Обозреватель угроз и обнаружение в режиме реального времени

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

Если в вашей организации есть Microsoft Defender для Office 365 и у вас есть необходимые разрешения, у вас есть обозреватель или обнаружение в режиме реального времени (ранее отчеты в режиме реального временисм. новые возможности!). Перейдите в раздел Управление угрозами, а затем выберите ОбозревательилиОбнаружение в режиме реального времени.

В Microsoft Defender для Office 365 план 2 вы увидите: В Microsoft Defender для Office 365 план 1 вы увидите:
Обозреватель угроз. Обнаружение в режиме реального времени

Обнаружение в обозревателе или в режиме реального времени помогает вашей группе по операциям безопасности эффективно исследовать угрозы и реагировать на них. С помощью этого отчета можно:

Улучшения возможностей охоты на угрозы

Введение идентификатора оповещения для Defender для Office 365 оповещений в обозревателе и обнаружения в режиме реального времени

Сегодня при переходе из оповещения в обозреватель угроз откроется отфильтрованное представление в обозревателе, в представлении которого отфильтровано по идентификатору политики оповещений (идентификатор политики является уникальным идентификатором политики оповещений). Мы делаем эту интеграцию более актуальной, введя идентификатор оповещения (см. пример идентификатора оповещения ниже) в обозревателе угроз и обнаружения в режиме реального времени, чтобы вы видели сообщения, относящиеся к конкретному оповещению, а также количество сообщений электронной почты. Вы также сможете увидеть, было ли сообщение частью оповещения, а также перейти от этого сообщения к конкретному оповещению.

Фильтрация по идентификатору оповещения

Продление ограничения на хранение данных и поиск в обозревателе (и обнаружение в режиме реального времени) для пробных клиентов с 7 до 30 дней

В рамках этого изменения вы сможете искать и фильтровать данные электронной почты в течение 30 дней (увеличение по сравнению с предыдущими 7 днями) в обозревателе угроз и обнаружения в режиме реального времени для клиентов пробной версии Defender для Office P1 и P2. Это не влияет на рабочие клиенты как P1, так и P2/E5, которые уже имеют 30-дневные возможности хранения данных и поиска.

Обновлены ограничения для экспорта записей для обозревателя угроз

В рамках этого обновления количество строк для Email записей, которые можно экспортировать из обозревателя угроз, увеличено с 9990 до 200 000 записей. Набор столбцов, которые можно экспортировать в настоящее время, останется прежним, но количество строк увеличится по сравнению с текущим ограничением.

Теги в обозревателе угроз

Примечание.

Функция тегов пользователей доступна в предварительной версии, доступна не всем и может быть изменена. Сведения о расписании выпусков см. в стратегии развития Microsoft 365.

Теги пользователей определяют определенные группы пользователей в Microsoft Defender для Office 365. Дополнительные сведения о тегах, включая лицензирование и конфигурацию, см. в разделе Теги пользователей.

В обозревателе угроз можно просмотреть сведения о тегах пользователей в следующих интерфейсах.

представление сетки Email

Столбец Теги в сетке электронной почты содержит все теги, примененные к почтовым ящикам отправителя или получателя. По умолчанию сначала отображаются системные теги, такие как учетные записи с приоритетом.

Фильтр тегов в представлении сетки электронной почты

Фильтрация

Теги можно использовать в качестве фильтра. Поиск только по приоритетным учетным записям или конкретным сценариям тегов пользователей. Можно также исключить результаты с определенными тегами. Объедините эту функцию с другими фильтрами, чтобы сузить область исследования.

Фильтрация тегов.

Теги, которые не отфильтрованы

всплывающее меню Email подробных сведений

Чтобы просмотреть отдельные теги для отправителя и получателя, выберите тему, чтобы открыть всплывающее окно сведений о сообщении. На вкладке Сводка теги отправителя и получателя отображаются отдельно, если они присутствуют для сообщения электронной почты. Сведения об отдельных тегах для отправителя и получателя также распространяются на экспортированные данные CSV, где эти сведения можно просмотреть в двух отдельных столбцах.

Теги сведений о Email

Сведения о тегах также отображаются во всплывающем меню щелчков URL-адреса. Чтобы просмотреть его, перейдите в раздел Фишинг или Все Email представление, а затем перейдите на вкладку URL-адреса или Переходы по URL-адресу. Выберите отдельный всплывающей элемент URL-адреса, чтобы просмотреть дополнительные сведения о щелчках для этого URL-адреса, включая теги, связанные с этим щелчком.

Обновленное представление временной шкалы

Теги URL-адресов

Узнайте больше, посмотрев это видео.

