Analizzare i messaggi di posta elettronica dannosi recapitati in Microsoft 365

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Le organizzazioni di Microsoft 365 che hanno Microsoft Defender per Office 365 incluse nella sottoscrizione o acquistate come componente aggiuntivo hanno Explorer (noto anche come Esplora minacce) o rilevamenti in tempo reale. Queste funzionalità sono strumenti potenti, quasi in tempo reale, che consentono ai team secOps (Security Operations) di analizzare e rispondere alle minacce. Per altre informazioni, vedere Informazioni su Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365.

Esplora minacce e i rilevamenti in tempo reale consentono di analizzare le attività che mettono a rischio gli utenti dell'organizzazione e di intervenire per proteggere l'organizzazione. Ad esempio:

• Trovare ed eliminare messaggi.
• Identificare l'indirizzo IP di un mittente di posta elettronica dannoso.
• Avviare un evento imprevisto per ulteriori indagini.

Questo articolo illustra come usare Esplora minacce e i rilevamenti in tempo reale per trovare messaggi di posta elettronica dannosi nelle cassette postali dei destinatari.

Consiglio

Per passare direttamente alle procedure di correzione, vedere Correggere i messaggi di posta elettronica dannosi recapitati in Office 365.

Per altri scenari di posta elettronica con Esplora minacce e rilevamenti in tempo reale, vedere gli articoli seguenti:

• Ricerca delle minacce in Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365
• Email sicurezza con Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365

Che cosa è necessario sapere prima di iniziare?

• Esplora minacce è incluso in Defender per Office 365 Piano 2. I rilevamenti in tempo reale sono inclusi in Defender per Office Piano 1:

  • Le differenze tra Esplora minacce e i rilevamenti in tempo reale sono descritte in Informazioni su Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365.
  • Le differenze tra Defender per Office 365 Piano 2 e Defender per Office Piano 1 sono descritte nel foglio informativo Defender per Office 365 Piano 1 e Piano 2.

• Per le proprietà di filtro che richiedono di selezionare uno o più valori disponibili, l'uso della proprietà nella condizione di filtro con tutti i valori selezionati ha lo stesso risultato di non usare la proprietà nella condizione di filtro.

• Per le autorizzazioni e i requisiti di licenza per Threat Explorer e i rilevamenti in tempo reale, vedere Autorizzazioni e licenze per Esplora minacce e Rilevamenti in tempo reale.

Trovare un messaggio di posta elettronica sospetto recapitato

1. Usare uno dei passaggi seguenti per aprire Esplora minacce o i rilevamenti in tempo reale:

   • Esplora minacce: nel portale di Defender in https://security.microsoft.compassare a Email & Esplora sicurezza>. In alternativa, per passare direttamente alla pagina Esplora risorse, usare https://security.microsoft.com/threatexplorerv3.
   • Rilevamenti in tempo reale: nel portale di Defender in https://security.microsoft.com, passare a Email & Rilevamentoin tempo reale della sicurezza>. In alternativa, per passare direttamente alla pagina Rilevamenti in tempo reale , usare https://security.microsoft.com/realtimereportsv3.

2. Nella pagina Explorer o Rilevamenti in tempo reale selezionare una visualizzazione appropriata:

   • Esplora minacce: verificare che sia selezionata la visualizzazione Tutti i messaggi di posta elettronica .
   • Rilevamenti in tempo reale: verificare che sia selezionata la visualizzazione Malware oppure selezionare la visualizzazione Phish.

3. Selezionare l'intervallo di data/ora. Il valore predefinito è ieri e oggi.

   

4. Create una o più condizioni di filtro usando alcune o tutte le proprietà e i valori di destinazione seguenti. Per istruzioni complete, vedere Filtri delle proprietà in Esplora minacce e Rilevamenti in tempo reale. Ad esempio:

   • Azione di recapito: azione eseguita su un messaggio di posta elettronica a causa di criteri o rilevamenti esistenti. I valori utili sono:

     • Recapitato: Email recapitato alla cartella Posta in arrivo dell'utente o a un'altra cartella in cui l'utente può accedere al messaggio.
     • Indesiderato: Email recapitato alla cartella Junk Email dell'utente o alla cartella Posta eliminata in cui l'utente può accedere al messaggio.
     • Bloccato: Email messaggi che sono stati messi in quarantena, che non sono stati recapitati o sono stati eliminati.

