Kampanie w Ochrona usługi Office 365 w usłudze Microsoft Defender

  • Artykuł
  • Czas czytania: 12 min

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft 365 Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnych portalu Microsoft 365 Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Dotyczy

Kampanie w portalu Microsoft 365 Defender identyfikują i kategoryzuje skoordynowane ataki e-mail, w tym wyłudzanie informacji i złośliwe oprogramowanie. Zarządzanie atakami poczty e-mail przez firmę Microsoft w dyskretnych kampaniach pomoże Ci:

  • Efektywne badanie ataków wyłudzania informacji i złośliwego oprogramowania oraz reagowanie na nie, dostarczane za pośrednictwem poczty e-mail.
  • Lepiej zrozumieć zakres ataku poczty e-mail ukierunkowanego na organizację.
  • Pokaż wartość Microsoft Defender pakietu Office dla osób podejmujących decyzje w celu zapobiegania zagrożeniom pocztą e-mail.

Kampanie pozwalają zobaczyć ogólny obraz ataku e-mail szybciej i bardziej kompletne niż jakikolwiek człowiek.

Obejrzyj ten krótki film wideo o tym, jak kampanie w Ochrona usługi Office 365 w usłudze Microsoft Defender pomagają zrozumieć skoordynowane ataki poczty e-mail wymierzone w organizację.

Co to jest kampania?

Kampania to skoordynowany atak e-mail na jedną lub wiele organizacji. Email ataki, które kradną poświadczenia i dane firmowe, to duża i lukratywna branża. Wraz ze wzrostem liczby technologii w celu powstrzymania ataków osoby atakujące modyfikują swoje metody w celu zapewnienia ciągłego sukcesu.

Firma Microsoft korzysta z ogromnych ilości danych chroniących przed wyłudzaniem informacji, ochrony przed spamem i złośliwym oprogramowaniem w całej usłudze, aby ułatwić identyfikowanie kampanii. Analizujemy i klasyfikujemy informacje o ataku według kilku czynników. Przykład:

  • Źródło ataku: źródłowe adresy IP i domeny wiadomości e-mail nadawcy.
  • Właściwości komunikatu: zawartość, styl i ton komunikatów.
  • Adresaci wiadomości: jak adresaci są powiązani. Na przykład domeny adresatów, funkcje zadań adresatów (administratorzy, kadra kierownicza itp.), typy firm (duże, małe, publiczne, prywatne itp.) i branże.
  • Ładunek ataku: złośliwe linki, załączniki lub inne ładunki w komunikatach.

Kampania może być krótkotrwała lub może obejmować kilka dni, tygodni lub miesięcy z aktywnymi i nieaktywnymi okresami. Może zostać uruchomiona kampania przeciwko określonej organizacji lub twoja organizacja może być częścią większej kampanii w wielu firmach.

Kampanie w portalu Microsoft 365 Defender

Kampanie są dostępne w portalu Microsoft 365 Defender pod adresem https://security.microsoft.comEmail & kampanii współpracy> lub bezpośrednio pod adresem .https://security.microsoft.com/campaigns

Zrzut ekranu przedstawiający kampanie w portalu Microsoft 365 Defender.

Możesz również wyświetlić kampanie z:

  • & EmailEksplorator> współpracy >— wyświetlanie>kampanii
  • & EmailEksplorator> współpracy >— wyświetl> kartę Wszystkiekampaniee-mail>
  • & kartaEksplorator> współpracy > EmailView>Phish>Campaign
  • & Email kartyEksplorator> współpracy >Wyświetl>kampanięzłośliwego oprogramowania>

Wymagane licencje i uprawnienia

  • Kampanie są dostępne w planie Ochrona usługi Office 365 w usłudze Defender 2 (licencje dodatków lub zawarte w subskrypcjach, takich jak Microsoft 365 E5).
  • Aby uzyskać dostęp do kampanii, musisz być członkiem grup ról Zarządzanie organizacją, Administrator zabezpieczeń lub Czytelnik zabezpieczeń w portalu Microsoft 365 Defender. Aby uzyskać więcej informacji, zobacz Uprawnienia w portalu Microsoft 365 Defender.

Omówienie kampanii

Główna strona Kampanie to raport zagrożeń ze wszystkimi kampaniami skierowanymi do Organizacji.

Na domyślnej karcie Kampania obszar Typ kampanii zawiera wykres słupkowy pokazujący liczbę adresatów dziennie. Domyślnie na wykresie są wyświetlane zarówno dane języka Phish , jak i złośliwego oprogramowania .

Porada

Jeśli nie widzisz żadnych danych kampanii ani bardzo ograniczonych danych, spróbuj zmienić zakres dat lub filtry.

Tabela poniżej wykresu na stronie przeglądu zawiera następujące informacje na karcie Kampania :

  • Nazwa

  • Przykładowy temat: wiersz tematu jednego z komunikatów w kampanii. Pamiętaj, że wszystkie komunikaty w kampanii nie muszą mieć tego samego tematu.

  • Docelowe: wartość procentowa obliczona przez: (liczba adresatów kampanii w organizacji) / (całkowita liczba adresatów w kampanii we wszystkich organizacjach w usłudze). Ta wartość wskazuje stopień, w jakim kampania jest kierowana tylko do organizacji (wyższa wartość) a także skierowana do innych organizacji w usłudze (niższa wartość).

  • Typ: Ta wartość to Phish lub Malware.

  • Podtyp: ta wartość zawiera więcej szczegółów na temat kampanii. Przykład:

    • Phish: Jeśli jest dostępna, marka, która jest phished przez tę kampanię. Na przykład , Microsoft, 365, Unknown, Outlooklub DocuSign.
    • Złośliwe oprogramowanie: na przykład HTML/PHISH lub HTML/<MalwareFamilyName>.

    Jeśli jest dostępna, marka, która jest phished przez tę kampanię. Gdy wykrywanie jest sterowane przez technologię Ochrona usługi Office 365 w usłudze Defender, prefiks ATP — jest dodawany do wartości podtypu.

  • Adresaci: liczba użytkowników objętych tą kampanią.

  • Skrzynka odbiorcza: liczba użytkowników, którzy odebrali komunikaty z tej kampanii w skrzynce odbiorczej (nie są dostarczane do folderu Junk Email).

  • Kliknięto: liczba użytkowników, którzy klikną adres URL lub otworzyli załącznik w wiadomości wyłudzającej informacje.

  • Współczynnik kliknięć: procent obliczony przez "Klikniętą / skrzynkę odbiorczą". Ta wartość jest wskaźnikiem skuteczności kampanii. Innymi słowy, jeśli adresaci byli w stanie zidentyfikować wiadomość jako wyłudzającą informacje i jeśli nie kliknęli adresu URL ładunku.

    Pamiętaj, że współczynnik kliknięć nie jest używany w kampaniach złośliwego oprogramowania.

  • Odwiedzone: Ilu użytkowników faktycznie dotarło do witryny sieci Web ładunku. Jeśli istnieją wartości Kliknięty , ale bezpieczne linki zablokowały dostęp do witryny internetowej, ta wartość będzie równa zero.

Na karcie Źródło kampanii są wyświetlane źródła komunikatów na mapie świata.

Filtry i ustawienia

W górnej części strony Kampania istnieje kilka ustawień filtru i zapytań, które ułatwiają znajdowanie i izolowanie określonych kampanii.

Filtry kampanii

Najbardziej podstawowym filtrowaniem, jakie można wykonać, jest data/godzina rozpoczęcia oraz data/godzina zakończenia.

Aby jeszcze bardziej filtrować widok, możesz wykonać pojedynczą właściwość z filtrowaniem wielu wartości, klikając przycisk Typ kampanii , wybierając opcję, a następnie klikając przycisk Odśwież.

Właściwości kampanii z możliwością filtrowania, które są dostępne na przycisku Typ kampanii , zostały opisane na następującej liście:

  • Podstawowe:

    • Typ kampanii: wybierz pozycję Złośliwe oprogramowanie lub Phish. Wyczyszczenie zaznaczeń ma taki sam wynik jak wybranie obu tych opcji.
    • Nazwa kampanii
    • Podtyp kampanii
    • Nadawcy
    • Adresatów
    • Domena nadawcy
    • Temat
    • Nazwa pliku załącznika
    • Rodzina złośliwego oprogramowania
    • Tagi: użytkownicy lub grupy, dla których zastosowano określony tag użytkownika (w tym konta priorytetowe). Aby uzyskać więcej informacji na temat tagów użytkowników, zobacz Tagi użytkowników.
    • Akcja dostarczania
    • Dodatkowa akcja
    • Kierunkowość
    • Technologia wykrywania
    • Oryginalna lokalizacja dostarczania
    • Najnowsza lokalizacja dostarczania
    • Przesłonięcia systemu

  • Zaawansowane:

    • Identyfikator komunikatu internetowego: dostępny w polu nagłówka Message-ID w nagłówku wiadomości. Przykładowa wartość to <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (zwróć uwagę na nawiasy kątowe).
    • Identyfikator komunikatu sieciowego: wartość identyfikatora GUID dostępna w polu nagłówka X-MS-Exchange-Organization-Network-Message-Id w nagłówku komunikatu.
    • Adres IP nadawcy
    • Załącznik SHA256: Aby znaleźć wartość skrótu SHA256 pliku w systemie Windows, uruchom następujące polecenie w wierszu polecenia: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
    • Identyfikator klastra
    • Identyfikator alertu
    • Identyfikator zasad alertu
    • Identyfikator kampanii
    • Sygnał adresu URL zap

  • Adresy URL:

    • Domena adresu URL
    • Domena i ścieżka adresu URL
    • Adres url
    • Ścieżka adresu URL
    • Kliknij werdykt

Aby uzyskać bardziej zaawansowane filtrowanie, w tym filtrowanie według wielu właściwości, możesz kliknąć przycisk Filtr zaawansowany , aby utworzyć zapytanie. Dostępne są te same właściwości kampanii, ale z następującymi ulepszeniami:

  • Możesz kliknąć pozycję Dodaj warunek, aby wybrać wiele warunków.
  • Między warunkami można wybrać operator And lub Or .
  • Możesz wybrać element grupy Warunek w dolnej części listy warunków, aby utworzyć złożone warunki złożone.

Po zakończeniu kliknij przycisk Zapytanie .

Po utworzeniu filtru podstawowego lub zaawansowanego możesz go zapisać przy użyciu polecenia Zapisz zapytanie lub Zapisz zapytanie jako. Później, po powrocie do strony Kampanie , możesz załadować zapisany filtr, klikając pozycję Zapisane ustawienia zapytania.

Aby wyeksportować wykres lub listę kampanii, kliknij pozycję Eksportuj i wybierz pozycję Eksportuj dane wykresu lub Eksportuj listę kampanii.

Jeśli masz subskrypcję Ochrona punktu końcowego w usłudze Microsoft Defender, możesz kliknąć pozycję Ustawienia zarządzania urządzeniami przenośnymi, aby połączyć lub rozłączyć informacje o kampaniach z Ochrona punktu końcowego w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz Integrowanie Ochrona usługi Office 365 w usłudze Microsoft Defender z Ochrona punktu końcowego w usłudze Microsoft Defender.

Szczegóły kampanii

Po kliknięciu nazwy kampanii szczegóły kampanii są wyświetlane w wysuwnym oknie.

Informacje o kampanii

W górnej części widoku szczegółów kampanii dostępne są następujące informacje o kampanii:

  • Identyfikator kampanii: unikatowy identyfikator kampanii.
  • Działanie: czas trwania i aktywność kampanii.
  • Następujące dane dla wybranego filtru zakresu dat (lub wybrane na osi czasu):
  • Wpływ
  • Komunikaty: całkowita liczba adresatów.
  • Skrzynka odbiorcza: liczba komunikatów dostarczonych do skrzynki odbiorczej, a nie do folderu Junk Email.
  • Kliknięto link: Ilu użytkowników kliknął ładunek adresu URL w wiadomości wyłudzającej informacje.
  • Odwiedzone łącze: Ilu użytkowników odwiedziło adres URL.
  • Targeted(%): procent obliczony przez: (liczbę adresatów kampanii w organizacji) / (całkowita liczba adresatów w kampanii we wszystkich organizacjach w usłudze). Należy pamiętać, że ta wartość jest obliczana przez cały okres istnienia kampanii i nie zmienia się na podstawie filtrów dat.
  • Filtry daty/godziny rozpoczęcia i zakończenia danych/godziny dla przepływu kampanii zgodnie z opisem w następnej sekcji.
  • Interaktywna oś czasu działania kampanii: oś czasu pokazuje aktywność w całym okresie istnienia kampanii. Możesz zatrzymać kursor nad punktami danych na grafie, aby wyświetlić liczbę wykrytych komunikatów.

Informacje o kampanii

Przepływ kampanii

W widoku szczegółów kampanii ważne szczegóły dotyczące kampanii są prezentowane na diagramie przepływu poziomego (znanym jako diagram Sankeya ). Te szczegóły pomogą Ci zrozumieć elementy kampanii i potencjalny wpływ w organizacji.

Porada

Informacje wyświetlane na diagramie przepływu są kontrolowane przez filtr zakresu dat na osi czasu zgodnie z opisem w poprzedniej sekcji.

Szczegóły kampanii, które nie zawierają kliknięć adresu URL użytkownika

Po umieszczeniu wskaźnika myszy na pasmie poziomym na diagramie zobaczysz liczbę powiązanych komunikatów (na przykład komunikatów z określonego źródłowego adresu IP, komunikatów ze źródłowego adresu IP przy użyciu określonej domeny nadawcy itp.).

Diagram zawiera następujące informacje:

  • Adresy IP nadawcy

  • Domeny nadawcy

  • Werdykty filtru: Wartości werdyktów są związane z dostępnymi werdyktami dotyczącymi wyłudzania informacji i filtrowania spamu zgodnie z opisem w nagłówkach wiadomości antyspamowych. Dostępne wartości opisano w poniższej tabeli:

    Value Werdykt filtru spamu Opis
    Dozwolone SFV:SKN

    SFV:SKI

    		 Wiadomość została oznaczona jako niespamowana i/lub pominięta, zanim została oceniona przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako niespamowanie przez regułę przepływu poczty (znaną również jako reguła transportu).

    Wiadomość pominąła filtrowanie spamu z innych powodów. Na przykład nadawca i adresat są w tej samej organizacji.
    Zablokowany SFV:SKS Wiadomość została oznaczona jako spam, zanim została oceniona przez filtrowanie spamu. Na przykład przez regułę przepływu poczty.
    Wykryte SFV:SPM Wiadomość została oznaczona jako spam przez filtrowanie spamu.
    Nie wykryto SFV:NSPM Wiadomość została oznaczona jako niespamowana przez filtrowanie spamu.
    Wydany SFV:SKQ Wiadomość pominąła filtrowanie spamu, ponieważ została zwolniona z kwarantanny.
    Zezwalaj na dzierżawę* SFV:SKA Komunikat pominął filtrowanie spamu z powodu ustawień w zasadach ochrony przed spamem. Na przykład nadawca znajdował się na liście dozwolonych nadawców lub na liście dozwolonych domen.
    Blok dzierżawy** SFV:SKA Wiadomość została zablokowana przez filtrowanie spamu ze względu na ustawienia zasad ochrony przed spamem. Na przykład nadawca znajdował się na liście dozwolonych nadawców lub na liście dozwolonych domen.
    Zezwalaj użytkownikowi* SFV:SFE Wiadomość pominąła filtrowanie spamu, ponieważ nadawca znajdował się na liście bezpiecznych nadawców użytkownika.
    Blok użytkownika** SFV:BLK Wiadomość została zablokowana przez filtrowanie spamu, ponieważ nadawca znajdował się na liście zablokowanych nadawców użytkownika.
    ZAP nie dotyczy Automatyczne przeczyszczanie (ZAP) o zerowej godzinie przeniosło dostarczony komunikat do folderu Email-śmieci lub kwarantanny. Akcję można skonfigurować w zasadach ochrony przed spamem.

    * Przejrzyj zasady ochrony przed spamem, ponieważ dozwolona wiadomość prawdopodobnie zostałaby zablokowana przez usługę.

    ** Przejrzyj zasady ochrony przed spamem, ponieważ te wiadomości powinny zostać poddane kwarantannie, a nie dostarczone.

  • Miejsca docelowe komunikatów: prawdopodobnie chcesz zbadać komunikaty, które zostały dostarczone do adresatów (do skrzynki odbiorczej lub folderu Email śmieci), nawet jeśli użytkownicy nie klikną adresu URL ładunku w wiadomości. Można również usunąć komunikaty poddane kwarantannie z kwarantanny. Aby uzyskać więcej informacji, zobacz Kwarantanna wiadomości e-mail w EOP.

    • Usunięty folder
    • Spadła
    • Zewnętrzne: adresat znajduje się w lokalnej organizacji poczty e-mail w środowiskach hybrydowych.
    • Zakończone niepowodzeniem
    • Przekazywane
    • Skrzynki odbiorczej
    • Folder śmieci
    • Kwarantanna
    • Unknown

  • Kliknięcia adresu URL: te wartości zostały opisane w następnej sekcji.

Uwaga

We wszystkich warstwach zawierających więcej niż 10 elementów jest wyświetlanych 10 pierwszych elementów, a pozostałe są powiązane w innych.

Kliknięcia adresu URL

Gdy wiadomość wyłudzająca informacje zostanie dostarczona do folderu Skrzynka odbiorcza lub Wiadomości-śmieci Email, zawsze istnieje szansa, że użytkownik kliknie adres URL ładunku. Nie kliknięcie adresu URL jest niewielką miarą powodzenia, ale musisz określić, dlaczego wiadomość wyłudzająca informacje została nawet dostarczona do skrzynki pocztowej.

Jeśli użytkownik kliknie adres URL ładunku w wiadomości wyłudzającej informacje, akcje zostaną wyświetlone w obszarze kliknięć adresu URL diagramu w widoku szczegółów kampanii.

  • Dozwolone
  • BlockPage: adresat kliknął adres URL ładunku, ale jego dostęp do złośliwej witryny internetowej został zablokowany przez zasady bezpiecznych linków w organizacji.
  • BlockPageOverride: adresat kliknął adres URL ładunku w wiadomości, bezpieczne linki próbowały je zatrzymać, ale pozwolono mu zastąpić blok. Sprawdź zasady bezpiecznych linków , aby sprawdzić, dlaczego użytkownicy mogą zastąpić werdykt Dotyczący bezpiecznych linków i przejść do złośliwej witryny internetowej.
  • PendingDetonationPage: Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Microsoft Defender jest w trakcie otwierania i badania adresu URL ładunku w środowisku komputera wirtualnego.
  • PendingDetonationPageOverride: Adresat mógł zastąpić proces detonacji ładunku i otworzyć adres URL bez oczekiwania na wyniki.

Karty

Karty w widoku szczegółów kampanii umożliwiają dalsze badanie kampanii.

Porada

Informacje wyświetlane na kartach są kontrolowane przez filtr zakresu dat na osi czasu zgodnie z opisem w sekcji Informacje o kampanii .

  • Kliknięcia adresu URL: jeśli użytkownicy nie kliknieli adresu URL ładunku w wiadomości, ta sekcja będzie pusta. Jeśli użytkownik mógł kliknąć adres URL, zostaną wypełnione następujące wartości:

    • Użytkownika*
    • Adres url*
    • Godzina kliknięcia
    • Kliknij werdykt

  • Adresy IP nadawcy

    • Adres IP nadawcy*
    • Łączna liczba
    • Skrzynka odbiorcza
    • Nie skrzynka odbiorcza
    • Przekazano protokół SPF: nadawca został uwierzytelniony przez platformę zasad nadawcy (SPF). Nadawca, który nie przechodzi weryfikacji SPF, wskazuje nieuwierzytelnionego nadawcę lub wiadomość podszywa się pod uprawnionego nadawcę.

  • Nadawców

    • Nadawca: jest to rzeczywisty adres nadawcy w poleceniu SMTP MAIL FROM, który niekoniecznie jest adresem e-mail Od: widocznym przez użytkowników na klientach poczty e-mail.
    • Łączna liczba
    • Skrzynka odbiorcza
    • Nie skrzynka odbiorcza
    • Przekazano moduł DKIM: nadawca został uwierzytelniony przez wiadomość e-mail z identyfikatorem kluczy domeny (DKIM). Nadawca, który nie przechodzi weryfikacji DKIM wskazuje nieuwierzytelnionego nadawcę lub komunikat podszywa się pod uprawnionego nadawcę.
    • Przekazano DMARC: nadawca został uwierzytelniony przez uwierzytelnianie komunikatów oparte na domenie, raportowanie i zgodność (DMARC). Nadawca, który nie przejdzie weryfikacji DMARC, wskazuje nieuwierzytelnionego nadawcę lub wiadomość podszywa się pod uprawnionego nadawcę.

  • Załączniki

    • Pod nazwą
    • SHA256
    • Rodzina złośliwego oprogramowania
    • Łączna liczba

  • Adres url

    • Adres url*
    • Łączna liczba

* Kliknięcie tej wartości powoduje otwarcie nowego wysuwanego elementu, który zawiera więcej szczegółów na temat określonego elementu (użytkownika, adresu URL itp.) w widoku szczegółów kampanii. Aby powrócić do widoku szczegółów kampanii, kliknij pozycję Gotowe w nowym wysuwu.

Dodatkowe akcje

Przyciski w dolnej części widoku szczegółów kampanii umożliwiają badanie i rejestrowanie szczegółów kampanii:

  • Eksplorowanie komunikatów: użyj możliwości Eksploratora zagrożeń, aby dokładniej zbadać kampanię:

    • Wszystkie komunikaty: otwiera nową kartę wyszukiwania Eksploratora zagrożeń, używając wartości Identyfikator kampanii jako filtru wyszukiwania.
    • Komunikaty skrzynki odbiorczej: otwiera nową kartę wyszukiwania Eksploratora zagrożeń przy użyciu identyfikatora kampanii i lokalizacji dostarczania: Skrzynka odbiorcza jako filtr wyszukiwania.
    • Komunikaty wewnętrzne: otwiera nową kartę wyszukiwania Eksploratora zagrożeń przy użyciu identyfikatora kampanii i kierunkowości: wewnątrz organizacji jako filtru wyszukiwania.

  • Pobierz raport o zagrożeniach: pobierz szczegóły kampanii do dokumentu programu Word (domyślnie o nazwie CampaignReport.docx). Należy pamiętać, że pobieranie zawiera szczegółowe informacje z całego okresu istnienia kampanii (nie tylko wybrane daty filtru).