Trusseljakt i Trusselutforsker og sanntidsregistreringer i Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Microsoft 365-organisasjoner som har Microsoft Defender for Office 365 inkludert i abonnementet eller kjøpt som et tillegg, har Explorer (også kjent som Trusselutforsker) eller Sanntidsgjenkjenning. Disse funksjonene er kraftige, nær sanntidsverktøy for å hjelpe Security Operations (SecOps)-team med å undersøke og reagere på trusler. Hvis du vil ha mer informasjon, kan du se Om Trusselutforsker og Sanntidsregistreringer i Microsoft Defender for Office 365.

Trusselutforsker eller sanntidsgjenkjenning lar deg utføre følgende handlinger:

  • Se skadelig programvare som oppdages av microsoft 365-sikkerhetsfunksjoner.
  • Vis URL-adresse for phishing, og klikk på vurderingsdata.
  • Start en automatisert undersøkelses- og svarprosess (bare Trusselutforsker).
  • Undersøk skadelig e-post.
  • Og mer.

Se denne korte videoen for å lære hvordan du kan jakte og undersøke e-post- og samarbeidsbaserte trusler ved hjelp av Defender for Office 365.

Tips

Avansert jakt i Microsoft Defender XDR støtter et brukervennlig spørreverktøy som ikke bruker Kusto Query Language (KQL). Hvis du vil ha mer informasjon, kan du se Bygge spørringer ved hjelp av veiledet modus.

Følgende informasjon er tilgjengelig i denne artikkelen:

Tips

For e-postscenarioer som bruker Trusselutforsker og Sanntidsgjenkjenning, kan du se følgende artikler:

Hvis du jakter på angrep basert på skadelige nettadresser som er innebygd i QR-koder, kan du søke etter QR-kode for filterverdien for nettadressekilden i visningene All e-post, Skadelig programvare og Phish i Trusselutforsker eller Sanntidsregistreringer, slik at du kan søke etter e-postmeldinger med NETTADRESSEr som er trukket ut fra QR-koder.

Hva må du vite før du begynner?

Gjennomgang av trusselutforsker og sanntidsregistreringer

Trusselutforsker eller sanntidsgjenkjenning er tilgjengelig i delen E-&-samarbeid i Microsoft Defender-portalen påhttps://security.microsoft.com:

Trusselutforsker inneholder samme informasjon og funksjoner som sanntidsregistreringer, men med følgende tilleggsfunksjoner:

  • Flere visninger.
  • Flere alternativer for egenskapsfiltrering, inkludert alternativet for å lagre spørringer.
  • Trusseljakt og utbedringshandlinger.

Hvis du vil ha mer informasjon om forskjellene mellom Defender for Office 365 Plan 1 og Plan 2, kan du se Defender for Office 365 Plan 1 kontra Jukselapp 2.

Bruk fanene (visningene) øverst på siden til å starte undersøkelsen.

De tilgjengelige visningene i Trusselutforsker og Sanntidsgjenkjenning er beskrevet i tabellen nedenfor:

Vis Trusselen
Explorer		 Sanntid
Påvisninger		 Beskrivelse
All e-post Standardvisning for Trusselutforsker. Informasjon om alle e-postmeldinger som sendes av eksterne brukere til organisasjonen, eller e-post som sendes mellom interne brukere i organisasjonen.
Malware Standardvisning for sanntidsregistreringer. Informasjon om e-postmeldinger som inneholder skadelig programvare.
Phish Informasjon om e-postmeldinger som inneholder phishing-trusler.
Kampanjer Informasjon om skadelig e-post som Defender for Office 365 Plan 2 identifisert som en del av en koordinert phishing- eller skadelig programvarekampanje.
Innholds skadelig programvare Informasjon om skadelige filer som oppdages av følgende funksjoner:
Nettadresseklikk Informasjon om brukerklikk på nettadresser i e-postmeldinger, Teams-meldinger, SharePoint-filer og OneDrive-filer.

Bruk dato/klokkeslett-filteret og de tilgjengelige filteregenskapene i visningen til å begrense resultatene:

Tips

Husk å velge Oppdater etter at du har opprettet eller oppdatert filteret. Filtrene påvirker informasjonen i diagrammet og detaljområdet i visningen.

