E-postsikkerhet med Trusselutforsker i Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft 365 Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Denne artikkelen forklarer hvordan du viser og undersøker skadelig programvare og phishing-forsøk som oppdages i e-post av Microsoft 365-sikkerhetsfunksjoner.

Vis skadelig programvare oppdaget i e-post

Hvis du vil se skadelig programvare som oppdages i e-post sortert etter Microsoft 365-teknologi, kan du bruke visningen for skadelig programvare i Explorer (eller sanntidsregistreringer).

  1. Gå til E-postsamarbeid &i Microsoft Defender portalen på https://security.microsoft.com, og velg deretter Explorer eller Sanntidsregistreringer. Hvis du vil gå direkte til siden, bruker https://security.microsoft.com/threatexplorer du eller https://security.microsoft.com/realtimereports.

    Dette eksemplet bruker Explorer.

    Herfra kan du starte på visningen for skadelig programvare , velge en bestemt tidsramme for å undersøke (om nødvendig) og fokusere filtrene, i henhold til Utforsker-gjennomgangen.

  2. Kontroller at skadelig programvare er valgt på Explorer-siden.

  3. Velg rullegardinlisten for filtrering, og velg deretter grunnleggende>gjenkjenningsteknologi i rullegardinlisten.

    Skjermbilde av teknologien for gjenkjenning av skadelig programvare.

    Gjenkjenningsteknologiene dine er nå tilgjengelige som filtre for rapporten.

  4. Velg et alternativ, og klikk deretter Oppdater for å bruke dette filteret (ikke oppdater nettleservinduet).

    Skjermbilde av den valgte gjenkjenningsteknologien.

    Rapporten oppdateres for å vise resultatene som skadelig programvare oppdaget i e-post, ved hjelp av teknologialternativet du valgte. Herfra kan du utføre ytterligere analyser.

Rapporter en melding som ren i Explorer

Du kan bruke alternativet Rapportopprydding i Explorer til å rapportere en melding som falsk positiv.

  1. Gå til E-postsamarbeidsutforsker &> i Microsoft Defender-portalen, og kontroller deretter at Phish er valgt.

  2. Kontroller at du er på E-post-fanen , og velg deretter den du vil rapportere som ren fra listen over rapporterte meldinger.

  3. Klikk Meldingshandlinger for å utvide listen over alternativer.

  4. Rull nedover listen over alternativer for å gå til Start ny innsending-delen , og velg deretter Rapportrydding. En undermeny vises.

    Skjermbilde av alternativet Rapportrydding i Utforsker.

  5. Merk av for Tillat e-postmeldinger med lignende attributter . Angi hvor mange dager du vil at meldingen skal fjernes, fra rullegardinlisten, legg til et notat om nødvendig, og velg deretter Send.

Vis URL-adresse for phishing, og klikk domdata

Du kan vise phishing-forsøk via nettadresser i e-post, inkludert en liste over nettadresser som var tillatt, blokkert og overstyrt. Hvis du vil identifisere URL-adresser som ble klikket, må du konfigurere klarerte koblinger først. Kontroller at du konfigurerer policyer for klarerte koblinger for tidsklikkbeskyttelse og logging av klikkvurderinger av klarerte koblinger.

  1. Gå til E-postsamarbeid &i Microsoft Defender portalen på https://security.microsoft.com, og velg deretter Explorer eller Sanntidsregistreringer. Hvis du vil gå direkte til siden, bruker https://security.microsoft.com/threatexplorer du eller https://security.microsoft.com/realtimereports.

    Dette eksemplet bruker Explorer.

  2. Kontroller at Phish er valgt på Explorer-siden.

    Skjermbilde av Vis-menyen for Explorer i phishing-kontekst.

  3. Velg rullegardinlisten for filter, og velg deretter URL-adresser>Klikk dom i rullegardinlisten.

  4. Velg ett eller flere alternativer i alternativer som vises, for eksempel blokkert og blokkoverstyrt, og klikk deretter Oppdater (ikke oppdater nettleservinduet).

    Skjermbilde av URL-adresser og klikk dommer.

    Rapporten oppdateres for å vise to forskjellige nettadressetabeller på nettadresser-fanen under rapporten:

    • De øverste nettadressene er nettadressene i meldingene du filtrerte ned til, og handlingen for levering av e-post teller for hver nettadresse. Denne listen inneholder vanligvis legitime URL-adresser. Angripere inkluderer en blanding av gode og dårlige nettadresser i meldingene sine for å prøve å få dem levert, men de får de skadelige koblingene til å se mer interessante ut. Tabellen med nettadresser er sortert etter totalt antall e-postmeldinger, men denne kolonnen er skjult for å forenkle visningen.

    • De øverste klikkene er url-adressene som ble klikket på klarerte koblinger, sortert etter totalt antall klikk. Denne kolonnen vises heller ikke, for å forenkle visningen. Totalt antall etter kolonne angir antall klarerte koblinger som klikker antall vurderinger for hver klikkede URL-adresse. Vanligvis er dette mistenkelige eller skadelige nettadresser. Men visningen kan inkludere nettadresser som ikke er trusler, men som er i phish-meldinger. Nettadresseklikk på koblinger som ikke er brutt, vises ikke her.

    De to nettadressetabellene viser de øverste nettadressene i phishing-e-postmeldinger ved leveringshandling og plassering. Tabellene viser nettadresseklikk som ble blokkert eller besøkt til tross for en advarsel, slik at du kan se hvilke potensielle dårlige koblinger som ble presentert for brukerne, og som brukerne klikket på. Herfra kan du utføre ytterligere analyser. Nedenfor diagrammet kan du for eksempel se de øverste nettadressene i e-postmeldinger som ble blokkert i organisasjonens miljø.

    Skjermbilde av Explorer-URL-adressene som ble blokkert.

    Obs!

    Filtrering på e-postmeldinger fjernes i dialogboksen undermeny for nettadresse for å vise den fullstendige visningen av nettadressens eksponering i miljøet ditt. Dermed kan du filtrere etter e-postmeldinger du er bekymret for i Explorer, finne bestemte nettadresser som er potensielle trusler, og deretter utvide forståelsen av nettadresseeksponeringen i miljøet ditt (via dialogboksen nettadressedetaljer) uten å måtte legge til nettadressefiltre i selve Utforsker-visningen.

Tolkning av klikkvurderinger

I undermenyer for e-post eller nettadresse, Toppklikk og i filtreringsopplevelsene ser du forskjellige verdier for klikkdom:

  • Ingen: Kan ikke registrere dommen for URL-adressen. Brukeren kan ha klikket gjennom nettadressen.
  • Tillatt: Brukeren fikk lov til å navigere til nettadressen.
  • Blokkert: Brukeren ble blokkert fra å navigere til nettadressen.
  • Venter på dom: Brukeren ble presentert med den detonasjonsventende siden.
  • Blokkert overstyrt: Brukeren ble blokkert fra å navigere direkte til nettadressen. Men brukeren overstyrte blokken for å navigere til nettadressen.
  • Venter på dom forbigått: Brukeren ble presentert med detonasjonssiden. Men brukeren overstyrte meldingen for å få tilgang til nettadressen.
  • Feil: Brukeren ble presentert med feilsiden, eller det oppstod en feil under registrering av dommen.
  • Feil: Det oppstod et ukjent unntak under registrering av dommen. Brukeren kan ha klikket gjennom nettadressen.

Start automatisert undersøkelse og svar

Obs!

Automatiserte undersøkelses- og svarfunksjoner er tilgjengelige i Microsoft Defender for Office 365 Plan 2 og Office 365 E5.

Automatisert undersøkelse og respons kan spare sikkerhetsoperasjonsteamets tid og innsats brukt på å undersøke og redusere cyberangrep. I tillegg til å konfigurere varsler som kan utløse en strategiplan for sikkerhet, kan du starte en automatisert undersøkelses- og svarprosess fra en visning i Explorer. Hvis du vil ha mer informasjon, kan du se Eksempel: En sikkerhetsadministrator utløser en undersøkelse fra Explorer.

Undersøke e-postmeldinger med siden for e-postenhet