Улучшения в опыте охоты на угрозы (предстоящие)

Обновлены сведения об угрозах для сообщений электронной почты

Мы сосредоточились на улучшении платформы и качества данных, чтобы повысить точность и согласованность данных для записей электронной почты. Улучшения включают консолидацию сведений о предварительной и последующей доставке, таких как действия, выполненные по электронной почте в рамках процесса ZAP, в одну запись. Также включаются дополнительные сведения, такие как вердикт о спаме, угрозы на уровне сущности (например, какой URL-адрес был вредоносным) и последние расположения доставки.

После этих обновлений вы увидите одну запись для каждого сообщения, независимо от различных событий после доставки, влияющих на сообщение. Действия могут включать ZAP, исправление вручную (что означает действие администратора), динамическую доставку и т. д.

Помимо отображения вредоносных программ и фишинговых угроз, вы увидите вердикт о спаме, связанный с сообщением электронной почты. В сообщении электронной почты отображаются все угрозы, связанные с сообщением электронной почты, а также соответствующие технологии обнаружения. Сообщение электронной почты может содержать ноль, одну или несколько угроз. Текущие угрозы отображаются в разделе Сведения всплывающего элемента электронной почты. Для нескольких угроз (например, вредоносных программ и фишинга) в техническом поле Обнаружение отображается сопоставление обнаружения угроз, которое является технологией обнаружения, которая идентифицировала угрозу.

Набор технологий обнаружения теперь включает новые методы обнаружения, а также технологии обнаружения спама. Вы можете использовать один и тот же набор технологий обнаружения для фильтрации результатов в разных представлениях электронной почты (вредоносные программы, фишинг, все Email).

Примечание.

Анализ вердиктов может не обязательно быть привязан к сущностям. Например, сообщение электронной почты может быть классифицировано как фишинг или спам, но url-адреса, помеченные как фишинг или спам, отсутствуют. Это связано с тем, что фильтры также оценивают содержимое и другие сведения для сообщения электронной почты перед назначением вердикта.

Угрозы в URL-адресах

Теперь вы можете увидеть конкретную угрозу для URL-адреса на вкладке Сведения о всплывающем элементе электронной почты . Угроза может быть вредоносной программой, фишингом, спамом или нет.)

Угрозы URL-адресов

Обновленное представление временной шкалы (ожидается)

Обновленное представление временной шкалы

Представление временной шкалы определяет все события доставки и после доставки. Он содержит сведения об угрозе, обнаруженной в этот момент времени для подмножества этих событий. Представление временной шкалы также содержит сведения о любых дополнительных предпринятых действиях (таких как ZAP или исправление вручную), а также о результатах этого действия. Сведения о представлении временной шкалы включают:

  • Источник: Источник события. Это может быть администратор, система или пользователь.
  • Событие: Включает события верхнего уровня, такие как исходная доставка, исправление вручную, ZAP, отправка и динамическая доставка.
  • Действий: Конкретное действие, которое было выполнено в рамках действия ZAP или администратора (например, обратимое удаление).
  • Угроз: Охватывает угрозы (вредоносные программы, фишинг, спам), выявленные на этот момент времени.
  • Результат и сведения: Дополнительные сведения о результате действия, например о том, было ли оно выполнено в рамках действия ZAP или администратора.

Исходное и последнее расположение доставки

В настоящее время мы видим расположение доставки в сетке электронной почты и всплывающем элементе электронной почты. Поле Расположение доставки будет переименовано в Исходное расположение доставки. И мы представляем другое поле — Последнее расположение доставки.

Исходное место доставки даст дополнительные сведения о том, где было доставлено сообщение электронной почты. Последнее расположение доставки будет указать, куда приземлилось сообщение электронной почты после системных действий, таких как ZAP или действий администратора, таких как Перемещение к удаленным элементам. Последнее расположение доставки предназначено для того, чтобы сообщить администраторам о последнем известном расположении сообщения после доставки или любых действиях системы или администратора. Он не включает в себя действия конечных пользователей в адресе электронной почты. Например, если пользователь удалил сообщение или переместил его в архив или pst, расположение доставки сообщения не будет обновлено. Но если системное действие обновит расположение (например, ZAP привело к перемещению сообщения электронной почты в карантин), последнее место доставки будет отображаться как "карантин".

Обновленные расположения доставки

Примечание.

Существует несколько случаев, когда расположение доставки и действие доставки могут отображаться как "неизвестные":

  • Если сообщение было доставлено, вы можете увидеть расположение доставки как "доставлено", а расположение доставки — "неизвестно", но правило папки "Входящие" переместило сообщение в папку по умолчанию (например, Черновик или Архив), а не в папку "Входящие" или "Нежелательная Email".

  • Последнее расположение доставки может быть неизвестно, если предпринята попытка действия администратора или системы (например, ZAP), но сообщение не найдено. Как правило, действие происходит после того, как пользователь переместил или удалил сообщение. В таких случаях проверьте столбец Результат/Сведения на временной шкале. Найдите инструкцию "Сообщение перемещено или удалено пользователем".

Расположения доставки для временной шкалы

Дополнительные действия

После доставки сообщения электронной почты были применены дополнительные действия. Они могут включать ZAP, исправление вручную (действие, выполняемое Администратор, например обратимое удаление), динамическую доставку и повторную обработку (для сообщения электронной почты, которое было обнаружено задним числом как хорошее).

Примечание.

В рамках ожидающих изменений значение "Удалено с помощью ZAP", которое в настоящее время находится в фильтре действия доставки, удаляется. Вы сможете найти все сообщения электронной почты с попыткой ZAP с помощью дополнительных действий.

Дополнительные действия в обозревателе

Системные переопределения

Системные переопределения позволяют делать исключения в предполагаемом расположении доставки сообщения. Вы переопределяете расположение доставки, предоставленное системой, на основе угроз и других обнаружений, выявленных стеком фильтрации. Системные переопределения можно задать с помощью политики клиента или пользователя, чтобы доставить сообщение, как указано в политике. Переопределения могут определять непреднамеренное предоставление вредоносных сообщений из-за пробелов в конфигурациях, таких как слишком широкая политика безопасного отправителя, заданная пользователем. Эти значения переопределения могут быть следующими:

  • Разрешено политикой пользователя. Пользователь создает политики на уровне почтового ящика для разрешения доменов или отправителей.

  • Заблокировано политикой пользователя. Пользователь создает политики на уровне почтового ящика для блокировки доменов или отправителей.

  • Разрешено политикой организации. Группы безопасности организации устанавливают политики или правила потока почты Exchange (также известные как правила транспорта), чтобы разрешить отправителям и доменам пользователей в своей организации. Это может быть для набора пользователей или всей организации.

  • Заблокировано политикой организации. Команды безопасности организации устанавливают политики или правила потока обработки почты, чтобы блокировать отправителей, домены, языки сообщений или исходные IP-адреса для пользователей в своей организации. Это может быть применено к набору пользователей или ко всей организации.

  • Расширение файла, заблокированное политикой организации. Группа безопасности организации блокирует расширение имени файла с помощью параметров политики защиты от вредоносных программ. Теперь эти значения будут отображаться в сведениях электронной почты, чтобы помочь в расследовании. Команды Secops также могут использовать возможность полнофункционированной фильтрации для фильтрации по заблокированным расширениям файлов.

Переопределения системы в обозревателе.

Система переопределяет сетку в обозревателе

Улучшения в интерфейсе URL-адреса и щелчков

К улучшениям относятся:

  • Отображение полного url-адреса (включая все параметры запроса, которые являются частью URL-адреса) в разделе Clicks всплывающего элемента URL-адреса. В настоящее время домен и путь URL-адреса отображаются в строке заголовка. Мы расширяем эти сведения, чтобы отобразить полный URL-адрес.

  • Исправления в фильтрах URL-адресов (URL-адрес , домен URL и путь). Обновления влияют на поиск сообщений, содержащих вердикт по URL-адресу или щелчку. Мы включили поддержку поиска, не зависящей от протокола, поэтому вы можете искать URL-адрес без использования http. По умолчанию поиск по URL-адресу сопоставляется с http, если не указано другое значение явным образом. Например:

    • Выполните поиск с префиксом и без http:// префикса в полях url-адреса, ДОМЕН URL и Путь . Поисковые запросы должны показывать те же результаты.
    • Найдите https:// префикс в URL-адресе. Если значение не указано, http:// предполагается префикс.
    • / игнорируется в начале и конце url-пути, домена URL-адреса, домена URL-адреса и поля пути . / в конце поля URL-адреса не учитывается.

Уровень достоверности фишинга

Уровень достоверности фишинга помогает определить степень достоверности, с которой сообщение электронной почты было классифицировано как "фишинг". Возможные два значения: High и Normal. На начальных этапах этот фильтр будет доступен только в представлении фишинга обозревателя угроз.

Уровень достоверности фишинга в обозревателе.

Сигнал URL-адреса ZAP

Сигнал URL-адреса ZAP обычно используется для сценариев фишинговых оповещений ZAP, когда сообщение электронной почты было определено как фишинговое и удалено после доставки. Этот сигнал связывает оповещение с соответствующими результатами в обозревателе. Это один из операций ввода-вывода для оповещения.

Чтобы улучшить процесс охоты, мы обновили обозреватель угроз и обнаружение в режиме реального времени, чтобы сделать процесс охоты более согласованным. Изменения описаны здесь:

Фильтрация по тегам пользователей

Теперь вы можете выполнять сортировку и фильтрацию по системным или пользовательским тегам пользователей, чтобы быстро определить область угроз. Дополнительные сведения см. в разделе Теги пользователей.

Важно!

Фильтрация и сортировка по тегам пользователей в настоящее время доступна в общедоступной предварительной версии. Эта функция может быть существенно изменена перед выпуском в коммерческой версии. Корпорация Майкрософт не предоставляет никаких гарантий, явных или подразумеваемых, в отношении предоставленной информации о ней.

Столбец

Улучшения часового пояса

Вы увидите часовой пояс для записей электронной почты на портале, а также для экспортированных данных. Он будет отображаться в таких интерфейсах, как сетка Email, всплывающий элемент "Сведения", Email временная шкала и аналогичные сообщения электронной почты, поэтому часовой пояс для результирующих наборов будет ясным.

Просмотр часового пояса в обозревателе

Обновление в процессе обновления

Некоторые пользователи прокомментировали путаницу с автоматическим обновлением (например, как только вы измените дату, страница обновляется) и обновление вручную (для других фильтров). Аналогичным образом удаление фильтров приводит к автоматическому обновлению. Изменение фильтров при изменении запроса может привести к несогласованности поиска. Чтобы устранить эти проблемы, мы переходим к механизму фильтрации вручную.

С точки зрения взаимодействия пользователь может применить и удалить различные диапазоны фильтров (из набора фильтра и даты) и нажать кнопку обновления, чтобы отфильтровать результаты после определения запроса. Кнопка обновления теперь также выделена на экране. Мы также обновили связанные подсказки и документацию по продукту.

Кнопка

Детализация диаграммы для добавления в фильтры

Теперь можно создавать диаграммы значений условных обозначений, чтобы добавить их в качестве фильтров. Нажмите кнопку Обновить , чтобы отфильтровать результаты.

Детализация диаграмм для фильтрации

Обновления сведений о продукте

В продукте теперь доступны дополнительные сведения, например общее количество результатов поиска в сетке (см. ниже). Мы улучшили метки, сообщения об ошибках и подсказки, чтобы предоставить дополнительные сведения о фильтрах, возможностях поиска и результирующем наборе.

Сведения о продукте для просмотра

Расширенные возможности в обозревателе угроз

Основные целевые пользователи

Сегодня мы раскрываем список наиболее целевых пользователей в представлении Вредоносные программы для сообщений электронной почты в разделе Основные семейства вредоносных программ . Мы также расширим это представление в представлениях Фишинг и Все Email. Вы увидите пять основных целевых пользователей, а также количество попыток каждого пользователя для соответствующего представления. Например, для представления фишинга вы увидите количество попыток фишинга.

Вы сможете экспортировать список целевых пользователей до 3000, а также количество попыток автономного анализа для каждого представления электронной почты. Кроме того, при выборе количества попыток (например, 13 попыток на изображении ниже) откроется отфильтрованное представление в обозревателе угроз, чтобы можно было просмотреть дополнительные сведения о сообщениях электронной почты и угрозах для этого пользователя.

Наиболее целевые пользователи

Правила транспорта Exchange

В рамках обогащения данных вы сможете просмотреть все различные правила транспорта Exchange (ETR), которые были применены к сообщению. Эти сведения будут доступны в представлении сетки Email. Чтобы просмотреть его, выберите Параметры столбца в сетке и выберите Добавить правило транспорта Exchange из параметров столбца. Он также будет отображаться во всплывающем окне Сведения в сообщении электронной почты.

Вы увидите guid и имя правил транспорта, которые были применены к сообщению. Вы сможете искать сообщения, используя имя правила транспорта. Это поиск "Contains", что означает, что вы также можете выполнять частичный поиск.

Важно!

Доступность поиска по ETR и доступности имен зависит от конкретной роли, назначенной вам. Для просмотра имен ETR и поиска необходимо иметь одну из следующих ролей и разрешений. Если вам не назначена ни одной из этих ролей, вы не сможете просматривать имена правил транспорта или искать сообщения с помощью имен ETR. Однако вы можете увидеть метку ETR и сведения о GUID в Email Details. Другие возможности просмотра записей в Email Сетки, Email всплывающие элементы, Фильтры и Экспорт не затрагиваются.

  • Только EXO — защита от потери данных: Все
  • Только EXO — O365SupportViewConfig: Все
  • Microsoft Azure Active Directory или EXO — Администратор безопасности: Все
  • AAD или EXO — средство чтения безопасности: все
  • Только EXO — правила транспорта: все
  • Только EXO — конфигурация View-Only: Все

В сетке электронной почты, всплывающих элементах Сведения и Экспортированных CSV-файлах для etR отображаются имя или GUID, как показано ниже.

Правила транспорта Exchange

Входящие соединители

Соединители — это набор инструкций, которые настраивают отправку электронной почты в microsoft 365 или Office 365 организации и из нее. Они позволяют применять любые ограничения безопасности или элементы управления. В обозревателе угроз теперь можно просматривать соединители, связанные с электронной почтой, и искать сообщения электронной почты с помощью имен соединителей.

Поиск соединителей является "contains" по своей природе, что означает, что частичный поиск по ключевым словам также должен работать. В представлении "Главная сетка", во всплывающем окне "Сведения" и экспортируемом CSV соединители отображаются в формате "Имя/GUID", как показано ниже:

Сведения о соединителе

Новые функции в обозревателе угроз и обнаружения в режиме реального времени

Просмотр фишинговых сообщений электронной почты, отправляемых олицетворенным пользователям и доменам

Для выявления попыток фишинга в отношении пользователей и доменов, которые являются олицетворенных пользователей, необходимо добавить в список пользователей для защиты. Для доменов администраторы должны либо включить домены организации, либо добавить доменное имя в домены для защиты. Домены для защиты находятся на странице Политики защиты от фишинга в разделе Олицетворение .

Чтобы просмотреть фишинговые сообщения и найти олицетворенных пользователей или доменов, используйте представление Email > фишинга обозревателя.

В этом примере используется обозреватель угроз.

  1. На портале Microsoft 365 Defender (https://security.microsoft.com) выберите Обозреватель управления угрозами> (или обнаружение в режиме реального времени).

  2. В меню Вид выберите Email > Фишинг.

    Здесь можно выбрать олицетворенный домен или олицетворенного пользователя.

  3. ЛИБО выберите Олицетворенный домен, а затем введите защищенный домен в текстовое поле.

    Например, выполните поиск защищенных доменных имен, таких как contoso, contoso.com или contoso.com.au.

  4. Выберите тему любого сообщения на вкладке Email вкладке > Сведения, чтобы просмотреть дополнительные сведения олицетворения, например олицетворенный домен или обнаруженное расположение.

    ИЛИ

    Выберите Олицетворенный пользователь и введите адрес электронной почты защищенного пользователя в текстовом поле.

    Совет

    Для достижения наилучших результатов используйте полные адреса электронной почты для поиска защищенных пользователей. Вы сможете найти защищенного пользователя быстрее и успешнее при поиске firstname.lastname@contoso.com, например при изучении олицетворения пользователя. При поиске защищенного домена поиск будет принимать корневой домен (например, contoso.com) и доменное имя (contoso). При поиске корневого домена contoso.com возвращаются как олицетворения contoso.com , так и доменное имя contoso.

  5. Выберите тему любого сообщения на вкладке Email вкладке>Сведения, чтобы просмотреть дополнительные сведения олицетворения о пользователе или домене, а также обнаруженное расположение.

    Область сведений об обозревателе угроз для защищенного пользователя с расположением обнаружения и обнаруженной угрозой (здесь олицетворение пользователя с фишингом)

Примечание.

На шаге 3 или 5, если выбрать Технология обнаружения и выбрать домен олицетворения или Пользователь олицетворения соответственно, сведения на вкладке Email вкладке>Сведения о пользователе или домене и обнаруженное расположение будут отображаться только в сообщениях, связанных с пользователем или доменом, перечисленных на странице Политика защиты от фишинга.

Предварительный просмотр заголовка электронной почты и скачивание текста электронной почты

Теперь вы можете просмотреть заголовок электронной почты и скачать текст сообщения электронной почты в обозревателе угроз. Администраторы могут анализировать скачанные заголовки или сообщения электронной почты на наличие угроз. Так как скачивание сообщений электронной почты может привести к риску раскрытия информации, этот процесс контролируется управлением доступом на основе ролей (RBAC). Чтобы предоставить возможность скачивать сообщения в представлении всех сообщений электронной почты, требуется новая роль (предварительная версия). Однако для просмотра заголовка электронной почты не требуется дополнительная роль (кроме той, что требуется для просмотра сообщений в обозревателе угроз). Чтобы создать новую группу ролей с ролью предварительного просмотра, выполните следующие действия:

  1. Выберите встроенную группу ролей, которая имеет только роль предварительного просмотра, например Data Investigator или eDiscovery Manager.
  2. Выберите Копировать группу ролей.
  3. Выберите имя и описание для новой группы ролей и нажмите кнопку Далее.
  4. Измените роли, добавив и удалив роли при необходимости, но оставив роль предварительной версии.
  5. Добавьте участников, а затем выберите Создать группу ролей.

Обозреватель и обнаружение в режиме реального времени также получат новые поля, которые предоставляют более полное представление о том, куда помещатся ваши сообщения электронной почты. Эти изменения упрощают поиск операций безопасности. Но основной результат заключается в том, что вы можете быстро узнать расположение проблемных сообщений электронной почты.

Как это сделать? Состояние доставки теперь разбито на два столбца:

  • Действие доставки — состояние сообщения электронной почты.
  • Место доставки — место маршрутизации электронной почты.

Действие доставки — это действие, выполняемое по электронной почте из-за существующих политик или обнаружений. Ниже приведены возможные действия для сообщения электронной почты:

Доставлены Нежелательное Заблокировано Заменить
Email была доставлена в папку "Входящие" или папку пользователя, и пользователь может получить к ней доступ. Email была отправлена в папку "Нежелательная" или "Удаленная", и пользователь может получить к ней доступ. Сообщения электронной почты, помещенные в карантин, которые завершились сбоем или были удалены. Эти сообщения недоступны для пользователя. Email вредоносные вложения были заменены .txt файлами, которые утверждают, что вложение является вредоносным.

Вот что пользователь может видеть и не может видеть:

Доступно для конечных пользователей Недоступно для конечных пользователей
Доставлены Заблокировано
Нежелательное Заменить

Расположение доставки показывает результаты политик и обнаружения, которые выполняются после доставки. Он связан с действием доставки. Ниже приведены возможные значения:

  • Входящие или папка: сообщение электронной почты находится в папке "Входящие" или в папке (в соответствии с правилами электронной почты).
  • Локальный или внешний почтовый ящик. Почтовый ящик не существует в облаке, но является локальным.
  • Нежелательная папка. Сообщение электронной почты находится в папке Нежелательной почты пользователя.
  • Папка "Удаленные": сообщение электронной почты в папке "Удаленные" пользователя.
  • Карантин. Адрес электронной почты находится в карантине, а не в почтовом ящике пользователя.
  • Сбой: сообщение электронной почты не удалось связаться с почтовым ящиком.
  • Удалено: сообщение электронной почты было потеряно где-то в потоке обработки почты.

временная шкала Email

Временная шкала Email — это новая функция Обозревателя, которая улучшает возможности поиска для администраторов. Это сокращает время, затрачиваемое на проверку различных расположений, чтобы попытаться понять событие. Если несколько событий происходят в одно и то же время или близко к одному и тому же времени поступления сообщения, эти события отображаются в представлении временной шкалы. Некоторые события, которые происходят с вашей электронной почтой после доставки, фиксируются в столбце Специальное действие . Администраторы могут объединять сведения из временной шкалы со специальными действиями, принятыми при отправке почты, чтобы получить представление о том, как работают их политики, где почта была перенаправлена, а в некоторых случаях и какова была окончательная оценка.

Дополнительные сведения см. в статье Исследование и устранение вредоносных сообщений электронной почты, доставленных в Office 365.

Экспорт данных щелчка URL-адреса

Теперь вы можете экспортировать отчеты по щелчкам URL-адреса в Microsoft Excel, чтобы просмотреть идентификатор сетевого сообщения и вердикт по щелчку, чтобы объяснить, откуда был получен трафик щелчка URL-адреса. Вот как это работает. В разделе Управление угрозами на панели быстрого запуска Office 365 следуйте этой цепочке:

Explorer>Просмотр фишинга>Кликов>Верхние URL-адреса или URL-адреса Щелкните> любую запись, чтобы открыть всплывающее окно URL-адреса.

При выборе URL-адреса в списке на всплывающей панели появится новая кнопка Экспорт . Используйте эту кнопку для перемещения данных в электронную таблицу Excel, чтобы упростить создание отчетов.

Следуйте этому пути, чтобы добраться до того же расположения в отчете об обнаружениях в режиме реального времени:

Explorer>Обнаружение в режиме> реального времени Просмотр фишинга>Url>Верхние URL-адреса или Первые щелчки> Выберите любую запись, чтобы открыть всплывающее меню > URL-адреса, перейдите на вкладку Clicks (Щелчки).

Совет

Идентификатор сетевого сообщения сопоставляет щелчок с определенными письмами при поиске по идентификатору с помощью проводника или связанных сторонних средств. Такие поисковые запросы идентифицируют сообщение электронной почты, связанное с результатом щелчка. Наличие коррелированного идентификатора сетевых сообщений обеспечивает более быстрый и эффективный анализ.

Вкладка

Просмотр вредоносных программ, обнаруженных в электронной почте по технологиям

Предположим, вы хотите, чтобы в электронной почте обнаружены вредоносные программы, отсортированные по технологии Microsoft 365. Для этого используйте представление Email > вредоносных программ обозревателя (или обнаружение в режиме реального времени).

  1. На портале Microsoft 365 Defender (https://security.microsoft.com) выберите Обозреватель управления угрозами> (или обнаружение в режиме реального времени). (В этом примере используется обозреватель.)

  2. В меню Вид выберите Email>Malware.

    Меню

  3. Щелкните Отправитель, а затем выберите Базовая>технология обнаружения.

    Технологии обнаружения теперь доступны в виде фильтров для отчета.

    Технологии обнаружения вредоносных программ

  4. Выберите параметр. Затем нажмите кнопку Обновить , чтобы применить этот фильтр.

    Выбранная технология обнаружения

Отчет обновляется, чтобы отобразить результаты, обнаруженные вредоносными программами в электронной почте, с помощью выбранного параметра технологии. Здесь можно провести дальнейший анализ.

Просмотр URL-адреса фишинга и выбор данных вердикта

Предположим, что вы хотите просмотреть попытки фишинга через URL-адреса в электронной почте, включая список URL-адресов, которые были разрешены, заблокированы и переопределены. Чтобы определить URL-адреса, которые были щелкнуны, необходимо настроить безопасные ссылки . Убедитесь, что вы настроили политики безопасных ссылок для защиты от щелчков по времени щелчка и ведения журнала вердиктов щелчков по безопасным ссылкам.

Чтобы просмотреть URL-адреса фишинга в сообщениях и щелкнуть URL-адреса в фишинговых сообщениях, используйте представление Email>Phish обозревателя или обнаружения в режиме реального времени.

  1. На портале Microsoft 365 Defender (https://security.microsoft.com) выберите Обозреватель управления угрозами> (или обнаружение в режиме реального времени). (В этом примере используется обозреватель.)

  2. В меню Вид выберите Email>Фиш.

    Меню Вид для обозревателя в контексте фишинга

  3. Щелкните Отправитель, а затем ВЫБЕРИТЕ URL-адреса>Щелкните вердикт.

  4. Выберите один или несколько параметров, например Заблокировано и Блокировать переопределено, а затем нажмите кнопку Обновить в той же строке, что и параметры для применения этого фильтра. (Не обновляйте окно браузера.)

    URL-адреса и щелчки вердиктов

    Отчет обновляется, чтобы отобразить две разные таблицы URL-адресов на вкладке URL-адреса в отчете:

    • Основные URL-адреса — это URL-адреса в сообщениях, по которым вы отфильтрованы, и действие доставки электронной почты учитывается для каждого URL-адреса. В представлении Фишинговая почта этот список обычно содержит допустимые URL-адреса. Злоумышленники включают в свои сообщения сочетание хороших и плохих URL-адресов, чтобы попытаться получить их, но они делают вредоносные ссылки более интересными. Таблица URL-адресов отсортирована по общему числу сообщений электронной почты, но этот столбец скрыт, чтобы упростить представление.

    • Первые щелчки — это URL-адреса, упакованные в оболочку безопасных ссылок, которые были нажаты и отсортированы по общему количеству щелчков. Этот столбец также не отображается, чтобы упростить представление. Общее количество по столбцам указывает на количество щелчков безопасных ссылок для каждого url-адреса, щелкнув его. В представлении Фишинговая почта обычно это подозрительные или вредоносные URL-адреса. Но представление может включать URL-адреса, которые не являются угрозами, но находятся в фишинговых сообщениях. Здесь не отображаются переходы по URL-адресам для распакованных ссылок.

    В двух таблицах URL-адресов показаны основные URL-адреса в фишинговых сообщениях электронной почты по действиям доставки и расположению. В таблицах отображаются переходы по URL-адресу, которые были заблокированы или посещены, несмотря на предупреждение, поэтому вы можете увидеть, какие потенциальные плохие ссылки были представлены пользователям и что пользователь щелкнул. Здесь можно провести дальнейший анализ. Например, под диаграммой можно увидеть первые URL-адреса в сообщениях электронной почты, которые были заблокированы в среде вашей организации.

    URL-адреса обозревателя, которые были заблокированы

    Выберите URL-адрес, чтобы просмотреть более подробные сведения.

    Примечание.

    Во всплывающем диалоговом окне URL-адрес удаляется фильтрация сообщений электронной почты, чтобы отобразить полное представление о воздействии URL-адреса в вашей среде. Это позволяет фильтровать сообщения электронной почты, которые вас беспокоят в проводнике, находить определенные URL-адреса, которые являются потенциальными угрозами, а затем расширять представление о воздействии URL-адресов в вашей среде (с помощью диалогового окна Сведения о URL-адресе), не добавляя фильтры URL-адресов в само представление проводника.

Интерпретация вердиктов щелчков

Во всплывающем меню Email или URL-адресе, в разделе Основные щелчки, а также в наших интерфейсах фильтрации вы увидите различные значения вердиктов щелчков:

  • Ни один: Не удалось записать вердикт для URL-адреса. Пользователь мог щелкнуть URL-адрес.
  • Разрешены: Пользователю было разрешено перейти по URL-адресу.
  • Заблокирован: Пользователю было запрещено переходить по URL-адресу.
  • Ожидается вердикт: Пользователю была представлена страница ожидания детонации.
  • Заблокировано переопределено: Пользователю было запрещено переходить непосредственно по URL-адресу. Но пользователь переопределил блок, чтобы перейти по URL-адресу.
  • Ожидающий вердикт обошел: Пользователю была представлена страница детонации. Но пользователь переопределил сообщение, чтобы получить доступ к URL-адресу.
  • Ошибка: Пользователю была представлена страница ошибки или произошла ошибка при записи вердикта.
  • Сбоя: При записи вердикта произошло неизвестное исключение. Пользователь мог щелкнуть URL-адрес.

Просмотр сообщений электронной почты, сообщаемых пользователями

Предположим, что вы хотите видеть сообщения электронной почты, которые пользователи в вашей организации сообщили как нежелательные, не нежелательные или фишинговые , через надстройку "Сообщение отчета" или надстройку "Сообщить о фишинге". Чтобы просмотреть их, используйте представление Email>Подписи обозревателя (или обнаружения в режиме реального времени).

  1. На портале Microsoft 365 Defender (https://security.microsoft.com) выберите Обозреватель управления угрозами> (или обнаружение в режиме реального времени). (В этом примере используется обозреватель.)

  2. В меню Вид выберите Email>Подписи.

    Меню

  3. Щелкните Отправитель, а затем выберите Базовый>тип отчета.

  4. Выберите параметр, например Фишинг, а затем нажмите кнопку Обновить .

    Сообщается о фишинге, сообщаемом пользователем

Отчет обновляется, чтобы отобразить данные о сообщениях электронной почты, которые пользователи в вашей организации сообщили как о попытке фишинга. Эти сведения можно использовать для дальнейшего анализа и при необходимости настройки политик защиты от фишинга в Microsoft Defender для Office 365.

Запуск автоматического исследования и реагирования

Примечание.

Возможности автоматического исследования и реагирования доступны в Microsoft Defender для Office 365 плане 2 и Office 365 E5.

Автоматическое исследование и реагирование могут сэкономить время и усилия, потраченные вашей командой по операциям безопасности на расследование и устранение кибератак. Помимо настройки оповещений, которые могут активировать сборник схем безопасности, можно запустить автоматизированный процесс исследования и реагирования из представления в обозревателе. Дополнительные сведения см. в разделе Пример. Администратор безопасности активирует расследование из обозревателя.

Дополнительные способы использования обозревателя и обнаружения в режиме реального времени

В дополнение к сценариям, описанным в этой статье, с помощью обозревателя (или обнаружения в режиме реального времени) доступно множество других вариантов создания отчетов. См. следующие статьи:

Обязательные лицензии и разрешения

Для использования обозревателя или обнаружения в режиме реального времени требуется Microsoft Defender для Office 365.

  • Обозреватель входит в Defender для Office 365 план 2.
  • Отчет об обнаружении в режиме реального времени включен в Defender для Office 365 план 1.
  • Запланируйте назначение лицензий всем пользователям, которые должны быть защищены Defender для Office 365. В обозревателе и в режиме реального времени отображаются данные обнаружения для лицензированных пользователей.

Чтобы просматривать и использовать обнаружение в обозревателе или в режиме реального времени, необходимо иметь соответствующие разрешения, например разрешения, предоставленные администратору безопасности или средству чтения безопасности.

  • На портале Microsoft 365 Defender должна быть назначена одна из следующих ролей:

    • Управление организацией
    • Администратор безопасности (его можно назначить в Центре администрирования Azure Active Directory (https://aad.portal.azure.com)
    • Читатель сведений о безопасности
  • Для Exchange Online вам должна быть назначена одна из следующих ролей в Центре администрирования Exchange (EAC) или Exchange Online PowerShell:

    • Управление организацией
    • Управление организацией только с правом на просмотр
    • Получатели только для чтения
    • Управление соответствием требованиям

Дополнительные сведения о ролях и разрешениях см. в следующих ресурсах:

Различия между обозревателем угроз и обнаружением в режиме реального времени

  • Отчет об обнаружении в режиме реального времени доступен в Defender для Office 365 плане 1. Обозреватель угроз доступен в Defender для Office 365 план 2.
  • Отчет об обнаружении в режиме реального времени позволяет просматривать обнаружения в режиме реального времени. Обозреватель угроз также делает это, но он также предоставляет дополнительные сведения о данной атаке.
  • Представление "Все сообщения электронной почты " доступно в обозревателе угроз, но не в отчете об обнаружении в режиме реального времени.
  • Дополнительные возможности фильтрации и доступные действия включены в обозреватель угроз. Дополнительные сведения см. в разделе Microsoft Defender для Office 365 Service Description: Feature availability в Defender для Office 365 планах.

Изучение сообщений электронной почты с помощью страницы сущностей Email