור הפרטים בתחתית הדף:
עבור קהלים מסוימים, מפת העולם בכרטיסיה מקור דואר אלקטרוני עשויה לעשות עבודה טובה יותר של הצגת האיומים שזוהו כנפוצה.
אנשים אחרים עשויים למצוא את המידע המפורט בטבלה בכרטיסיה קמפיינים שימושי יותר להעברת המידע.
באפשרותך להשתמש במידע זה לקבלת התוצאות הבאות:
- כדי להציג את הצורך באבטחה ובהגנה.
- כדי להדגים מאוחר יותר את היעילות של כל פעולה.
חקירת דואר אלקטרוני
בתצוגות כל הודעות הדואר האלקטרוני, התוכנות הזדוניות או דיוג בסייר האיומים או בזיהוי בזמן אמת, תוצאות של הודעות דואר אלקטרוני מוצגות בטבלה בכרטיסיה דואר אלקטרוני (תצוגה) של אזור הפרטים מתחת לתרשים.
כאשר אתה רואה הודעת דואר אלקטרוני חשודה, לחץ על הערך נושא של ערך בטבלה. התפריט הנשלף של הפרטים שנפתח מכיל ישות דואר אלקטרוני פתוחה בחלק העליון של התפריט הנשלף.
הדף ישות דואר אלקטרוני ממשוך יחד את כל מה שעליך לדעת על ההודעה ועל התוכן שלה כדי שתוכל לקבוע אם ההודעה מהווה איום. לקבלת מידע נוסף, ראה מבט כולל על דף ישות דואר אלקטרוני.
תיקון דואר אלקטרוני
לאחר שתקבע שהודעת דואר אלקטרוני מהווה איום, השלב הבא הוא תיקון האיום. אתה מעדכן את האיום ב- Threat Explorer או בזיהויים בזמן אמת באמצעות נקוט פעולה.
פעולה זמינה בתצוגות 'כל הדואר האלקטרוני', 'תוכנות זדוניות' או 'דיוג' בסייר האיומים או בזיהויים בזמן אמת בכרטיסיה דואר אלקטרוני (תצוגה) של אזור הפרטים מתחת לתרשים:
בחר ערך אחד או יותר בטבלה על-ידי בחירה בתיבת הסימון לצד העמודה הראשונה. האפשרות בצע פעולה זמינה ישירות בכרטיסיה.
עצה
פעולה זו מחליפה את הרשימה הנפתחת פעולות הודעה.
אם תבחר 100 ערכים או פחות, תוכל לבצע פעולות מרובות בהודעות באשף ביצוע הפעולה.
אם תבחר 101 עד 200,000 ערכים, רק הפעולות הבאות יהיו זמינות באשף ביצוע הפעולה:
- סייר האיומים: האפשרויות 'העבר לתיבת דואר ' ו'הצע תיקון' זמינות, אך הן קיימות באופן בו-זמנית (ניתן לבחור אפשרות זו או אחרת).
- זיהויים בזמן אמת: רק שלח ל- Microsoft לסקירה ויצירת ערכי התרה/חסימה תואמים ברשימת התר/חסימת דיירים זמינים.
לחץ על הערך Subject של ערך בטבלה. התפריט הנשלף של הפרטים שנפתח מכיל את האפשרות בצע פעולה בחלק העליון של התפריט הנשלף.
אשף הפעולה 'בצע פעולה'
בחירה באפשרות בצע פעולה פותחתאת אשף 'בצע פעולה' בתפריט נשלף. הפעולות הזמינות באשף ביצוע הפעולה Defender עבור Office 365 תוכנית 2 Defender עבור Office 365 תוכנית 1 מפורטות בטבלה הבאה:
פעולה | Defender עבור Office 365 תוכנית 2 |
Defender עבור Office 365 תוכנית 1 |
---|---|---|
מעבר לתיקיה 'תיבת דואר' | ✔¹ | |
שחרור הודעות בהסגר לחלק מהנמענים המקוריים או לכולם² | ✔ | |
שלח ל- Microsoft לסקירה | ✔ | ✔ |
אפשר או חסום ערכים ברשימת התרה/חסימה של דייר³ | ✔ | ✔ |
הפעלת חקירה אוטומטית | ✔ | |
הצע תיקון | ✔ |
¹ פעולה זו דורשת את התפקיד 'חיפוש' ו'מחק לצמיתות ' & אלקטרוני והרשאות שיתוף פעולה. כברירת מחדל, תפקיד זה מוקצה רק לקבוצות התפקידים חוקר נתונים וניהול ארגון. באפשרותך להוסיף משתמשים לקבוצות תפקידים אלה, או ליצור קבוצת תפקידים חדשה שהוקצתה לה תפקיד 'חיפוש ונסה למחוק', ולהוסיף את המשתמשים לקבוצת התפקידים המותאמת אישית.