Du kan tenke på å begrense fokuset i Trusselutforsker eller Sanntidsgjenkjenning som lag for å gjøre det enklere å spore trinnene:

  • Det første laget er visningen du bruker.
  • Det andre senere er filtrene du bruker i denne visningen.

Du kan for eksempel spore trinnene du gjorde for å finne en trussel, ved å registrere beslutninger som dette: For å finne problemet i Trusselutforsker brukte jeg malware-visningen og brukte et mottakerfilterfokus.

Pass også på å teste visningsalternativene. Ulike målgrupper (for eksempel administrasjon) kan reagere bedre eller verre på ulike presentasjoner av de samme dataene.

I Trusselutforsker er for eksempel alle e-postvisningene , visningene E-postopprinnelse og Kampanjer (faner) tilgjengelige i detaljområdet nederst på siden:

  • For noen målgrupper kan verdenskartet i e-postopprinnelse-fanen gjøre en bedre jobb med å vise hvor utbredt de oppdagede truslene er.

    Skjermbilde av verdenskartet i e-postopprinnelsesvisningen i detaljområdet i All e-post-visningen i Trusselutforsker.

  • Andre kan synes den detaljerte informasjonen i tabellen på Kampanjer-fanen er nyttigere for å formidle informasjonen.

    Skjermbilde av detaljtabellen i Kampanje-fanen i Alle e-post-visningen i Trusselutforsker.

Du kan bruke denne informasjonen for følgende resultater:

  • For å vise behovet for sikkerhet og beskyttelse.
  • For senere å demonstrere effektiviteten til eventuelle handlinger.

E-postundersøkelse

I visningene Alle e-postmeldinger, Skadelig programvare eller Phish i Trusselutforsker eller Sanntidsregistreringer vises resultatene av e-postmeldinger i en tabell i E-post-fanen (visning) av detaljområdet under diagrammet.

Når du ser en mistenkelig e-postmelding, klikker du emneverdien for en oppføring i tabellen. Undermenyen for detaljer som åpnes, inneholder Åpen e-post-enhet øverst i undermenyen.

Skjermbilde av handlingene som er tilgjengelige i undermenyen for e-postdetaljer etter at du har valgt en emneverdi i E-post-fanen i detaljområdet i Alle e-post-visningen.

Enhetssiden for e-post samler alt du trenger å vite om meldingen og innholdet, slik at du kan finne ut om meldingen er en trussel. Hvis du vil ha mer informasjon, kan du se Oversikt over enhetssiden for e-post.

Utbedring av e-post

Når du har funnet ut at en e-postmelding er en trussel, utbedrer neste trinn trusselen. Du utbedrer trusselen i Trusselutforsker eller Sanntidsregistrering ved hjelp av Utfør handling.

Utfør handling er tilgjengelig i visningene Alle e-postmeldinger, Skadelig programvare eller Phish i Trusselutforsker eller Sanntidsregistreringer i E-post-fanen (visning) av detaljområdet under diagrammet:

  • Velg én eller flere oppføringer i tabellen ved å merke av for den første kolonnen. Utfør handling er tilgjengelig direkte i fanen.

    Skjermbilde av e-postvisningen (fanen) i detaljtabellen med en melding valgt og Aktiver handling.

    Tips

    Utfør handling erstatter rullegardinlisten meldingshandlinger .

    Hvis du velger 100 eller færre oppføringer, kan du utføre flere handlinger i meldinger i handlingsveiviseren.

    Hvis du velger 101 til 200 000 oppføringer, er bare følgende handlinger tilgjengelige i handlingsveiviseren:

    • Trusselutforsker: Flytt til postboks og Foreslå utbedring er tilgjengelige, men de er gjensidig utelukkende (du kan velge den ene eller den andre).
    • Sanntidsregistreringer: Bare Send til Microsoft for gjennomgang og oppretting av tilsvarende tillatelses-/blokkeringsoppføringer i leiers tillatelses-/blokkeringsliste er tilgjengelige.

  • Klikk emneverdien for en oppføring i tabellen. Detaljer-undermenyen som åpnes, inneholder Utfør handling øverst i undermenyen.