   • Posizione di recapito originale: posizione in cui il messaggio di posta elettronica è stato inviato prima di qualsiasi azione di post-recapito automatica o manuale da parte del sistema o degli amministratori (ad esempio , ZAP o spostato in quarantena). I valori utili sono:

     • Cartella Posta eliminata
     • Eliminato: il messaggio è stato perso in un punto qualsiasi del flusso di posta.
     • Non riuscito: il messaggio non è riuscito a raggiungere la cassetta postale.
     • Posta in arrivo/cartella
     • Posta indesiderata
     • Locale/esterno: la cassetta postale non esiste nell'organizzazione di Microsoft 365.
     • Quarantena
     • Sconosciuto: ad esempio, dopo il recapito, una regola posta in arrivo ha spostato il messaggio in una cartella predefinita (ad esempio bozza o archivio) anziché nella cartella Posta in arrivo o Posta indesiderata Email.

   • Ultimo percorso di recapito: posizione in cui la posta elettronica è finita dopo le azioni di post-recapito automatiche o manuali da parte del sistema o degli amministratori. Gli stessi valori sono disponibili dal percorso di recapito originale.

   • Direzionalità: i valori validi sono:

     • Inbound
     • All'interno dell'organizzazione
     • In uscita

     Queste informazioni consentono di identificare lo spoofing e la rappresentazione. Ad esempio, i messaggi provenienti da mittenti di dominio interni devono essere Intra-org, non Inbound.

   • Azione aggiuntiva: i valori validi sono:

     • Correzione automatica (Defender per Office 365 piano 2)
     • Recapito dinamico: per altre informazioni, vedere Recapito dinamico nei criteri allegati sicuri.
     • Correzione manuale
     • Nessuna
     • Versione di quarantena
     • Rielaborato: il messaggio è stato identificato retroattivamente come valido.
     • ZAP: per altre informazioni, vedere Eliminazione automatica a zero ore (ZAP) in Microsoft Defender per Office 365.

   • Override primario: se le impostazioni dell'organizzazione o dell'utente consentivano o bloccavano messaggi che altrimenti sarebbero stati bloccati o consentiti. I valori sono:

     • Consentito dai criteri dell'organizzazione
     • Consentito dai criteri utente
     • Bloccato dai criteri dell'organizzazione
     • Bloccato dai criteri utente
     • Nessuna

     Queste categorie vengono ulteriormente affinate dalla proprietà di origine override primario .

   • Origine di override primaria Tipo di criteri dell'organizzazione o impostazione utente che ha consentito o bloccato i messaggi che altrimenti sarebbero stati bloccati o consentiti. I valori sono:

     • Filtro di terze parti
     • Amministrazione iniziato il viaggio nel tempo
     • Blocco dei criteri antimalware per tipo di file: filtro allegati comuni nei criteri antimalware
     • Impostazioni dei criteri antispam
     • Criteri di connessione: configurare il filtro delle connessioni
     • Regola di trasporto di Exchange (regola del flusso di posta)
     • Modalità esclusiva (override utente): l'impostazione Solo posta elettronica attendibile da indirizzi nell'elenco Mittenti e domini attendibili e Elenchi di indirizzi sicuri nella raccolta elenco indirizzi attendibili in una cassetta postale.
     • Filtro ignorato a causa dell'organizzazione locale
     • Filtro dell'area IP dai criteri: il filtro Da questi paesi nei criteri di protezione dalla posta indesiderata.
     • Filtro lingua dai criteri: il filtro Contiene lingue specifiche nei criteri di protezione dalla posta indesiderata.
     • Simulazione di phishing: configurare simulazioni di phishing di terze parti nei criteri di recapito avanzati
     • Versione di quarantena: Rilasciare la posta elettronica in quarantena
     • Cassetta postale SecOps: configurare le cassette postali SecOps nei criteri di recapito avanzati
     • Elenco indirizzi mittente (Amministrazione Override):elenco mittenti consentiti o mittenti bloccati nei criteri di protezione dalla posta indesiderata.
     • Elenco indirizzi mittente (override utente): indirizzi di posta elettronica del mittente nell'elenco Mittenti bloccati nella raccolta elenco indirizzi attendibili in una cassetta postale.
     • Elenco di domini mittente (Amministrazione Override): elenco di domini consentiti o domini bloccati nei criteri di protezione dalla posta indesiderata.
     • Elenco di domini mittente (override utente): domini mittente nell'elenco Mittenti bloccati nella raccolta elenco indirizzi attendibili in una cassetta postale.
     • Blocco di file elenco tenant consentiti/bloccati: Create voci di blocco per i file
     • Blocco dell'indirizzo di posta elettronica del mittente elenco tenant consentiti/bloccati: Create voci di blocco per domini e indirizzi di posta elettronica
     • Blocco di spoofing elenco consentiti/bloccati tenant: Create voci di blocco per i mittenti spoofing
     • Blocco URL elenco tenant consentiti/bloccati: Create voci di blocco per GLI URL
     • Elenco contatti attendibili (override utente):impostazione Attendibilità della posta elettronica dei contatti nella raccolta dell'elenco indirizzi attendibili in una cassetta postale.
     • Blocco di file elenco tenant consentiti/bloccati: Create voci di blocco per i file
     • Dominio attendibile (override dell'utente): domini mittente nell'elenco Mittenti attendibili nella raccolta dell'elenco indirizzi attendibili in una cassetta postale.
     • Destinatario attendibile (override dell'utente): indirizzi di posta elettronica o domini del destinatario nell'elenco Destinatari attendibili nella raccolta dell'elenco indirizzi attendibili in una cassetta postale.
     • Solo mittenti attendibili (override dell'utente):l'impostazione Safe Elenchi Only: Only mail from people or domains on your Safe Senders List or Safe Recipients List verrà recapitata all'impostazione Posta in arrivo nella raccolta safelist in una cassetta postale.

   • Origine di override: gli stessi valori disponibili dell'origine di override primaria.

     Consiglio

     Nella scheda Email (visualizzazione) nell'area dei dettagli delle visualizzazioni Tutti i messaggi di posta elettronica, Malware e Phish, le colonne di override corrispondenti sono denominate Sostituzioni di sistema e Origine sostituzioni di sistema.

   • Minaccia URL: i valori validi sono:

     • Malware
     • Phishing
     • Posta indesiderata

5. Al termine della configurazione dei filtri di data/ora e proprietà, selezionare Aggiorna.

La scheda Email (visualizzazione) nell'area dei dettagli delle visualizzazioni Tutti i messaggi di posta elettronica, Malware o Phish contiene i dettagli necessari per analizzare i messaggi di posta elettronica sospetti.

Ad esempio, usare le colonne Azione recapito, Percorso di recapito originale e Ultima posizione di recapito nella scheda Email (visualizzazione) per ottenere un'immagine completa della posizione dei messaggi interessati. I valori sono stati illustrati nel passaggio 4.

Usare Esporta per esportare in modo selettivo fino a 200.000 risultati filtrati o non filtrati in un file CSV.

Correggere i messaggi di posta elettronica dannosi recapitati

Dopo aver identificato i messaggi di posta elettronica dannosi recapitati, è possibile rimuoverli dalle cassette postali dei destinatari. Per istruzioni, vedere Correggere i messaggi di posta elettronica dannosi recapitati in Microsoft 365.

Articoli correlati

Correggere i messaggi di posta elettronica dannosi recapitati in Office 365

Microsoft Defender per Office 365

Visualizzare i report per Defender per Office 365