A Microsoft 365-ben kézbesített rosszindulatú e-mailek vizsgálata
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Azok a Microsoft 365-szervezetek, amelyek Office 365-höz készült Microsoft Defender szerepelnek az előfizetésükben, vagy bővítményként vásároltak Explorerrel (más néven Fenyegetéskezelővel) vagy valós idejű észlelésekkel rendelkeznek. Ezek a funkciók hatékony, közel valós idejű eszközök, amelyek segítenek a biztonsági üzemeltetési (SecOps) csapatoknak a fenyegetések kivizsgálásában és elhárításában. További információ: About Threat Explorer and Real-time detections in Office 365-höz készült Microsoft Defender (Tudnivalók a Veszélyforrás-felderítőről és a valós idejű észlelésekről Office 365-höz készült Microsoft Defender).
A Fenyegetéskezelő és a valós idejű észlelések lehetővé teszik a szervezeten belüli személyeket veszélyeztető tevékenységek kivizsgálását, valamint a szervezet védelmére irányuló intézkedések megtételét. Például:
- Üzenetek keresése és törlése.
- Azonosítsa egy rosszindulatú e-mail-feladó IP-címét.
- Incidens indítása további vizsgálat céljából.
Ez a cikk bemutatja, hogyan kereshet kártékony e-maileket a címzett postaládáiban a Veszélyforrás-kezelővel és a valós idejű észlelésekkel.
Tipp
Ha közvetlenül a javítási eljárásokra szeretne lépni, tekintse meg a kártékony e-mailek Office 365 történő szervizelését.
A Threat Explorert és a valós idejű észleléseket használó egyéb e-mail-forgatókönyvekért tekintse meg a következő cikkeket:
Mit kell tudnia a kezdés előtt?
A Threat Explorer Office 365-höz készült Defender 2. csomag része. A valós idejű észlelések a Defender for Office 1 csomag részét képezik:
- A Fenyegetéskezelő és a valós idejű észlelések közötti különbségeket a Veszélyforrás-felderítőről és a valós idejű észlelések Office 365-höz készült Microsoft Defender című cikkben olvashatja.
- A Office 365-höz készült Defender 2. csomag és az Office Defender 1. csomagja közötti különbségeket az Office 365-höz készült Defender 1. csomag és a 2. csomag közötti hasznos tanácsok ismertetik.
Azon szűrőtulajdonságok esetében, amelyeknél ki kell választania egy vagy több elérhető értéket, a tulajdonság a szűrőfeltételben való használata az összes kiválasztott értékkel ugyanazzal az eredménnyel jár, mintha a tulajdonságot nem használjuk a szűrési feltételben.
A Threat Explorer és a valós idejű észlelések engedélyeit és licenckövetelményeit lásd: A Threat Explorer és a valós idejű észlelések engedélyei és licencelése.
A kézbesített gyanús e-mailek megkeresése
Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:
- Fenyegetéskezelő: A Defender portálján https://security.microsoft.comlépjen Email & Security>Explorerbe. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorerv3: .
- Valós idejű észlelések: A Defender portálján https://security.microsoft.comlépjen Email & Valós idejű biztonsági>észlelések lapra. Vagy ha közvetlenül a Valós idejű észlelések oldalra szeretne lépni, használja a parancsot https://security.microsoft.com/realtimereportsv3.
Az Explorer vagy a Valós idejű észlelések lapon válassza ki a megfelelő nézetet:
- Threat Explorer: Ellenőrizze, hogy a Minden e-mail nézet ki van-e jelölve.
- Valós idejű észlelések: Ellenőrizze, hogy a Kártevő nézet van-e kiválasztva, vagy válassza az Adathalász nézetet.
Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.
Hozzon létre egy vagy több szűrési feltételt a következő célzott tulajdonságok és értékek némelyikével vagy mindegyikével. A teljes útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések. Például:
Kézbesítési művelet: Az e-mailen meglévő szabályzatok vagy észlelések miatt végrehajtott művelet. A hasznos értékek a következők:
- Kézbesítve: Email kézbesítve a felhasználó Beérkezett üzenetek mappájába vagy más mappába, ahol a felhasználó hozzáférhet az üzenethez.
- Levélszemét: Email a felhasználó Levélszemét Email mappájába vagy Törölt elemek mappájába kerül, ahol a felhasználó hozzáférhet az üzenethez.
- Letiltva: Email karanténba helyezett, sikertelen kézbesítésű vagy elvetett üzeneteket.
Eredeti kézbesítési hely: Ahol az e-mail a rendszer vagy a rendszergazdák automatikus vagy manuális kézbesítés utáni műveletei (például ZAP vagy karanténba helyezés) előtt történt. A hasznos értékek a következők:
- Törölt elemek mappa
- Elvetve: Az üzenet elveszett valahol az e-mail-folyamatban.
- Sikertelen: Az üzenet nem tudta elérni a postaládát.
- Beérkezett üzenetek/mappa
- Levélszemét mappa
- Helyszíni/külső: A postaláda nem létezik a Microsoft 365-szervezetben.
- Karantén
- Ismeretlen: Kézbesítés után például egy Beérkezett üzenetek szabály egy alapértelmezett mappába (például Piszkozat vagy Archívum) helyezte át az üzenetet a Beérkezett üzenetek vagy a Levélszemét Email helyett.
Utolsó kézbesítés helye: Ha az e-mail a rendszer vagy a rendszergazdák automatikus vagy manuális kézbesítés utáni műveletei után végződött. Ugyanazok az értékek érhetők el az eredeti kézbesítési helyről.
Irány: Az érvényes értékek a következők:
- Kikötőbe befutó
- Szervezeten belüli
- Kimenő
Ezek az információk segíthetnek azonosítani a hamisítást és a megszemélyesítést. A belső tartomány feladóitól érkező üzeneteknek például szervezeten belülinek, nem bejövőnek kell lenniük.
További művelet: Érvényes értékek:
- Automatizált szervizelés (Office 365-höz készült Defender 2. csomag)
- Dinamikus kézbesítés: További információ: Dinamikus kézbesítés a biztonságos mellékletek házirendjeiben.
- Manuális szervizelés
- Egyikre sem.
- Karantén kiadása
- Újrafeldolgozott: Az üzenet visszamenőlegesen jóként lett azonosítva.
- ZAP: További információ: Nulla órás automatikus végleges törlés (ZAP) Office 365-höz készült Microsoft Defender.
Elsődleges felülbírálás: Ha a szervezeti vagy felhasználói beállítások engedélyezték vagy letiltották az egyébként letiltott vagy engedélyezett üzeneteket. Az értékek a következők:
- Szervezeti szabályzat által engedélyezett
- Felhasználói szabályzat által engedélyezett
- Szervezeti szabályzat letiltva
- Letiltotta a felhasználói szabályzat
- Egyikre sem.
Ezeket a kategóriákat tovább finomítja az Elsődleges felülbírálási forrás tulajdonság.
Elsődleges felülbírálás forrása Az a szervezeti házirend vagy felhasználói beállítás, amely engedélyezte vagy letiltotta az egyébként letiltott vagy engedélyezett üzeneteket. Az értékek a következők:
- Külső szűrő
- Rendszergazda által kezdeményezett időutazás
- Kártevőirtó-házirendblokk fájltípus szerint: Gyakori mellékletszűrők a kártevőirtó házirendekben
- Antispam szabályzatbeállítások
- Kapcsolati szabályzat: Kapcsolatszűrés konfigurálása
- Exchange átviteli szabály (levélforgalmi szabály)
- Kizárólagos mód (Felhasználó felülbírálása): A Megbízható feladók és tartományok listájában lévő címekről érkező csak megbízható e-mailek és a postaládákban található biztonságos levelezőlisták beállítása.
- Helyszíni szervezet miatt kihagyott szűrés
- IP-régió szűrője a szabályzatból: Az Ezekből az országokból szűrő a levélszemét-ellenes szabályzatokban.
- Nyelvszűrő házirendből: Az Adott nyelveket tartalmaz szűrő a levélszemét-ellenes házirendekben.
- Adathalászati szimuláció: Külső adathalász szimulációk konfigurálása a speciális kézbesítési szabályzatban
- Karantén kiadása: Karanténba helyezett e-mail felszabadítása
- SecOps-postaláda: SecOps-postaládák konfigurálása a speciális kézbesítési házirendben
- Feladó címlistája (Rendszergazda felülbírálás): Az engedélyezett feladók listája vagy a letiltott feladók listája a levélszemét-ellenes házirendekben.
- Feladó címlistája (Felhasználó felülbírálása): A feladó e-mail-címei a postaláda széflistájánakLetiltott feladók listájában.
- Feladó tartománylistája (Rendszergazda felülbírálás): Az engedélyezett tartományok listája vagy letiltott tartományok listája a levélszemét-ellenes házirendekben.
- Feladó tartománylistája (Felhasználó felülbírálása):: A feladó tartományai a postaládában található biztonságoslista-gyűjteményLetiltott feladók listájában.
- Bérlő engedélyezési/tiltólistás fájlblokkja: Blokkbejegyzések létrehozása fájlokhoz
- Bérlő engedélyezési/tiltólistájának feladói e-mail-címblokkja: Blokkbejegyzések létrehozása tartományokhoz és e-mail-címekhez
- Bérlői engedélyezési/tiltólista-hamisítási blokk: Blokkbejegyzések létrehozása hamisított feladók számára
- Bérlő engedélyezési/tiltólistájának URL-blokkja: Blokkbejegyzések létrehozása URL-címekhez
- Megbízható partnerlista (Felhasználó felülbírálása): A Megbízható e-mail a névjegyalbumból beállítás a postaládában lévő biztonságoslista-gyűjteményben.
- Bérlő engedélyezési/tiltólistás fájlblokkja: Blokkbejegyzések létrehozása fájlokhoz
- Megbízható tartomány (felhasználó felülbírálása):: A feladó tartományai a megbízható feladók listájában, a postaláda széflistájának gyűjteményében.
- Megbízható címzett (Felhasználó felülbírálása):A címzett e-mail-címei vagy tartományai a megbízható címzettek listájában a postaláda biztonságoslista-gyűjteményében.
- Csak megbízható feladók (felhasználó felülbírálása): Csak a megbízható Listák: Csak a megbízható feladók vagy a megbízható címzettek listájában szereplő személyektől vagy tartományoktól érkező e-mailek érkeznek meg a postaládában lévő biztonságoslista-gyűjtemény Beérkezett üzenetek mappájába.
Felülbírálás forrása: Ugyanazok az elérhető értékek, mint az elsődleges felülbírálási forrás.
Tipp
A minden e-mail, kártevő és adathalász nézet részletek területén található Email lapon (nézetben) a megfelelő felülbírálási oszlopok neve Rendszerbírálások és Rendszer felülbírálások forrás.
URL-fenyegetés: Az érvényes értékek a következők:
- Kártevő szoftverek
- Adathalászat
- Spam
Ha végzett a dátum-/idő- és tulajdonságszűrők konfigurálásával, válassza a Frissítés lehetőséget.
A minden e-mail, kártevő vagy adathalász nézet részletek területén található Email lap (nézet) tartalmazza a gyanús e-mailek kivizsgálásához szükséges adatokat.
A Email lap (nézet) Kézbesítési művelet, Eredeti kézbesítési hely és Utolsó kézbesítési hely oszlopával például teljes képet kaphat arról, hogy hová mentek az érintett üzenetek. Az értékeket a 4. lépésben ismertettük.
Az Exportálás funkcióval legfeljebb 200 000 szűrt vagy szűretlen eredményt exportálhat CSV-fájlba.
Kézbesített kártékony e-mailek kijavítása
Miután azonosította a kézbesített kártékony e-maileket, eltávolíthatja őket a címzett postaládáiból. Útmutatásért lásd: A Microsoft 365-ben kézbesített rosszindulatú e-mailek szervizelése.
Kapcsolódó cikkek
Az Office 365-ben kézbesített kártékony e-mailek szervizelése