Veszélyforrás-keresés a Veszélyforrás-kezelőben és valós idejű észlelések a Office 365-höz készült Microsoft Defender
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Azok a Microsoft 365-szervezetek, amelyek Office 365-höz készült Microsoft Defender szerepelnek az előfizetésükben, vagy bővítményként vásároltak Explorerrel (más néven Fenyegetéskezelővel) vagy valós idejű észlelésekkel rendelkeznek. Ezek a funkciók hatékony, közel valós idejű eszközök, amelyek segítenek a biztonsági üzemeltetési (SecOps) csapatoknak a fenyegetések kivizsgálásában és elhárításában. További információ: About Threat Explorer and Real-time detections in Office 365-höz készült Microsoft Defender (Tudnivalók a Veszélyforrás-felderítőről és a valós idejű észlelésekről Office 365-höz készült Microsoft Defender).
A Fenyegetéskezelővel vagy a valós idejű észlelésekkel a következő műveleteket hajthatja végre:
- Lásd: A Microsoft 365 biztonsági funkciói által észlelt kártevők.
- Tekintse meg az adathalász URL-címet, és kattintson a döntési adatokra.
- Automatizált vizsgálati és reagálási folyamat indítása (csak a Threat Explorerben).
- Rosszindulatú e-mailek vizsgálata.
- És ez még nem minden.
Ebből a rövid videóból megtudhatja, hogyan vadászhat az e-mailekre és az együttműködésen alapuló fenyegetésekre Office 365-höz készült Defender használatával.
Tipp
A speciális veszélyforrás-keresés a Microsoft Defender XDR támogatja a könnyen használható lekérdezésszerkesztőt, amely nem használja a Kusto lekérdezésnyelv (KQL). További információ: Lekérdezések létrehozása irányított módban.
A következő információk érhetők el ebben a cikkben:
- A Fenyegetéskezelő és a valós idejű észlelések általános bemutatása
- A veszélyforrás-keresés élménye a Fenyegetéskezelővel és a valós idejű észlelésekkel
- Bővített képességek a Threat Explorerben
Tipp
A Threat Explorert és a valós idejű észleléseket használó e-mail-forgatókönyvek esetén tekintse meg a következő cikkeket:
- Email biztonság a Threat Explorerrel és a valós idejű észlelésekkel a Office 365-höz készült Microsoft Defender
- A Microsoft 365-ben kézbesített rosszindulatú e-mailek vizsgálata
Ha QR-kódokba ágyazott rosszindulatú URL-címeken alapuló támadásokat keres, az URL-forrás szűrő értéke QR-kód a Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetében, illetve valós idejű észlelések esetén a QR-kódokból kinyert URL-címekkel kereshet e-maileket.
Mit kell tudnia a kezdés előtt?
A Threat Explorer Office 365-höz készült Defender 2. csomag része. A valós idejű észlelések a Defender for Office 1 csomag részét képezik:
- A Fenyegetéskezelő és a valós idejű észlelések közötti különbségeket a Veszélyforrás-felderítőről és a valós idejű észlelések Office 365-höz készült Microsoft Defender című cikkben olvashatja.
- A Office 365-höz készült Defender 2. csomag és az Office Defender 1. csomagja közötti különbségeket az Office 365-höz készült Defender 1. csomag és a 2. csomag közötti hasznos tanácsok ismertetik.
A Threat Explorer és a valós idejű észlelések engedélyeit és licenckövetelményeit lásd: A Threat Explorer és a valós idejű észlelések engedélyei és licencelése.
A Threat Explorer és a valós idejű észlelések bemutatója
A Fenyegetéskezelő vagy a valós idejű észlelések a Microsoft Defender portál Email & együttműködés szakaszában érhetők el a címenhttps://security.microsoft.com:
A valós idejű észlelésekOffice 365-höz készült Defender 1. csomagban érhetők el. A Valós idejű észlelések oldal közvetlenül a címen https://security.microsoft.com/realtimereportsv3érhető el.
A Threat Explorer a Office 365-höz készült Defender 2. csomagban érhető el. Az Explorer lap közvetlenül a címen https://security.microsoft.com/threatexplorerv3érhető el.
