Del via


E-postanalyse i undersøkelser for Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Under den automatiserte undersøkelsen av varsler analyserer Microsoft Defender for Office 365 den opprinnelige e-postmeldingen for trusler og identifiserer andre e-postmeldinger som er relatert til den opprinnelige e-postmeldingen og potensielt en del av et angrep. Denne analysen er viktig fordi e-postangrep sjelden består av én enkelt e-postmelding.

Den automatiserte undersøkelsens e-postanalyse identifiserer e-postklynger ved hjelp av attributter fra den opprinnelige e-postmeldingen for å spørre etter e-post sendt og mottatt av organisasjonen. Denne analysen ligner på hvordan en sikkerhetsoperasjonsanalytiker ville jaktet på den relaterte e-postmeldingen i Explorer eller Avansert jakt. Flere spørringer brukes til å identifisere samsvarende e-postmeldinger fordi angripere vanligvis transformerer e-postparameterne for å unngå sikkerhetsgjenkjenning. Klyngeanalysen utfører disse kontrollene for å finne ut hvordan du håndterer e-post som er involvert i undersøkelsen:

  • E-postanalysen oppretter spørringer (klynger) med e-post ved hjelp av attributter fra den opprinnelige e-postmeldingen: avsenderverdier (IP-adresse, avsenderdomene) og innhold (emne, klynge-ID) for å finne e-post som kan være relatert.
  • Hvis analyser av nettadressene og filene til den opprinnelige e-postmeldingen identifiserer at noen er skadelige (dvs. skadelig programvare eller phishing), opprettes det også spørringer eller klynger med e-post som inneholder den skadelige nettadressen eller filen.
  • Analyse av klynger for e-post teller truslene som er knyttet til lignende e-post i klyngen, for å finne ut om e-postmeldingen er ondsinnet, mistenkelig eller ikke har noen klare trusler. Hvis klyngen med e-postmeldinger som samsvarer med spørringen har tilstrekkelig mengde søppelpost, normal phishing, phishing- eller skadelig programvaretrusler med høy visshet, får e-postklyngen denne trusseltypen.
  • Klyngeanalysen for e-post kontrollerer også den nyeste leveringsplasseringen for den opprinnelige e-postmeldingen og meldingene i e-postklyngene for å identifisere meldinger som potensielt trenger fjerning eller som allerede er utbedret eller forhindret. Denne analysen er viktig fordi angripere transformerer skadelig innhold pluss sikkerhetspolicyer og beskyttelse kan variere mellom postbokser. Denne funksjonen fører til situasjoner der skadelig innhold fremdeles kan sitte i postbokser, selv om én eller flere skadelige e-postmeldinger har blitt forhindret eller oppdaget og fjernet av nulltimers automatisk tømming (ZAP).
  • E-postklynger som anses som skadelige på grunn av skadelig programvare, phishing med høy visshet, skadelige filer eller trusler mot skadelige nettadresser, får en ventende handling for å slette meldinger som fremdeles finnes i postboksen i skyen (innboks- eller søppelpostmapper). Hvis ondsinnede e-post- eller e-postklynger er «Ikke i postboks» (blokkert, satt i karantene, mislykket, myk slettet osv.) eller «Lokal/ekstern» uten noen postboks i skyen, er ingen ventende handling konfigurert til å fjerne dem.
  • Hvis noen av e-postklyngene er fast bestemt på å være ondsinnede, brukes trusselen som identifiseres av klyngen, tilbake til den opprinnelige e-postmeldingen som er involvert i undersøkelsen. Denne atferden ligner på en sikkerhetsoperasjonsanalytiker som bruker e-postjaktresultater til å bestemme dommen av en original e-post basert på lignende e-post. Dette resultatet sikrer at uavhengig av om nettadressene, filene eller kilde-e-postindikatorene til en opprinnelig e-post oppdages eller ikke, kan systemet identifisere skadelige e-postmeldinger som potensielt unngår gjenkjenning gjennom tilpassing, transformasjon, unndragelse eller andre angriperteknikker.
  • I undersøkelsen om brukerkompromisse opprettes flere e-postklynger for å identifisere potensielle e-postproblemer som opprettes av postboksen. Denne prosessen inkluderer en ren e-postklynge (god e-post fra brukeren, potensiell datautfiltrering og potensiell kommando-/kontroll-e-post), mistenkelige e-postklynger (e-post som inneholder søppelpost eller vanlig phishing) og skadelige e-postklynger (e-post som inneholder skadelig programvare eller phishing med høy visshet). Disse e-postklyngene leverer data fra sikkerhetsoperasjonsanalytikere for å fastslå andre problemer som kanskje må løses fra et kompromiss, og synlighet for hvilke meldinger som kan ha utløst de opprinnelige varslene (for eksempel phishing/søppelpost som utløste begrensninger for sending av brukere)

Analyse av e-postklynger via likhets- og ondsinnede enhetsspørringer sikrer at e-postproblemer identifiseres fullstendig og ryddes opp, selv om bare én e-post fra et angrep identifiseres. Du kan bruke koblinger fra sidepanelvisningene i e-postklyngen til å åpne spørringene i Explorer eller Avansert jakt for å utføre dypere analyser og endre spørringene om nødvendig. Denne funksjonen muliggjør manuell forbedring og utbedring hvis du synes at e-postklyngens spørringer er for smale eller for brede (inkludert ikke-relatert e-post).

