Share via

analiza Email w badaniach dotyczących Ochrona usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Podczas zautomatyzowanego badania alertów Ochrona usługi Office 365 w usłudze Microsoft Defender analizuje oryginalną wiadomość e-mail pod kątem zagrożeń i identyfikuje inne wiadomości e-mail związane z oryginalną wiadomością e-mail i potencjalnie częścią ataku. Ta analiza jest ważna, ponieważ ataki poczty e-mail rzadko składają się z jednej wiadomości e-mail.

Analiza poczty e-mail zautomatyzowanego badania identyfikuje klastry poczty e-mail przy użyciu atrybutów z oryginalnej wiadomości e-mail w celu wysyłania zapytań o wiadomości e-mail wysyłane i odbierane przez organizację. Ta analiza jest podobna do tego, w jaki sposób analityk operacji zabezpieczeń będzie wyszukiwał powiązane wiadomości e-mail w Eksploratorze lub Zaawansowanym wyszukiwaniu zagrożeń. Kilka zapytań służy do identyfikowania pasujących wiadomości e-mail, ponieważ osoby atakujące zwykle zmieniają parametry poczty e-mail, aby uniknąć wykrywania zabezpieczeń. Analiza klastrowania przeprowadza następujące kontrole, aby określić, jak obsługiwać pocztę e-mail biorącą udział w badaniu:

  • Analiza wiadomości e-mail tworzy zapytania (klastry) wiadomości e-mail przy użyciu atrybutów z oryginalnej wiadomości e-mail: wartości nadawcy (adres IP, domena nadawcy) i zawartość (podmiot, identyfikator klastra) w celu znalezienia wiadomości e-mail, która może być powiązana.
  • Jeśli analiza adresów URL i plików oryginalnej wiadomości e-mail wykaż, że niektóre z nich są złośliwe (czyli złośliwe oprogramowanie lub wyłudzanie informacji), tworzy również zapytania lub klastry wiadomości e-mail zawierające złośliwy adres URL lub plik.
  • Email analizy klastrowania zlicza zagrożenia związane z podobną wiadomością e-mail w klastrze, aby ustalić, czy wiadomość e-mail jest złośliwa, podejrzana lub nie ma wyraźnych zagrożeń. Jeśli klaster wiadomości e-mail pasujących do zapytania ma wystarczającą ilość spamu, normalnego wyłudzania informacji, wyłudzania informacji o wysokim poziomie zaufania lub zagrożeń złośliwego oprogramowania, klaster poczty e-mail otrzyma ten typ zagrożenia zastosowany do niego.
  • Analiza klastrowania wiadomości e-mail sprawdza również najnowszą lokalizację dostarczania oryginalnej wiadomości e-mail i wiadomości w klastrach wiadomości e-mail, aby ułatwić identyfikację wiadomości, które potencjalnie wymagają usunięcia lub zostały już skorygowane lub uniemożliwione. Ta analiza jest ważna, ponieważ osoby atakujące zmieniają złośliwą zawartość oraz zasady zabezpieczeń i ochronę mogą się różnić w zależności od skrzynki pocztowej. Ta możliwość prowadzi do sytuacji, w których złośliwa zawartość może nadal znajdować się w skrzynkach pocztowych, mimo że co najmniej jedna złośliwa wiadomość e-mail została zablokowana lub wykryta i usunięta przez automatyczne przeczyszczanie o wartości zero godzin (ZAP).
  • Email klastry, które są uważane za złośliwe ze względu na złośliwe oprogramowanie, wyłudzanie informacji o wysokim poziomie zaufania, złośliwe pliki lub złośliwe zagrożenia adresami URL, otrzymują oczekującą akcję usuwania nietrwałego wiadomości, które nadal znajdują się w skrzynce pocztowej w chmurze (skrzynka odbiorcza lub foldery Email śmieci). Jeśli złośliwe klastry poczty e-mail lub poczty e-mail to "Nie w skrzynce pocztowej" (zablokowane, poddane kwarantannie, zakończone niepowodzeniem, usunięte nietrwale itp.) lub "Lokalne/zewnętrzne" bez żadnej w skrzynce pocztowej w chmurze, nie skonfigurowano żadnej oczekującej akcji w celu ich usunięcia.
  • Jeśli którykolwiek z klastrów poczty e-mail zostanie uznany za złośliwy, zagrożenie zidentyfikowane przez klaster zostanie zastosowane z powrotem do oryginalnej wiadomości e-mail biorącej udział w badaniu. To zachowanie jest podobne do analityka operacji zabezpieczeń korzystającego z wyników wyszukiwania wiadomości e-mail w celu określenia werdyktu oryginalnej wiadomości e-mail na podstawie podobnej wiadomości e-mail. Dzięki temu system może identyfikować złośliwe wiadomości e-mail, które potencjalnie unikają wykrywania poprzez personalizację, przekształcanie, uchylanie się od płacenia podatków lub inne techniki atakujące, niezależnie od tego, czy oryginalne adresy URL, pliki lub źródłowe wskaźniki poczty e-mail są wykrywane.
  • W badaniu naruszenia zabezpieczeń użytkownika tworzone są dodatkowe klastry poczty e-mail w celu zidentyfikowania potencjalnych problemów z pocztą e-mail utworzonych przez skrzynkę pocztową. Ten proces obejmuje czysty klaster poczty e-mail (dobry adres e-mail od użytkownika, potencjalną eksfiltrację danych i potencjalną wiadomość e-mail z poleceniami/kontrolą), podejrzane klastry poczty e-mail (wiadomości e-mail zawierające spam lub normalne wyłudzanie informacji) oraz złośliwe klastry poczty e-mail (wiadomości e-mail zawierające złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania). Te klastry poczty e-mail udostępniają dane analityków operacji zabezpieczeń, aby określić inne problemy, które mogą wymagać rozwiązania z powodu naruszenia zabezpieczeń, oraz wgląd w to, które komunikaty mogły wyzwolić oryginalne alerty (na przykład wyłudzanie informacji/spam, które wyzwoliły ograniczenia wysyłania przez użytkowników)

Email analizę klastrowania za pośrednictwem podobieństwa i złośliwych zapytań jednostek gwarantuje, że problemy z pocztą e-mail zostaną w pełni zidentyfikowane i wyczyszczone, nawet jeśli zostanie zidentyfikowana tylko jedna wiadomość e-mail z ataku. Możesz użyć linków z widoków panelu szczegółów klastra poczty e-mail, aby otworzyć zapytania w Eksploratorze lub zaawansowanym wyszukiwaniu, aby przeprowadzić dokładniejszą analizę i zmienić zapytania w razie potrzeby. Ta funkcja umożliwia ręczne uściślanie i korygowanie, jeśli zapytania klastra poczty e-mail są zbyt wąskie lub zbyt szerokie (w tym niepowiązane wiadomości e-mail).

Poniżej przedstawiono dodatkowe ulepszenia analizy poczty e-mail w badaniach.

Badanie AIR ignoruje zaawansowane elementy dostarczania (skrzynki pocztowe SecOps i wiadomości symulacji wyłudzania informacji)

Podczas analizy klastrowania poczty e-mail wszystkie zapytania klastrowania ignorują skrzynki pocztowe Usługi SecOps i adresy URL symulacji wyłudzania informacji, które są identyfikowane przez zasady dostarczania zaawansowanego. Skrzynki pocztowe secOps i adresy URL symulacji wyłudzania informacji nie są wyświetlane w zapytaniu, aby atrybuty klastrowania były proste i łatwe do odczytania. Te wykluczenia zapewniają, że wiadomości wysyłane do skrzynek pocztowych secops i wiadomości zawierające adresy URL symulacji wyłudzania informacji są ignorowane podczas analizy zagrożeń i nie są usuwane podczas korygowania.

Uwaga

Podczas otwierania klastra poczty e-mail w celu wyświetlenia go w Eksploratorze ze szczegółów klastra poczty e-mail symulacja wyłudzania informacji i filtry skrzynki pocztowej SecOps są stosowane w Eksploratorze, ale nie są wyświetlane. Jeśli zmienisz filtry Eksploratora, daty lub odświeżysz zapytanie na stronie, wykluczenia filtru symulacji wyłudzania informacji/SecOps zostaną usunięte, a pasujące wiadomości e-mail zostaną ponownie wyświetlone. Jeśli odświeżysz stronę Eksploratora przy użyciu funkcji odświeżania przeglądarki, oryginalne filtry zapytań zostaną ponownie załadowane, w tym symulacja wyłudzania informacji/filtry SecOps, ale usuwane są wszelkie wprowadzone kolejne zmiany.

Stan oczekującej akcji wiadomości e-mail aktualizacji AIR

Analiza wiadomości e-mail badania oblicza zagrożenia i lokalizacje wiadomości e-mail w czasie badania w celu utworzenia dowodów i działań dochodzeniowych. Te dane mogą stać się przestarzałe i nieaktualne, gdy akcje poza badaniem wpływają na wiadomość e-mail zaangażowaną w badanie. Na przykład ręczne wyszukiwanie i korygowanie operacji zabezpieczeń może oczyścić pocztę e-mail uwzględnioną w badaniu. Podobnie akcje usuwania zatwierdzone w równoległych badaniach lub akcje automatycznego kwarantanny ZAP mogły usunąć wiadomość e-mail. Ponadto opóźnione wykrywanie zagrożeń po dostarczeniu wiadomości e-mail może zmienić liczbę zagrożeń uwzględnionych w zapytaniach e-mail/klastrach badania.

Aby upewnić się, że akcje badania są aktualne, badania zawierające oczekujące akcje okresowo ponownie uruchamiają zapytania analizy poczty e-mail w celu zaktualizowania lokalizacji wiadomości e-mail i zagrożeń.

  • Zmiana danych klastra poczty e-mail powoduje zaktualizowanie liczby zagrożeń i najnowszych lokalizacji dostarczania.
  • Jeśli w skrzynce pocztowej nie ma już klastra poczty e-mail lub poczty e-mail z oczekującymi akcjami, oczekująca akcja zostanie anulowana, a złośliwy adres e-mail/klaster zostanie uznany za skorygowany.
  • Po skorygowaniu lub anulowaniu wszystkich zagrożeń dochodzenia zgodnie z wcześniejszym opisem badanie przechodzi do stanu skorygowanego i pierwotnego alertu rozwiązanego.

Wyświetlanie dowodów zdarzenia dla klastrów poczty e-mail i poczty e-mail

Email dowodów na karcie Dowody i odpowiedź dla incydentu są teraz wyświetlane następujące informacje.

Informacje dotyczące analizy poczty e-mail w temacie Dowody i odpowiedź

Z objaśnień numerowanych na rysunku:

  1. Oprócz Centrum akcji można wykonywać akcje korygowania.

  2. Możesz podjąć akcję korygowania dla klastrów poczty e-mail z złośliwym werdyktem (ale nie podejrzanym).

  3. W przypadku werdyktu w sprawie spamu wiadomości e-mail wyłudzanie informacji jest podzielone na duże zaufanie i normalne wyłudzanie informacji.

    W przypadku złośliwego werdyktu kategorie zagrożeń to złośliwe oprogramowanie, wyłudzanie informacji o wysokim poziomie zaufania, złośliwy adres URL i złośliwy plik.

    W przypadku podejrzanego werdyktu kategorie zagrożeń to spam i zwykłe wyłudzanie informacji.

  4. Liczba wiadomości e-mail według jest oparta na najnowszej lokalizacji dostarczania i zawiera liczniki dla poczty e-mail w skrzynkach pocztowych, a nie w skrzynkach pocztowych i lokalnych.

  5. Zawiera datę i godzinę zapytania, które mogą zostać zaktualizowane dla najnowszych danych.

W przypadku klastrów poczty e-mail lub poczty e-mail na karcie Jednostki badania pozycja Zapobiegaj oznacza, że w skrzynce pocztowej dla tego elementu (poczty lub klastra) nie było złośliwej wiadomości e-mail. Oto przykład.

Zablokowana wiadomość e-mail.

W tym przykładzie wiadomość e-mail jest złośliwa, ale nie w skrzynce pocztowej.

Następne kroki