Email безопасности с помощью Обозреватель угроз и обнаружения в режиме реального времени в Microsoft Defender для Office 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Организации Microsoft 365, которые Microsoft Defender для Office 365 включены в свою подписку или приобрели в качестве надстройки, имеют Обозреватель (также известный как Обозреватель угроз) или обнаружение в режиме реального времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об обнаружении угроз Обозреватель и обнаружении в режиме реального времени в Microsoft Defender для Office 365.

В этой статье объясняется, как просматривать и исследовать обнаруженные вредоносные программы и попытки фишинга в электронной почте с помощью Обозреватель угроз или обнаружения в режиме реального времени.

Совет

Другие сценарии электронной почты с использованием Обозреватель угроз и обнаружения в режиме реального времени см. в следующих статьях:

• Поиск угроз в Обозреватель угроз и обнаружение в режиме реального времени в Microsoft Defender для Office 365
• Исследование вредоносных сообщений электронной почты, доставленных в Microsoft 365

Что нужно знать перед началом работы

• Обозреватель угроз включен в план 2 Defender для Office 365. Обнаружения в режиме реального времени включены в Defender для Office плана 1:

  • Различия между обнаружением угроз Обозреватель и обнаружением в режиме реального времени описаны в разделе Сведения об обнаружении угроз Обозреватель и обнаружение в режиме реального времени в Microsoft Defender для Office 365.
  • Различия между Defender для Office 365 планом 2 и Defender для Office 1 описаны в памятке Defender для Office 365 план 1 и план 2.

• Разрешения и требования к лицензированию для Обозреватель угроз и обнаружения в режиме реального времени см. в разделе Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени.

Просмотр фишингового сообщения электронной почты, отправляемого олицетворенным пользователям и доменам

Дополнительные сведения о защите олицетворения пользователей и домена в политиках защиты от фишинга в Defender для Office 365 см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365.

В политиках защиты от фишинга по умолчанию или настраиваемых политиках защиты от фишинга необходимо указать пользователей и домены для защиты от олицетворения, включая принадлежащие вам домены (обслуживаемые домены). В стандартных или строгих предустановленных политиках безопасности домены, которыми вы владеете, автоматически получают защиту олицетворения, но необходимо указать всех пользователей или личные домены для защиты олицетворения. Инструкции см. в следующих статьях:

• Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365
• Настройка политик защиты от фишинга в Microsoft Defender для Office 365

Выполните следующие действия, чтобы просмотреть фишинговые сообщения и найти олицетворенных пользователей или доменов.

1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

   • Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
   • Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.

2. На странице обнаружения Обозреватель или в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении фишинга см. в разделе Представление фишинга в статье Обозреватель угроз и обнаружение в режиме реального времени.

3. Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.

4. Выполните одно из следующих действий.

   • Найдите любые попытки олицетворения пользователя или домена:

     • Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.
     • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
     • В поле значение свойства выберите домен олицетворения и пользователь олицетворения.

   • Поиск определенных попыток олицетворенных пользователей:

     • Выберите поле Адрес отправителя (свойство) и выберите олицетворенный пользователь в разделе Базовый раскрывающегося списка.
     • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
     • В поле значение свойства введите полный адрес электронной почты получателя. Разделите несколько значений получателей запятыми.

   • Поиск определенных попыток олицетворения домена:

     • Выберите поле Адрес отправителя (свойство) и выберите олицетворенный домен в разделе Базовый раскрывающегося списка.
     • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
     • В поле значение свойства введите домен (например, contoso.com). Разделите значения нескольких доменов запятыми.

5. Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.

6. Завершив создание условий фильтра, нажмите кнопку Обновить.

7. В области сведений под диаграммой убедитесь, что выбрана вкладка Email (представление).

   Вы можете отсортировать записи и отобразить дополнительные столбцы, как описано в Email представлении подробных сведений в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени.

   • Если выбрать значение Тема для записи в таблице, откроется всплывающее окно сведений о сообщении электронной почты. Этот всплывающий элемент сведений называется панелью сводки Email и содержит стандартизированную сводную информацию, которая также доступна на странице Email сущности сообщения.

     Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

     Сведения о доступных действиях в верхней части панели сводки Email для обнаружения угроз Обозреватель и обнаружения в режиме реального времени см. в разделе сведения о Email из Email области сведений в представлении Все сообщения электронной почты (те же действия также доступны в представлении Фишинг).

   • Если выбрать значение Recipient для записи в таблице, откроется другое всплывающее окно сведений. Дополнительные сведения см. в разделе Сведения о получателе из представления Email области сведений в представлении Фишинг.

Экспорт данных щелчка URL-адреса

Вы можете экспортировать данные щелчка URL-адреса в CSV-файл, чтобы просмотреть значения Идентификатор сетевого сообщения и Щелчок вердикта , которые помогут объяснить, откуда пришел трафик щелчка URL-адреса.

1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

   • Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
   • Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.

2. На странице обнаружения Обозреватель или в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении фишинга см. в разделе Представление фишинга в статье Обозреватель угроз и обнаружение в режиме реального времени.

3. Выберите диапазон даты и времени, а затем щелкните Обновить. Значение по умолчанию — вчера и сегодня.

4. В области сведений выберите вкладку Верхние URL-адреса или Верхние щелчки (представление).

5. В представлении Верхние URL-адреса или Верхний щелчок выберите одну или несколько записей из таблицы, выбрав поле проверка рядом с первым столбцом, а затем выберите Экспорт. > ОбозревательВыжатые>>url-адреса или url-адреса первые щелчки> выбирают любую запись, чтобы открыть всплывающее окно URL-адреса.

Значение идентификатора сетевых сообщений можно использовать для поиска определенных сообщений в Обозреватель угроз, обнаружениях в режиме реального времени или внешних средствах. Эти поисковые запросы определяют сообщение электронной почты, связанное с результатом щелчка. Наличие коррелированного идентификатора сетевых сообщений обеспечивает более быстрый и эффективный анализ.

Просмотр вредоносных программ, обнаруженных в электронной почте

Выполните следующие действия в разделе Обозреватель угроз или обнаружение в режиме реального времени, чтобы увидеть вредоносные программы, обнаруженные в электронной почте Microsoft 365.

1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

   • Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
   • Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.

2. На странице обнаружения Обозреватель или в режиме реального времени выберите представление Вредоносные программы. Дополнительные сведения о представлении фишинга см. в разделе Представление вредоносных программ в Обозреватель угроз и обнаружение в режиме реального времени.

3. Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.

4. Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.

   • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
   • В поле значение свойства выберите одно или несколько из следующих значений:
     • Защита от вредоносных программ
     • Отключение файла
     • Репутация отключения файла
     • Репутация файла
     • Сопоставление отпечатков

5. Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.

6. Завершив создание условий фильтра, нажмите кнопку Обновить.

В отчете отображаются результаты обнаружения вредоносных программ в электронной почте с использованием выбранных параметров технологии. Здесь можно провести дальнейший анализ.

Отчет о сообщениях как чистых

Вы можете использовать страницу Отправки на портале Defender по адресу https://security.microsoft.com/reportsubmission , чтобы сообщать о сообщениях как о чистых (ложных срабатываниях) в Корпорацию Майкрософт. Но вы также можете отправлять сообщения как чистые в Корпорацию Майкрософт из Обозреватель или обнаружения в режиме реального времени.

Инструкции см. в разделе Охота на угрозы: исправление Email.

Подводя итоги, выполните приведенные ниже действия.

• Выберите Действие , используя один из следующих методов:

  • Выберите одно или несколько сообщений из таблицы сведений на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинга, выбрав поля проверка для записей.

  Или

  • Во всплывающем окне сведений после выбора сообщения из таблицы сведений на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинга, щелкнув значение Тема.

• В мастере принятия действий выберите Отправить в Майкрософт для проверки>Я подтвердила, что она чиста.

Просмотр URL-адреса фишинга и выбор данных вердикта

Защита безопасных ссылок отслеживает разрешенные, заблокированные и переопределенные URL-адреса. Защита безопасных ссылок включена по умолчанию благодаря встроенной защите в предустановленных политиках безопасности. Защита безопасных ссылок включена в стандартных и строгих предустановленных политиках безопасности. Вы также можете создать и настроить защиту безопасных ссылок в настраиваемых политиках безопасных ссылок. Дополнительные сведения о параметрах политики безопасных ссылок см. в разделе Параметры политики безопасных ссылок.

Выполните следующие действия, чтобы просмотреть попытки фишинга с использованием URL-адресов в сообщениях электронной почты.

1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

   • Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
   • Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.

2. На странице обнаружения Обозреватель или в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении фишинга см. в разделе Представление фишинга в статье Обозреватель угроз и обнаружение в режиме реального времени.

3. Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.

4. Выберите поле Адрес отправителя (свойство) и выберите Щелкните вердикт в разделе URL-адреса раскрывающегося списка.

   • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
   • В поле значение свойства выберите одно или несколько из следующих значений:
     • Заблокировано
     • Заблокировано переопределено

   Пояснения о значениях click вердиктов см. в разделе Click verdict in Filterable properties in The Filterable properties in the All email view in Threat Обозреватель.

5. Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.

6. Завершив создание условий фильтра, нажмите кнопку Обновить.

На вкладке "Верхние URL-адреса " (представление) в области сведений под диаграммой показано количество заблокированных сообщений, сообщений нежелательной почты и сообщений, доставленных для первых пяти URL-адресов. Дополнительные сведения см. в разделе Основные URL-адреса представления сведений о представлении фишинга в статье Обнаружение угроз Обозреватель и обнаружение в режиме реального времени.

На вкладке Верхние щелчки (представление) в области сведений под диаграммой отображаются первые пять щелкаемых ссылок, которые были заключены безопасными ссылками. Здесь не отображаются переходы по URL-адресам для распакованных ссылок. Дополнительные сведения см. в разделе Представление верхних щелчков для области сведений о представлении фишинга в статье Обнаружение угроз Обозреватель и обнаружение в режиме реального времени.

В этих таблицах URL-адресов отображаются URL-адреса, которые были заблокированы или посещены, несмотря на предупреждение. Эта информация показывает потенциальные плохие ссылки, которые были представлены пользователям. Здесь можно провести дальнейший анализ.

Выберите URL-адрес из записи в представлении для получения дополнительных сведений. Дополнительные сведения см. в разделе Сведения о URL-адресе для вкладки "Верхние URL-адреса" и "Первые щелчки" в представлении фишинга.

Совет

Во всплывающем меню сведения о URL-адресе фильтрация сообщений электронной почты удаляется, чтобы отобразить полное представление о воздействии URL-адреса в вашей среде. Это позволяет фильтровать определенные сообщения электронной почты, находить определенные URL-адреса, которые представляют собой потенциальные угрозы, а затем расширять понимание уязвимости URL-адресов в вашей среде, не добавляя фильтры URL-адресов в представление фишинга .

Интерпретация вердиктов щелчков

Результаты свойства Click verdict отображаются в следующих местах:

• Щелкните сводку диаграммы вердиктов для представления "URL-адреса" в области сведений в представлении "Все сообщения электронной почты" (только Обозреватель угрозы) или "Фишинг"
• Первые щелчки в области сведений в представлении Все сообщения электронной почты в Обозреватель
• Первые щелчки для области сведений о представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени
• Представление верхних щелчков для области сведений в представлении щелчков URL-адресов в Обозреватель

Значения вердиктов описаны в следующем списке:

• Разрешено: пользователю было разрешено открыть URL-адрес.
• Блокировка переопределена: пользователю было запрещено открывать URL-адрес напрямую, но он переопределяет этот блок, чтобы открыть URL-адрес.
• Заблокировано: пользователю было запрещено открывать URL-адрес.
• Ошибка: пользователю была представлена страница ошибки или произошла ошибка при записи вердикта.
• Сбой. При записи вердикта произошло неизвестное исключение. Возможно, пользователь открыл URL-адрес.
• Нет: не удается записать вердикт для URL-адреса. Возможно, пользователь открыл URL-адрес.
• Ожидающий вердикт. Пользователю была представлена страница ожидания детонации.
• Ожидающий вердикт обошел стороной: пользователю была представлена страница детонации, но он перечеркнул сообщение, чтобы открыть URL-адрес.

Запуск автоматического исследования и реагирования в Обозреватель угроз

Автоматизированное исследование и реагирование (AIR) в Defender для Office 365 план 2 позволяет сэкономить время и усилия при расследовании и устранении кибератак. Вы можете настроить оповещения, которые активируют сборник схем безопасности, и запустить AIR в Обозреватель угроз. Дополнительные сведения см. в разделе Пример. Администратор безопасности активирует расследование из Обозреватель.

Другие статьи

Изучение электронной почты с помощью страницы сущностей Email