Her er flere forbedringer av e-postanalyser i undersøkelser.

AIR-undersøkelse ignorerer avanserte leveringselementer (SecOps-postbokser og phishing-simuleringsmeldinger)

Under e-postklyngeanalysen ignorerer alle klyngespørringer SecOps-postbokser og nettadresser for phishing-simulering som er identifisert med avansert leveringspolicy. SecOps-postbokser og nettadresser for phishing-simulering vises ikke i spørringen for å holde klyngeattributtene enkle og enkle å lese. Disse utelukkelsene sikrer at meldinger som sendes til SecOps-postbokser og meldinger som inneholder nettadresser for phishing-simulering, ignoreres under trusselanalyse og ikke blir fjernet under utbedring.

Obs!

Når du åpner en e-postklynge for å vise den i Explorer fra e-postklyngedetaljene, brukes filtrene phishing-simulering og SecOps-postboks i Explorer, men vises ikke. Hvis du endrer Explorer-filtre, datoer eller oppdaterer spørringen på siden, fjernes utelukkelsene for phishing-simulering/SecOps-filteret, og samsvarende e-postmeldinger vises igjen. Hvis du oppdaterer Explorer-siden ved hjelp av oppdateringsfunksjonen i nettleseren, lastes de opprinnelige spørringsfiltrene inn på nytt, inkludert phishing-simulering/SecOps-filtre, men fjerner eventuelle etterfølgende endringer du har gjort.

AIR-oppdateringer venter på e-posthandlingsstatus

E-postanalysen for undersøkelser beregner e-posttrusler og steder på tidspunktet for etterforskningen for å opprette undersøkelsesbevis og -handlinger. Disse dataene kan bli foreldede og utdaterte når handlinger utenfor undersøkelsen påvirker e-postmeldingen som er involvert i undersøkelsen. For eksempel kan manuell jakt og utbedring av sikkerhetsoperasjoner rydde opp i e-post som er inkludert i en undersøkelse. Likeledes kan slettingshandlinger som er godkjent i parallelle undersøkelser eller ZAP automatiske karantenehandlinger, ha fjernet e-post. I tillegg kan forsinkede oppdagelser av trusler etter levering av e-post endre antall trusler som er inkludert i undersøkelsens e-postspørringer/klynger.

For å sikre at undersøkelseshandlinger er oppdatert, kjører undersøkelser som inneholder ventende handlinger regelmessig e-postanalysespørringene for å oppdatere e-postplasseringene og truslene.

  • Når e-postklyngedataene endres, oppdateres trusselen og antallet siste leveringssteder.
  • Hvis e-post- eller e-postklyngen med ventende handlinger ikke lenger er i postboksen, blir den ventende handlingen avbrutt, og den ondsinnede e-posten/klyngen anses som utbedret.
  • Når alle etterforskningens trusler er utbedret eller kansellert som tidligere beskrevet, går undersøkelsen over til en utbedret tilstand og det opprinnelige varselet er løst.

Visning av hendelsesbevis for e-post- og e-postklynger

E-postbaserte bevis i bevis- og svarfanen for en hendelse viser nå følgende informasjon.

Informasjon om e-postanalyse i bevis og svar

Fra nummererte bildeavklaringer i figuren:

  1. Du kan utføre utbedringshandlinger i tillegg til handlingssenteret.

  2. Du kan utføre utbedringshandlinger for e-postklynger med en ondsinnet dom (men ikke mistenkelig).

  3. Phishing deles inn i høy visshet og vanlig phishing for e-postsøppeldommen.

    Trusselkategoriene er skadelig programvare, phishing med høy visshet, skadelig nettadresse og skadelig fil for en ondsinnet dom.

    Trusselkategoriene er søppelpost og vanlig phishing for en mistenkelig dom.

  4. Antall e-postmeldinger er basert på den nyeste leveringsplasseringen og inkluderer tellere for e-post i postbokser, ikke i postbokser og lokalt.

  5. Inkluderer datoen og klokkeslettet for spørringen, som kan bli oppdatert for de nyeste dataene.

For e-post- eller e-postklynger i Enheter-fanen i en undersøkelse betyr Forhindret at det ikke var noen skadelig e-post i postboksen for dette elementet (e-post eller klynge). Her er et eksempel.

En forhindret e-post.

I dette eksemplet er e-postmeldingen skadelig, men ikke i en postboks.

Neste trinn