    Handlingene som er tilgjengelige i detaljfanen etter at du har valgt en emneverdi i E-post-fanen i detaljområdet i Alle e-post-visningen.

Hvis du velger Ta-handlingen , åpnes handlingsveiviseren i en undermeny. De tilgjengelige handlingene i handlingsveiviseren i Trusselutforsker (Defender for Office 365 Plan 2) og Sanntidsregistreringer (Defender for Office 365 Plan 1) er oppført i tabellen nedenfor:

Handling Trusselen
Explorer		 Sanntid
Påvisninger
Flytt til postboksmappe ✔¹
Send til Microsoft for gjennomgang
  Tillat eller blokker oppføringer i leierens tillatelses-/blokkeringsliste³
Start automatisert undersøkelse
Foreslå utbedring ²

¹ Denne handlingen krever rollen Søk og tømming i e-& samarbeidstillatelser. Som standard tilordnes denne rollen bare til rollegruppene Data investigator og Organization Management . Du kan legge til brukere i disse rollegruppene, eller du kan opprette en ny rollegruppe med Søk og tøm rolle tilordnet, og legge til brukerne i den egendefinerte rollegruppen.

² Selv om denne handlingen kan vises som tilgjengelig i sanntidsregistreringer, er den ikke tilgjengelig i Defender for Office 365 Plan 1.

³ Denne handlingen er tilgjengelig under Send til Microsoft for gjennomgang.

Handlingsveiviseren er beskrevet i følgende liste:

  1. Gjør følgende valg på siden Velg svarhandlinger :

    • Vis alle svarhandlinger: Dette alternativet er bare tilgjengelig i Trusselutforsker.

      Som standard er noen handlinger utilgjengelige/nedtonet basert på den nyeste leveringsplasseringen for meldingen. Hvis du vil vise alle tilgjengelige svarhandlinger, skyver du veksleknappen til .

    • Handlingsinndeling for e-postmelding :

      Du kan velge flere handlinger hvis du valgte 100 eller færre meldinger fra E-post-fanen (visning) av detaljområdet i visningene Alle e-postmeldinger, Skadelig programvare eller Phish når du valgte Utfør handling.

      Du kan også velge flere handlinger hvis du valgte Utfør handling i detaljer-undermenyen etter at du klikket på Emne-verdien for en oppføring.

      Velg ett eller flere av de tilgjengelige alternativene:

    • Flytt til postboksmappe: Velg én av de tilgjengelige verdiene som vises:

      • Søppelpost: Flytt meldingen til Søppelpost-mappen.
      • Innboks: Flytt meldingen til innboksen.
      • Slettede elementer: Flytt meldingen til Slettede elementer-mappen.
      • Elementer som slettes mykt: Slett meldingen fra mappen Slettede elementer (flytt til mappen Gjenopprettelige elementer\Slettinger). Meldingen kan gjenopprettes av brukeren og administratorene.
      • Hardt slettede elementer: Tøm den slettede meldingen. Administratorer kan gjenopprette hardt slettede elementer ved hjelp av enkeltelementgjenoppretting. Hvis du vil ha mer informasjon om slettede og myke slettede elementer, kan du se Elementer som er slettet med myk sletting og sletting.

    • Send inn til Microsoft for gjennomgang: Velg en av de tilgjengelige verdiene som vises:

      • Jeg har bekreftet at den er ren: Velg denne verdien hvis du er sikker på at meldingen er ren. Følgende alternativer vises:

        • Tillat meldinger som dette: Hvis du velger denne verdien, legges tillatelsesoppføringer til i leierens tillatelses-/blokkeringsliste for avsenderen og eventuelle relaterte nettadresser eller vedlegg i meldingen. Følgende alternativer vises også:
          • Fjern oppføring etter: Standardverdien er 1 dag, men du kan også velge 7 dager, 30 dager eller en bestemt dato som er mindre enn 30 dager.
          • Tillat oppføringsnotat: Skriv inn et valgfritt notat som inneholder tilleggsinformasjon.

      • Det virker rent eller det virker mistenkelig: Velg en av disse verdiene hvis du er usikker, og du vil ha en dom fra Microsoft.