A Threat Explorer ugyanazokat az információkat és képességeket tartalmazza, mint a valós idejű észlelések, de a következő további funkciókkal:
- További nézetek.
- További tulajdonságszűrési lehetőségek, beleértve a lekérdezések mentésének lehetőségét.
- Veszélyforrás-keresési és szervizelési műveletek.
A Office 365-höz készült Defender 1. és 2. csomag közötti különbségekről az 1. és a 2. terv közötti Office 365-höz készült Defender hasznos tanácsokat talál.
A vizsgálat megkezdéséhez használja a lap tetején található lapokat (nézeteket).
A Threat Explorerben elérhető nézeteket és a valós idejű észleléseket az alábbi táblázat ismerteti:
Megtekintés | Fenyegetés Felfedező |
Valós idejű Nyomozás |
Leírás |
---|---|---|---|
Minden e-mail | ✔ | A Threat Explorer alapértelmezett nézete. Információk a külső felhasználók által a szervezetbe küldött összes e-mailről, illetve a szervezet belső felhasználói között küldött e-mailekről. | |
Kártevő szoftverek | ✔ | ✔ | A valós idejű észlelések alapértelmezett nézete. Információ a kártevőt tartalmazó e-mail-üzenetekről. |
Adathalászat | ✔ | ✔ | Az adathalász fenyegetéseket tartalmazó e-mail-üzenetekre vonatkozó információk. |
Kampányok | ✔ | Az összehangolt adathalászati vagy kártevőkampány részeként azonosított, a 2. csomagban Office 365-höz készült Defender rosszindulatú e-mailekkel kapcsolatos információk. | |
Tartalommal kártevő szoftver | ✔ | ✔ | Az alábbi funkciók által észlelt kártékony fájlokra vonatkozó információk: |
URL-kattintások | ✔ | Információ arról, hogy a felhasználó az e-mailekben, Teams-üzenetekben, SharePoint-fájlokban és OneDrive-fájlokban lévő URL-címekre kattint. |
Az eredmények pontosításához használja a nézetben a dátum-/időszűrőt és az elérhető szűrőtulajdonságokat:
- A szűrők létrehozásával kapcsolatos utasításokért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.
- Az egyes nézetekhez elérhető szűrőtulajdonságokat a következő helyek ismertetik:
- Szűrhető tulajdonságok a Veszélyforrás-kezelő Minden e-mail nézetében
- Szűrhető tulajdonságok a Kártevők nézetben a Fenyegetéskezelőben és a valós idejű észlelésekben
- Szűrhető tulajdonságok az Adathalászat nézetben a Veszélyforrás-felderítőben és a valós idejű észlelésekben
- Szűrhető tulajdonságok a Threat Explorer Kampányok nézetében
- Szűrhető tulajdonságok a Fenyegetéskezelő Tartalom kártevő nézetében és valós idejű észlelések
- Szűrhető tulajdonságok az URL kattintások nézetében a Veszélyforrás-kezelőben
Tipp
A szűrő létrehozása vagy frissítése után ne felejtse el a Frissítés lehetőséget választani. A szűrők hatással vannak a diagram információira és a nézet részletek területére.
A Fenyegetéskezelőben vagy a valós idejű észlelésekben a fókuszt rétegként finomíthatja, hogy egyszerűbben követhesse nyomon a lépéseket:
- Az első réteg a használt nézet.
- A második a nézetben használt szűrők.
Például a következőhöz hasonló döntések rögzítésével nyomon követheti a fenyegetések keresésének lépéseit: A probléma a Fenyegetéskezelőben való megkereséséhez a Kártevő nézetet használtam, és a Címzett szűrő fókuszát használtam.
Ügyeljen arra is, hogy tesztelje a megjelenítési beállításokat. A különböző célközönségek (például a vezetőség) jobban vagy rosszabbul reagálhatnak ugyanazon adatok különböző bemutatóira.
