Email безопасности с помощью обозревателя угроз в Microsoft Defender для Office 365

  • Статья
  • Чтение занимает 5 мин

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения:

В этой статье

Примечание.

Это часть серии из трех статей , посвященной обозревателе угроз (обозреватель),безопасности электронной почты, об обнаружении обозревателя и обнаружения в режиме реального времени (например, о различиях между инструментами и разрешениях, необходимых для их работы). Другие две статьи в этой серии— поиск угроз в обозревателе угроз и обозреватель угроз и обнаружение в режиме реального времени.

В этой статье объясняется, как просматривать и исследовать вредоносные программы и попытки фишинга, обнаруженные в электронной почте функциями безопасности Microsoft 365.

Просмотр вредоносных программ, обнаруженных в электронной почте

Чтобы просмотреть обнаруженные вредоносные программы в электронной почте, отсортированные по технологии Microsoft 365, используйте представление Email > вредоносных программ обозревателя (или обнаружение в режиме реального времени). Вредоносная программа является представлением по умолчанию, поэтому она может быть выбрана сразу после открытия проводника.

  1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к разделу Email & совместной работы, а затем выберите Обозреватель или Обнаружение в режиме реального времени. Чтобы перейти непосредственно на страницу, используйте https://security.microsoft.com/threatexplorer или https://security.microsoft.com/realtimereports.

    В этом примере используется обозреватель.

    Начните с представления, выберите определенный интервал времени для исследования (при необходимости) и сфокусируйте фильтры, как описано в пошаговом руководстве по проводнику.

  2. В раскрывающемся списке Вид убедитесь, что выбран параметр Email>Malware.

  3. Щелкните Отправитель, а затем в раскрывающемся списке выберите Базовая>технология обнаружения .

    Технология обнаружения вредоносных программ

    Технологии обнаружения теперь доступны в виде фильтров для отчета.

  4. Выберите параметр и нажмите кнопку Обновить , чтобы применить этот фильтр (не обновляйте окно браузера).

    выбранная технология обнаружения

    Отчет обновляется, чтобы отобразить результаты, обнаруженные вредоносными программами в электронной почте, с помощью выбранного параметра технологии. Здесь можно провести дальнейший анализ.

Отчет о чистом сообщении в обозревателе

Вы можете использовать параметр Очистить отчет в обозревателе, чтобы сообщить о сообщении как ложноположительный результат.

  1. На портале Microsoft 365 Defender перейдите в обозреватель Email & совместной работы>, а затем в раскрывающемся списке Вид убедитесь, что выбран параметр Фишинг.

  2. Убедитесь, что вы находитесь на вкладке Email, а затем в списке сообщений выберите сообщение, которое вы хотите сообщить как о чистом.

  3. Щелкните Действия , чтобы развернуть список параметров.

  4. Прокрутите список параметров вниз, чтобы перейти к разделу Начать новую отправку , а затем выберите Отчет очистить. Появится всплывающее меню.

    Параметр

  5. Переместите ползунок в положение Вкл. В раскрывающемся списке укажите количество дней, в течение которых должно быть удалено сообщение, при необходимости добавьте заметку и нажмите кнопку Отправить.

Просмотр URL-адреса фишинга и выбор данных вердикта

Вы можете просматривать попытки фишинга через URL-адреса в электронной почте, включая список URL-адресов, которые были разрешены, заблокированы и переопределены. Чтобы определить URL-адреса, которые были щелкнуны, необходимо настроить безопасные ссылки . Убедитесь, что вы настроили политики безопасных ссылок для защиты от щелчков по времени щелчка и ведения журнала вердиктов щелчков по безопасным ссылкам.

  1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к разделу Email & совместной работы, а затем выберите Обозреватель или Обнаружение в режиме реального времени. Чтобы перейти непосредственно на страницу, используйте https://security.microsoft.com/threatexplorer или https://security.microsoft.com/realtimereports.

    В этом примере используется обозреватель.

  2. В раскрывающемся списке Вид выберите Email>Фиш.

    Меню Вид для обозревателя в контексте фишинга

  3. Щелкните Отправитель, а затем выберите URL-адреса>Щелкните вердикт в раскрывающемся списке.

  4. В появившемся окне выберите один или несколько параметров, например Заблокировано и Блокировать переопределено, а затем нажмите кнопку Обновить (не обновлять окно браузера).

    URL-адреса и щелчки вердиктов

    Отчет обновляется, чтобы отобразить две разные таблицы URL-адресов на вкладке URL-адреса под отчетом:

    • Основные URL-адреса — это URL-адреса в сообщениях, по которым вы отфильтрованы, и действие доставки электронной почты учитывается для каждого URL-адреса. В представлении Фишинговая почта этот список обычно содержит допустимые URL-адреса. Злоумышленники включают в свои сообщения сочетание хороших и плохих URL-адресов, чтобы попытаться получить их, но они делают вредоносные ссылки более интересными. Таблица URL-адресов отсортирована по общему числу сообщений электронной почты, но этот столбец скрыт, чтобы упростить представление.

    • Первые щелчки — это URL-адреса, упакованные в оболочку безопасных ссылок, которые были нажаты и отсортированы по общему количеству щелчков. Этот столбец также не отображается, чтобы упростить представление. Общее количество по столбцам указывает на количество щелчков безопасных ссылок для каждого url-адреса, щелкнув его. В представлении Фишинговая почта обычно это подозрительные или вредоносные URL-адреса. Но представление может включать URL-адреса, которые не являются угрозами, но находятся в фишинговых сообщениях. Здесь не отображаются переходы по URL-адресам для распакованных ссылок.

    В двух таблицах URL-адресов показаны основные URL-адреса в фишинговых сообщениях электронной почты по действиям доставки и расположению. В таблицах отображаются щелчки URL-адресов, которые были заблокированы или посещены, несмотря на предупреждение, поэтому вы можете увидеть, какие потенциальные плохие ссылки были представлены пользователями и что они щелкнули. Здесь можно провести дальнейший анализ. Например, под диаграммой можно увидеть первые URL-адреса в сообщениях электронной почты, которые были заблокированы в среде вашей организации.

    URL-адреса обозревателя, которые были заблокированы

    Выберите URL-адрес, чтобы просмотреть более подробные сведения.

    Примечание.

    Во всплывающем диалоговом окне URL-адрес удаляется фильтрация сообщений электронной почты, чтобы отобразить полное представление о воздействии URL-адреса в вашей среде. Это позволяет фильтровать сообщения электронной почты, которые вас беспокоят в проводнике, находить определенные URL-адреса, которые являются потенциальными угрозами, а затем расширять представление о воздействии URL-адресов в вашей среде (с помощью диалогового окна Сведения о URL-адресе), не добавляя фильтры URL-адресов в само представление проводника.

Интерпретация вердиктов щелчков

Во всплывающих окнах Email или URL-адреса, Top Clicks и в наших интерфейсах фильтрации вы увидите различные значения вердиктов щелчков:

  • Ни один: Не удалось записать вердикт для URL-адреса. Пользователь мог щелкнуть URL-адрес.
  • Разрешены: Пользователю было разрешено перейти по URL-адресу.
  • Заблокирован: Пользователю было запрещено переходить по URL-адресу.
  • Ожидается вердикт: Пользователю была представлена страница ожидания детонации.
  • Заблокировано переопределено: Пользователю было запрещено переходить непосредственно по URL-адресу. Но пользователь переопределил блок, чтобы перейти по URL-адресу.
  • Ожидающий вердикт обошел: Пользователю была представлена страница детонации. Но пользователь переопределил сообщение, чтобы получить доступ к URL-адресу.
  • Ошибка: Пользователю была представлена страница ошибки или произошла ошибка при записи вердикта.
  • Сбоя: При записи вердикта произошло неизвестное исключение. Пользователь мог щелкнуть URL-адрес.

Запуск автоматического исследования и реагирования

Примечание.

Возможности автоматического исследования и реагирования доступны в Microsoft Defender для Office 365 плане 2 и Office 365 E5.

Автоматическое исследование и реагирование могут сэкономить время и усилия, потраченные вашей командой по операциям безопасности на расследование и устранение кибератак. Помимо настройки оповещений, которые могут активировать сборник схем безопасности, можно запустить автоматизированный процесс исследования и реагирования из представления в обозревателе. Дополнительные сведения см. в разделе Пример. Администратор безопасности активирует расследование из обозревателя.

Изучение сообщений электронной почты с помощью страницы сущностей Email