      • Jeg har bekreftet at det er en trussel: Velg denne verdien hvis du er sikker på at elementet er skadelig, og velg deretter én av følgende verdier i delen Velg en kategori som vises:

        • Phish
        • Malware
        • Søppelpost

        Når du har valgt én av disse verdiene, åpnes en Velg enheter for å blokkere undermeny, der du kan velge én eller flere enheter som er knyttet til meldingen (avsenderadresse, avsenderdomene, nettadresser eller filvedlegg) som skal legges til som blokkoppføringer i tillat/blokkeringslisten for leieren.

        Når du har valgt elementene du vil blokkere, velger du Legg til for å blokkere regelen for å lukke Velg enheter for å blokkere undermeny. Eller velg ingen elementer, og velg deretter Avbryt.

        Velg et utløpsalternativ for blokkoppføringene på siden Velg svarhandlinger :

        • Utløpsdato: Velg en dato for blokkoppføringer som skal utløpe.
        • Aldri utløpe

        Antall blokkerte enheter vises (for eksempel 4/4 enheter som skal blokkeres). Velg Rediger for å åpne Legg til på nytt for å blokkere regelen og gjøre endringer.

    • Start automatisert undersøkelse: Bare Trusselutforsker. Velg én av følgende verdier som vises:

      • Undersøke e-post
      • Undersøk mottaker
      • Undersøk avsender: Denne verdien gjelder bare for avsendere i organisasjonen.
      • Kontakt mottakere

    • Foreslå utbedring: Velg én av følgende verdier som vises:

      • Opprett ny: Denne verdien utløser en ventende handling for e-post med myk sletting som må godkjennes av en administrator i handlingssenteret. Dette resultatet kalles ellers totrinns godkjenning.

      • Legg til eksisterende: Bruk denne verdien til å bruke handlinger på denne e-postmeldingen fra en eksisterende utbedring. Velg eksisterende utbedring i boksen Send e-post til følgende utbedringer .

        Tips

        SecOps-personell som ikke har nok permsissioner, kan bruke dette alternativet til å opprette en utbedring, men noen med tillatelser må godkjenne handlingen i handlingssenteret.

    Når du er ferdig på siden Velg svarhandlinger , velger du Neste.

  2. Konfigurer følgende alternativer på siden Velg målenheter :

    • Navn og beskrivelse: Skriv inn et unikt, beskrivende navn og en valgfri beskrivelse for å spore og identifisere den valgte handlingen.

    Resten av siden er en tabell som viser de berørte ressursene. Tabellen er organisert etter følgende kolonner:

    • Påvirket aktivum: De berørte ressursene fra forrige side. Eksempel:
      • Mottakerens e-postadresse
      • Hele leieren
    • Handling: De valgte handlingene for aktivaene fra forrige side. Eksempel:
      • Verdier fra Send til Microsoft for gjennomgang:
        • Rapporter som ren
        • Rapport
        • Rapporter som skadelig programvare, rapporter som søppelpost eller Rapporter som phishing
        • Blokker avsender
        • Blokker avsenderdomene
        • Blokker URL-adresse
        • Blokker vedlegg
      • Verdier fra Initier automatisert undersøkelse:
        • Undersøke e-post
        • Undersøk mottaker
        • Undersøk avsender
        • Kontakt mottakere
      • Verdier fra Foreslå utbedring:
        • Opprett ny utbedring
        • Legg til i eksisterende utbedring
    • Målenhet: Eksempel:
      • Verdien for nettverksmeldings-ID-en for e-postmeldingen.
      • E-postadressen til den blokkerte avsenderen.
      • Det blokkerte avsenderdomenet.
      • Den blokkerte URL-adressen.
      • Det blokkerte vedlegget.
    • Utløper: Verdier finnes bare for tillatte eller blokkere oppføringer i blokkeringslisten for tenant/tillat. Eksempel:
      • Aldri utløp for blokkoppføringer.
      • Utløpsdatoen for tillatte eller blokkere oppføringer.
    • Omfang: Vanligvis er denne verdien MDO.

    På dette stadiet kan du også angre noen handlinger. Hvis du for eksempel bare vil opprette en blokkoppføring i leier-tillatelses-/blokkeringslisten uten å sende inn enheten til Microsoft, kan du gjøre dette her.

    Når du er ferdig på siden Velg målenheter , velger du Neste.