² אפשרות זו זמינה עבור הודעות בהסגר בעת בחירת תיבת דואר נכנס כמיקום ההעברות.
³ פעולה זו זמינה תחת שלח ל- Microsoft לסקירה.
אשף ביצוע הפעולה מתואר ברשימה הבאה:
בדף בחירת פעולות תגובה , האפשרויות הבאות זמינות:
הצג את כל פעולות התגובה: אפשרות זו זמינה רק ב- Threat Explorer.
כברירת מחדל, חלק מהפעולות אינן זמינות/מופיעות באפור בהתבסס על ערך מיקום המסירה העדכני ביותר של ההודעה. כדי להציג את כל פעולות התגובה הזמינות, החלק את הלחצן הדו-מצבי למצב מופעל.
העבר אל תיקיית תיבת הדואר: בחר אחד מהערכים הזמינים שמופיעים:
דואר זבל: העבר את ההודעה לתיקיה 'דואר זבל'.
תיבת דואר נכנס: העבר את ההודעה לתיבת הדואר הנכנס. בחירת ערך זה עשויה גם היא לחשוף את האפשרויות הבאות:
חזור לתיקיה פריטים שנשלחו: אם ההודעה נשלחה על-ידי שולח פנימי וההודעה נמחקה זמנית (הועברה לתיקיה פריטים הניתנים לשחזור\מחיקות), בחירה באפשרות זו מנסה להעביר את ההודעה בחזרה לתיקיה פריטים שנשלחו. אפשרות זו היא פעולת ביטול אם > בחרת בעבר העבר לתיקיה 'תיבת דואר' פריטים שנמחקו זמנית וגם בחרת באפשרות מחק את העותק של השולח בהודעה.
עבור הודעות עם הערך 'העבר להסגר' עבור המאפיין 'מיקום המסירה העדכני ביותר', בחירה בתיבת הדואר הנכנס משחררת את ההודעה מהסגר, כך שהאפשרויות הבאות זמינות גם כן:
- שחרר לאחד או יותר מהנמענים המקוריים של הדואר האלקטרוני: אם תבחר ערך זה, תופיע תיבה שבה תוכל לבחור או לבטל את הבחירה של הנמענים המקוריים של ההודעה בהסגר.
- הפצה לכל הנמענים
פריטים שנמחקו: העבר את ההודעה לתיקיה 'פריטים שנמחקו'.
פריטים שנמחקו זמנית: העבר את ההודעה לתיקיה פריטים הניתנים לשחזור\מחיקות, שוות ערך למחיקת ההודעה מהתיקיה 'פריטים שנמחקו'. המשתמש ומנהלי המערכת יכולים לשחזר את ההודעה.
מחק את העותק של השולח: אם ההודעה נשלחה על-ידי שולח פנימי, נסה גם למחוק את ההודעה מהתיקיה 'פריטים שנשלחו' של השולח.
פריטים שנמחקו לצמיתות: מחק את ההודעה שנמחקה. מנהלי מערכת יכולים לשחזר פריטים שנמחקו באופן קשיח באמצעות שחזור של פריט יחיד. לקבלת מידע נוסף אודות פריטים שנמחקו באופן קשיח ופריטים שנמחקו זמנית, ראה פריטים שנמחקו זמנית ופריטים שנמחקו באופן קשיח.
שלח ל- Microsoft לסקירה: בחר אחד מהערכים הזמינים שמופיעים:
אישרתי שהוא נקי: בחר ערך זה אם אתה בטוח שההודעה נקיה. האפשרויות הבאות מופיעות:
-
אפשר הודעות באופן זה: אם תבחר ערך זה, ערכי התרה יתווספו לרשימת התרת הדיירים/ חסימה של השולח וכתובות URL או קבצים מצורפים קשורים בהודעה. האפשרויות הבאות מופיעות גם כן:
- הסר ערך אחרי: ערך ברירת המחדל הוא יום אחד, אך באפשרותך גם לבחור 7 ימים, 30 יום או תאריך ספציפי הקטן מ- 30 יום.
- אפשר הערת ערך: הזן הערה אופציונלית המכילה מידע נוסף.
-
אפשר הודעות באופן זה: אם תבחר ערך זה, ערכי התרה יתווספו לרשימת התרת הדיירים/ חסימה של השולח וכתובות URL או קבצים מצורפים קשורים בהודעה. האפשרויות הבאות מופיעות גם כן:
היא מופיעה נקייהאו שהיא מופיעה חשודה: בחר אחד מערכים אלה אם אינך בטוח וברצונך לקבוע את גזר הדין מ- Microsoft.
אישרתי שזהו איום: בחר ערך זה אם אתה בטוח שהפריט זדוני ולאחר מכן בחר אחד מהערכים הבאים במקטע בחר קטגוריה שמופיע:
- דיוג
- תוכנות זדוניות
- דואר זבל
לאחר בחירת אחד מערכים אלה, נפתחת האפשרות בחר ישויות לחסימה של תפריט נשלף, שבה באפשרותך לבחור ישויות אחד או יותר המשויכות להודעה (כתובת השולח, תחום השולח, כתובות URL או קבצים מצורפים) כדי להוסיף כערכים חסומים לרשימה התר/חסימה של דייר.
לאחר בחירת הפריטים לחסימה, בחר הוסף כדי לחסום כלל כדי לסגור את התפריט הנשלף בחר ישויות לחסימה . לחלופין, בחר ללא פריטים ולאחר מכן בחר ביטול.
בדף בחירת פעולות תגובה , בחר אפשרות תפוגה עבור ערכי החסימה:
- התוקף יפוג ב: בחר תאריך עבור ערכי חסימה שתוקפן יפוג.
- לעולם לא יפוג
מספר הישויות החסומים מוצג (לדוגמה, 4/4 ישויות שיש לחסום). בחר ערוך כדי לפתוח מחדש את הכלל הוסף כדי לחסום ולבצע שינויים.
הפעל חקירה אוטומטית: Threat Explorer בלבד. בחר אחד מהערכים הבאים שמופיעים:
- בדוק דואר אלקטרוני
- בדוק נמען
- בדוק את השולח: ערך זה חל רק על שולחים בארגון שלך.
- נמעני אנשי קשר
הצע תיקון: בחר אחד מהערכים הבאים שמופיעים:
צור חדש: ערך זה מפעיל פעולת מחיקה זמנית הממתינה לדואר אלקטרוני, שיש לאשר אותה על-ידי מנהל מערכת במרכז הפעולות. תוצאה זו ידועה בדרך אחרת כאישור דו-שלבי.
הוסף לקיימות: השתמש בערך זה כדי להחיל פעולות על הודעת דואר אלקטרוני זו מתיקון קיים. בתיבה שלח דואר אלקטרוני לפתרונות הבאים , בחר את התיקון הקיים.
עצה
אנשי צוות של SecOps שאין להם די הרשאות יכולים להשתמש באפשרות זו כדי ליצור תיקון, אך מישהו עם הרשאות צריך לאשר את הפעולה במרכז הפעולות.
לאחר שתסיים בדף בחר פעולות תגובה , בחר הבא.
בדף בחירת ישויות יעד , קבע את התצורה של האפשרויות הבאות:
- שםותיאור: הזן שם תיאורי ייחודי ותיאור אופציונלי כדי לעקוב אחר הפעולה שנבחרה ולזהות אותה.
שאר הדף הוא טבלה המפרטת את הנכסים המושפעים. הטבלה מאורגנת לפי העמודות הבאות:
-
נכס מושפע: הנכסים המושפעים מהדף הקודם. לדוגמה:
- כתובת דואר אלקטרוני של נמען
- הדייר כולו
-
פעולה: הפעולות שנבחרו עבור הנכסים מהדף הקודם. לדוגמה:
- ערכים מ'שלח ל- Microsoft' לסקירה:
- דווח כ'נקי'
- דווח
- דיווח כתוכנות זדוניות, דיווח כדואר זבל או דיווח כדוג
- חסום שולח
- חסימת תחום שולח
- כתובת URL של בלוק
- חסום קובץ מצורף
- ערכים מאת ' הפעל חקירה אוטומטית':
- בדוק דואר אלקטרוני
- בדוק נמען
- בדוק את השולח
- נמעני אנשי קשר
- ערכים מהצע תיקון:
- צור תיקון חדש
- הוסף לתיקון קיים
- ערכים מ'שלח ל- Microsoft' לסקירה:
-
ישות יעד: לדוגמה:
- הערך של מזהה הודעת הרשת של הודעת הדואר האלקטרוני.
- כתובת הדואר האלקטרוני של השולח החסומים.
- תחום השולח החסומים.
- כתובת ה- URL החסומים.
- הקובץ המצורף החסומים.
-
התוקף יפוג ב: הערכים קיימים רק עבור ערכי 'אפשר' או 'חסום' ברשימת הדיירים/אפשר חסימות. לדוגמה:
- לעולם לא יפוג עבור ערכי חסימה.
- תאריך התפוגה עבור ערכי התרה או חסימה.
- טווח: בדרך כלל, ערך זה MDO.
בשלב זה, באפשרותך גם לבטל פעולות מסוימות. לדוגמה, אם ברצונך ליצור ערך בלוק רק ברשימת היתרי הדיירים/חסימות מבלי לשלוח את הישות ל- Microsoft, תוכל לעשות זאת כאן.
לאחר שתסיים בדף בחר ישויות יעד , בחר הבא.
בדף סקירה ושליחה , סקור את הבחירות הקודמות שלך.
בחר ייצוא כדי לייצא את הנכסים המושפעים לקובץ CSV. כברירת מחדל, שם הקובץ מושפע assets.csv התיקיה 'הורדות '.
בחר הקודם כדי לחזור ולשנות את הבחירות שלך.
לאחר שתסיים בדף סקירה ושליחה , בחר שלח.
עצה
ייתכן שיידרש זמן עד שהפעולות יופיעו בדפים הקשורים, אך מהירות התיקון אינה מושפעת.
חוויית ציד האיומים באמצעות Threat Explorer וזיהויים בזמן אמת
סייר האיומים או זיהויים בזמן אמת עוזרים לצוות פעולות האבטחה שלך לחקור ולהגיב לאיומים ביעילות. סעיףי המשנה הבאים מסבירים כיצד סייר האיומים והזיהויים בזמן אמת יכולים לעזור לך למצוא איומים.
ציד איומים מתוך התראות
הדף התראות זמין בפורטל Defender תחת אירועים &>התראות, או ישירות ב- https://security.microsoft.com/alerts.
התראות רבות עם ערך מקורMDO כוללות את הפעולה הצג הודעות בסייר בחלק העליון של התפריט הנשלף של פרטי ההתראה.
התפריט הנשלף של פרטי ההתראה נפתח בעת לחיצה במקום כלשהו בהתראה שאינה תיבת הסימון לצד העמודה הראשונה. לדוגמה:
- זוהתה לחיצה על כתובת URL שעלולה להיות זדונית
- מרכז הניהול השליחה הושלמה
- הודעות דואר אלקטרוני המכילות כתובת URL זדונית הוסרו לאחר המסירה
- הודעות דואר אלקטרוני הוסרו לאחר המסירה
- הודעות המכילות ישות זדונית אינן מוסרות לאחר המסירה
- דיוג לא בוטל מאחר ש- ZAP אינו זמין
בחירה באפשרות הצג הודעות בסייר פותחת את סייר האיומים בתצוגת כל הדואר האלקטרוני עם מסנן המאפיינים מזהה התראה שנבחר עבור ההתראה. ערך מזהה ההתראה הוא ערך GUID ייחודי עבור ההתראה (לדוגמה, 89e00cdc-4312-7774-6000-08dc33a24419).
מזהה התראה הוא מאפיין הניתן לסינון בתצוגות הבאות בסייר האיומים ובזיהויים בזמן אמת:
- התצוגה 'כל הדואר האלקטרוני ' בסייר האיומים.
- התצוגה ' תוכנות זדוניות' בסייר האיומים ובזיהויים בזמן אמת
- תצוגת **דיוג בסייר האיומים ובזיהויים בזמן אמת
בתצוגות אלה, מזהה התראה זמין כעמודה הניתנת לבחירה באזור הפרטים מתחת לתרשים בכרטיסיות הבאות (תצוגות):
- התצוגה דואר אלקטרוני עבור אזור הפרטים של התצוגה 'כל הדואר האלקטרוני' בסייר האיומים
- התצוגה 'דואר אלקטרוני' עבור אזור הפרטים של התצוגה 'תוכנות זדוניות ' בסייר האיומים ובזיהויים בזמן אמת
- התצוגה דואר אלקטרוני עבור אזור הפרטים של תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת
בתפריט הנשלף של פרטי הדואר האלקטרוני שנפתח בעת לחיצה על ערך נושא מתוך אחד מהערכים, הקישור מזהה התראה זמין במקטע פרטי דואר אלקטרוני של התפריט הנשלף. בחירה בקישור מזהה התראה פותחת את הדף הצג התראות ב https://security.microsoft.com/viewalertsv2 כאשר ההתראה נבחרת, ותפריטים נשלפים נפתחים עבור ההתראה.
תגיות בסייר האיומים
ב Defender עבור Office 365 תוכנית 2, אם אתה משתמש בתגיות משתמשים כדי לסמן חשבונות של יעדים בעלי ערך גבוה (לדוגמה, תגית החשבון Priority) תוכל להשתמש בתגיות אלה כמסננים. שיטה זו מציגה ניסיונות דיוג המופנו בחשבונות יעד בעלי ערך גבוה במהלך פרק זמן ספציפי. לקבלת מידע נוסף אודות תגיות משתמשים, ראה תגיות משתמש.
תגיות משתמש זמינות במיקומים הבאים ב- Threat Explorer:
- כל תצוגת הדואר האלקטרוני:
- תצוגת תוכנות זדוניות:
- תצוגת דיוג :
- תצוגת לחיצות כתובת URL:
מידע אודות איומים עבור הודעות דואר אלקטרוני
פעולות קדם-מסירה ופעולות לאחר מסירה בהודעות דואר אלקטרוני מאוחדות ברשומה אחת, ללא קשר לאירועי לאחר המסירה השונים שהשפיעו על ההודעה. לדוגמה:
- מחיקה אוטומטית של אפס שעות (ZAP).
- תיקון ידני (פעולת מנהל מערכת).
- מסירה דינאמית.
התפריט הנשלף של פרטי הדואר האלקטרוני מהכרטיסיה דואר אלקטרוני (תצוגה) בתצוגות כל הדואר האלקטרוני, התוכנה הזדונית או דיוג מציג את האיומים המשויכים ואת טכנולוגיות הזיהוי התואמות המשויכות להודעת הדואר האלקטרוני. הודעה יכולה לכלול אפס, אחד או איומים מרובים.
במקטע פרטי מסירה , המאפיין טכנולוגיית זיהוי מציג את טכנולוגיית הזיהוי שזיהתה את האיום. טכנולוגיית הזיהוי זמינה גם כטבלת ציר של תרשים או כעמודה בטבלת הפרטים עבור תצוגות רבות בסייר האיומים ובזיהויים בזמן אמת.
המקטע כתובות URL מציג מידע מסוים אודות איומים עבור כתובות URL בהודעה. לדוגמה, תוכנות זדוניות, דיוג, **דואר זבל או ללא.
עצה
ייתכן שניתוח של גזר הדין לא בהכרח יהיה קשור לישויות. המסננים להעריך תוכן ופרטים אחרים של הודעת דואר אלקטרוני לפני הקצאת פסק דין. לדוגמה, הודעת דואר אלקטרוני עשויה להיות מסווגת כהודעת דיוג או כדואר זבל, אך כתובות URL בהודעה עשויות להיות מוטבעות עם גזר דין של דיוג או דואר זבל.
בחר פתח ישות דואר אלקטרוני בחלק העליון של התפריט הנשלף כדי לראות פרטים ממצה אודות הודעת הדואר האלקטרוני. לקבלת מידע נוסף, ראה הדף ישות דואר אלקטרוני ב- Microsoft Defender עבור Office 365.
יכולות מורחבות ב- Threat Explorer
סעיףי המשנה הבאים מתארים מסננים שאינם בלעדיים ל- Threat Explorer.
כללי זרימת דואר של Exchange (כללי תעבורה)
כדי למצוא הודעות שהושפעו בכללי זרימת הדואר של Exchange (שנקראים גם כללי תעבורה), יש לך את האפשרויות הבאות בתצוגות כל הדואר האלקטרוני, התוכנות הזדוניות ודיוג בסייר האיומים (לא בזיהויים בזמן אמת):
- כלל תעבורה של Exchange הוא ערך הניתן לבחירה עבור המאפיינים מקור עקיפה ראשי, מקור עקיפה וסוג מדיניות הניתנים לסינון.
- כלל התעבורה של Exchange הוא מאפיין הניתן לסינון. הזן ערך טקסט חלקי עבור שם הכלל.
לקבלת מידע נוסף, ראה את הקישורים להלן:
- כל תצוגת הדואר האלקטרוני בסייר האיומים
- תצוגת תוכנות זדוניות בסייר האיומים ובזיהויים בזמן אמת
- תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת
הכרטיסיה דואר אלקטרוני (תצוגה) עבור אזור הפרטים של התצוגות 'כל הדואר האלקטרוני', 'תוכנות זדוניות' ו'דיוג' בסייר האיומים כוללת גם את כלל התעבורה של Exchange כעמודה זמינה שלא נבחרה כברירת מחדל. עמודה זו מציגה את שם כלל התעבורה. לקבלת מידע נוסף, ראה את הקישורים להלן:
- תצוגת דואר אלקטרוני עבור אזור הפרטים של התצוגה 'כל הדואר האלקטרוני' בסייר האיומים
- תצוגת דואר אלקטרוני עבור אזור הפרטים של התצוגה 'תוכנות זדוניות' בסייר האיומים ובזיהויים בזמן אמת
- תצוגת דואר אלקטרוני עבור אזור הפרטים של תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת
עצה
לקבלת ההרשאות הנדרשות לחיפוש כללי זרימת דואר לפי שם ב- Threat Explorer, ראה הרשאות ורישוי עבור Threat Explorer וזיהויים בזמן אמת. לא נדרשות הרשאות מיוחדות כדי לראות שמות כללים בתפריטים נשלפים של פרטי דואר אלקטרוני, בטבלאות פרטים ובתוצאות מיוצאות.
מחברים נכנסים
מחברים נכנסים מציינים הגדרות ספציפיות עבור מקורות דואר אלקטרוני עבור Microsoft 365. לקבלת מידע נוסף, ראה קביעת תצורה של זרימת דואר באמצעות מחברים Exchange Online.
כדי למצוא הודעות שהושפעו על-ידי מחברים נכנסים, באפשרותך להשתמש במאפיין מחבר הניתן לסינון כדי לחפש מחברים לפי שם בתצוגות כל הדואר האלקטרוני, התוכנות הזדוניות ודיוג בסייר האיומים (לא בזיהויים בזמן אמת). הזן ערך טקסט חלקי עבור שם המחבר. לקבלת מידע נוסף, ראה את הקישורים להלן:
- כל תצוגת הדואר האלקטרוני בסייר האיומים
- תצוגת תוכנות זדוניות בסייר האיומים ובזיהויים בזמן אמת
- תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת
הכרטיסיה דואר אלקטרוני (תצוגה) עבור אזור הפרטים של התצוגות 'כל הדואר האלקטרוני', 'תוכנות זדוניות' ו'דיוג' בסייר האיומים כוללת גם מחבר כעמודה זמינה שלא נבחרה כברירת מחדל. עמודה זו מציגה את שם המחבר. לקבלת מידע נוסף, ראה את הקישורים להלן:
- תצוגת דואר אלקטרוני עבור אזור הפרטים של התצוגה 'כל הדואר האלקטרוני' בסייר האיומים
- תצוגת דואר אלקטרוני עבור אזור הפרטים של התצוגה 'תוכנות זדוניות' בסייר האיומים ובזיהויים בזמן אמת
- תצוגת דואר אלקטרוני עבור אזור הפרטים של תצוגת דיוג בסייר האיומים ובזיהויים בזמן אמת
תרחישי אבטחה של דואר אלקטרוני בסייר האיומים ובזיהויים בזמן אמת
לקבלת תרחישים ספציפיים, עיין במאמרים הבאים:
- אבטחת דואר אלקטרוני עם סייר האיומים וזיהויים בזמן אמת Microsoft Defender עבור Office 365
- בדוק דואר אלקטרוני זדוני שנשלח ב- Microsoft 365
דרכים נוספות לשימוש ב- Threat Explorer ובזיהויים בזמן אמת
בנוסף לתרחישים המתוארים במאמר זה, יש לך אפשרויות נוספות בסייר או בזיהוי בזמן אמת. לקבלת מידע נוסף, עיין במאמרים הבאים: