Share via


Email analyse van onderzoeken voor Microsoft Defender voor Office 365

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Tijdens het geautomatiseerde onderzoek van waarschuwingen analyseert Microsoft Defender voor Office 365 het oorspronkelijke e-mailbericht op bedreigingen en identificeert andere e-mailberichten die betrekking hebben op het oorspronkelijke e-mailbericht en mogelijk deel uitmaken van een aanval. Deze analyse is belangrijk omdat e-mailaanvallen zelden uit één e-mail bestaan.

De e-mailanalyse van het geautomatiseerde onderzoek identificeert e-mailclusters met behulp van kenmerken uit de oorspronkelijke e-mail om te zoeken naar e-mail die door uw organisatie is verzonden en ontvangen. Deze analyse is vergelijkbaar met hoe een beveiligingsanalist de gerelateerde e-mail in Explorer of Advanced Hunting zou zoeken. Verschillende query's worden gebruikt om overeenkomende e-mailberichten te identificeren, omdat aanvallers doorgaans de e-mailparameters vervormden om beveiligingsdetectie te voorkomen. De clusteranalyse voert deze controles uit om te bepalen hoe e-mail moet worden verwerkt die bij het onderzoek betrokken is:

  • De e-mailanalyse maakt query's (clusters) van e-mail met behulp van kenmerken uit het oorspronkelijke e-mailbericht: afzenderwaarden (IP-adres, afzenderdomein) en inhoud (onderwerp, cluster-id) om e-mail te vinden die mogelijk gerelateerd is.
  • Als bij analyse van de URL's en bestanden van het oorspronkelijke e-mailbericht wordt vastgesteld dat sommigen schadelijk zijn (dat wil gezegd, malware of phishing), worden er ook query's of clusters van e-mail gemaakt die de schadelijke URL of het schadelijke bestand bevatten.
  • Email clusteranalyse telt de bedreigingen die zijn gekoppeld aan de vergelijkbare e-mail in het cluster om te bepalen of het e-mailbericht schadelijk, verdacht of geen duidelijke bedreigingen heeft. Als het cluster met e-mail dat overeenkomt met de query voldoende spam, normale phishing, phishing met hoge betrouwbaarheid of malware heeft, wordt dat bedreigingstype toegepast op het e-mailcluster.
  • De analyse van e-mailclusters controleert ook de meest recente bezorgingslocatie van de oorspronkelijke e-mail en berichten in de e-mailclusters om berichten te identificeren die mogelijk moeten worden verwijderd of die al zijn hersteld of voorkomen. Deze analyse is belangrijk omdat aanvallers schadelijke inhoud plus beveiligingsbeleid en beveiliging per postbus kunnen verschillen. Deze mogelijkheid leidt tot situaties waarin schadelijke inhoud zich nog steeds in postvakken kan bevinden, zelfs als een of meer schadelijke e-mailberichten zijn voorkomen of gedetecteerd en verwijderd door zero-hour auto purge (ZAP).
  • Email clusters die als schadelijk worden beschouwd vanwege malware, phishing met hoge betrouwbaarheid, schadelijke bestanden of schadelijke URL-bedreigingen, krijgen een actie in behandeling om berichten die zich nog in het postvak van de cloud bevinden (Postvak IN of ongewenste Email) voorlopig te verwijderen. Als schadelijke e-mail- of e-mailclusters 'Niet in postvak' zijn (geblokkeerd, in quarantaine geplaatst, mislukt, voorlopig verwijderd, enzovoort) of 'On-premises/extern' zijn zonder in het postvak van de cloud, wordt er geen actie in behandeling ingesteld om ze te verwijderen.
  • Als een van de e-mailclusters schadelijk is, wordt de bedreiging die door het cluster is geïdentificeerd, toegepast op de oorspronkelijke e-mail die bij het onderzoek betrokken is. Dit gedrag is vergelijkbaar met een beveiligingsanalist die resultaten voor het opsporen van e-mail gebruikt om het oordeel van een oorspronkelijk e-mailbericht te bepalen op basis van vergelijkbare e-mail. Dit resultaat zorgt ervoor dat, ongeacht of de URL's, bestanden of bron-e-mailindicatoren van een oorspronkelijke e-mail worden gedetecteerd of niet, het systeem schadelijke e-mailberichten kan identificeren die detectie kunnen omzeilen door middel van persoonlijke instellingen, morphing, ontwijking of andere aanvallertechnieken.
  • In het onderzoek naar inbreuk door gebruikers worden extra e-mailclusters gemaakt om potentiële e-mailproblemen te identificeren die door het postvak zijn gemaakt. Dit proces omvat een schoon e-mailcluster (goede e-mail van de gebruiker, mogelijke gegevensexfiltratie en mogelijke opdracht-/beheer-e-mail), verdachte e-mailclusters (e-mail met spam of normale phishing) en schadelijke e-mailclusters (e-mail met malware of phishing met hoge betrouwbaarheid). Deze e-mailclusters bieden gegevens van beveiligingsanalisten om andere problemen te bepalen die mogelijk moeten worden opgelost vanuit een inbreuk, en inzicht in welke berichten de oorspronkelijke waarschuwingen mogelijk hebben geactiveerd (bijvoorbeeld phishing/spam waardoor gebruikersverzendingsbeperkingen zijn geactiveerd)

Email clusteranalyse via overeenkomsten en schadelijke entiteitsquery's zorgt ervoor dat e-mailproblemen volledig worden geïdentificeerd en opgeschoond, zelfs als slechts één e-mail van een aanval wordt geïdentificeerd. U kunt koppelingen uit de zijpaneelweergaven van het e-mailcluster gebruiken om de query's te openen in Explorer of Geavanceerde opsporing om diepere analyses uit te voeren en de query's indien nodig te wijzigen. Deze mogelijkheid maakt handmatige verfijning en herstel mogelijk als u de query's van het e-mailcluster te smal of te breed vindt (inclusief niet-gerelateerde e-mail).

Hier volgen aanvullende verbeteringen aan e-mailanalyse in onderzoeken.

AIR-onderzoek negeert geavanceerde leveringsitems (SecOps-postvakken en phishingsimulatieberichten)

Tijdens de analyse van e-mailclustering negeren alle clusterquery's SecOps-postvakken en phishingsimulatie-URL's die zijn geïdentificeerd Geavanceerd leveringsbeleid. SecOps-postvakken en phishingsimulatie-URL's worden niet weergegeven in de query om de clusteringkenmerken eenvoudig en gemakkelijk leesbaar te houden. Deze uitsluitingen zorgen ervoor dat berichten die worden verzonden naar SecOps-postvakken en berichten die phishingsimulatie-URL's bevatten, tijdens bedreigingsanalyse worden genegeerd en niet worden verwijderd tijdens herstel.

Opmerking

Wanneer u een e-mailcluster opent om het in Explorer weer te geven vanuit de details van het e-mailcluster, worden de filters voor phishingsimulatie en SecOps-postvak toegepast in Explorer, maar worden ze niet weergegeven. Als u de Explorer-filters, -datums wijzigt of de query op de pagina vernieuwt, worden de uitsluitingen van het phishingsimulatie-/SecOps-filter verwijderd en worden overeenkomende e-mailberichten opnieuw weergegeven. Als u de Verkenner-pagina vernieuwt met behulp van de vernieuwingsfunctie van de browser, worden de oorspronkelijke queryfilters opnieuw geladen, inclusief de filters voor phishingsimulatie/SecOps, maar worden alle volgende wijzigingen verwijderd die u hebt aangebracht.

AIR-updates in behandeling e-mailactiestatus

De e-mailanalyse voor onderzoek berekent e-mailbedreigingen en -locaties op het moment van het onderzoek om het onderzoeksmateriaal en de acties te maken. Deze gegevens kunnen verouderd en verouderd raken wanneer acties buiten het onderzoek van invloed zijn op de e-mail die bij het onderzoek betrokken is. Zo kan handmatige opsporing en herstel van beveiligingsbewerkingen e-mail in een onderzoek opschonen. Op dezelfde manier kunnen verwijderingsacties die zijn goedgekeurd in parallelle onderzoeken of automatische quarantaineacties van ZAP e-mail hebben verwijderd. Bovendien kunnen vertraagde detecties van bedreigingen na de bezorging van e-mail het aantal bedreigingen in de e-mailquery's/clusters van het onderzoek wijzigen.

Om ervoor te zorgen dat onderzoeksacties up-to-date zijn, worden de e-mailanalysequery's regelmatig opnieuw uitgevoerd om de e-maillocaties en bedreigingen bij te werken.

  • Wanneer de gegevens van het e-mailcluster worden gewijzigd, worden het aantal bedreigingen en de meest recente leveringslocatie bijgewerkt.
  • Als e-mail of e-mailcluster met in behandeling zijnde acties zich niet meer in het postvak bevinden, wordt de actie in behandeling geannuleerd en wordt de schadelijke e-mail/het cluster als hersteld beschouwd.
  • Zodra alle bedreigingen van het onderzoek zijn hersteld of geannuleerd zoals eerder beschreven, gaat het onderzoek over naar een herstelde status en wordt de oorspronkelijke waarschuwing opgelost.

De weergave van incidentmateriaal voor e-mail- en e-mailclusters

Email bewijsmateriaal op het tabblad Bewijs en antwoord voor een incident wordt nu de volgende informatie weergegeven.

De informatie over e-mailanalyse in Bewijs en antwoord

Uit de genummerde bijschriften in de afbeelding:

  1. U kunt herstelacties uitvoeren, naast het actiecentrum.

  2. U kunt herstelacties uitvoeren voor e-mailclusters met een schadelijk oordeel (maar niet verdacht).

  3. Voor de e-mailspambeoordeling wordt phishing opgesplitst in hoge betrouwbaarheid en normale phishing.

    Voor een schadelijk oordeel zijn de bedreigingscategorieën malware, phishing met hoge betrouwbaarheid, schadelijke URL en schadelijk bestand.

    Voor een verdacht oordeel zijn de bedreigingscategorieën spam en normale phishing.

  4. Het aantal e-mail op is gebaseerd op de meest recente bezorgingslocatie en bevat tellers voor e-mail in postvakken, niet in postvakken en on-premises.

  5. Bevat de datum en tijd van de query, die mogelijk worden bijgewerkt voor de meest recente gegevens.

Voor e-mail- of e-mailclusters op het tabblad Entiteiten van een onderzoek betekent Voorkomen dat er geen schadelijke e-mail in het postvak stond voor dit item (e-mail of cluster). Hier is een voorbeeld.

Een verhinderd e-mailbericht.

In dit voorbeeld is het e-mailbericht schadelijk, maar niet in een postvak.

Volgende stappen