  3. Se gjennom tidligere valg på siden Se gjennom og send inn .

    Velg Eksporter for å eksportere de berørte ressursene til en CSV-fil. Som standard påvirkes filnavnet assets.csv plassert i Nedlastinger-mappen .

    Velg Tilbake for å gå tilbake og endre valgene.

    Når du er ferdig på siden Se gjennom og send , velger du Send.

Tips

Det kan ta tid før handlingene vises på de relaterte sidene, men hastigheten på utbedringen påvirkes ikke.

Trusseljaktopplevelsen ved hjelp av Trusselutforsker og sanntidsregistreringer

Trusselutforsker eller sanntidsgjenkjenning hjelper sikkerhetsoperasjonsteamet med å undersøke og reagere effektivt på trusler. De følgende underdelene forklarer hvordan Trusselutforsker og sanntidsgjenkjenninger kan hjelpe deg med å finne trusler.

Trusseljakt fra varsler

Varsler-siden er tilgjengelig i Defender-portalen ved Hendelser & varsler>varsler eller direkte på https://security.microsoft.com/alerts.

Mange varsler med kildeverdien for gjenkjenningMDO har vis meldinger i Explorer-handlingen tilgjengelig øverst i undermenyen for varseldetaljer.

Undermenyen varseldetaljer åpnes når du klikker hvor som helst i varselet annet enn avmerkingsboksen ved siden av den første kolonnen. Eksempel:

  • Det ble oppdaget et potensielt skadelig nettadresseklikk
  • Admin innsendingsresultat fullført
  • E-postmeldinger som inneholder skadelig NETTADRESSE fjernet etter levering
  • E-postmeldinger fjernet etter levering
  • Meldinger som inneholder skadelig enhet, fjernes ikke etter levering
  • Phish ikke zapped fordi ZAP er deaktivert

Skjermbilde av de tilgjengelige handlingene i varseldetaljene undermeny for et varsel med gjenkjenningskildeverdien MDO fra Varsler-siden i Defender-portalen.

Hvis du velger Vis meldinger i Explorer , åpnes Trusselutforsker i All e-post-visningen med varsel-ID-en for egenskapsfilteret valgt for varselet. Verdien for varsel-ID er en unik GUID-verdi for varselet (for eksempel 89e00cdc-4312-7774-6000-08dc33a24419).

Varsel-ID er en filtrerbar egenskap i følgende visninger i Trusselutforsker og Sanntidsregistreringer:

I disse visningene er varsel-ID tilgjengelig som en valgbar kolonne i detaljområdet under diagrammet i følgende faner (visninger):

I undermenyen for e-postdetaljer som åpnes når du klikker på en emneverdi fra én av oppføringene, er varsel-ID-koblingen tilgjengelig i delen E-postdetaljer i undermenyen. Hvis du velger varsel-ID-koblingen , åpnes vis varsler-siden med https://security.microsoft.com/viewalertsv2 varselet valgt, og detaljene undermeny åpnes for varselet.

Skjermbilde av varseldetaljer-undermenyen på Vis varsler-siden etter at du har valgt en varsel-ID fra undermenyen for e-postdetaljer for en oppføring i E-post-fanen fra visningene Alle e-postmeldinger, Skadelig programvare eller Phish i Trusselutforsker eller Sanntidsregistreringer.

Merker i Trusselutforsker

Hvis du bruker brukerkoder til å markere høyverdimålkontoer (for eksempel prioritetskontokoden) i Defender for Office 365 Plan 2, kan du bruke disse kodene som filtre. Denne metoden viser phishing-forsøk rettet mot målkontoer med høy verdi i løpet av en bestemt tidsperiode. Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.

Brukerkoder er tilgjengelige på følgende plasseringer i Trusselutforsker:

Trusselinformasjon for e-postmeldinger

Handlinger før levering og etter levering i e-postmeldinger konsolideres til én enkelt post, uavhengig av de ulike hendelsene etter levering som påvirket meldingen. Eksempel:

Undermenyen for e-postdetaljer fra E-post-fanen (visningen) i visningene All e-post, Skadelig programvare eller Phish viser de tilknyttede truslene og tilsvarende gjenkjenningsteknologier som er knyttet til e-postmeldingen. En melding kan ha null, én eller flere trusler.

