Undersøke skadelig e-post som ble levert i Microsoft 365

• Gjelder for:

  ✅ Microsoft Defender for Office 365 plan 1 and plan 2, ✅ Microsoft 365 Defender

Tips

Visste du at du kan prøve funksjonene i Microsoft 365 Defender for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 i Microsoft 365 Defender-portalen for prøveversjoner. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Microsoft Defender for Office 365 gjør det mulig å undersøke aktiviteter som setter personer i organisasjonen i fare, og til å iverksette tiltak for å beskytte organisasjonen. Hvis du for eksempel er en del av organisasjonens sikkerhetsteam, kan du finne og undersøke mistenkelige e-postmeldinger som ble levert. Du kan gjøre dette ved hjelp av Trusselutforsker (eller sanntidsregistreringer).

Obs!

Gå til utbedringsartikkelen her.

Før du starter

Kontroller at følgende krav er oppfylt:

• Organisasjonen har Microsoft Defender for Office 365 og lisenser tilordnes til brukere.

• Overvåkingslogging er aktivert for organisasjonen (den er aktivert som standard).

• Organisasjonen har policyer som er definert for søppelpost, skadelig programvare, anti-phishing og så videre. Se Beskytt mot trusler i Office 365.

• Du er en global administrator, eller du har enten sikkerhetsadministratoren eller rollen Søk og tømming tilordnet i Microsoft 365 Defender-portalen. Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft 365 Defender-portalen. For noen handlinger må du også ha forhåndsvisningsrollen tilordnet.

Forhåndsvis rolletillatelser

Hvis du vil utføre bestemte handlinger, for eksempel vise meldingshoder eller laste ned innhold i e-postmeldinger, må du ha forhåndsvisningsrollen lagt til i en annen passende rollegruppe. Tabellen nedenfor klargjør nødvendige roller og tillatelser.

Aktivitet	Rollegruppe	Forhåndsversjonsrolle nødvendig?
Bruk Trusselutforsker (og sanntidsregistreringer) til å analysere trusler	Global Administrator Sikkerhetsadministrator Sikkerhetsleser	Nei
Bruk Trusselutforsker (og sanntidsgjenkjenning) til å vise meldingshoder for e-postmeldinger, i tillegg til å forhåndsvise og laste ned e-postmeldinger som er satt i karantene	Global Administrator Sikkerhetsadministrator Sikkerhetsleser	Nei
Bruk Trusselutforsker til å vise topptekster, forhåndsvise e-post (bare på enhetssiden for e-post) og laste ned e-postmeldinger levert til postbokser	Global Administrator Sikkerhetsadministrator Sikkerhetsleser Forhåndsvisning	Ja

Obs!

Forhåndsvisning er en rolle, ikke en rollegruppe. Forhåndsvisningsrollen må legges til i en eksisterende rollegruppe eller en ny rollegruppe i Microsoft 365 Defender-portalen. Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft 365 Defender-portalen.

Rollen global administrator tilordnes Administrasjonssenter for Microsoft 365 på https://admin.microsoft.com. Rollene sikkerhetsadministrator og sikkerhetsleser tilordnes i Microsoft 365 Defender portal.

Vi forstår at forhåndsvisning og nedlasting av e-post er sensitive aktiviteter, så overvåking er aktivert for disse aktivitetene. Når en administrator utfører disse aktivitetene på e-post, genereres overvåkingslogger for det samme og kan ses i Microsoft 365 Defender-portalen på https://security.microsoft.comfanenRevisjonssøk>, og filtrere etter administratornavnet i Brukere-boksen. De filtrerte resultatene viser aktiviteten AdminMailAccess. Velg en rad for å vise detaljer i delen Mer informasjon om forhåndsvist eller nedlastet e-post.

Finn mistenkelig e-post som ble levert

Trusselutforsker er en kraftig rapport som kan tjene flere formål, for eksempel å finne og slette meldinger, identifisere IP-adressen til en ondsinnet e-postavsender eller starte en hendelse for videre undersøkelser. Følgende fremgangsmåte fokuserer på å bruke Explorer til å finne og slette skadelig e-post fra mottakerens postbokser.

Obs!

