Share via

Email Office 365-höz készült Microsoft Defender vizsgálatainak elemzése

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A riasztások automatikus vizsgálata során Office 365-höz készült Microsoft Defender elemzi az eredeti e-mailt a fenyegetésekről, és azonosítja az eredeti e-mailhez kapcsolódó egyéb e-mail-üzeneteket, amelyek potenciálisan egy támadás részét képezik. Ez az elemzés azért fontos, mert az e-mailes támadások ritkán egyetlen e-mailből állnak.

Az automatizált vizsgálat e-mail-elemzése az eredeti e-mail attribútumai alapján azonosítja az e-mail-fürtöket a szervezet által küldött és fogadott e-mailek lekérdezéséhez. Ez az elemzés hasonló ahhoz, ahogyan egy biztonsági műveleti elemző megkeresné a kapcsolódó e-maileket az Explorerben vagy a Speciális veszélyforrás-keresésben. Több lekérdezés is használható az egyező e-mailek azonosítására, mivel a támadók általában alakváltást alkalmaznak az e-mail-paramétereken a biztonsági észlelés elkerülése érdekében. A fürtözési elemzés ezeket az ellenőrzéseket hajtja végre a vizsgálatban érintett e-mailek kezelésének meghatározásához:

  • Az e-mail-elemzés lekérdezéseket (fürtöket) hoz létre az e-mailekből az eredeti e-mail attribútumai alapján: a feladó értékei (IP-cím, feladó tartománya) és tartalma (tárgy, fürtazonosító) az esetlegesen kapcsolódó e-mailek megkereséséhez.
  • Ha az eredeti e-mail URL-címeinek és fájljainak elemzése megállapítja, hogy némelyik kártékony (vagyis kártevő vagy adathalász), akkor a rosszindulatú URL-címet vagy fájlt tartalmazó lekérdezéseket vagy e-mail-fürtöket is létrehoz.
  • Email fürtözési elemzés megszámolja a fürt hasonló e-mailjeihez kapcsolódó fenyegetéseket annak megállapításához, hogy az e-mail rosszindulatú, gyanús vagy nincs-e egyértelmű fenyegetése. Ha a lekérdezésnek megfelelő e-mail-fürt elegendő mennyiségű levélszemét-, normál adathalászati, megbízható adathalászati vagy kártevő-fenyegetést tartalmaz, az e-mail-fürt ezt a fenyegetéstípust alkalmazza rá.
  • Az e-mail-fürtözés elemzése az eredeti e-mailek és az e-mail-fürtökben található üzenetek legutóbbi kézbesítési helyét is ellenőrzi, hogy azonosíthassa azokat az üzeneteket, amelyeket esetleg el kell távolítani, vagy amelyeket már kijavítottak vagy megakadályoztak. Ez az elemzés azért fontos, mert a támadók a rosszindulatú tartalmakat, valamint a biztonsági szabályzatokat és a védelmet postaládák között eltérő módon alakíthatják át. Ez a képesség olyan helyzetekhez vezet, amikor a kártékony tartalmak továbbra is a postaládákban lehetnek, annak ellenére, hogy egy vagy több kártékony e-mail-üzenetet megakadályoztak vagy észleltek és eltávolítottak a nulla órás automatikus végleges törléssel (ZAP).
  • Email kártevők, megbízható adathalászat, rosszindulatú fájlok vagy rosszindulatú URL-fenyegetések miatt rosszindulatúnak ítélt fürtök függőben lévő műveletet kapnak a felhőpostaládában (Beérkezett üzenetek vagy Levélszemét Email mappákban) lévő helyreállítható törlési üzenetekhez. Ha a kártékony e-mail- vagy e-mail-fürtök "Nincs postaládában" (letiltva, karanténba helyezve, sikertelen, helyreállítható módon törölve stb.) vagy "Helyszíni/külső" típusúak, és nincsenek a felhőpostaládában, akkor nincs beállítva függőben lévő művelet az eltávolításukhoz.
  • Ha az e-mail-fürtök bármelyikét rosszindulatúnak találják, akkor a fürt által azonosított fenyegetés vissza lesz alkalmazva a vizsgálatban érintett eredeti e-mailre. Ez a viselkedés hasonló ahhoz, mint amikor egy biztonsági műveleti elemző e-mail-keresési eredményeket használ az eredeti e-mailek hasonló e-mail-alapú ítéletének meghatározásához. Ez az eredmény biztosítja, hogy függetlenül attól, hogy az eredeti e-mail URL-címeit, fájljait vagy forrás e-mail jelzőit észleli-e, a rendszer képes azonosítani azokat a kártékony e-mail üzeneteket, amelyek a személyre szabás, alakváltás, kijátszás vagy más támadói technikák segítségével kerülhetik el az észlelést.
  • A felhasználók feltörésével kapcsolatos vizsgálat során további e-mail-fürtök jönnek létre a postaláda által esetlegesen létrehozott e-mail-problémák azonosításához. Ez a folyamat tartalmaz egy tiszta e-mail-fürtöt (jó e-mail a felhasználótól, lehetséges adatkiszivárgást és lehetséges parancs-/vezérlési e-maileket), gyanús e-mail-fürtöket (levélszemét vagy normál adathalászatot tartalmazó e-mail), valamint kártékony e-mail-fürtöket (kártevőt tartalmazó e-maileket vagy megbízható adathalászatot). Ezek az e-mail-fürtök biztonsági műveleti elemzők adatait biztosítják a biztonsági műveletek elemzőinek, hogy megállapíthassák azokat a problémákat, amelyeket esetleg meg kell oldani egy biztonsági sérülés miatt, és hogy mely üzenetek váltották ki az eredeti riasztásokat (például adathalászat/levélszemét, amely a felhasználó küldési korlátozásait váltotta ki)

Email hasonlóságon és rosszindulatú entitások lekérdezéseien keresztüli csoportosítási elemzés biztosítja, hogy az e-mail-problémák teljes mértékben azonosíthatók és törlődnek, még akkor is, ha csak egy támadásból származó e-mailt azonosítanak. Az e-mail-fürt részleteinek oldalpanel nézeteiből származó hivatkozásokkal megnyithatja a lekérdezéseket az Explorerben vagy a Speciális veszélyforrás-keresésben, hogy részletesebb elemzést végezzen, és szükség esetén módosítsa a lekérdezéseket. Ez a funkció lehetővé teszi a manuális pontosítást és szervizelést, ha az e-mail-fürt lekérdezései túl szűknek vagy túl szélesnek találják (beleértve a nem kapcsolódó e-maileket is).

Az alábbiakban további fejlesztéseket talál az e-mail-elemzéshez a vizsgálatok során.

Az AIR-vizsgálat figyelmen kívül hagyja a speciális kézbesítési elemeket (SecOps-postaládákat és adathalász szimulációs üzeneteket)

Az e-mail-fürtözés elemzése során minden fürtszolgáltatás-lekérdezés figyelmen kívül hagyja a SecOps-postaládákat és az adathalász szimulációs URL-címeket, amelyek speciális kézbesítési szabályzatot azonosítottak. A SecOps-postaládák és az adathalász szimulációs URL-címek nem jelennek meg a lekérdezésben, hogy a fürtözési attribútumok egyszerűek és könnyen olvashatók legyenek. Ezek a kizárások biztosítják, hogy a SecOps-postaládákba küldött üzenetek és az adathalász szimulációs URL-címeket tartalmazó üzenetek figyelmen kívül legyenek hagyva a fenyegetéselemzés során, és ne legyenek eltávolítva a szervizelés során.

Megjegyzés:

Amikor megnyit egy e-mail-fürtöt, hogy megtekintse az Explorerben az e-mail-fürt részleteiből, az adathalász szimuláció és a SecOps postaláda-szűrők az Explorerben lesznek alkalmazva, de nem jelennek meg. Ha módosítja az Explorer szűrőit, dátumait vagy frissíti a lekérdezést az oldalon belül, akkor az adathalász szimulációs/SecOps-szűrőkizárások el lesznek távolítva, és ismét megjelennek a megfelelő e-mailek. Ha az Explorer oldalt a böngészőfrissítési függvénnyel frissíti, a rendszer újra betölti az eredeti lekérdezési szűrőket, beleértve az adathalász szimulációs/SecOps-szűrőket is, de eltávolítja az esetleges későbbi módosításokat.

AIR-frissítések függőben lévő e-mail művelet állapota

A vizsgálati e-mail-elemzés kiszámítja az e-mail fenyegetéseket és helyeket a vizsgálat időpontjában a vizsgálati bizonyítékok és műveletek létrehozásához. Ezek az adatok elavultak és elavultak lehetnek, ha a vizsgálaton kívüli műveletek hatással vannak a vizsgálatban érintett e-mail-címre. A biztonsági műveletek manuális keresése és szervizelése például törölheti a vizsgálatban szereplő e-maileket. Hasonlóképpen, előfordulhat, hogy a párhuzamos vizsgálatokban jóváhagyott törlési műveletek vagy a ZAP automatikus karanténműveletei eltávolították az e-maileket. Emellett az e-mailek kézbesítése után a fenyegetések késleltetett észlelése megváltoztathatja a vizsgálat e-mail-lekérdezéseiben/fürtjeiben szereplő fenyegetések számát.

A vizsgálati műveletek naprakészségének biztosítása érdekében a függőben lévő műveleteket tartalmazó vizsgálatok rendszeresen újrafuttatják az e-mail-elemzési lekérdezéseket az e-mail-helyek és fenyegetések frissítéséhez.

  • Amikor az e-mail-fürt adatai megváltoznak, frissíti a fenyegetéseket és a legutóbbi kézbesítési helyek számát.
  • Ha a függőben lévő műveletekkel rendelkező e-mail- vagy e-mail-fürt már nem található a postaládában, akkor a függőben lévő művelet megszakad, és a kártékony e-mailek/fürtök szervizeltnek minősülnek.
  • Miután az összes vizsgálat fenyegetését kijavították vagy megszakították a korábban leírtak szerint, a vizsgálat szervizelt állapotba vált, és az eredeti riasztás megoldódott.

Az e-mail- és e-mail-fürtök incidens-bizonyítékainak megjelenítése

Email incidens bizonyítékai és válasza lapján a következő információk jelennek meg.

A bizonyítékok és válaszok e-mail-elemzési információi

Az ábrán szereplő számozott ábrafeliratokból:

  1. A műveletközponton kívül szervizelési műveleteket is végrehajthat.

  2. A kártékony (de nem gyanús) ítélettel rendelkező e-mail-fürtök esetében elvégezheti a javítási műveletet.

  3. Az e-mailek levélszemét-ítélete esetén az adathalászat nagy megbízhatóságra és normál adathalászatra oszlik.

    Rosszindulatú ítéletek esetén a fenyegetéskategóriák a kártevők, a megbízható adathalászat, a rosszindulatú URL-címek és a kártékony fájlok.

    Gyanús ítéletek esetén a fenyegetéskategóriák a levélszemét és a normál adathalászat.

  4. Az e-mailek száma a legutóbbi kézbesítési helyen alapul, és a postaládákban, nem a postaládákban és a helyszínen lévő e-mailek számlálóit tartalmazza.

  5. Tartalmazza a lekérdezés dátumát és időpontját, amely frissíthető a legújabb adatokkal.

A vizsgálat Entitások lapján található e-mail- vagy e-mail-fürtök esetében a Letiltás azt jelenti, hogy nem volt kártékony e-mail a postaládában ehhez az elemhez (levelezéshez vagy fürthöz). Íme egy példa.

Egy letiltott e-mail.

Ebben a példában az e-mail kártékony, de nem postaládában található.

Következő lépések