Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Podczas zautomatyzowanego badania alertów Ochrona usługi Office 365 w usłudze Microsoft Defender analizuje oryginalną wiadomość e-mail pod kątem zagrożeń i identyfikuje inne wiadomości e-mail związane z oryginalną wiadomością e-mail i potencjalnie częścią ataku. Ta analiza jest ważna, ponieważ ataki poczty e-mail rzadko składają się z jednej wiadomości e-mail.
Analiza poczty e-mail zautomatyzowanego badania identyfikuje klastry poczty e-mail przy użyciu atrybutów z oryginalnej wiadomości e-mail w celu wysyłania zapytań o wiadomości e-mail wysyłane i odbierane przez organizację. Ta analiza jest podobna do tego, w jaki sposób analityk operacji zabezpieczeń będzie wyszukiwał powiązane wiadomości e-mail w Eksploratorze lub Zaawansowanym wyszukiwaniu zagrożeń. Kilka zapytań służy do identyfikowania pasujących wiadomości e-mail, ponieważ osoby atakujące zwykle zmieniają parametry poczty e-mail, aby uniknąć wykrywania zabezpieczeń. Analiza klastrowania przeprowadza następujące kontrole, aby określić, jak obsługiwać pocztę e-mail biorącą udział w badaniu:
- Analiza wiadomości e-mail tworzy zapytania (klastry) wiadomości e-mail przy użyciu atrybutów z oryginalnej wiadomości e-mail: wartości nadawcy (adres IP, domena nadawcy) i zawartość (podmiot, identyfikator klastra) w celu znalezienia wiadomości e-mail, która może być powiązana.
- Jeśli analiza adresów URL i plików oryginalnej wiadomości e-mail wykaż, że niektóre z nich są złośliwe (czyli złośliwe oprogramowanie lub wyłudzanie informacji), tworzy również zapytania lub klastry wiadomości e-mail zawierające złośliwy adres URL lub plik.
- Email analizy klastrowania zlicza zagrożenia związane z podobną wiadomością e-mail w klastrze, aby ustalić, czy wiadomość e-mail jest złośliwa, podejrzana lub nie ma wyraźnych zagrożeń. Jeśli klaster wiadomości e-mail pasujących do zapytania ma wystarczającą ilość spamu, normalnego wyłudzania informacji, wyłudzania informacji o wysokim poziomie zaufania lub zagrożeń złośliwego oprogramowania, klaster poczty e-mail otrzyma ten typ zagrożenia zastosowany do niego.
- Analiza klastrowania wiadomości e-mail sprawdza również najnowszą lokalizację dostarczania oryginalnej wiadomości e-mail i wiadomości w klastrach wiadomości e-mail, aby ułatwić identyfikację wiadomości, które potencjalnie wymagają usunięcia lub zostały już skorygowane lub uniemożliwione. Ta analiza jest ważna, ponieważ osoby atakujące zmieniają złośliwą zawartość oraz zasady zabezpieczeń i ochronę mogą się różnić w zależności od skrzynki pocztowej. Ta możliwość prowadzi do sytuacji, w których złośliwa zawartość może nadal znajdować się w skrzynkach pocztowych, mimo że co najmniej jedna złośliwa wiadomość e-mail została zablokowana lub wykryta i usunięta przez automatyczne przeczyszczanie o wartości zero godzin (ZAP).
- Email klastry, które są uważane za złośliwe ze względu na złośliwe oprogramowanie, wyłudzanie informacji o wysokim poziomie zaufania, złośliwe pliki lub złośliwe zagrożenia adresami URL, otrzymują oczekującą akcję usuwania nietrwałego wiadomości, które nadal znajdują się w skrzynce pocztowej w chmurze (skrzynka odbiorcza lub foldery Email śmieci). Jeśli złośliwe klastry poczty e-mail lub poczty e-mail to "Nie w skrzynce pocztowej" (zablokowane, poddane kwarantannie, zakończone niepowodzeniem, usunięte nietrwale itp.) lub "Lokalne/zewnętrzne" bez żadnej w skrzynce pocztowej w chmurze, nie skonfigurowano żadnej oczekującej akcji w celu ich usunięcia.
- Jeśli którykolwiek z klastrów poczty e-mail zostanie uznany za złośliwy, zagrożenie zidentyfikowane przez klaster zostanie zastosowane z powrotem do oryginalnej wiadomości e-mail biorącej udział w badaniu. To zachowanie jest podobne do analityka operacji zabezpieczeń korzystającego z wyników wyszukiwania wiadomości e-mail w celu określenia werdyktu oryginalnej wiadomości e-mail na podstawie podobnej wiadomości e-mail. Dzięki temu system może identyfikować złośliwe wiadomości e-mail, które potencjalnie unikają wykrywania poprzez personalizację, przekształcanie, uchylanie się od płacenia podatków lub inne techniki atakujące, niezależnie od tego, czy oryginalne adresy URL, pliki lub źródłowe wskaźniki poczty e-mail są wykrywane.
- W badaniu naruszenia zabezpieczeń użytkownika tworzone są dodatkowe klastry poczty e-mail w celu zidentyfikowania potencjalnych problemów z pocztą e-mail utworzonych przez skrzynkę pocztową. Ten proces obejmuje czysty klaster poczty e-mail (dobry adres e-mail od użytkownika, potencjalną eksfiltrację danych i potencjalną wiadomość e-mail z poleceniami/kontrolą), podejrzane klastry poczty e-mail (wiadomości e-mail zawierające spam lub normalne wyłudzanie informacji) oraz złośliwe klastry poczty e-mail (wiadomości e-mail zawierające złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania). Te klastry poczty e-mail udostępniają dane analityków operacji zabezpieczeń, aby określić inne problemy, które mogą wymagać rozwiązania z powodu naruszenia zabezpieczeń, oraz wgląd w to, które komunikaty mogły wyzwolić oryginalne alerty (na przykład wyłudzanie informacji/spam, które wyzwoliły ograniczenia wysyłania przez użytkowników)
Email analizę klastrowania za pośrednictwem podobieństwa i złośliwych zapytań jednostek gwarantuje, że problemy z pocztą e-mail zostaną w pełni zidentyfikowane i wyczyszczone, nawet jeśli zostanie zidentyfikowana tylko jedna wiadomość e-mail z ataku. Możesz użyć linków z widoków panelu szczegółów klastra poczty e-mail, aby otworzyć zapytania w Eksploratorze lub zaawansowanym wyszukiwaniu, aby przeprowadzić dokładniejszą analizę i zmienić zapytania w razie potrzeby. Ta funkcja umożliwia ręczne uściślanie i korygowanie, jeśli zapytania klastra poczty e-mail są zbyt wąskie lub zbyt szerokie (w tym niepowiązane wiadomości e-mail).
Poniżej przedstawiono dodatkowe ulepszenia analizy poczty e-mail w badaniach.
Badanie AIR ignoruje zaawansowane elementy dostarczania (skrzynki pocztowe SecOps i wiadomości symulacji wyłudzania informacji)
Podczas analizy klastrowania poczty e-mail wszystkie zapytania klastrowania ignorują skrzynki pocztowe Usługi SecOps i adresy URL symulacji wyłudzania informacji, które są identyfikowane przez zasady dostarczania zaawansowanego. Skrzynki pocztowe secOps i adresy URL symulacji wyłudzania informacji nie są wyświetlane w zapytaniu, aby atrybuty klastrowania były proste i łatwe do odczytania. Te wykluczenia zapewniają, że wiadomości wysyłane do skrzynek pocztowych secops i wiadomości zawierające adresy URL symulacji wyłudzania informacji są ignorowane podczas analizy zagrożeń i nie są usuwane podczas korygowania.