  • I delen Leveringsdetaljer viser identifiseringsteknologiegenskapen gjenkjenningsteknologien som identifiserte trusselen. Gjenkjenningsteknologi er også tilgjengelig som en diagrampivot eller en kolonne i detaljtabellen for mange visninger i Trusselutforsker og Sanntidsregistreringer.

  • Url-adresser-delen viser spesifikk trusselinformasjon for eventuelle URL-adresser i meldingen. For eksempel Malware, Phish, **Spam eller None.

Tips

Vurderingsanalyse er kanskje ikke nødvendigvis knyttet til enheter. Filtrene evaluerer innhold og andre detaljer i en e-postmelding før de tilordner en dom. En e-postmelding kan for eksempel klassifiseres som phishing eller søppelpost, men ingen nettadresser i meldingen stemples med en phishing- eller søppelpostdom.

Velg Åpne e-postenhet øverst i undermenyen for å se uttømmende detaljer om e-postmeldingen. Hvis du vil ha mer informasjon, kan du se siden for e-postenheten i Microsoft Defender for Office 365.

Skjermbilde av undermenyen for e-postdetaljer etter at du har valgt en emneverdi i E-post-fanen i detaljområdet i Alle e-post-visningen.

Utvidede funksjoner i Trusselutforsker

De følgende underdelene beskriver filtre som er eksklusive for Trusselutforsker.

Regler for Exchange-e-postflyt (transportregler)

Hvis du vil finne meldinger som ble påvirket av regler for Exchange-e-postflyt (også kalt transportregler), har du følgende alternativer i visningene All e-post, Skadelig programvare og Phish i Trusselutforsker (ikke i sanntidsregistreringer):

  • Exchange-transportregel er en valgbar verdi for egenskapene Primær overstyringskilde, Overstyr kilde og Policytype som kan filtreres.
  • Exchange-transportregel er en filtrerbar egenskap. Du skriver inn en delvis tekstverdi for navnet på regelen.

Hvis du vil ha mer informasjon, kan du se følgende koblinger:

E-post-fanen (visning) for detaljområdet i visningene All e-post, Skadelig programvare og Phish i Trusselutforsker har også Exchange-transportregel som en tilgjengelig kolonne som ikke er valgt som standard. Denne kolonnen viser navnet på transportregelen. Hvis du vil ha mer informasjon, kan du se følgende koblinger:

Tips

Hvis du vil ha tillatelsene som kreves for å søke etter regler for e-postflyt etter navn i Trusselutforsker, kan du se Tillatelser og lisensiering for Trusselutforsker og Sanntidsregistreringer. Ingen spesielle tillatelser kreves for å se regelnavn i undermenyer for e-postdetaljer, detaljtabeller og eksporterte resultater.

Inngående koblinger

Innkommende koblinger angir bestemte innstillinger for e-postkilder for Microsoft 365. Hvis du vil ha mer informasjon, kan du se Konfigurere e-postflyt ved hjelp av koblinger i Exchange Online.

Hvis du vil finne meldinger som ble påvirket av innkommende koblinger, kan du bruke egenskapen Connector til å søke etter koblinger etter navn i visningene All e-post, Skadelig programvare og Phish i Trusselutforsker (ikke i sanntidsregistreringer). Du skriver inn en delvis tekstverdi for navnet på koblingen. Hvis du vil ha mer informasjon, kan du se følgende koblinger:

E-post-fanen (visning) for detaljområdet i visningene All e-post, Skadelig programvare og Phish i Trusselutforsker har også Connector som en tilgjengelig kolonne som ikke er valgt som standard. Denne kolonnen viser navnet på koblingen. Hvis du vil ha mer informasjon, kan du se følgende koblinger:

Sikkerhetsscenarioer for e-post i Trusselutforsker og Sanntidsgjenkjenning

Hvis du vil ha spesifikke scenarioer, kan du se følgende artikler:

Flere måter å bruke Trusselutforsker og sanntidsgjenkjenninger på

I tillegg til scenarioene som er beskrevet i denne artikkelen, har du flere alternativer i Explorer eller sanntidsregistreringer. Hvis du vil ha mer informasjon, kan du se følgende artikler: