A Office 365-höz készült Microsoft Defender 2. csomaggal rendelkező Microsoft 365-szervezetekben a kampányok funkció azonosítja és kategorizálja az összehangolt adathalászati és kártevő e-mailes támadásokat. A Microsoft e-mailes támadások különálló kampányokba való kategorizálása segít a következőkben:
Hatékonyan kivizsgálhatja az e-mailes támadásokat, és reagálhat rájuk.
Jobban megismerheti a szervezetét célzó e-mailes támadás hatókörét.
A döntéshozóknak szóló Office 365-höz készült Microsoft Defender értékének megjelenítése az e-mail-fenyegetések megelőzésében.
A kampányok funkcióval gyorsabban és teljesebben tekintheti meg az e-mailes támadások általános képét, mint bármely más ember.
Ebből a rövid videóból megtudhatja, hogy a Office 365-höz készült Microsoft Defender kampányai hogyan segítenek megérteni a szervezetét célzó összehangolt e-mail-támadásokat.
Mi az a kampány?
A kampány egy vagy több szervezet elleni összehangolt e-mail-támadás. Email hitelesítő adatokat és vállalati adatokat ellopó támadások nagy és jövedelmező iparágnak számítanak. Ahogy a technológiák növekednek a támadások megállítása érdekében, a támadók úgy módosítják a módszereiket, hogy biztosítsák a folyamatos sikert.
A Microsoft a teljes szolgáltatásból származó nagy mennyiségű adathalászat elleni, levélszemét- és kártevőirtó adatot alkalmazza a kampányok azonosítására. Több tényező alapján elemezzük és osztályozzuk a támadási információkat. Például:
Támadás forrása: A forrás IP-címei és a feladó e-mail-tartományai.
Üzenet tulajdonságai: Az üzenetek tartalma, stílusa és hangneme.
Üzenet címzettjei: A címzettek kapcsolatának ismertetése. Ilyenek például a címzettek tartományai, a címzettek feladatfunkciói (rendszergazdák, vezetők stb.), a vállalattípusok (nagy, kicsi, nyilvános, magán stb.) és az iparágak.
Támadás hasznos adatai: Rosszindulatú hivatkozások, mellékletek vagy egyéb hasznos adatok az üzenetekben.
A kampányok lehetnek rövid élettartamúak, vagy akár napokra, hetekre vagy hónapokra is kiterjedhetnek aktív és inaktív időszakokkal. Kampányt indíthat kifejezetten a szervezet ellen, vagy a szervezete egy nagyobb, több vállalatot érintő kampány része lehet.
Szükséges licencek és engedélyek
A kampányok funkció a Office 365-höz készült Defender 2. csomaggal rendelkező szervezetekben érhető el (bővítménylicencek vagy előfizetések, például Microsoft 365 E5).
A kampányokra vonatkozó információk megtekintéséhez engedélyeket kell hozzárendelni a cikkben leírtak szerint. Az alábbi lehetőségek közül választhat:
Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha Email & együttműködést>Office 365-höz készült Defender az engedélyek Aktívak. Csak a Defender portálra vonatkozik, a PowerShellre nem: Biztonsági műveletek/Nyers adatok (e-mail & együttműködés)/Email üzenetfejlécek (olvasás).
Microsoft Entra engedélyek: A globális rendszergazdai*, biztonsági rendszergazdai vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználók számára a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.
Fontos
* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Diagramterület, ahol a rendelkezésre álló kimutatásokkal különböző módokon rendszerezheti a diagramot. Alapértelmezés szerint a diagram a Kampány típusa kimutatást használja, annak ellenére, hogy a kimutatás nincs kijelölve.
Egy részletes terület, amely alapértelmezés szerint a Kampány lapra van állítva
Tipp.
Ha nem lát kampányadatokat vagy nagyon korlátozott adatokat, próbálja meg módosítani a dátumtartományt vagy a szűrőket.
Az Összes e-mail nézet >Kampány lapja a diagram alatti részletek területen.
Malware view >Campaign tab in the details area below the chart.
Adathalászati nézet >Kampány lapja a diagram alatti részletek területén.
Ha Végponthoz készült Microsoft Defender előfizetéssel rendelkezik, a kampányok adatai Végponthoz készült Microsoft Defender kapcsolódnak.
Diagramterület a Kampányok lapon
A Kampányok lapon a diagramterületen egy sávdiagram látható, amely a címzettek napi számát mutatja. Alapértelmezés szerint a gráf a Kártevő és az Adathalász adatokat is megjeleníti.
A diagramon és a részletek táblában megjelenő információk szűréséhez módosítsa a szűrőket.
A diagram szervezetének módosításához válassza a Kampány típusa lehetőséget, majd válassza ki az alábbi értékek egyikét a legördülő listában:
Kampány neve
Kampány altípusa
Feladó tartománya
Feladó IP-címe
Kézbesítési művelet
Észlelési technológia
Teljes URL-cím
URL-tartomány
URL-tartomány és elérési út
Használja a Diagramadatok exportálása lehetőséget a diagram adatainak CSV-fájlba való exportálásához.
Ha el szeretné távolítani a diagramot az oldalról (amely maximalizálja a részletek területének méretét), hajtsa végre az alábbi lépések egyikét:
A lap tetején válassza a Diagramnézet>listanézet lehetőséget.
Válassza a Listanézet megjelenítése a diagram és a részletek táblázat nézetei között lehetőséget.
Részletek terület a Kampányok oldalon
A diagramon és a részletek táblában megjelenő információk szűréséhez módosítsa a szűrőket.
A Kampányok lapon a diagram alatti Kampány lap a következő információkat jeleníti meg a részleteket tartalmazó táblázatban:
Név
Minta tárgya: A kampányban szereplő üzenetek egyikének tárgya. A kampány összes üzenetének tárgya nem feltétlenül ugyanaz.
Megcélzott: A következő alapján kiszámított százalékos érték: (a szervezetben a kampány címzettjeinek száma) / (a kampány címzettjeinek teljes száma a szolgáltatás összes szervezetében). Ez az érték azt jelzi, hogy a kampány milyen mértékben irányul csak a szervezetre (magasabb érték), szemben a szolgáltatás más szervezetével (alacsonyabb érték).
Típus: Az érték adathalász vagy kártevő.
Altípus: Az érték további részleteket tartalmaz a kampányról. Például:
Adathalászat: Ahol elérhető, a kampány által adathalászat alatt álló márka. Például, Microsoft, 365, Unknown, Outlookvagy DocuSign. Ha az észlelést Office 365-höz készült Defender technológia vezérli, a rendszer hozzáadja az ATP előtagot az altípus értékéhez.
Kártevő: Például vagy W32/<MalwareFamilyName>VBS/<MalwareFamilyName>.
Címzettek: A kampány által megcélzott felhasználók száma.
Beérkezett üzenetek: Azon felhasználók száma, amelyek üzeneteket kaptak a kampánytól a Beérkezett üzenetek mappában (nem a Levélszemét Email mappájukba).
Kattintásra: Azon felhasználók száma, amelyek az URL-címet jelölték ki, vagy megnyitották a mellékletet az adathalász üzenetben.
Kattintási arány: Adathalászati kampányokban a "Kattintásrabeérkezett üzenetek" alapjánkiszámított / százalékos érték. Ez az érték a kampány hatékonyságát jelzi. Más szóval a címzettek adathalászként tudták azonosítani az üzenetet, és így elkerülték a hasznos adat URL-címét?
A kattintási arány nem használatos a kártevőkampányokban.
Megtekintve: Hány felhasználó jutott el a hasznos adatok webhelyére. Ha vannak kattintott értékek, de a Biztonságos hivatkozások letiltották a webhelyhez való hozzáférést, ez az érték nulla.
Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az összes elérhető oszlop ki van jelölve.
Az Exportálás paranccsel exportálhatja a részleteket tartalmazó táblában lévő adatokat egy CSV-fájlba.
A Kampányok lapon a diagram alatti Kampány forráslapja a világ térképén jeleníti meg az üzenetforrásokat.
Szűrők a Kampányok lapon
A Kampány oldal tetején számos szűrőbeállítás található, amelyek segítenek megtalálni és elkülöníteni az egyes kampányokat. A kiválasztott szűrők hatással vannak a diagramra és a részletek táblázatára.
Alapértelmezés szerint a nézetet tegnap és ma szűri a rendszer. A dátumszűrő módosításához jelölje ki a dátumtartományt, majd válassza a Kezdő dátum és a Záró dátum 30 nappal ezelőtti értékeit.
Az eredményeket egy vagy több üzenet- vagy kampánytulajdonság alapján is szűrheti. Az alapszintaxis a következő:
<Property><Equal any of | Equal none of><Property value or values>
Válassza ki az üzenet vagy kampány tulajdonságot a Kampány típusa legördülő listából (a Kampány típusa az alapértelmezett érték).
A beírandó tulajdonságértékek teljesen függenek a tulajdonságtól. Egyes tulajdonságok lehetővé teszik a több, vesszővel elválasztott értékeket tartalmazó szabadkélistás szöveg használatát, egyes tulajdonságok pedig a listákból kiválasztott több érték kijelölését.
Az elérhető tulajdonságokat és a hozzájuk tartozó értékeket az alábbi táblázat ismerteti:
Az üzenetfejléc Üzenetazonosító fejléc mezőjében érhető el. Példaérték ( <08f1e0f6806a47b4ac103961109ae6ef@server.domain> jegyezze fel a szögletes zárójeleket).
Hálózati üzenet azonosítója
SMS. Több érték vesszővel elválasztva.
Egy GUID-érték, amely az üzenetfejléc X-MS-Exchange-Organization-Network-Message-Id fejlécmezőjében érhető el.
Feladó IP-címe
SMS. Több érték vesszővel elválasztva.
MELLÉKLET SHA256
SMS. Több érték vesszővel elválasztva.
Egy fájl SHA256 kivonatértékének megkereséséhez futtassa a következő parancsot a PowerShellben: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
Fürtazonosító
SMS. Több érték vesszővel elválasztva.
Riasztás azonosítója
SMS. Több érték vesszővel elválasztva.
Riasztási szabályzat azonosítója
SMS. Több érték vesszővel elválasztva.
Kampányazonosító
SMS. Több érték vesszővel elválasztva.
ZAP URL-jel
SMS. Több érték vesszővel elválasztva.
URL-címek
URL-tartomány
SMS. Több érték vesszővel elválasztva.
URL-tartomány és elérési út
SMS. Több érték vesszővel elválasztva.
URL
SMS. Több érték vesszővel elválasztva.
URL-cím elérési útja
SMS. Több érték vesszővel elválasztva.
Kattintson az ítéletre
Jelöljön ki egy vagy több értéket¹:
Megengedett
Felülírt blokk
Blokkolt
Hiba
Kudarc
Egyikre sem.
Függőben lévő ítélet
Függőben lévő ítélet megkerülve
Fájl
Mellékletfájl neve
SMS. Több érték vesszővel elválasztva.
¹ Ha nem használja ezt a tulajdonságszűrőt, vagy nem használja ezt a tulajdonságszűrőt úgy, hogy nincsenek kiválasztva értékek, ugyanaz az eredmény jelenik meg, mint a tulajdonságszűrő használata az összes kijelölt értékkel.
Miután kiválasztott egy tulajdonságot a Kampány típusa legördülő listából, válassza az Egyenlő vagya Nem egyenlő bármelyiket lehetőséget, majd adjon meg vagy jelöljön ki egy értéket a tulajdonságmezőben, a szűrőlekérdezés a szűrőterület alatt jelenik meg.
További feltételek hozzáadásához válasszon ki egy másik tulajdonság/érték párt, majd válassza az ÉS vagy a VAGY lehetőséget. Ismételje meg ezeket a lépéseket annyiszor, amennyire csak szükséges.
Meglévő tulajdonság-/értékpárok eltávolításához válassza a elemet a bejegyzés mellett.
Ha elkészült a szűrő lekérdezésével, válassza a Frissítés lehetőséget.
A szűrő lekérdezés mentéséhez válassza a Lekérdezés> mentéseLekérdezés mentése lehetőséget. A megnyíló Lekérdezés mentése úszó panelen konfigurálja a következő beállításokat:
Lekérdezés neve: Adjon meg egy egyedi értéket.
Válasszon az alábbi értékek közül:
Pontos dátumok: Válassza ki a dátumtartományt.
Relatív dátumok: Válasszon egytől 30 napig.
A lekérdezés nyomon követése
Ha végzett a Lekérdezés mentése úszó panelen, válassza a Mentés lehetőséget, majd a megerősítést kérő párbeszédpanelen kattintson az OK gombra .
Amikor visszatér a Kampányok lapra, betölthet egy mentett szűrőt a Lekérdezés> mentéseMentett lekérdezés beállításai lehetőséget választva.
Kampány részletei
Amikor kiválaszt egy bejegyzést a részletek táblából, és a név melletti jelölőnégyzeten kívül bárhová kattint, megnyílik egy úszó panel, amely a kampány részleteit tartalmazza.
A kampány részletei úszó panelen látható információkat az alábbi alszakaszok ismertetik.
Kampányinformációk
A kampány részleteit tartalmazó úszó panel tetején a következő kampányinformációk érhetők el:
Kampányazonosító: Az egyedi kampányazonosító.
Tevékenység: A kampány időtartama és tevékenysége.
A kiválasztott dátumtartomány-szűrő (vagy az ütemtervben kiválasztott) alábbi adatai:
Ütközik
Üzenetek: A címzettek teljes száma.
Beérkezett üzenetek: A Beérkezett üzenetek mappába küldött üzenetek száma, nem a Levélszemét Email mappába.
Kattintson a hivatkozásra: Hány felhasználó választotta ki a hasznos adat URL-címét az adathalász üzenetben.
Megtekintett hivatkozás: Hány felhasználó látogatta meg az URL-címet.
Targeted(%): A következő alapján kiszámított százalékos érték: (a szervezet kampány címzettjeinek száma) / (a kampány címzettjeinek teljes száma a szolgáltatás összes szervezetében). Ezt az értéket a rendszer a kampány teljes élettartama alatt kiszámítja, és a dátumszűrők nem módosítják.
A kampányfolyamat kezdő dátum-/idő- és záróadat-/időszűrői a következő szakaszban leírtak szerint.
A kampánytevékenység interaktív ütemterve: Az ütemterv a kampány teljes élettartama során végzett tevékenységeket jeleníti meg. Az észlelt üzenetek számának megtekintéséhez vigye az egérmutatót a gráf adatpontjai fölé.
Kampányfolyamat
A kampány részleteinek úszó panelje közepén a kampány fontos részletei egy vízszintes folyamatábra ( más néven Sankey-diagram ) jelennek meg. Ezek a részletek segítenek megérteni a kampány elemeit és a szervezetre gyakorolt lehetséges hatást.
Tipp.
A folyamatábrában megjelenő információkat az ütemterv dátumtartomány-szűrője vezérli az előző szakaszban leírtak szerint.
Ha a diagram egy vízszintes sávjára mutat, láthatja a kapcsolódó üzenetek számát (például egy adott forrás IP-címről érkező üzeneteket, a forrás IP-címről érkező üzeneteket a megadott feladói tartomány használatával stb.).
A diagram a következő információkat tartalmazza:
Feladó IP-címei
Feladó tartományai
Szűrési ítéletek: A verdictértékek az elérhető adathalászati és levélszemétszűrési ítéletekhez kapcsolódnak a Levélszemét elleni üzenetfejlécekben leírtak szerint. Az elérhető értékeket az alábbi táblázat ismerteti:
Érték
Levélszemétszűrő ítélet
Leírás
Megengedett
SFV:SKN
<Br/ SFV:SKI
Az üzenet nem levélszemétként és/vagy kihagyott szűrésként lett megjelölve a levélszemétszűrés kiértékelése előtt. Az üzenetet például egy levélforgalmi szabály (más néven átviteli szabály) nem levélszemétként jelölte meg.
<br/ Az üzenet más okokból kihagyta a levélszemétszűrést. Úgy tűnik például, hogy a feladó és a címzett ugyanabban a szervezetben van.
Blokkolt
SFV:SKS
Az üzenet levélszemétként lett megjelölve, mielőtt a levélszemétszűrés kiértékelése megtörtént. Például egy e-mail-forgalmi szabály alapján.
Észlelt
SFV:SPM
Az üzenet levélszemétszűréssel lett megjelölve.
Nem észlelhető
SFV:NSPM
Az üzenet levélszemétszűréssel nem levélszemétként lett megjelölve.
Mentesít
SFV:SKQ
Az üzenet kihagyta a levélszemétszűrést, mert az karanténból lett feloldva.
Bérlő engedélyezése¹
SFV:SKA
Az üzenet kihagyta a levélszemétszűrést a levélszemét-ellenes szabályzat beállításai miatt. Például a feladó szerepel az engedélyezett feladók vagy az engedélyezett tartományok listájában.
Bérlői blokk²
SFV:SKA
Az üzenetet levélszemétszűrés tiltotta le a levélszemét-ellenes szabályzat beállításai miatt. Például a feladó szerepel az engedélyezett feladók vagy az engedélyezett tartományok listájában.
Felhasználói engedélyezés¹
SFV:SFE
Az üzenet kihagyta a levélszemétszűrést, mert a feladó egy felhasználó Megbízható feladók listájában volt.
Felhasználói blokk²
SFV:BLK
Az üzenetet levélszemétszűrés tiltotta le, mert a feladó egy felhasználó Letiltott feladók listájában volt.
¹ Tekintse át a levélszemét-ellenes szabályzatokat, mert az engedélyezett üzenetet valószínűleg blokkolta volna a szolgáltatás.
² Tekintse át a levélszemét-ellenes házirendeket, mert ezeket az üzeneteket karanténba kell helyezni, nem kell kézbesíteni.
Üzenetcélok: Vizsgálja meg a címzetteknek kézbesített üzeneteket (a Beérkezett üzenetek mappába vagy a Levélszemét Email mappába), még akkor is, ha a felhasználók nem jelölték ki a hasznos adat URL-címét az üzenetben. A karanténba helyezett üzeneteket is eltávolíthatja a karanténból. További információ: Karanténba helyezett e-mailek az EOP-ban.
Mappa törölve
Csökkent
Külső: A címzett hibrid környezetekben található a helyszíni levelezési szervezetben.
Nem sikerült
Továbbított
Beérkezett üzenetek mappa
Levélszemét mappa
Karantén
Ismeretlen
URL-kattintások: Ezeket az értékeket a következő szakaszban ismertetjük.
Megjegyzés
A 10-nél több elemet tartalmazó összes rétegben az első 10 elem jelenik meg, a többi pedig a Többi elembe van csomagolva.
URL-kattintások
Ha egy címzett Beérkezett üzenetek vagy Levélszemét Email mappájába érkeznek adathalász üzenetek, mindig fennáll az esélye annak, hogy a felhasználó kiválasztja a hasznos adat URL-címét. Az URL-cím kiválasztása nem a siker kis mértéke, de először meg kell határoznia, hogy miért lett kézbesítve az adathalász üzenet a postaládába.
Ha egy felhasználó a hasznos adat URL-címét választotta ki az adathalász üzenetben, a műveletek a kampány részletei nézetben, a diagram URL-kattintási területén jelennek meg.
Megengedett
BlockPage: A címzett kiválasztotta a hasznos adat URL-címét, de a rosszindulatú webhelyhez való hozzáférését letiltotta egy biztonságos hivatkozásokra vonatkozó szabályzat a szervezetben.
BlockPageOverride: A címzett kiválasztotta a hasznos adat URL-címét az üzenetben. A biztonságos hivatkozások megpróbálták leállítani őket, de engedélyezték számukra, hogy felülbírálják a blokkot. Vizsgálja meg a biztonságos hivatkozásokra vonatkozó szabályzatokat , és ellenőrizze, hogy a felhasználók miért bírálhatják felül a Biztonságos hivatkozások ítéletet, és hogyan léphetnek tovább a rosszindulatú webhelyre.
PendingDetonationPage: A Office 365-höz készült Microsoft Defender biztonságos mellékletei virtuális környezetben nyitják meg és vizsgálják a hasznos adat URL-címét.
PendingDetonationPageOverride: A címzett felülbírálhatta a hasznos adat detonációs folyamatát, és anélkül nyitotta meg az URL-címet, hogy megvárta az eredményeket.
Lapfülek
Tipp.
A lapokon megjelenő információkat a kampány részleteit tartalmazó úszó panel dátumtartomány-szűrője vezérli, a Kampány adatai szakaszban leírtak szerint.
A kampány részleteit tartalmazó úszó panel lapjai lehetővé teszik a kampány további vizsgálatát. A következő lapok érhetők el:
URL-kattintások: Ha a felhasználók nem jelölik ki a hasznos adatok URL-címét az üzenetben, ez a szakasz üres. Ha egy felhasználó ki tudta választani az URL-címet, a következő értékek lesznek kitöltve:
Felhasználó*
Címkék
URL-cím*
Kattintás időpontja
Kattintson az ítéletre
Feladó IP-címei
Feladó IP-címe*
Teljes szám
Beérkezett üzenetek
Nincs beérkezett üzenetek
Az SPF sikeres volt: A feladót a küldőházirend-keretrendszer (SPF) hitelesítette. Az SPF-ellenőrzésen nem áteső feladó nem hitelesített feladót jelez, vagy az üzenet egy megbízható feladót hamisít meg.
Feladók
Feladó: Ez a feladó tényleges címe az SMTP MAIL FROM parancsban, amely nem feltétlenül a Feladó: e-mail-cím, amelyet a felhasználók látnak az e-mail-ügyfeleikben.
Teljes szám
Beérkezett üzenetek
Nincs beérkezett üzenetek
A DKIM sikeres volt: A feladót a tartományi kulcsokkal azonosított levelek (DKIM) hitelesítették. Ha a feladó nem felel meg a DKIM-ellenőrzésen, az nem hitelesített feladót jelez, vagy az üzenet egy megbízható feladót hamisít meg.
* Ha ezt az értéket választja, egy új úszó panel nyílik meg, amely a kampány részletei nézet tetején további részleteket tartalmaz a megadott elemről (felhasználó, URL-cím stb.). Ha vissza szeretne térni a kampány részleteit tartalmazó úszó panelhez, válassza a Kész lehetőséget az új úszó panelen.
Minden lapon jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az egyes lapok összes elérhető oszlopa ki van jelölve.
További műveletek
A kampány részleteit tartalmazó úszó panel alján található műveletek lehetővé teszik a kampány részleteinek vizsgálatát és rögzítését:
Válassza az Igen vagy a Nem lehetőséget a Gondolja, hogy ez a kampány pontosan csoportosította ezeket az üzeneteket? területen.
Üzenetek felfedezése: A Veszélyforrás-felderítő segítségével tovább vizsgálhatja a kampányt a legördülő listában az alábbi értékek egyikének kiválasztásával:
Minden üzenet: Megnyitja a Threat Explorer új keresési lapját, amely a Kampányazonosító értéket használja keresési szűrőként.
Beérkezett üzenetek: Megnyit egy új Threat Explorer keresési lapot a Kampányazonosító és a Kézbesítés helye: Beérkezett üzenetek keresési szűrővel.
Belső üzenetek: Megnyit egy új Threat Explorer keresési lapot a Kampányazonosító és az Irány: Szervezeten belüli keresési szűrő használatával.
Veszélyforrás-jelentés letöltése: Töltse le a kampány részleteit egy Word dokumentumba (alapértelmezés szerint CampaignReport.docx néven). A letöltés a kampány teljes élettartama során tartalmaz részleteket (nem csak a kiválasztott dátumszűrőt).
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.