Udostępnij za pośrednictwem

Email zabezpieczeń za pomocą Eksploratora zagrożeń i wykrywania w czasie rzeczywistym w Ochrona usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Organizacje platformy Microsoft 365, które Ochrona usługi Office 365 w usłudze Microsoft Defender uwzględnione w subskrypcji lub zakupione jako dodatek, mają Eksplorator (znany również jako Eksplorator zagrożeń) lub Wykrywanie w czasie rzeczywistym. Te funkcje są zaawansowanymi narzędziami niemal w czasie rzeczywistym, które ułatwiają zespołom ds. operacji zabezpieczeń (SecOps) badanie zagrożeń i reagowanie na nie. Aby uzyskać więcej informacji, zobacz About Threat Explorer and Real-time detections in Ochrona usługi Office 365 w usłudze Microsoft Defender (Informacje o Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym w Ochrona usługi Office 365 w usłudze Microsoft Defender).

W tym artykule wyjaśniono, jak wyświetlać i badać wykryte złośliwe oprogramowanie i próby wyłudzania informacji w wiadomościach e-mail przy użyciu Eksploratora zagrożeń lub wykrywania w czasie rzeczywistym.

Porada

W przypadku innych scenariuszy poczty e-mail korzystających z Eksploratora zagrożeń i wykrywania w czasie rzeczywistym zobacz następujące artykuły:

Co należy wiedzieć przed rozpoczęciem?

Wyświetlanie wiadomości e-mail wyłudzającej informacje wysłanej do personifikowanych użytkowników i domen

Aby uzyskać więcej informacji na temat ochrony przed personifikacją użytkowników i domen w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender, zobacz Ustawienia personifikacji w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender.

W domyślnych lub niestandardowych zasadach ochrony przed wyłudzaniem informacji należy określić użytkowników i domeny w celu ochrony przed personifikacją, w tym domeny, których jesteś właścicielem (zaakceptowane domeny). W standardowych lub ścisłych wstępnie ustawionych zasadach zabezpieczeń domeny, których jesteś właścicielem, automatycznie otrzymują ochronę przed personifikacją, ale musisz określić wszystkich użytkowników lub domeny niestandardowe do ochrony przed personifikacją. Aby uzyskać instrukcje, zobacz następujące artykuły:

Wykonaj poniższe kroki, aby przejrzeć wiadomości wyłudzające informacje i wyszukać personifikowanych użytkowników lub domeny.

  1. Aby otworzyć Eksploratora zagrożeń lub wykrywanie w czasie rzeczywistym, wykonaj jedną z następujących czynności:

  2. Na stronie Wykrywanie w Eksploratorze lub W czasie rzeczywistym wybierz widok Phish . Aby uzyskać więcej informacji na temat widoku Phish , zobacz Phish view in Threat Explorer and Real-time detections (Widok języka Phish w Eksploratorze zagrożeń i wykrywanie w czasie rzeczywistym).

  3. Wybierz zakres daty/godziny. Wartość domyślna to wczoraj i dzisiaj.

  4. Wykonaj dowolną z następujących czynności:

    • Znajdź dowolne próby personifikacji użytkownika lub domeny:

      • Wybierz pole Adres nadawcy (właściwość), a następnie wybierz pozycję Technologia wykrywania w sekcji Podstawowa listy rozwijanej.
      • Sprawdź, czy jako operator filtru wybrano opcję Equal any z .
      • W polu wartość właściwości wybierz pozycję Domena personifikacji i Użytkownik personifikacji

    • Znajdź konkretne próby personifikowanych użytkowników:

      • Wybierz pole Adres nadawcy (właściwość), a następnie wybierz pozycję Personifikowany użytkownik w sekcji Podstawowa listy rozwijanej.
      • Sprawdź, czy jako operator filtru wybrano opcję Equal any z .
      • W polu wartość właściwości wprowadź pełny adres e-mail adresata. Rozdziel wiele wartości adresatów według przecinków.

    • Znajdź konkretne próby personifikacji domeny:

      • Wybierz pole Adres nadawcy (właściwość), a następnie wybierz pozycję Personifikowana domena w sekcji Podstawowa listy rozwijanej.
      • Sprawdź, czy jako operator filtru wybrano opcję Equal any z .
      • W polu wartość właściwości wprowadź domenę (na przykład contoso.com). Rozdziel wiele wartości domeny według przecinków.

  5. Wprowadź więcej warunków przy użyciu innych właściwości możliwych do filtrowania zgodnie z wymaganiami. Aby uzyskać instrukcje, zobacz Filtry właściwości w Eksploratorze zagrożeń i Wykrywanie w czasie rzeczywistym.

  6. Po zakończeniu tworzenia warunków filtru wybierz pozycję Odśwież.

  7. W obszarze szczegółów poniżej wykresu sprawdź, czy wybrano kartę Email (widok).

    Możesz posortować wpisy i wyświetlić więcej kolumn zgodnie z opisem w widoku Email dla obszaru szczegółów widoku Phish w Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym.

Eksportowanie danych kliknięcia adresu URL

Możesz wyeksportować dane kliknięcia adresu URL do pliku CSV, aby wyświetlić identyfikator komunikatu sieciowego i kliknij wartości werdyktu , co pomaga wyjaśnić, skąd pochodzi ruch kliknięcia adresu URL.

  1. Aby otworzyć Eksploratora zagrożeń lub wykrywanie w czasie rzeczywistym, wykonaj jedną z następujących czynności:

  2. Na stronie Wykrywanie w Eksploratorze lub W czasie rzeczywistym wybierz widok Phish . Aby uzyskać więcej informacji na temat widoku Phish , zobacz Phish view in Threat Explorer and Real-time detections (Widok języka Phish w Eksploratorze zagrożeń i wykrywanie w czasie rzeczywistym).

  3. Wybierz zakres daty/godziny, a następnie wybierz pozycję Odśwież. Wartość domyślna to wczoraj i dzisiaj.

  4. W obszarze szczegółów wybierz kartę Górne adresy URL lub Górne kliknięcia (widok).

  5. W widoku Górne adresy URL lub Górne kliknięcia wybierz co najmniej jeden wpis z tabeli, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz pozycję Eksportuj. Badacz>Język phish>Kliknięć>Górne adresy URL lub najważniejsze kliknięcia adresu URL zaznacz dowolny> rekord, aby otworzyć wysuwany adres URL.

Wartość Identyfikator komunikatu sieciowego umożliwia wyszukiwanie określonych komunikatów w Eksploratorze zagrożeń, wykrywaniu w czasie rzeczywistym lub narzędziach zewnętrznych. Te wyszukiwania identyfikują wiadomość e-mail skojarzoną z wynikiem kliknięcia. Posiadanie skorelowanego identyfikatora komunikatu sieciowego umożliwia szybszą i bardziej zaawansowaną analizę.

Wyświetlanie złośliwego oprogramowania wykrytego w wiadomości e-mail

Wykonaj następujące kroki w Eksploratorze zagrożeń lub wykrywaniu w czasie rzeczywistym, aby zobaczyć złośliwe oprogramowanie wykryte w wiadomości e-mail przez platformę Microsoft 365.

  1. Aby otworzyć Eksploratora zagrożeń lub wykrywanie w czasie rzeczywistym, wykonaj jedną z następujących czynności:

  2. Na stronie Wykrywanie w Eksploratorze lub W czasie rzeczywistym wybierz widok Złośliwe oprogramowanie . Aby uzyskać więcej informacji na temat widoku Phish , zobacz Widok złośliwego oprogramowania w Eksploratorze zagrożeń i Wykrywanie w czasie rzeczywistym.

  3. Wybierz zakres daty/godziny. Wartość domyślna to wczoraj i dzisiaj.

  4. Wybierz pole Adres nadawcy (właściwość), a następnie wybierz pozycję Technologia wykrywania w sekcji Podstawowa listy rozwijanej.

    • Sprawdź, czy jako operator filtru wybrano opcję Equal any z .
    • W polu wartość właściwości wybierz co najmniej jedną z następujących wartości:
      • Ochrona przed złośliwym oprogramowaniem
      • Detonacja pliku
      • Reputacja detonacji plików
      • Reputacja pliku
      • Dopasowywanie odcisku palca

  5. Wprowadź więcej warunków przy użyciu innych właściwości możliwych do filtrowania zgodnie z wymaganiami. Aby uzyskać instrukcje, zobacz Filtry właściwości w Eksploratorze zagrożeń i Wykrywanie w czasie rzeczywistym.

  6. Po zakończeniu tworzenia warunków filtru wybierz pozycję Odśwież.

Raport przedstawia wyniki wykryte przez złośliwe oprogramowanie w wiadomości e-mail przy użyciu wybranych opcji technologicznych. W tym miejscu możesz przeprowadzić dalszą analizę.

Zgłoś komunikaty jako czyste

Możesz użyć strony Przesyłanie w portalu usługi Defender pod adresem https://security.microsoft.com/reportsubmission , aby zgłaszać komunikaty jako czyste (fałszywie dodatnie) firmie Microsoft. Ale możesz również przesyłać komunikaty jako czyste do firmy Microsoft z Akcji w Eksploratorze zagrożeń lub na stronie jednostki Email.

Aby uzyskać instrukcje, zobacz Wyszukiwanie zagrożeń: Kreator akcji Take.

Aby podsumować:

  • Wybierz pozycję Wykonaj akcję przy użyciu jednej z następujących metod:

    • Wybierz co najmniej jeden komunikat z tabeli szczegółów na karcie Email (widok) w widokach Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish, wybierając pola wyboru dla wpisów.

    Lub

    • W wysuwanych szczegółach po wybraniu wiadomości z tabeli szczegółów na karcie Email (widok) w widokach Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish kliknij wartość Temat.

  • W kreatorze akcji Take wybierz pozycję Prześlij do firmy Microsoft, aby sprawdzić>, czy jestona czysta.

Wyświetl adres URL wyłudzania informacji i kliknij dane werdyktu

Ochrona bezpiecznych łączy śledzi adresy URL, które były dozwolone, blokowane i zastępowane. Ochrona bezpiecznych łączy jest domyślnie włączona dzięki wbudowanej ochronie w wstępnie ustawionych zasadach zabezpieczeń. Ochrona bezpiecznych łączy jest włączona w standardowych i rygorystycznych zasadach zabezpieczeń wstępnie ustawionych. Ochronę bezpiecznych łączy można również tworzyć i konfigurować w niestandardowych zasadach bezpiecznych łączy. Aby uzyskać więcej informacji na temat ustawień zasad bezpiecznych łączy, zobacz Ustawienia zasad Bezpieczne linki.

Wykonaj poniższe kroki, aby zobaczyć próby wyłudzania informacji przy użyciu adresów URL w wiadomościach e-mail.

  1. Aby otworzyć Eksploratora zagrożeń lub wykrywanie w czasie rzeczywistym, wykonaj jedną z następujących czynności:

  2. Na stronie Wykrywanie w Eksploratorze lub W czasie rzeczywistym wybierz widok Phish . Aby uzyskać więcej informacji na temat widoku Phish , zobacz Phish view in Threat Explorer and Real-time detections (Widok języka Phish w Eksploratorze zagrożeń i wykrywanie w czasie rzeczywistym).

  3. Wybierz zakres daty/godziny. Wartość domyślna to wczoraj i dzisiaj.

  4. Wybierz pole Adres nadawcy (właściwość), a następnie wybierz pozycję Kliknij werdykt w sekcji Adresy URL listy rozwijanej.

    • Sprawdź, czy jako operator filtru wybrano opcję Equal any z .
    • W polu wartość właściwości wybierz co najmniej jedną z następujących wartości:
      • Zablokowany
      • Przesłonięte zablokowane

    Aby uzyskać wyjaśnienia wartości werdyktu Kliknięcie , zobacz Klikanie werdyktu we właściwościach filtrowalnych w widoku Wszystkie wiadomości e-mail w Eksploratorze zagrożeń.

  5. Wprowadź więcej warunków przy użyciu innych właściwości możliwych do filtrowania zgodnie z wymaganiami. Aby uzyskać instrukcje, zobacz Filtry właściwości w Eksploratorze zagrożeń i Wykrywanie w czasie rzeczywistym.

  6. Po zakończeniu tworzenia warunków filtru wybierz pozycję Odśwież.

Karta Górne adresy URL (widok) w obszarze szczegółów poniżej wykresu przedstawia liczbę zablokowanych komunikatów, komunikatów przesyłanych jako śmieci i komunikatów dostarczanych dla pięciu pierwszych adresów URL. Aby uzyskać więcej informacji, zobacz Widok najważniejszych adresów URL dla obszaru szczegółów widoku Phish w Eksploratorze zagrożeń i Wykrywanie w czasie rzeczywistym.

Karta Kliknięcia górne (widok) w obszarze szczegółów poniżej wykresu zawiera pięć klikniętych linków, które zostały opakowane przez bezpieczne linki. Kliknięcia adresu URL nieopakowanych linków nie są tutaj wyświetlane. Aby uzyskać więcej informacji, zobacz Widok kliknięć górnych dla obszaru szczegółów widoku Phish w Eksploratorze zagrożeń i Wykrywanie w czasie rzeczywistym.

Te tabele adresów URL zawierają adresy URL, które zostały zablokowane lub odwiedzone pomimo ostrzeżenia. Te informacje pokazują potencjalne nieprawidłowe linki, które zostały wyświetlone użytkownikom. W tym miejscu możesz przeprowadzić dalszą analizę.

Wybierz adres URL z wpisu w widoku, aby uzyskać szczegółowe informacje. Aby uzyskać więcej informacji, zobacz Szczegóły adresu URL kart Górne adresy URL i Górne kliknięcia w widoku Phish.

Porada

W wysuwanych szczegółach adresu URL filtrowanie wiadomości e-mail jest usuwane w celu wyświetlenia pełnego widoku ekspozycji adresu URL w środowisku. To zachowanie pozwala filtrować określone wiadomości e-mail, znajdować określone adresy URL, które są potencjalnymi zagrożeniami, a następnie rozszerzyć swoją wiedzę na temat ekspozycji na adresy URL w środowisku bez konieczności dodawania filtrów adresów URL w widoku Języka Phish .

Interpretacja werdyktów kliknięcia

Wyniki właściwości Werdykt kliknięcia są widoczne w następujących lokalizacjach:

Wartości werdyktu są opisane na następującej liście:

  • Dozwolone: użytkownik mógł otworzyć adres URL.
  • Przesłonięte bloku: użytkownik nie może bezpośrednio otworzyć adresu URL, ale przekroczył blok, aby otworzyć adres URL.
  • Zablokowane: użytkownikowi zablokowano możliwość otwarcia adresu URL.
  • Błąd: Użytkownikowi przedstawiono stronę błędu lub wystąpił błąd podczas przechwytywania werdyktu.
  • Niepowodzenie: Wystąpił nieznany wyjątek podczas przechwytywania werdyktu. Użytkownik mógł otworzyć adres URL.
  • Brak: nie można przechwycić werdyktu dla adresu URL. Użytkownik mógł otworzyć adres URL.
  • Oczekiwanie na werdykt: Użytkownikowi przedstawiono stronę oczekującą na detonację.
  • Oczekiwanie na pominięcie werdyktu: użytkownikowi przedstawiono stronę detonacji, ale przekroczył komunikat, aby otworzyć adres URL.

Rozpoczynanie zautomatyzowanego badania i reagowania w Eksploratorze zagrożeń

Zautomatyzowane badanie i reagowanie (AIR) w planie Ochrona usługi Office 365 w usłudze Defender 2 może zaoszczędzić czas i nakład pracy podczas badania i eliminowania cyberataków. Możesz skonfigurować alerty wyzwalające podręcznik zabezpieczeń i uruchomić program AIR w Eksploratorze zagrożeń. Aby uzyskać szczegółowe informacje, zobacz Przykład: Administrator zabezpieczeń wyzwala badanie z Eksploratora.

Badanie wiadomości e-mail przy użyciu strony jednostki Email