E-mail-biztonság a Veszélyforrás-kezelővel és valós idejű észlelések az Office 365-höz készült Microsoft Defenderben
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Azok a Microsoft 365-szervezetek, amelyek az Office 365-höz készült Microsoft Defendert tartalmazzák az előfizetésükben, vagy bővítményként vásárolják meg az Explorert (más néven Fenyegetéskezelőt) vagy valós idejű észleléseket. Ezek a funkciók hatékony, közel valós idejű eszközök, amelyek segítenek a biztonsági üzemeltetési (SecOps) csapatoknak a fenyegetések kivizsgálásában és elhárításában. További információ: Tudnivalók a Veszélyforrás-kezelőről és a valós idejű észlelésekről az Office 365-höz készült Microsoft Defenderben.
Ez a cikk bemutatja, hogyan tekintheti meg és vizsgálhatja meg az észlelt kártevőket és adathalász kísérleteket az e-mailekben a Fenyegetéskezelő vagy a valós idejű észlelések használatával.
Tipp
A Threat Explorert és a valós idejű észleléseket használó egyéb e-mail-forgatókönyvekért tekintse meg a következő cikkeket:
Mit kell tudnia a kezdés előtt?
A Threat Explorer az Office 365-höz készült Defender 2. csomag része. A valós idejű észlelések a Defender for Office 1 csomag részét képezik:
- A Fenyegetéskezelő és a valós idejű észlelések közötti különbségeket a Tudnivalók a Veszélyforrás-felderítőről és a Valós idejű észlelések az Office 365-höz készült Microsoft Defenderben című témakörben olvashatja.
- Az Office 365-höz készült Defender 2. csomagja és az Office 1. csomaghoz készült Defender közötti különbségeket az Office 365-höz készült Defender 1. csomag és a 2. csomag közötti hasznos tanácsok ismertetik.
A Threat Explorer és a valós idejű észlelések engedélyeit és licenckövetelményeit lásd: A Threat Explorer és a valós idejű észlelések engedélyei és licencelése.
Megszemélyesített felhasználóknak és tartományoknak küldött adathalász e-mailek megtekintése
Az Office 365-höz készült Defender adathalászat elleni házirendjeinek felhasználói és tartományi megszemélyesítés elleni védelméről további információt az Adathalászat elleni házirendek megszemélyesítési beállításai az Office 365-höz készült Microsoft Defenderben című témakörben talál.
Az alapértelmezett vagy egyéni adathalászat elleni házirendekben meg kell adnia a megszemélyesítés elleni védelemhez szükséges felhasználókat és tartományokat, beleértve a tulajdonában lévő tartományokat (elfogadott tartományok). A Standard vagy a Szigorú előre beállított biztonsági házirendekben a tulajdonában lévő tartományok automatikusan megszemélyesítés elleni védelmet kapnak, de meg kell adnia minden felhasználót vagy egyéni tartományt a megszemélyesítés elleni védelemhez. Útmutatásért tekintse meg a következő cikkeket:
- Előre beállított biztonsági házirendek az Exchange Online Védelmi szolgáltatásban és az Office 365-höz készült Microsoft Defenderben
- Adathalászat elleni házirendek konfigurálása az Office 365-höz készült Microsoft Defenderben
Az alábbi lépésekkel áttekintheti az adathalász üzeneteket, és megkeresheti a megszemélyesített felhasználókat vagy tartományokat.
Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:
- Fenyegetéskezelő: A Defender portálján https://security.microsoft.comlépjen az E-mail & Security>Explorer elemre. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorerv3: .
- Valós idejű észlelések: A Defender portálján https://security.microsoft.comlépjen az E-mail & Valós idejű biztonsági>észlelések elemre. Vagy ha közvetlenül a Valós idejű észlelések oldalra szeretne lépni, használja a parancsot https://security.microsoft.com/realtimereportsv3.
Az Explorer vagy a Valós idejű észlelések lapon válassza az Adathalász nézetet. Az Adathalász nézetről további információt az Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.
Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.
Hajtsa végre az alábbi lépések egyikét:
Keresse meg a felhasználó vagy tartomány megszemélyesítési kísérleteit:
- Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza az Észlelési technológia lehetőséget.
- A szűrőoperátorként az Egyenlő érték van kiválasztva.
- A tulajdonságérték mezőben válassza a Megszemélyesítési tartomány és a Megszemélyesítés felhasználója lehetőséget
Konkrét megszemélyesített felhasználói kísérletek keresése:
- Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza a Megszemélyesített felhasználó lehetőséget.
- A szűrőoperátorként az Egyenlő érték van kiválasztva.
- A tulajdonságérték mezőbe írja be a címzett teljes e-mail-címét. Több címzett értékét vesszővel válassza el egymástól.
Konkrét megszemélyesített tartománykísérletek keresése:
- Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza a Megszemélyesített tartomány lehetőséget.
- A szűrőoperátorként az Egyenlő érték van kiválasztva.
- A tulajdonságérték mezőbe írja be a tartományt (például contoso.com). Több tartományérték vesszővel elválasztva.
Szükség szerint adjon meg további feltételeket más szűrhető tulajdonságok használatával. Útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.
Ha végzett a szűrési feltételek létrehozásával, válassza a Frissítés lehetőséget.
A diagram alatti részletek területen ellenőrizze, hogy az E-mail lap (nézet) van-e kiválasztva.
Rendezheti a bejegyzéseket, és további oszlopokat jeleníthet meg az E-mail nézetben leírtak szerint a Fenyegetéskezelő adathalász nézetének részletek területén és a valós idejű észlelésekben.
Ha kiválasztja egy bejegyzés Tárgy értékét a táblázatban, megnyílik egy e-mail részletei úszó panel. Ez a részletes úszó panel az E-mail összegzése panel , amely szabványosított összefoglaló információkat tartalmaz, amelyek az üzenet E-mail entitás lapján is elérhetők.
Az E-mail összegzése panelen található információkról az E-mail összegzése panelen olvashat bővebben.
A Fenyegetéskezelő e-mail-összefoglaló paneljének tetején elérhető műveletekről és a valós idejű észlelésekről a Minden e-mail nézetben a Részletek terület E-mail nézetének E-mail részletei című témakörében olvashat (ugyanezek a műveletek az Adathalász nézetben is elérhetők).
Ha kiválasztja egy bejegyzés Címzett értékét a táblázatban, megnyílik egy másik részletes úszó panel. További információ: Címzett adatai az Adathalász nézetben a Részletek terület E-mail nézetében.
URL-cím exportálása kattintási adatokra
Az URL kattintási adatok CSV-fájlba való exportálásával megtekintheti a hálózati üzenet azonosítóját és a Click verdict értékeket, amelyek segítenek elmagyarázni, hogy honnan származik az URL-kattintási forgalom.
Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:
- Fenyegetéskezelő: A Defender portálján https://security.microsoft.comlépjen az E-mail & Security>Explorer elemre. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorerv3: .
- Valós idejű észlelések: A Defender portálján https://security.microsoft.comlépjen az E-mail & Valós idejű biztonsági>észlelések elemre. Vagy ha közvetlenül a Valós idejű észlelések oldalra szeretne lépni, használja a parancsot https://security.microsoft.com/realtimereportsv3.
Az Explorer vagy a Valós idejű észlelések lapon válassza az Adathalász nézetet. Az Adathalász nézetről további információt az Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.
Válassza ki a dátum-/időtartományt, majd válassza a Frissítés lehetőséget. Az alapértelmezett érték a tegnap és a mai nap.
A részletek területen válassza a Felső URL-címek vagy a Felső kattintások lapot (nézet).
A Felső URL-címek vagy a Felső kattintások nézetben jelöljön ki egy vagy több bejegyzést a táblázatból az első oszlop melletti jelölőnégyzet bejelölésével, majd válassza az Exportálás lehetőséget. Felfedező>Adathalászat>Kattintás>Top URLls or URL Top Clicks> select any record to open the URL flyout.
A Hálózati üzenetazonosító érték használatával konkrét üzeneteket kereshet a Threat Explorerben, valós idejű észleléseket vagy külső eszközöket. Ezek a keresések azonosítják a kattintás eredményéhez társított e-mail-üzenetet. A korrelált hálózati üzenetazonosító gyorsabb és hatékonyabb elemzést tesz lehetővé.
Az e-mailben észlelt kártevők megtekintése
A Fenyegetéskezelőben vagy a valós idejű észlelésekben kövesse az alábbi lépéseket a Microsoft 365 által e-mailben észlelt kártevők megtekintéséhez.
Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:
- Fenyegetéskezelő: A Defender portálján https://security.microsoft.comlépjen az E-mail & Security>Explorer elemre. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorerv3: .
- Valós idejű észlelések: A Defender portálján https://security.microsoft.comlépjen az E-mail & Valós idejű biztonsági>észlelések elemre. Vagy ha közvetlenül a Valós idejű észlelések oldalra szeretne lépni, használja a parancsot https://security.microsoft.com/realtimereportsv3.
Az Explorer vagy a Valós idejű észlelések lapon válassza a Kártevő nézetet. Az adathalász nézetről további információt a Kártevők nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.
Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.
Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza az Észlelési technológia lehetőséget.
- A szűrőoperátorként az Egyenlő érték van kiválasztva.
- A tulajdonságérték mezőben válasszon ki egy vagy több értéket az alábbi értékek közül:
- Kártevők elleni védelem
- Fájl detonációja
- Fájlmegsüllyedés híre
- Fájlnév
- Ujjlenyomat-egyeztetés
Szükség szerint adjon meg további feltételeket más szűrhető tulajdonságok használatával. Útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.
Ha végzett a szűrési feltételek létrehozásával, válassza a Frissítés lehetőséget.
A jelentés azokat az eredményeket jeleníti meg, amelyeket a kártevők e-mailben észleltek a kiválasztott technológiai beállítások használatával. Innen további elemzéseket végezhet.
Üzenetek jelentése tisztaként
A Defender portál https://security.microsoft.com/reportsubmissionBeküldések lapjának használatával tisztaként (hamis pozitívként) jelentheti az üzeneteket a Microsoftnak. Az Üzeneteket azonban tisztaként is elküldheti a Microsoftnak a Művelet végrehajtása a Fenyegetéskezelőben vagy az E-mail entitás oldalán.
Útmutatásért lásd: Veszélyforrás-keresés: A Művelet végrehajtása varázsló.
Összegzés:
Válassza a Művelet végrehajtása az alábbi módszerek egyikével lehetőséget:
- Jelöljön ki egy vagy több üzenetet az E-mail lap (nézet) Minden e-mail, Kártevő vagy Adathalász nézet részletek táblázatából a bejegyzésekhez tartozó jelölőnégyzetek bejelölésével.
Vagy
- Miután kiválasztott egy üzenetet a Minden e-mail, Kártevő vagy Adathalász nézet E-mail lapjának (nézetének) részletek táblázatából, kattintson a Tárgy értékre.
A Művelet végrehajtása varázslóban válassza a Küldés a Microsoftnak lehetőséget az ellenőrzéshez>, amelyről meggyőződtem, hogy tiszta.
Adathalász URL-cím megtekintése, majd a döntési adatokra kattintva
A Biztonságos hivatkozások elleni védelem nyomon követi az engedélyezett, letiltott és felül bírált URL-címeket. A Biztonságos hivatkozások védelem alapértelmezés szerint be van kapcsolva az előre beállított biztonsági szabályzatok beépített védelmének köszönhetően. A Biztonságos hivatkozások védelme a Standard és a Szigorú előre beállított biztonsági szabályzatokban van bekapcsolva. A Biztonságos hivatkozások védelmet egyéni Biztonságos hivatkozások házirendekben is létrehozhatja és konfigurálhatja. A Biztonságos hivatkozások házirend-beállításokkal kapcsolatos további információkért lásd: Biztonságos hivatkozások házirend-beállításai.
Az alábbi lépésekkel megtekintheti az adathalászati kísérleteket url-címekkel az e-mailekben.
Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:
- Fenyegetéskezelő: A Defender portálján https://security.microsoft.comlépjen az E-mail & Security>Explorer elemre. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorerv3: .
- Valós idejű észlelések: A Defender portálján https://security.microsoft.comlépjen az E-mail & Valós idejű biztonsági>észlelések elemre. Vagy ha közvetlenül a Valós idejű észlelések oldalra szeretne lépni, használja a parancsot https://security.microsoft.com/realtimereportsv3.
Az Explorer vagy a Valós idejű észlelések lapon válassza az Adathalász nézetet. Az Adathalász nézetről további információt az Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.
Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.
Jelölje ki a Feladó címe (tulajdonság) mezőt, majd válassza a Legördülő lista URL-címek szakaszában az Ítéletre kattintva lehetőséget.
- A szűrőoperátorként az Egyenlő érték van kiválasztva.
- A tulajdonságérték mezőben válasszon ki egy vagy több értéket az alábbi értékek közül:
- Blokkolt
- Felül van bírálva a letiltva
A Click verdict értékek magyarázatáért lásd: Kattintson az ítéletrea Szűrhető tulajdonságok területen a Veszélyforrás-kezelő Minden e-mail nézetében.
Szükség szerint adjon meg további feltételeket más szűrhető tulajdonságok használatával. Útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.
Ha végzett a szűrési feltételek létrehozásával, válassza a Frissítés lehetőséget.
A diagram alatti részletek területén a Felső URL-címek lap (nézet) a letiltott üzenetek, a levélszemétben lévő üzenetek és az első öt URL-címhez kézbesített üzenetek számát jeleníti meg. További információkért tekintse meg a Top URL-címek nézetet a Threat Explorer adathalász nézetének részleteit és a valós idejű észleléseket ismertető cikket.
A diagram alatti részletek területén a Felső kattintások lap (nézet) mutatja a biztonságos hivatkozások által becsomagolt öt legjobban kattintott hivatkozást. Itt nem jelennek meg a nem összekapcsolt hivatkozásokra kattintva megjelenő URL-címek. További információ: Az Adathalászat nézet részletes nézete a Fenyegetéskezelőben és a valós idejű észlelések felső kattintási nézete.
Ezek az URL-táblázatok olyan URL-címeket mutatnak, amelyeket egy figyelmeztetés ellenére blokkoltak vagy látogattak meg. Ezek az információk a felhasználók számára megjelenített lehetséges rossz hivatkozásokat jelenítik meg. Innen további elemzéseket végezhet.
A részletekért válasszon ki egy URL-címet a nézet egyik bejegyzéséből. További információ: Url-cím részletei a Legfelső URL-címek és a Legfelső kattintások lap adathalász nézetben.
Tipp
Az URL-részletek úszó panelen a rendszer eltávolítja az e-mailekre vonatkozó szűrést, hogy teljes képet jelenítsen meg az URL-cím kitettségéről a környezetben. Ez a viselkedés lehetővé teszi, hogy konkrét e-mail-üzenetekre szűrjön, megkeresse azokat az URL-címeket, amelyek potenciális fenyegetések, majd bővítse az URL-kitettség fogalmát a környezetben anélkül, hogy URL-szűrőket kellene hozzáadnia az Adathalász nézetben.
A kattintási ítéletek értelmezése
A Click verdict tulajdonság eredményei a következő helyeken láthatók:
- Kattintson a döntési diagram kimutatására a Minden e-mail nézet (csak a Veszélyforrás-kezelő) vagy az Adathalász nézet részletek területének URL-beli kattintási nézetéhez
- A Veszélyforrás-kezelő Minden e-mail nézetének részletek területének felső kattintási nézete
- Az Adathalászat nézet részletek területének felső kattintási nézete a Veszélyforrás-felderítőben és a valós idejű észlelésekben
- Az URL-kattintások nézet részletek területének felső kattintási nézete a Veszélyforrás-kezelőben
Az ítéletértékeket a következő lista ismerteti:
- Engedélyezett: A felhasználó megnyithatta az URL-címet.
- Felülbírált blokk: A felhasználó nem tudta közvetlenül megnyitni az URL-címet, de felülírta a blokkot az URL-cím megnyitásához.
- Letiltva: A felhasználó nem tudta megnyitni az URL-címet.
- Hiba: A felhasználó megjelenik a hibaoldalon, vagy hiba történt az ítélet rögzítésekor.
- Hiba: Ismeretlen kivétel történt az ítélet rögzítése közben. Lehetséges, hogy a felhasználó megnyitotta az URL-címet.
- Nincs: Nem sikerült rögzíteni az URL-cím ítéletét. Lehetséges, hogy a felhasználó megnyitotta az URL-címet.
- Függőben lévő ítélet: A felhasználónál megjelenik a robbanás függőben lévő oldala.
- Függőben lévő ítélet megkerülve: A felhasználó megjelenik a detonációs oldalon, de felülírta az üzenetet, hogy megnyissa az URL-címet.
Automatizált vizsgálat és reagálás indítása a Threat Explorerben
Az Office 365-höz készült Defender 2. csomagjában az automatizált vizsgálat és reagálás (AIR) időt és energiát takaríthat meg a kibertámadások kivizsgálása és enyhítése során. Konfigurálhat olyan riasztásokat, amelyek aktiválnak egy biztonsági forgatókönyvet, és elindíthatja az AIR-t a Threat Explorerben. Részletekért lásd : Példa: Egy biztonsági rendszergazda elindít egy vizsgálatot az Explorerből.