Megosztás a következőn keresztül:

E-mail-biztonság a Veszélyforrás-kezelővel és valós idejű észlelések az Office 365-höz készült Microsoft Defenderben

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Azok a Microsoft 365-szervezetek, amelyek az Office 365-höz készült Microsoft Defendert tartalmazzák az előfizetésükben, vagy bővítményként vásárolják meg az Explorert (más néven Fenyegetéskezelőt) vagy valós idejű észleléseket. Ezek a funkciók hatékony, közel valós idejű eszközök, amelyek segítenek a biztonsági üzemeltetési (SecOps) csapatoknak a fenyegetések kivizsgálásában és elhárításában. További információ: Tudnivalók a Veszélyforrás-kezelőről és a valós idejű észlelésekről az Office 365-höz készült Microsoft Defenderben.

Ez a cikk bemutatja, hogyan tekintheti meg és vizsgálhatja meg az észlelt kártevőket és adathalász kísérleteket az e-mailekben a Fenyegetéskezelő vagy a valós idejű észlelések használatával.

Tipp

A Threat Explorert és a valós idejű észleléseket használó egyéb e-mail-forgatókönyvekért tekintse meg a következő cikkeket:

Mit kell tudnia a kezdés előtt?

Megszemélyesített felhasználóknak és tartományoknak küldött adathalász e-mailek megtekintése

Az Office 365-höz készült Defender adathalászat elleni házirendjeinek felhasználói és tartományi megszemélyesítés elleni védelméről további információt az Adathalászat elleni házirendek megszemélyesítési beállításai az Office 365-höz készült Microsoft Defenderben című témakörben talál.

Az alapértelmezett vagy egyéni adathalászat elleni házirendekben meg kell adnia a megszemélyesítés elleni védelemhez szükséges felhasználókat és tartományokat, beleértve a tulajdonában lévő tartományokat (elfogadott tartományok). A Standard vagy a Szigorú előre beállított biztonsági házirendekben a tulajdonában lévő tartományok automatikusan megszemélyesítés elleni védelmet kapnak, de meg kell adnia minden felhasználót vagy egyéni tartományt a megszemélyesítés elleni védelemhez. Útmutatásért tekintse meg a következő cikkeket:

Az alábbi lépésekkel áttekintheti az adathalász üzeneteket, és megkeresheti a megszemélyesített felhasználókat vagy tartományokat.

  1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

  2. Az Explorer vagy a Valós idejű észlelések lapon válassza az Adathalász nézetet. Az Adathalász nézetről további információt az Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.

  3. Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.

  4. Hajtsa végre az alábbi lépések egyikét:

    • Keresse meg a felhasználó vagy tartomány megszemélyesítési kísérleteit:

      • Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza az Észlelési technológia lehetőséget.
      • A szűrőoperátorként az Egyenlő érték van kiválasztva.
      • A tulajdonságérték mezőben válassza a Megszemélyesítési tartomány és a Megszemélyesítés felhasználója lehetőséget

    • Konkrét megszemélyesített felhasználói kísérletek keresése:

      • Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza a Megszemélyesített felhasználó lehetőséget.
      • A szűrőoperátorként az Egyenlő érték van kiválasztva.
      • A tulajdonságérték mezőbe írja be a címzett teljes e-mail-címét. Több címzett értékét vesszővel válassza el egymástól.

    • Konkrét megszemélyesített tartománykísérletek keresése:

      • Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza a Megszemélyesített tartomány lehetőséget.
      • A szűrőoperátorként az Egyenlő érték van kiválasztva.
      • A tulajdonságérték mezőbe írja be a tartományt (például contoso.com). Több tartományérték vesszővel elválasztva.

  5. Szükség szerint adjon meg további feltételeket más szűrhető tulajdonságok használatával. Útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.

  6. Ha végzett a szűrési feltételek létrehozásával, válassza a Frissítés lehetőséget.

  7. A diagram alatti részletek területen ellenőrizze, hogy az E-mail lap (nézet) van-e kiválasztva.

    Rendezheti a bejegyzéseket, és további oszlopokat jeleníthet meg az E-mail nézetben leírtak szerint a Fenyegetéskezelő adathalász nézetének részletek területén és a valós idejű észlelésekben.

URL-cím exportálása kattintási adatokra

Az URL kattintási adatok CSV-fájlba való exportálásával megtekintheti a hálózati üzenet azonosítóját és a Click verdict értékeket, amelyek segítenek elmagyarázni, hogy honnan származik az URL-kattintási forgalom.

