Megosztás a következőn keresztül:


A Microsoft 365-ben kézbesített rosszindulatú e-mailek vizsgálata

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

Azok a Microsoft 365-szervezetek, amelyek Office 365-höz készült Microsoft Defender szerepelnek az előfizetésükben, vagy bővítményként vásároltak Explorerrel (más néven Fenyegetéskezelővel) vagy valós idejű észlelésekkel rendelkeznek. Ezek a funkciók hatékony, közel valós idejű eszközök, amelyek segítenek a biztonsági üzemeltetési (SecOps) csapatoknak a fenyegetések kivizsgálásában és elhárításában. További információ: About Threat Explorer and Real-time detections in Office 365-höz készült Microsoft Defender (Tudnivalók a Veszélyforrás-felderítőről és a valós idejű észlelésekről Office 365-höz készült Microsoft Defender).

A Fenyegetéskezelő és a valós idejű észlelések lehetővé teszik a szervezeten belüli személyeket veszélyeztető tevékenységek kivizsgálását, valamint a szervezet védelmére irányuló intézkedések megtételét. Például:

  • Üzenetek keresése és törlése.
  • Azonosítsa egy rosszindulatú e-mail-feladó IP-címét.
  • Incidens indítása további vizsgálat céljából.

Ez a cikk bemutatja, hogyan kereshet kártékony e-maileket a címzett postaládáiban a Veszélyforrás-kezelővel és a valós idejű észlelésekkel.

Tipp

Ha közvetlenül a javítási eljárásokra szeretne lépni, tekintse meg a kártékony e-mailek Office 365 történő szervizelését.

A Threat Explorert és a valós idejű észleléseket használó egyéb e-mail-forgatókönyvekért tekintse meg a következő cikkeket:

Mit kell tudnia a kezdés előtt?

A kézbesített gyanús e-mailek megkeresése

  1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

  2. Az Explorer vagy a Valós idejű észlelések lapon válassza ki a megfelelő nézetet:

  3. Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.

    Képernyőkép a Threat Explorerben használt dátumszűrőről és a Valós idejű észlelésekről a Defender portálon.

  4. Hozzon létre egy vagy több szűrési feltételt a következő célzott tulajdonságok és értékek némelyikével vagy mindegyikével. A teljes útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések. Például:

    • Kézbesítési művelet: Az e-mailen meglévő szabályzatok vagy észlelések miatt végrehajtott művelet. A hasznos értékek a következők:

      • Kézbesítve: Email kézbesítve a felhasználó Beérkezett üzenetek mappájába vagy más mappába, ahol a felhasználó hozzáférhet az üzenethez.
      • Levélszemét: Email a felhasználó Levélszemét Email mappájába vagy Törölt elemek mappájába kerül, ahol a felhasználó hozzáférhet az üzenethez.
      • Letiltva: Email karanténba helyezett, sikertelen kézbesítésű vagy elvetett üzeneteket.
    • Eredeti kézbesítési hely: Ahol az e-mail a rendszer vagy a rendszergazdák automatikus vagy manuális kézbesítés utáni műveletei (például ZAP vagy karanténba helyezés) előtt történt. A hasznos értékek a következők:

      • Törölt elemek mappa
      • Elvetve: Az üzenet elveszett valahol az e-mail-folyamatban.
      • Sikertelen: Az üzenet nem tudta elérni a postaládát.
      • Beérkezett üzenetek/mappa
      • Levélszemét mappa
      • Helyszíni/külső: A postaláda nem létezik a Microsoft 365-szervezetben.
      • Karantén
      • Ismeretlen: Kézbesítés után például egy Beérkezett üzenetek szabály egy alapértelmezett mappába (például Piszkozat vagy Archívum) helyezte át az üzenetet a Beérkezett üzenetek vagy a Levélszemét Email helyett.
    • Utolsó kézbesítés helye: Ha az e-mail a rendszer vagy a rendszergazdák automatikus vagy manuális kézbesítés utáni műveletei után végződött. Ugyanazok az értékek érhetők el az eredeti kézbesítési helyről.

    • Irány: Az érvényes értékek a következők:

      • Kikötőbe befutó
      • Szervezeten belüli
      • Kimenő

      Ezek az információk segíthetnek azonosítani a hamisítást és a megszemélyesítést. A belső tartomány feladóitól érkező üzeneteknek például szervezeten belülinek, nem bejövőnek kell lenniük.

    • További művelet: Érvényes értékek:

    • Elsődleges felülbírálás: Ha a szervezeti vagy felhasználói beállítások engedélyezték vagy letiltották az egyébként letiltott vagy engedélyezett üzeneteket. Az értékek a következők:

      • Szervezeti szabályzat által engedélyezett
      • Felhasználói szabályzat által engedélyezett
      • Szervezeti szabályzat letiltva
      • Letiltotta a felhasználói szabályzat
      • Egyikre sem.

      Ezeket a kategóriákat tovább finomítja az Elsődleges felülbírálási forrás tulajdonság.

    • Elsődleges felülbírálás forrása Az a szervezeti házirend vagy felhasználói beállítás, amely engedélyezte vagy letiltotta az egyébként letiltott vagy engedélyezett üzeneteket. Az értékek a következők:

    • Felülbírálás forrása: Ugyanazok az elérhető értékek, mint az elsődleges felülbírálási forrás.

      Tipp

      A minden e-mail, kártevő és adathalász nézet részletek területén található Email lapon (nézetben) a megfelelő felülbírálási oszlopok neve Rendszerbírálások és Rendszer felülbírálások forrás.

    • URL-fenyegetés: Az érvényes értékek a következők:

      • Kártevő szoftverek
      • Adathalászat
      • Spam
  5. Ha végzett a dátum-/idő- és tulajdonságszűrők konfigurálásával, válassza a Frissítés lehetőséget.

A minden e-mail, kártevő vagy adathalász nézet részletek területén található Email lap (nézet) tartalmazza a gyanús e-mailek kivizsgálásához szükséges adatokat.

A Email lap (nézet) Kézbesítési művelet, Eredeti kézbesítési hely és Utolsó kézbesítési hely oszlopával például teljes képet kaphat arról, hogy hová mentek az érintett üzenetek. Az értékeket a 4. lépésben ismertettük.

Az Exportálás funkcióval legfeljebb 200 000 szűrt vagy szűretlen eredményt exportálhat CSV-fájlba.

Kézbesített kártékony e-mailek kijavítása

Miután azonosította a kézbesített kártékony e-maileket, eltávolíthatja őket a címzett postaládáiból. Útmutatásért lásd: A Microsoft 365-ben kézbesített rosszindulatú e-mailek szervizelése.

Az Office 365-ben kézbesített kártékony e-mailek szervizelése

Office 365-höz készült Microsoft Defender

Jelentések megtekintése Office 365-höz készült Defender