A Veszélyforrás-kezelőben például a Minden e-mail nézetben a Email forrás- és kampánynézetek (lapok) a lap alján található részletek területen érhetők el:
Egyes célközönségek számára az Email forrás lapján található világtérkép jobb munkát jelenthet, ha bemutatja, mennyire elterjedtek az észlelt fenyegetések.
Mások hasznosabbnak találhatják a Kampányok lapon található táblázatban található részletes információkat az információk közvetítéséhez.
Ezeket az információkat a következő eredményekhez használhatja:
- A biztonság és a védelem szükségességének bemutatása.
- Hogy később bemutassa a műveletek hatékonyságát.
Email vizsgálat
A Fenyegetéskezelő Minden e-mail, Kártevő vagy Adathalász nézetében, illetve a valós idejű észlelésekben az e-mail-üzenetek eredményei a diagram alatti részletek területének Email lapján (nézetében) láthatók.
Ha gyanús e-mailt lát, kattintson egy bejegyzés Tárgy értékére a táblázatban. A megnyíló részletes úszó panel az Úszó panel tetején található Az e-mail megnyitása entitást tartalmazza.
A Email entitáslap összegyűjti az üzenetről és annak tartalmáról szükséges információkat, így megállapíthatja, hogy az üzenet fenyegetés-e. További információ: Email entitáslap áttekintése.
Email szervizelés
Miután megállapította, hogy egy e-mail fenyegetés, a következő lépés a fenyegetés elhárítása. A Fenyegetéskezelőben vagy a valós idejű észlelésekben a Művelet végrehajtása funkcióval orvosolhatja a fenyegetést.
A Művelet végrehajtása lehetőség a Fenyegetéskezelő Minden e-mail, Kártevő vagy Adathalász nézetében, illetve a diagram alatti részletek területének Email lapján (nézetében) érhető el:
Jelöljön ki egy vagy több bejegyzést a táblában az első oszlop melletti jelölőnégyzet bejelölésével. A Művelet végrehajtása lehetőség közvetlenül a lapon érhető el.
Tipp
A Művelet végrehajtása az Üzenetműveletek legördülő listát váltja fel.
Ha 100 vagy annál kevesebb bejegyzést jelöl ki, több műveletet is végrehajthat az üzeneteken a Művelet végrehajtása varázslóban.
Ha 101–200 000 bejegyzést jelöl ki, csak a következő műveletek érhetők el a Művelet végrehajtása varázslóban:
- Veszélyforrás-kezelő: Az Áthelyezés a postaládába és a Javaslat a szervizelésre lehetőség elérhető, de kölcsönösen kizárják egymást (választhat egyet vagy egyet).
- Valós idejű észlelések: A Bérlői engedélyezés/letiltás listában csak a Küldés a Microsoftnak felülvizsgálatra és megfelelő engedélyezési/letiltási bejegyzések létrehozására érhető el.
Kattintson egy bejegyzés Tárgy értékére a táblázatban. A megnyíló részletes úszó panel a Művelet végrehajtása elemet tartalmazza az úszó panel tetején.
A Művelet végrehajtása varázsló
A Művelet végrehajtása lehetőség kiválasztásával megnyithatja a Művelet végrehajtása varázslót egy úszó panelen. Az Office 365-höz készült Defender 2. és Office 365-höz készült Defender 1. csomag műveletvarázslójában elérhető műveletek az alábbi táblázatban találhatók:
Művelet | Defender for Office 365 2. csomag |
Defender for Office 365 1. csomag |
---|---|---|
Áthelyezés a postaláda mappába | ✔¹ | |
Karanténba helyezett üzenetek feloldása néhány vagy az összes eredeti címzettnek² | ✔ | |
Küldés a Microsoftnak véleményezésre | ✔ | ✔ |
Bejegyzések engedélyezése vagy letiltása a bérlő engedélyezési/blokkolási listájában ³ | ✔ | ✔ |
Automatizált vizsgálat kezdeményezése | ✔ | |
Javaslat a szervizelésre | ✔ |
¹ Ehhez a művelethez a Keresés és végleges törlés szerepkörre van szükség Email & együttműködési engedélyekben. Alapértelmezés szerint ez a szerepkör csak az Adatfelügyelő és a Szervezetfelügyelet szerepkörcsoporthoz van hozzárendelve. Hozzáadhat felhasználókat ezekhez a szerepkörcsoportokhoz, vagy létrehozhat egy új szerepkörcsoportot a Hozzárendelt Keresés és végleges törlés szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.
² Ez a beállítás karanténba helyezett üzenetek esetén érhető el, ha a Beérkezett üzenetek lehetőséget választja áthelyezési helyként.
³ Ez a művelet a Küldés a Microsoftnak áttekintésre területen érhető el.
A Művelet végrehajtása varázsló leírása a következő listában található:
A Válaszműveletek kiválasztása lapon a következő lehetőségek érhetők el:
Az összes válaszművelet megjelenítése: Ez a beállítás csak a Threat Explorerben érhető el.
Alapértelmezés szerint egyes műveletek nem érhetők el/szürkén jelennek meg az üzenet Legutóbbi kézbesítési hely értéke alapján. Az összes elérhető válaszművelet megjelenítéséhez húzza a kapcsolót Be állásba.
Áthelyezés a postaláda mappába: Válassza ki a megjelenő elérhető értékek egyikét:
Levélszemét: Helyezze át az üzenetet a Levélszemét Email mappába.
Beérkezett üzenetek mappa: Helyezze át az üzenetet a Beérkezett üzenetek mappába. Ha ezt az értéket választja, a következő lehetőségek is megjelenhetnek:
Visszalépés az Elküldött elemek mappába: Ha az üzenetet egy belső feladó küldte, és az üzenet helyreállítható módon törölve lett (áthelyezve a Helyreállítható elemek\Törlések mappába), akkor ezzel a beállítással megpróbálja visszahelyeztetni az üzenetet az Elküldött elemek mappába. Ez a beállítás visszavonási művelet, ha korábban az Áthelyezés a postaláda mappába>Helyreállíthatóan törölt elemek lehetőséget, illetve a Feladó másolatának törlése lehetőséget választotta egy üzenetben.
A Legutóbbi kézbesítési hely tulajdonság Karantén értékével rendelkező üzenetek esetén a Beérkezett üzenetek elemet választva feloldja az üzenetet a karanténból, így a következő lehetőségek is elérhetők:
- Engedje el az e-mail egy vagy több eredeti címzettjének: Ha ezt az értéket választja, megjelenik egy mező, ahol kijelölheti vagy megszüntetheti a karanténba helyezett üzenet eredeti címzettjeinek kijelölését.
- Kiadás az összes címzettnek
Törölt elemek: Helyezze át az üzenetet a Törölt elemek mappába.
Helyreállítható módon törölt elemek: Helyezze át az üzenetet a Helyreállítható elemek\Törlések mappába, amely egyenértékű az üzenet törlésével a Törölt elemek mappából. Az üzenetet a felhasználó és a rendszergazdák helyreállítják.
Feladó másolatának törlése: Ha az üzenetet belső feladó küldte, próbálja meg helyreállíthatóan törölni az üzenetet a feladó Elküldött elemek mappájából.
Véglegesen törölt elemek: Törölje a törölt üzenetet. A rendszergazdák egyelemes helyreállítással helyreállíthatják a nem törölt elemeket. A helyreállíthatóan törölt és a helyreállítható módon törölt elemekről további információt a Helyreállíthatóan törölt és a helyreállítható módon törölt elemek című témakörben talál.
Küldés a Microsoftnak véleményezésre: Válassza ki a megjelenő elérhető értékek egyikét:
Megerősítettem, hogy tiszta: Válassza ezt az értéket, ha biztos abban, hogy az üzenet tiszta. A következő lehetőségek jelennek meg:
-
A következőhöz hasonló üzenetek engedélyezése: Ha ezt az értéket választja, a rendszer engedélyezési bejegyzéseket ad hozzá a bérlői engedélyezési/tiltólistához a feladó és az üzenetben található kapcsolódó URL-címek vagy mellékletek számára. A következő lehetőségek is megjelennek:
- Bejegyzés eltávolítása a következő után: Az alapértelmezett érték 1 nap, de megadhat 7 napot, 30 napot vagy egy 30 napnál rövidebb Konkrét dátumot is.
- Bejegyzés engedélyezése megjegyzés: Adjon meg egy nem kötelező megjegyzést, amely további információkat tartalmaz.
-
A következőhöz hasonló üzenetek engedélyezése: Ha ezt az értéket választja, a rendszer engedélyezési bejegyzéseket ad hozzá a bérlői engedélyezési/tiltólistához a feladó és az üzenetben található kapcsolódó URL-címek vagy mellékletek számára. A következő lehetőségek is megjelennek:
Tisztanak tűnik , vagy gyanúsnak tűnik: Válasszon egyet ezek közül az értékek közül, ha nem biztos benne, és a Microsofttól szeretne ítéletet kapni.
Megerősítettem, hogy fenyegetésről van szó: Jelölje ki ezt az értéket, ha biztos benne, hogy az elem kártékony, majd válasszon az alábbi értékek közül a megjelenő Kategória kiválasztása szakaszban:
- Adathalászat
- Kártevő szoftverek
- Spam
Miután kiválasztotta az értékek egyikét, megnyílik a Letiltandó entitások kijelölése úszó panel, ahol kiválaszthat egy vagy több, az üzenethez társított entitást (feladó címe, feladó tartománya, URL-címe vagy fájlmelléklet) a bérlő engedélyezési/tiltólistájához való hozzáadáshoz.
Miután kiválasztotta a letiltandó elemeket, válassza a Hozzáadás blokkszabályhoz lehetőséget az Entitások kiválasztása letiltásához úszó panel bezárásához . Vagy válassza a Nincs elem, majd a Mégse lehetőséget.
A Válaszműveletek kiválasztása lapon válassza ki a blokkbejegyzések lejárati beállítását:
- Lejárat dátuma: Válassza ki a blokkbejegyzések lejáratának dátumát.
- Soha ne járjon le
Megjelenik a letiltott entitások száma (például 4/4 letiltandó entitás). Válassza a Szerkesztés lehetőséget a Hozzáadás blokkhoz szabály újbóli megnyitásához és a módosításokhoz.
Automatizált vizsgálat kezdeményezése: Csak Veszélyforrás-kezelő. Válassza ki az alábbi értékek egyikét:
- E-mailek vizsgálata
- Címzett vizsgálata
- Feladó vizsgálata: Ez az érték csak a szervezet feladóira vonatkozik.
- Címzettek
Javaslat a szervizelésre: Válasszon az alábbi értékek közül:
Új létrehozása: Ez az érték aktivál egy helyreállítható törlési e-mail függőben lévő műveletet, amelyet egy rendszergazdának jóvá kell hagynia a Műveletközpontban. Ezt az eredményt más néven kétlépéses jóváhagyásnak nevezzük.
Hozzáadás meglévőhöz: Ezzel az értékkel műveleteket alkalmazhat erre az e-mail-üzenetre egy meglévő szervizelésből. Az E-mail küldése a következő szervizelésre mezőben válassza ki a meglévő szervizelést.
Tipp
A SecOps azon munkatársai, akik nem rendelkeznek elegendő engedéllyel, használhatják ezt a lehetőséget a szervizelés létrehozásához, de valakinek jóvá kell hagynia a műveletet a Műveletközpontban.
Ha végzett a Válaszműveletek kiválasztása lapon, válassza a Tovább gombot.
A Célentitások kiválasztása lapon konfigurálja a következő beállításokat:
- Név és leírás: Adjon meg egy egyedi, leíró nevet és opcionális leírást a kiválasztott művelet nyomon követéséhez és azonosításához.