Standardsøk i Explorer inkluderer for øyeblikket ikke leverte elementer som ble fjernet fra postboksen i skyen med nulltimers automatisk tømming (ZAP). Denne begrensningen gjelder for alle visninger (for eksempel e-post-malware > eller e-post > phish-visninger). Hvis du vil inkludere elementer som er fjernet av ZAP, må du legge til et leveringshandlingssett for å inkludere Removed by ZAP. Hvis du inkluderer alle alternativene, ser du alle resultatene av leveringshandlingen, inkludert elementer som fjernes av ZAP.

1. Gå til E-postsamarbeidsutforsker &> i Microsoft 365 Defender portalen på .https://security.microsoft.com Hvis du vil gå direkte til Explorer-siden , bruker https://security.microsoft.com/threatexplorerdu .

   Kolonnen Flere handlinger på Explorer-siden viser administratorer resultatet av behandlingen av en e-postmelding. Du får tilgang til tilleggshandlinger-kolonnen på samme sted som leveringshandlingen og leveringsplasseringen. Spesielle handlinger kan oppdateres på slutten av trusselutforskerens e-posttidslinje, som er en ny funksjon som tar sikte på å gjøre jaktopplevelsen bedre for administratorer.

2. Velg Send e-posttil alle e-postmeldinger fra rullegardinlisten på Vis-menyen>.

   

   Malware-visningen er for øyeblikket standard, og fanger opp e-postmeldinger der en trussel mot skadelig programvare oppdages. Phish-visningen opererer på samme måte, for Phish.

   All e-postvisning viser imidlertid alle e-postmeldinger som mottas av organisasjonen, uansett om trusler ble oppdaget eller ikke. Som du kan forestille deg, er dette mye data, og derfor viser denne visningen en plassholder som ber om at et filter brukes. (Denne visningen er bare tilgjengelig for Defender for Office 365 P2-kunder.)

   Innsendingsvisning viser alle e-postmeldinger sendt av administrator eller bruker som ble rapportert til Microsoft.

3. Søk og filtrer i Trusselutforsker: Filtre vises øverst på siden i søkefeltet for å hjelpe administratorer i undersøkelsene. Legg merke til at flere filtre kan brukes samtidig, og flere kommadelte verdier legges til i et filter for å begrense søket. Husker:

   • Filtre samsvarer nøyaktig med de fleste filterbetingelser.
   • Emnefilteret bruker en CONTAINS-spørring. En CONTAINS-spørring vil se etter et nøyaktig samsvar med delstrengen. Jokertegn eller vanlige uttrykk støttes ikke.
   • Nettadressefiltre fungerer med eller uten protokoller (f.eks. https).
   • Nettadressedomene, URL-bane og nettadressedomene og banefiltre krever ikke en protokoll for å filtrere.
   • Du må klikke Oppdater-ikonet hver gang du endrer filterverdiene for å få relevante resultater.

4. Avanserte filtre: Med disse filtrene kan du bygge komplekse spørringer og filtrere datasettet. Når du klikker på Avanserte filtre, åpnes en undermeny med alternativer.

   Avansert filtrering er et flott tillegg til søkefunksjoner. En boolsk IKKE på domenefiltrene mottaker, avsender og avsender lar administratorer undersøke ved å ekskludere verdier. Dette alternativet er lik ingen valg . Med dette alternativet kan administratorer utelate uønskede postbokser fra undersøkelser (for eksempel varsle postbokser og standard svarpostbokser), og er nyttig for tilfeller der administratorer søker etter et bestemt emne (for eksempel Obs! Der mottakeren kan settes til Er lik ingen av: defaultMail@contoso.com. Dette er et nøyaktig verdisøk.

   

   Hvis du legger til et tidsfilter på startdatoen og sluttdatoen, kan sikkerhetsteamet drille ned raskt. Den korteste tillatte varigheten er 30 minutter. Hvis du kan begrense den mistenkelige handlingen etter tidsramme (f.eks. det skjedde for tre timer siden), vil dette begrense konteksten og bidra til å finne problemet.

   

5. Felt i Trusselutforsker: Trusselutforsker viser mye mer sikkerhetsrelatert e-postinformasjon, for eksempel leveringshandling, leveringsplassering, spesialhandling, retningsalitet, overstyringer og nettadressetrussel. Det gjør det også mulig for organisasjonens sikkerhetsteam å undersøke med høyere sikkerhet.

   Leveringshandling er handlingen som utføres på en e-postmelding på grunn av eksisterende policyer eller gjenkjenninger. Her er de mulige handlingene en e-postmelding kan utføre:

   • Levert – e-post ble levert til innboksen eller mappen til en bruker, og brukeren kan få direkte tilgang til den.
   • Søppelpost (levert til søppelpost) – e-post ble sendt til brukerens søppelpostmappe eller slettet mappe, og brukeren har tilgang til e-postmeldinger i Søppelpost- eller Slettet-mappen.
   • Blokkert – alle e-postmeldinger som er satt i karantene, som mislyktes eller ble fjernet.
   • Erstattet – alle e-postmeldinger der skadelige vedlegg erstattes av .txt filer som sier at vedlegget var skadelig

   Leveringssted: Leveringsplasseringsfilteret er tilgjengelig for å hjelpe administratorer med å forstå hvor mistenkt ondsinnet e-post ble avsluttet, og hvilke handlinger som ble utført på den. De resulterende dataene kan eksporteres til regnearket. Mulige leveringssteder er:

   • Innboks eller mappe – e-postmeldingen er i innboksen eller en bestemt mappe, i henhold til e-postreglene.
   • Lokal eller ekstern – postboksen finnes ikke i skyen, men er lokal.
   • Søppelpostmappe – E-postmeldingen er i en brukers søppelpostmappe.
   • Slettede elementer-mappen – E-postmeldingen er i en brukers Slettede elementer-mappe.
   • Karantene – e-postmeldingen i karantene, og ikke i en brukers postboks.
   • Mislyktes – E-postmeldingen kan ikke nå postboksen.
   • Droppet – e-postmeldingen gikk tapt et sted i e-postflyten.

   Retning: Dette alternativet gjør det mulig for sikkerhetsoperasjonsteamet å filtrere etter retningen en e-post kommer fra, eller går. Retningsverdier er innkommende, utgående og intra-organisasjon (tilsvarende e-post som kommer inn i organisasjonen utenfra, sendes ut av organisasjonen eller sendes internt til organisasjonen). Denne informasjonen kan hjelpe sikkerhetsoperasjonsteam med å oppdage forfalskning og etterligning, fordi en uoverensstemmelse mellom retningsverdien ( f.eks. innkommende) og domenet til avsenderen (som ser ut til å være et internt domene) vil være tydelig! Retningsverdien er atskilt, og kan være forskjellig fra meldingssporingen. Resultater kan eksporteres til regneark.

   Overstyringer: Dette filteret tar informasjon som vises på e-postdetaljer-fanen og bruker den til å vise hvor organisasjons- eller brukerpolicyer, for å tillate og blokkere e-postmeldinger er overstyrt. Det viktigste med dette filteret er at det hjelper organisasjonens sikkerhetsteam å se hvor mange mistenkelige e-postmeldinger som ble levert på grunn av konfigurasjonen. Dette gir dem muligheten til å endre tillatelser og blokker etter behov. Dette resultatsettet av dette filteret kan eksporteres til regneark.

   Overstyringer av Trusselutforsker	Hva de betyr
   Tillatt av organisasjonspolicy	E-post ble tillatt i postboksen som anvist av organisasjonspolicyen.
   Blokkert av organisasjonspolicy	E-post ble blokkert fra levering til postboksen som anvist av organisasjonspolicyen.
   Filtype blokkert av organisasjonspolicy	Filen ble blokkert fra levering til postboksen som anvist av organisasjonspolicyen.
   Tillatt av brukerpolicy	E-post ble tillatt i postboksen som anvist av brukerpolicyen.
   Blokkert av brukerpolicy	E-post ble blokkert fra levering til postboksen som anvist av brukerpolicyen.

   Url-trussel: Feltet for nettadressetrussel er inkludert på detaljfanen i en e-postmelding for å indikere trusselen som presenteres av en nettadresse. Trusler som presenteres av en nettadresse kan omfatte skadelig programvare, phish eller søppelpost, og en nettadresse uten trussel vil si Ingen i trusseldelen.

6. Tidslinjevisning for e-post: Sikkerhetsoperasjonsteamet må kanskje fordype seg i e-postdetaljer for å undersøke nærmere. E-posttidslinjen gjør det mulig for administratorer å vise handlinger som er utført på en e-post, fra levering til etter levering. Hvis du vil vise en tidslinje for en e-post, klikker du emnet for en e-postmelding og klikker deretter Tidslinje for e-post. (Det vises blant andre overskrifter i panelet, for eksempel Sammendrag eller Detaljer.) Disse resultatene kan eksporteres til regneark.

   Tidslinjen for e-post åpnes i en tabell som viser alle leverings- og leveringshendelser for e-postmeldingen. Hvis det ikke er flere handlinger i e-postmeldingen, skal du se én enkelt hendelse for den opprinnelige leveringen som gir et resultat, for eksempel Blokkert, med en dom som Phish. Administratorer kan eksportere hele tidslinjen for e-post, inkludert alle detaljer på fanen og e-posten (for eksempel emne, avsender, mottaker, nettverk og meldings-ID). Tidslinjen for e-post kutter ned på randomisering fordi det er mindre tid brukt på å sjekke forskjellige steder for å prøve å forstå hendelser som skjedde siden e-postmeldingen kom. Når flere hendelser skjer på, eller i nærheten av, samtidig på en e-postmelding, vises disse hendelsene i en tidslinjevisning.

7. Forhåndsvisning/nedlasting: Trusselutforsker gir sikkerhetsoperasjonsteamet detaljene de trenger for å undersøke mistenkelig e-post. Sikkerhetsoperasjonsteamet kan enten:

   • Kontroller leveringshandlingen og plasseringen.

   • Vis tidslinjen for e-posten.

Kontroller leveringshandlingen og plasseringen

I Trusselutforsker (og sanntidsregistreringer) har du nå kolonner for leveringshandling og leveringsplassering i stedet for den tidligere kolonnen Leveringsstatus . Dette resulterer i et mer fullstendig bilde av hvor e-postmeldingene dine havner. En del av målet med denne endringen er å gjøre undersøkelser enklere for sikkerhetsoperasjonsteam, men nettoresultatet er å vite plasseringen av problemrelaterte e-postmeldinger med et øyekast.

Leveringsstatus er nå delt opp i to kolonner:

• Leveringshandling – Hva er statusen for denne e-postmeldingen?
• Leveringssted – Hvor ble denne e-postmeldingen rutet som et resultat?

Leveringshandling er handlingen som utføres på en e-postmelding på grunn av eksisterende policyer eller gjenkjenninger. Her er de mulige handlingene en e-postmelding kan utføre:

• Levert – e-post ble levert til innboksen eller mappen til en bruker, og brukeren kan få direkte tilgang til den.
• Søppelpost – e-post ble sendt til brukerens søppelpostmappe eller slettet mappe, og brukeren har tilgang til e-postmeldinger i søppelpostmappen eller Slettet-mappen.
• Blokkert – alle e-postmeldinger som er satt i karantene, som mislyktes eller ble fjernet.
• Erstattet – alle e-postmeldinger der skadelige vedlegg erstattes av .txt filer som sier at vedlegget var skadelig.

Leveringsplassering viser resultatene av policyer og gjenkjenninger som kjører etter levering. Den er koblet til en leveringshandling. Dette feltet ble lagt til for å gi innsikt i handlingen som ble utført når det blir funnet en e-postfeil. Her er de mulige verdiene for leveringssted:

• Innboks eller mappe – E-postmeldingen er i innboksen eller i en mappe (i henhold til e-postreglene).
• Lokal eller ekstern – postboksen finnes ikke i skyen, men er lokal.
• Søppelpostmappe – E-postmeldingen er i søppelpostmappen til en bruker.
• Slettede elementer-mappen – E-postmeldingen er i en brukers Slettede elementer-mappe.
• Karantene – e-postmeldingen i karantene, og ikke i en brukers postboks.
• Mislyktes – E-postmeldingen kan ikke nå postboksen.
• Droppet – e-postmeldingen går tapt et sted i e-postflyten.

Vise tidslinjen for e-posten

Tidslinje for e-post er et felt i Trusselutforsker som gjør jakt enklere for sikkerhetsoperasjonsteamet. Når flere hendelser skjer på eller i nærheten av samme tid i en e-postmelding, vises disse hendelsene i en tidslinjevisning. Noen hendelser som skjer etter levering til e-post, fanges opp i kolonnen Spesielle handlinger . Ved å kombinere informasjon fra tidslinjen til en e-postmelding med spesielle handlinger som ble utført etter levering, får administratorene innsikt i policyer og trusselhåndtering (for eksempel hvor e-postmeldingen ble rutet, og i noen tilfeller hva den endelige vurderingen var).

Viktig

Gå til et utbedringsemne her.

Beslektede emner

Utbedre skadelig e-post levert i Office 365

Microsoft Defender for Office 365

Beskytt mot trusler i Office 365

Vis rapporter for Defender for Office 365