  1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

  2. Az Explorer vagy a Valós idejű észlelések lapon válassza az Adathalász nézetet. Az Adathalász nézetről további információt az Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.

  3. Válassza ki a dátum-/időtartományt, majd válassza a Frissítés lehetőséget. Az alapértelmezett érték a tegnap és a mai nap.

  4. A részletek területen válassza a Felső URL-címek vagy a Felső kattintások lapot (nézet).

  5. A Felső URL-címek vagy a Felső kattintások nézetben jelöljön ki egy vagy több bejegyzést a táblázatból az első oszlop melletti jelölőnégyzet bejelölésével, majd válassza az Exportálás lehetőséget. Felfedező>Adathalászat>Kattintás>Top URLls or URL Top Clicks> select any record to open the URL flyout.

A Hálózati üzenetazonosító érték használatával konkrét üzeneteket kereshet a Threat Explorerben, valós idejű észleléseket vagy külső eszközöket. Ezek a keresések azonosítják a kattintás eredményéhez társított e-mail-üzenetet. A korrelált hálózati üzenetazonosító gyorsabb és hatékonyabb elemzést tesz lehetővé.

Az e-mailben észlelt kártevők megtekintése

A Fenyegetéskezelőben vagy a valós idejű észlelésekben kövesse az alábbi lépéseket a Microsoft 365 által e-mailben észlelt kártevők megtekintéséhez.

  1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

  2. Az Explorer vagy a Valós idejű észlelések lapon válassza a Kártevő nézetet. Az adathalász nézetről további információt a Kártevők nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.

  3. Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.

  4. Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza az Észlelési technológia lehetőséget.

    • A szűrőoperátorként az Egyenlő érték van kiválasztva.
    • A tulajdonságérték mezőben válasszon ki egy vagy több értéket az alábbi értékek közül:
      • Kártevők elleni védelem
      • Fájl detonációja
      • Fájlmegsüllyedés híre
      • Fájlnév
      • Ujjlenyomat-egyeztetés

  5. Szükség szerint adjon meg további feltételeket más szűrhető tulajdonságok használatával. Útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.

  6. Ha végzett a szűrési feltételek létrehozásával, válassza a Frissítés lehetőséget.

A jelentés azokat az eredményeket jeleníti meg, amelyeket a kártevők e-mailben észleltek a kiválasztott technológiai beállítások használatával. Innen további elemzéseket végezhet.

Üzenetek jelentése tisztaként

A Defender portál https://security.microsoft.com/reportsubmissionBeküldések lapjának használatával tisztaként (hamis pozitívként) jelentheti az üzeneteket a Microsoftnak. Az Üzeneteket azonban tisztaként is elküldheti a Microsoftnak a Művelet végrehajtása a Fenyegetéskezelőben vagy az E-mail entitás oldalán.

Útmutatásért lásd: Veszélyforrás-keresés: A Művelet végrehajtása varázsló.

Összegzés:

  • Válassza a Művelet végrehajtása az alábbi módszerek egyikével lehetőséget:

    • Jelöljön ki egy vagy több üzenetet az E-mail lap (nézet) Minden e-mail, Kártevő vagy Adathalász nézet részletek táblázatából a bejegyzésekhez tartozó jelölőnégyzetek bejelölésével.

    Vagy

    • Miután kiválasztott egy üzenetet a Minden e-mail, Kártevő vagy Adathalász nézet E-mail lapjának (nézetének) részletek táblázatából, kattintson a Tárgy értékre.

  • A Művelet végrehajtása varázslóban válassza a Küldés a Microsoftnak lehetőséget az ellenőrzéshez>, amelyről meggyőződtem, hogy tiszta.

Adathalász URL-cím megtekintése, majd a döntési adatokra kattintva

A Biztonságos hivatkozások elleni védelem nyomon követi az engedélyezett, letiltott és felül bírált URL-címeket. A Biztonságos hivatkozások védelem alapértelmezés szerint be van kapcsolva az előre beállított biztonsági szabályzatok beépített védelmének köszönhetően. A Biztonságos hivatkozások védelme a Standard és a Szigorú előre beállított biztonsági szabályzatokban van bekapcsolva. A Biztonságos hivatkozások védelmet egyéni Biztonságos hivatkozások házirendekben is létrehozhatja és konfigurálhatja. A Biztonságos hivatkozások házirend-beállításokkal kapcsolatos további információkért lásd: Biztonságos hivatkozások házirend-beállításai.

Az alábbi lépésekkel megtekintheti az adathalászati kísérleteket url-címekkel az e-mailekben.

  1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

  2. Az Explorer vagy a Valós idejű észlelések lapon válassza az Adathalász nézetet. Az Adathalász nézetről további információt az Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.

  3. Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.

  4. Jelölje ki a Feladó címe (tulajdonság) mezőt, majd válassza a Legördülő lista URL-címek szakaszában az Ítéletre kattintva lehetőséget.

    • A szűrőoperátorként az Egyenlő érték van kiválasztva.
    • A tulajdonságérték mezőben válasszon ki egy vagy több értéket az alábbi értékek közül:
      • Blokkolt
      • Felül van bírálva a letiltva

    A Click verdict értékek magyarázatáért lásd: Kattintson az ítéletrea Szűrhető tulajdonságok területen a Veszélyforrás-kezelő Minden e-mail nézetében.

  5. Szükség szerint adjon meg további feltételeket más szűrhető tulajdonságok használatával. Útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.

  6. Ha végzett a szűrési feltételek létrehozásával, válassza a Frissítés lehetőséget.

A diagram alatti részletek területén a Felső URL-címek lap (nézet) a letiltott üzenetek, a levélszemétben lévő üzenetek és az első öt URL-címhez kézbesített üzenetek számát jeleníti meg. További információkért tekintse meg a Top URL-címek nézetet a Threat Explorer adathalász nézetének részleteit és a valós idejű észleléseket ismertető cikket.

A diagram alatti részletek területén a Felső kattintások lap (nézet) mutatja a biztonságos hivatkozások által becsomagolt öt legjobban kattintott hivatkozást. Itt nem jelennek meg a nem összekapcsolt hivatkozásokra kattintva megjelenő URL-címek. További információ: Az Adathalászat nézet részletes nézete a Fenyegetéskezelőben és a valós idejű észlelések felső kattintási nézete.

Ezek az URL-táblázatok olyan URL-címeket mutatnak, amelyeket egy figyelmeztetés ellenére blokkoltak vagy látogattak meg. Ezek az információk a felhasználók számára megjelenített lehetséges rossz hivatkozásokat jelenítik meg. Innen további elemzéseket végezhet.

A részletekért válasszon ki egy URL-címet a nézet egyik bejegyzéséből. További információ: Url-cím részletei a Legfelső URL-címek és a Legfelső kattintások lap adathalász nézetben.

Tipp

Az URL-részletek úszó panelen a rendszer eltávolítja az e-mailekre vonatkozó szűrést, hogy teljes képet jelenítsen meg az URL-cím kitettségéről a környezetben. Ez a viselkedés lehetővé teszi, hogy konkrét e-mail-üzenetekre szűrjön, megkeresse azokat az URL-címeket, amelyek potenciális fenyegetések, majd bővítse az URL-kitettség fogalmát a környezetben anélkül, hogy URL-szűrőket kellene hozzáadnia az Adathalász nézetben.

A kattintási ítéletek értelmezése

A Click verdict tulajdonság eredményei a következő helyeken láthatók:

Az ítéletértékeket a következő lista ismerteti:

  • Engedélyezett: A felhasználó megnyithatta az URL-címet.
  • Felülbírált blokk: A felhasználó nem tudta közvetlenül megnyitni az URL-címet, de felülírta a blokkot az URL-cím megnyitásához.
  • Letiltva: A felhasználó nem tudta megnyitni az URL-címet.
  • Hiba: A felhasználó megjelenik a hibaoldalon, vagy hiba történt az ítélet rögzítésekor.
  • Hiba: Ismeretlen kivétel történt az ítélet rögzítése közben. Lehetséges, hogy a felhasználó megnyitotta az URL-címet.
  • Nincs: Nem sikerült rögzíteni az URL-cím ítéletét. Lehetséges, hogy a felhasználó megnyitotta az URL-címet.
  • Függőben lévő ítélet: A felhasználónál megjelenik a robbanás függőben lévő oldala.
  • Függőben lévő ítélet megkerülve: A felhasználó megjelenik a detonációs oldalon, de felülírta az üzenetet, hogy megnyissa az URL-címet.

Automatizált vizsgálat és reagálás indítása a Threat Explorerben

Az Office 365-höz készült Defender 2. csomagjában az automatizált vizsgálat és reagálás (AIR) időt és energiát takaríthat meg a kibertámadások kivizsgálása és enyhítése során. Konfigurálhat olyan riasztásokat, amelyek aktiválnak egy biztonsági forgatókönyvet, és elindíthatja az AIR-t a Threat Explorerben. Részletekért lásd : Példa: Egy biztonsági rendszergazda elindít egy vizsgálatot az Explorerből.

E-mailek vizsgálata az E-mail entitás oldalával