Исследование вредоносных сообщений электронной почты, доставленных в Microsoft 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Организации Microsoft 365, которые Microsoft Defender для Office 365 включены в свою подписку или приобрели в качестве надстройки, имеют Обозреватель (также известный как Обозреватель угроз) или обнаружение в режиме реального времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об обнаружении угроз Обозреватель и обнаружении в режиме реального времени в Microsoft Defender для Office 365.

Обнаружение Обозреватель угроз и обнаружение в режиме реального времени позволяют исследовать действия, которые ставят под угрозу сотрудников вашей организации, и принимать меры для защиты вашей организации. Например:

• Поиск и удаление сообщений.
• Определите IP-адрес отправителя вредоносной электронной почты.
• Запустите инцидент для дальнейшего изучения.

В этой статье объясняется, как использовать Обозреватель угроз и обнаружение в режиме реального времени для поиска вредоносных сообщений электронной почты в почтовых ящиках получателей.

Совет

Чтобы перейти непосредственно к процедурам исправления, см. статью Устранение вредоносных сообщений электронной почты, доставленных в Office 365.

Другие сценарии электронной почты с использованием Обозреватель угроз и обнаружения в режиме реального времени см. в следующих статьях:

• Поиск угроз в Обозреватель угроз и обнаружение в режиме реального времени в Microsoft Defender для Office 365
• Email безопасности с помощью Обозреватель угроз и обнаружения в режиме реального времени в Microsoft Defender для Office 365

Что нужно знать перед началом работы

• Обозреватель угроз включен в план 2 Defender для Office 365. Обнаружения в режиме реального времени включены в Defender для Office плана 1:

  • Различия между обнаружением угроз Обозреватель и обнаружением в режиме реального времени описаны в разделе Сведения об обнаружении угроз Обозреватель и обнаружение в режиме реального времени в Microsoft Defender для Office 365.
  • Различия между Defender для Office 365 планом 2 и Defender для Office 1 описаны в памятке Defender для Office 365 план 1 и план 2.

• Для свойств фильтра, требующих выбора одного или нескольких доступных значений, использование свойства в условии фильтра со всеми выбранными значениями имеет тот же результат, что и не использование свойства в условии фильтра.

• Разрешения и требования к лицензированию для Обозреватель угроз и обнаружения в режиме реального времени см. в разделе Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени.

Поиск подозрительного сообщения электронной почты, которое было доставлено

1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

   • Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
   • Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.

2. На странице обнаружения Обозреватель или в режиме реального времени выберите соответствующее представление:

   • Обозреватель угроз: убедитесь, что выбрано представление Все сообщения электронной почты.
   • Обнаружение в режиме реального времени. Убедитесь, что выбрано представление "Вредоносные программы " или выберите представление "Фишинг".

3. Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.

   

4. Create одно или несколько условий фильтра, используя некоторые или все из следующих целевых свойств и значений. Полные инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени. Например:

   • Действие доставки: действие, выполняемое по электронной почте из-за существующих политик или обнаружений. Ниже приведены полезные значения.

     • Доставлено: Email доставлен в папку "Входящие" или другую папку пользователя, в которой пользователь может получить доступ к сообщению.
     • Нежелательные файлы: Email доставлены в папку "Нежелательная Email" пользователя или папку "Удаленные", где пользователь может получить доступ к сообщению.
     • Заблокировано: Email сообщения, которые были помещены в карантин, которые не были доставлены или были удалены.

   • Исходное расположение доставки: где электронная почта отправилась до любых автоматических или ручных действий после доставки со стороны системы или администраторов (например, ZAP или перемещены в карантин). Ниже приведены полезные значения.

     • Папка "Удаленные элементы"
     • Удалено: сообщение было потеряно где-то в потоке обработки почты.
     • Сбой: сообщение не достигло почтового ящика.
     • Папка "Входящие"
     • Нежелательная почта
     • Локальный или внешний: почтовый ящик не существует в организации Microsoft 365.
     • Карантин
     • Неизвестно. Например, после доставки правило папки "Входящие" переместит сообщение в папку по умолчанию (например, Черновик или Архив), а не в папку "Входящие" или "Нежелательная Email".

   • Место последней доставки: адрес электронной почты заканчивается после любых автоматических или ручных действий после доставки системой или администраторами. Те же значения доступны в исходном расположении доставки.

   • Направление: допустимые значения:

     • Входящих
     • Внутри организации
     • Исходящий

     Эти сведения помогут определить спуфинго и олицетворение. Например, сообщения от внутренних отправителей домена должны быть внутренними, а не входящими.

   • Дополнительное действие. Допустимые значения:

     • Автоматическое исправление (Defender для Office 365 план 2)
     • Динамическая доставка. Дополнительные сведения см. в разделе Динамическая доставка в политиках безопасных вложений.
     • Исправление вручную
     • Нет
     • Выпуск карантина
     • Повторно обработано: сообщение было задним числом идентифицировано как хорошее.
     • ZAP: Дополнительные сведения см. в разделе Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365.

   • Основное переопределение. Если параметры организации или пользователя разрешают или блокируют сообщения, которые в противном случае были бы заблокированы или разрешены. Значения:

     • Разрешено политикой организации
     • Разрешено политикой пользователя
     • Заблокировано политикой организации
     • Заблокировано политикой пользователя
     • Нет

     Эти категории дополнительно уточняются свойством source переопределения Primary .

   • Источник первичного переопределения Тип политики организации или параметра пользователя, разрешающего или блокировающего сообщения, которые в противном случае были бы заблокированы или разрешены. Значения:

     • Сторонний фильтр
     • Администратор инициированные перемещения по времени
     • Блок политики защиты от вредоносных программ по типу файла: фильтр распространенных вложений в политиках защиты от вредоносных программ
     • Параметры политики защиты от нежелательнойam
     • Политика подключения: настройка фильтрации подключений
     • Правило транспорта Exchange (правило потока обработки почты)
     • Монопольный режим (переопределение пользователей) — параметр Только доверенный адрес электронной почты с адресов в списке надежных отправителей и доменов и безопасные списки рассылки в коллекции списка безопасных почтовых ящиков.
     • Фильтрация пропущена из-за локальной организации
     • Фильтр ip-регионов из политики: фильтр "Из этих стран " в политиках защиты от нежелательной почты.
     • Языковой фильтр из политики: фильтр Содержит определенные языки в политикахзащиты от нежелательной почты.
     • Моделирование фишинга. Настройка сторонних симуляций фишинга в расширенной политике доставки
     • Выпуск карантина: освобождение электронной почты в карантине
     • Почтовый ящик SecOps: настройка почтовых ящиков SecOps в расширенной политике доставки
     • Список адресов отправителей (Администратор переопределение): список разрешенных отправителей или список заблокированных отправителей в политиках защиты от нежелательной почты.
     • Список адресов отправителей (переопределение пользователей): адреса электронной почты отправителя в списке Заблокированные отправителив коллекции списка безопасных списков в почтовом ящике.
     • Список доменов отправителей (Администратор Переопределение): список разрешенных доменов или список заблокированных доменов в политиках защиты от нежелательной почты.
     • Список доменов отправителей (переопределение пользователей): домены отправителей в списке Заблокированные отправителив коллекции списка безопасных списков в почтовом ящике.
     • Блок файлов списка разрешенных и заблокированных клиентов: Create записи блоков для файлов
     • Блок адреса отправителя в списке разрешенных и заблокированных клиентов: Create блокируют записи для доменов и адресов электронной почты.
     • Подделанный блок списка клиентов: Create записей блокировки для подделанных отправителей
     • Блок URL-адресов списка разрешений и блокировок клиента: Create записей блокировки ДЛЯ URL-адресов
     • Список доверенных контактов (переопределение пользователей): параметр Доверять электронной почте из моих контактов в коллекции списка безопасных в почтовом ящике.
     • Блок файлов списка разрешенных и заблокированных клиентов: Create записи блоков для файлов
     • Доверенный домен (переопределение пользователей): домены отправителей в списке Надежные отправителив коллекции списка надежных списков в почтовом ящике.
     • Доверенный получатель (переопределение пользователей): адреса электронной почты или домены получателя в списке Надежные получатели в коллекции списка безопасных списков в почтовом ящике.
     • Только надежные отправители (переопределение пользователей).Только безопасный Списки: в параметр папки "Входящие" в коллекции списков надежных отправителей в почтовом ящике будут доставлены только сообщения от пользователей или доменов из списка надежных отправителей или списка надежных получателей.

   • Источник переопределения. Доступны те же значения, что и источник первичного переопределения.

     Совет

     На вкладке Email (представление) в области сведений представлений Все сообщения электронной почты, Вредоносные программы и Фишинг соответствующие столбцы переопределения называются Системные переопределения и Источник переопределений системы.

   • Угроза URL-адреса: допустимые значения:

     • Вредоносная программа
     • Фишинг
     • Спам

5. Завершив настройку фильтров даты и времени и свойств, выберите Обновить.

Вкладка Email (представление) в области сведений представлений Все сообщения электронной почты, вредоносные программы или фишинг содержит сведения, необходимые для расследования подозрительных сообщений электронной почты.

Например, используйте столбцы Действие доставки, Исходное расположение доставки и Расположение последней доставки на вкладке Email (представление), чтобы получить полное представление о том, куда ушли затронутые сообщения. Значения были описаны на шаге 4.

Используйте функцию Экспорт для выборочного экспорта до 200 000 отфильтрованных или нефильтрованных результатов в CSV-файл.

Исправление вредоносного сообщения электронной почты, которое было доставлено

Определив вредоносные сообщения электронной почты, которые были доставлены, их можно удалить из почтовых ящиков получателей. Инструкции см. в статье Устранение вредоносных сообщений электронной почты, доставленных в Microsoft 365.

Связанные статьи

Устранение вредоносных писем, доставленных в Office 365

Microsoft Defender для Office 365

Просмотр отчетов для Defender для Office 365