A lap többi része egy táblázat, amely felsorolja az érintett objektumokat. A táblázat a következő oszlopok szerint van rendezve:
-
Érintett objektum: Az előző oldal érintett eszközei. Például:
- Címzett e-mail-címe
- Teljes bérlő
-
Művelet: Az előző oldal objektumaihoz kiválasztott műveletek. Például:
- A Küldés a Microsoftnak véleményezésre szolgáló értékek:
- Jelentés tisztaként
- Jelentés
- Jelentés kártevőként, jelentés levélszemétként vagy jelentés adathalászként
- Feladó letiltása
- Feladó tartományának letiltása
- URL-cím blokkolása
- Melléklet letiltása
- Az automatikus vizsgálat indításának értékei:
- E-mailek vizsgálata
- Címzett vizsgálata
- Feladó vizsgálata
- Címzettek
- A Javaslat szervizelés értékei:
- Új szervizelés létrehozása
- Hozzáadás meglévő szervizeléshez
- A Küldés a Microsoftnak véleményezésre szolgáló értékek:
-
Célentitás: Például:
- Az e-mail-üzenet hálózati üzenetazonosítója .
- A letiltott feladó e-mail-címe.
- A letiltott feladó tartománya.
- A letiltott URL-cím.
- A letiltott melléklet.
-
Lejárat dátuma: Az értékek csak a bérlői/engedélyezési tiltólista engedélyezési vagy letiltott bejegyzéseihez léteznek. Például:
- Soha ne járjon le a blokkbejegyzések esetében.
- Az engedélyezési vagy letiltási bejegyzések lejárati dátuma.
- Hatókör: Ez az érték általában MDO.
Ebben a szakaszban néhány műveletet is visszavonhat. Ha például csak egy blokkbejegyzést szeretne létrehozni a bérlői engedélyezési/letiltási listában anélkül, hogy beküldi az entitást a Microsoftnak, ezt itt teheti meg.
Ha végzett a Célentitások kiválasztása lapon, válassza a Tovább gombot.
A Véleményezés és küldés lapon tekintse át a korábbi kijelöléseket.
Válassza az Exportálás lehetőséget az érintett objektumok CSV-fájlba való exportálásához. Alapértelmezés szerint a fájlnév Érintett assets.csv a Letöltések mappában található.
Válassza a Vissza lehetőséget a visszalépéshez és a beállítások módosításához.
Ha végzett a Véleményezés és küldés oldalon, válassza a Küldés lehetőséget.
Tipp
A műveleteknek időbe telhet, mire megjelennek a kapcsolódó oldalakon, de a szervizelés sebességére nincs hatással.
A veszélyforrás-keresés élménye a Fenyegetéskezelővel és a valós idejű észlelésekkel
A Fenyegetéskezelő vagy a valós idejű észlelések segítségével a biztonsági üzemeltetési csapat hatékonyan vizsgálhatja ki és reagálhat a fenyegetésekre. Az alábbi alszakaszok azt mutatják be, hogyan segíthetnek a Fenyegetéskezelő és a valós idejű észlelések a fenyegetések megtalálásában.
Veszélyforrás-keresés riasztásokból
A Riasztások lap elérhető a Defender portál incidensek & riasztások riasztásai> között, vagy közvetlenül a címenhttps://security.microsoft.com/alerts.
Az Észlelés forrásértékével MDO számos riasztáshoz elérhető az Üzenetek megtekintése az Explorerben művelet a riasztás részletei úszó panel tetején.
A riasztás részletei úszó panel akkor nyílik meg, ha a riasztáson az első oszlop melletti jelölőnégyzeten kívül bárhová kattint. Például:
- A rendszer rosszindulatú URL-kattintást észlelt
- Rendszergazda beküldési eredmény befejeződött
- Email kártékony URL-címet tartalmazó üzenetek kézbesítés után el lettek távolítva
- Email kézbesítés után eltávolított üzenetek
- A kártékony entitásokat tartalmazó üzenetek nem lettek eltávolítva a kézbesítés után
- Az adathalászat nincs leképezve, mert a ZAP le van tiltva
Az Üzenetek megtekintése az Explorerben lehetőség kiválasztásával megnyílik a Fenyegetéskezelő a Minden e-mail nézetben a riasztáshoz kiválasztott Riasztásazonosító tulajdonságszűrővel. A riasztás azonosítója a riasztás egyedi GUID-értéke (például 89e00cdc-4312-7774-6000-08dc33a24419).
A riasztásazonosító egy szűrhető tulajdonság a Fenyegetéskezelőben és a valós idejű észlelésekben az alábbi nézetekben:
- A Minden e-mail nézet a Veszélyforrás-kezelőben.
- A Kártevők nézet a Fenyegetéskezelőben és a valós idejű észlelések
- Az **Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések
Ezekben a nézetekben a riasztásazonosító kiválasztható oszlopként érhető el a diagram alatti részletek területen a következő lapokon (nézetekben):
- A Veszélyforrás-kezelő Minden e-mail nézetének részletek területének Email nézete
- A Email nézet a Kártevők nézet részletek területéhez a Fenyegetéskezelőben és a valós idejű észlelésekben
- A Email nézet a Fenyegetéskezelő adathalászati nézetének részletes területéhez és a valós idejű észlelésekhez
Az e-mail részletei úszó panelen, amely akkor nyílik meg, amikor az egyik bejegyzés Tárgy értékére kattint, a Riasztásazonosító hivatkozás az úszó panel Email részletek szakaszában érhető el. A Riasztásazonosító hivatkozásra kattintva megnyílik a Riasztások megtekintése lap https://security.microsoft.com/viewalertsv2 , amelyen a riasztás ki van jelölve, a részletek pedig megnyílnak a riasztáshoz.
Címkék a Veszélyforrás-kezelőben
Ha Office 365-höz készült Defender 2. csomagban felhasználói címkékkel jelöli meg a magas értékű célfiókokat (például a Prioritás fiókcímkét), ezeket a címkéket szűrőkként használhatja. Ez a módszer a magas értékű célfiókokra irányuló adathalász kísérleteket mutatja egy adott időszakban. További információ a felhasználói címkékről: Felhasználói címkék.
A felhasználói címkék az alábbi helyeken érhetők el a Threat Explorerben:
- Minden e-mail nézet :
- Kártevő nézet:
- Adathalász nézet :
- URL kattintási nézet:
Az e-mailek fenyegetési információi
Az e-mailekre vonatkozó előkézbesítési és kézbesítés utáni műveletek egyetlen rekordban vannak összesítve, függetlenül attól, hogy milyen utólagos események befolyásolták az üzenetet. Például:
- Nulla órás automatikus végleges törlés (ZAP).
- Manuális szervizelés (rendszergazdai művelet).
- Dinamikus kézbesítés.
A minden e-mail, kártevő vagy adathalász nézet Email lapján (nézetében) az e-mail részletei úszó panelen láthatók a kapcsolódó fenyegetések és az e-mailhez kapcsolódó észlelési technológiák. Egy üzenet nullával, egy vagy több fenyegetéssel is rendelkezhet.
A Kézbesítés részletei szakaszban a Detektálási technológia tulajdonság a fenyegetést azonosító észlelési technológiát jeleníti meg. Az észlelési technológia diagram-kimutatásként vagy oszlopként is elérhető a részletek táblázatában a Fenyegetéskezelő számos nézetéhez és a valós idejű észlelésekhez.
Az URL-címek szakasz az üzenetben szereplő bármely URL-címre vonatkozó konkrét fenyegetésadatokat jeleníti meg. Ilyenek például a Kártevők, az Adathalászat, a **Levélszemét vagy a Nincs.
Tipp
Előfordulhat, hogy az ítéletelemzés nem feltétlenül kapcsolódik entitásokhoz. A szűrők kiértékelik egy e-mail tartalmát és egyéb részleteit, mielőtt ítéletet rendelnének hozzá. Előfordulhat például, hogy egy e-mail adathalászként vagy levélszemétként van besorolva, de az üzenetben lévő URL-címek nem lesznek adathalászattal vagy levélszemét-ítélettel megjelölve.
Válassza az E-mail entitás megnyitása lehetőséget az úszó panel tetején az e-mail-üzenet részletes részleteinek megtekintéséhez. További információ: Az Office 365-höz készült Microsoft Defender Email entitáslapja.