Uwaga
Podczas otwierania klastra poczty e-mail w celu wyświetlenia go w Eksploratorze ze szczegółów klastra poczty e-mail symulacja wyłudzania informacji i filtry skrzynki pocztowej SecOps są stosowane w Eksploratorze, ale nie są wyświetlane. Jeśli zmienisz filtry Eksploratora, daty lub odświeżysz zapytanie na stronie, wykluczenia filtru symulacji wyłudzania informacji/SecOps zostaną usunięte, a pasujące wiadomości e-mail zostaną ponownie wyświetlone. Jeśli odświeżysz stronę Eksploratora przy użyciu funkcji odświeżania przeglądarki, oryginalne filtry zapytań zostaną ponownie załadowane, w tym symulacja wyłudzania informacji/filtry SecOps, ale usuwane są wszelkie wprowadzone kolejne zmiany.
Stan oczekującej akcji wiadomości e-mail aktualizacji AIR
Analiza wiadomości e-mail badania oblicza zagrożenia i lokalizacje wiadomości e-mail w czasie badania w celu utworzenia dowodów i działań dochodzeniowych. Te dane mogą stać się przestarzałe i nieaktualne, gdy akcje poza badaniem wpływają na wiadomość e-mail zaangażowaną w badanie. Na przykład ręczne wyszukiwanie i korygowanie operacji zabezpieczeń może oczyścić pocztę e-mail uwzględnioną w badaniu. Podobnie akcje usuwania zatwierdzone w równoległych badaniach lub akcje automatycznego kwarantanny ZAP mogły usunąć wiadomość e-mail. Ponadto opóźnione wykrywanie zagrożeń po dostarczeniu wiadomości e-mail może zmienić liczbę zagrożeń uwzględnionych w zapytaniach e-mail/klastrach badania.
Aby upewnić się, że akcje badania są aktualne, badania zawierające oczekujące akcje okresowo ponownie uruchamiają zapytania analizy poczty e-mail w celu zaktualizowania lokalizacji wiadomości e-mail i zagrożeń.
- Zmiana danych klastra poczty e-mail powoduje zaktualizowanie liczby zagrożeń i najnowszych lokalizacji dostarczania.
- Jeśli w skrzynce pocztowej nie ma już klastra poczty e-mail lub poczty e-mail z oczekującymi akcjami, oczekująca akcja zostanie anulowana, a złośliwy adres e-mail/klaster zostanie uznany za skorygowany.
- Po skorygowaniu lub anulowaniu wszystkich zagrożeń dochodzenia zgodnie z wcześniejszym opisem badanie przechodzi do stanu skorygowanego i pierwotnego alertu rozwiązanego.
Wyświetlanie dowodów zdarzenia dla klastrów poczty e-mail i poczty e-mail
Email dowodów na karcie Dowody i odpowiedź dla incydentu są teraz wyświetlane następujące informacje.
Z objaśnień numerowanych na rysunku:
Oprócz Centrum akcji można wykonywać akcje korygowania.
Możesz podjąć akcję korygowania dla klastrów poczty e-mail z złośliwym werdyktem (ale nie podejrzanym).
W przypadku werdyktu w sprawie spamu wiadomości e-mail wyłudzanie informacji jest podzielone na duże zaufanie i normalne wyłudzanie informacji.
W przypadku złośliwego werdyktu kategorie zagrożeń to złośliwe oprogramowanie, wyłudzanie informacji o wysokim poziomie zaufania, złośliwy adres URL i złośliwy plik.
W przypadku podejrzanego werdyktu kategorie zagrożeń to spam i zwykłe wyłudzanie informacji.
Liczba wiadomości e-mail według jest oparta na najnowszej lokalizacji dostarczania i zawiera liczniki dla poczty e-mail w skrzynkach pocztowych, a nie w skrzynkach pocztowych i lokalnych.
Zawiera datę i godzinę zapytania, które mogą zostać zaktualizowane dla najnowszych danych.
W przypadku klastrów poczty e-mail lub poczty e-mail na karcie Jednostki badania pozycja Zapobiegaj oznacza, że w skrzynce pocztowej dla tego elementu (poczty lub klastra) nie było złośliwej wiadomości e-mail. Oto przykład.
W tym przykładzie wiadomość e-mail jest złośliwa, ale nie w skrzynce pocztowej.