Bővített képességek a Threat Explorerben
Az alábbi alszakaszok olyan szűrőket ismertetnek, amelyek kizárólag a Veszélyforrás-felderítőt tartalmazzák.
Exchange-levelezési szabályok (átviteli szabályok)
Az Exchange levelezési szabályai (más néven átviteli szabályok) által érintett üzenetek megkereséséhez a következő lehetőségek állnak rendelkezésre a Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetében (nem valós idejű észlelések esetén):
- Az Exchange átviteli szabály az elsődleges felülbírálási forrás, a felülbírálási forrás és a házirendtípus szűrhető tulajdonságainak választható értéke.
- Az Exchange átviteli szabály egy szűrhető tulajdonság. A szabály nevének részleges szöveges értékét kell megadnia.
További információért kattintson az alábbi hivatkozásokra:
- Minden e-mail nézet a Veszélyforrás-kezelőben
- Kártevőnézet a Veszélyforrás-kezelőben és valós idejű észlelések
- Adathalász nézet a Fenyegetéskezelőben és valós idejű észlelések
A Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetének részletek területének Email lapja (nézet) exchange átviteli szabályt is tartalmaz, amely alapértelmezés szerint nincs kiválasztva. Ebben az oszlopban az átviteli szabály neve látható. További információért kattintson az alábbi hivatkozásokra:
- Email Nézet a Veszélyforrás-kezelő Minden e-mail nézetének részletek területéhez
- Email Nézet a Kártevők nézet részletek területéhez a Fenyegetéskezelőben és a valós idejű észlelésekben
- Email Nézet az Adathalász nézet részletek területéhez a Fenyegetéskezelőben és a valós idejű észlelésekben
Tipp
Az e-mail-forgalmi szabályok név szerinti kereséséhez szükséges engedélyekért lásd: A Threat Explorer és a valós idejű észlelések engedélyei és licencelése. Nincs szükség speciális engedélyekre a szabálynevek megtekintéséhez az e-mail-részletek úszó paneljeiben, a részletek tábláiban és az exportált eredményekben.
Bejövő összekötők
A bejövő összekötők a Microsoft 365 e-mail-forrásainak konkrét beállításait határozzák meg. További információ: E-mail-forgalom konfigurálása összekötőkkel a Exchange Online.
A bejövő összekötők által érintett üzenetek megkereséséhez az Összekötő szűrhető tulajdonságával név szerint kereshet összekötőket a Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetében (nem valós idejű észlelések esetén). Az összekötő nevének részleges szöveges értékét kell megadnia. További információért kattintson az alábbi hivatkozásokra:
- Minden e-mail nézet a Veszélyforrás-kezelőben
- Kártevőnézet a Veszélyforrás-kezelőben és valós idejű észlelések
- Adathalász nézet a Fenyegetéskezelőben és valós idejű észlelések
A Veszélyforrás-kezelő Minden e-mail, Kártevő és Adathalászat nézetének részletek területének Email lapja is rendelkezik összekötővel, amely alapértelmezés szerint nincs kiválasztva. Ebben az oszlopban az összekötő neve látható. További információért kattintson az alábbi hivatkozásokra:
- Email Nézet a Veszélyforrás-kezelő Minden e-mail nézetének részletek területéhez
- Email Nézet a Kártevők nézet részletek területéhez a Fenyegetéskezelőben és a valós idejű észlelésekben
- Email Nézet az Adathalász nézet részletek területéhez a Fenyegetéskezelőben és a valós idejű észlelésekben
Email biztonsági forgatókönyvek a Fenyegetéskezelőben és a valós idejű észlelésekben
Konkrét forgatókönyvekért tekintse meg a következő cikkeket:
- Email biztonság a Threat Explorerrel és a valós idejű észlelésekkel a Office 365-höz készült Microsoft Defender
- A Microsoft 365-ben kézbesített rosszindulatú e-mailek vizsgálata
További lehetőségek a Fenyegetéskezelő és a valós idejű észlelések használatára
A cikkben ismertetett forgatókönyvek mellett az Explorerben vagy a valós idejű észlelésekben is további lehetőségek állnak rendelkezésre. További információért olvassa el az alábbi témaköröket: