Поиск угроз в Обозреватель угроз и обнаружение в режиме реального времени в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Организации Microsoft 365, которые Microsoft Defender для Office 365 включены в свою подписку или приобрели в качестве надстройки, имеют Обозреватель (также известный как Обозреватель угроз) или обнаружение в режиме реального времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об обнаружении угроз Обозреватель и обнаружении в режиме реального времени в Microsoft Defender для Office 365.

Обнаружение угроз Обозреватель или обнаружение в режиме реального времени позволяет выполнять следующие действия:

  • Видеть вредоносные программы, обнаруженные функциями безопасности Microsoft 365.
  • Просмотрите URL-адрес фишинга и щелкните данные вердикта.
  • Запустите автоматизированный процесс исследования и реагирования (только Обозреватель угроз).
  • Исследуйте вредоносные сообщения электронной почты.
  • Другие возможности.

Просмотрите это короткое видео, чтобы узнать, как охотиться и исследовать угрозы электронной почты и совместной работы с помощью Defender для Office 365.

Совет

Расширенная охота в Microsoft Defender XDR поддерживает простой в использовании построитель запросов, который не использует язык запросов Kusto (KQL). Дополнительные сведения см. в статье Создание запросов в интерактивном режиме.

В этой статье приведены следующие сведения:

Совет

Сценарии электронной почты с использованием Обозреватель угроз и обнаружения в режиме реального времени см. в следующих статьях:

Если вы ищете атаки, основанные на вредоносных URL-адресах, внедренных в QR-коды, url Source фильтрQR-код в представлениях Все сообщения электронной почты, вредоносные программы и фишинга в Обозреватель угроз или в режиме реального времени позволяет искать сообщения электронной почты с URL-адресами, извлеченными из QR-кодов.

Что нужно знать перед началом работы

Пошаговое руководство по обнаружению угроз Обозреватель и в режиме реального времени

Обнаружение Обозреватель угроз или обнаружение в режиме реального времени доступно в разделе совместной работы Email & на портале Microsoft Defender по адресу https://security.microsoft.com:

  • Обнаружение в режиме реального времени доступно в Defender для Office 365 плане 1. Страница обнаружения в режиме реального времени доступна непосредственно по адресу https://security.microsoft.com/realtimereportsv3.

    Снимок экрана: выбор обнаружения в режиме реального времени в разделе совместной работы Email & на портале Microsoft Defender.

  • Обозреватель угроз доступен в Defender для Office 365 план 2. Страница Обозреватель доступна непосредственно по адресу https://security.microsoft.com/threatexplorerv3.

    Снимок экрана: выбор Обозреватель в разделе совместной работы Email & на портале Microsoft Defender.

Обозреватель угроз содержит те же сведения и возможности, что и обнаружение в режиме реального времени, но со следующими дополнительными функциями:

  • Дополнительные представления.
  • Дополнительные параметры фильтрации свойств, включая параметр для сохранения запросов.
  • Действия по поиску и исправлению угроз.

Дополнительные сведения о различиях между Defender для Office 365 планом 1 и планом 2 см. в памятку Defender для Office 365 план 1 и план 2.

Используйте вкладки (представления) в верхней части страницы, чтобы начать исследование.

Доступные представления в Обозреватель угроз и обнаружения в режиме реального времени описаны в следующей таблице:

View Угрозы
Обозреватель		 В режиме реального времени
Обнаружения		 Описание
Все сообщения электронной почты Представление по умолчанию для Обозреватель угроз. Сведения обо всех сообщениях электронной почты, отправляемых внешними пользователями в вашу организацию, или сообщениях электронной почты, отправляемых между внутренними пользователями в вашей организации.
Вредоносная программа Представление по умолчанию для обнаружения в режиме реального времени. Сведения о сообщениях электронной почты, содержащих вредоносные программы.
Фишинг Сведения о сообщениях электронной почты, содержащих фишинговые угрозы.
Кампании Сведения о вредоносных сообщениях электронной почты, которые Defender для Office 365 плане 2, выявленные в рамках скоординированной кампании фишинга или вредоносных программ.
Вредоносные программы содержимого Сведения о вредоносных файлах, обнаруженных следующими функциями:
Переходы по URL-адресу Сведения о щелчках пользователем URL-адресов в сообщениях электронной почты, сообщениях Teams, файлах SharePoint и файлах OneDrive.

Используйте фильтр даты и времени и доступные свойства фильтра в представлении, чтобы уточнить результаты:

Совет

Не забудьте выбрать Обновить после создания или обновления фильтра. Фильтры влияют на сведения на диаграмме и область сведений в представлении.

Вы можете подумать о уточнении фокуса в Обозреватель угроз или обнаружения в режиме реального времени в качестве слоев, чтобы упростить отмену действий:

  • Первый слой — это используемое представление.
  • Второй — фильтры, которые вы используете в этом представлении.

Например, вы можете отозвать шаги, предпринятые для поиска угрозы, зафиксируя свои решения, например: Чтобы найти проблему в Обозреватель угроз, я использовал представление вредоносных программ и фокус фильтра получателей.

Кроме того, обязательно протестируйте параметры отображения. Разные аудитории (например, управление) могут лучше или хуже реагировать на различные представления одних и того же данных.

Например, в Обозреватель представлении "Все сообщения электронной почты" Email представления "Источник" и "Кампании" (вкладки) доступны в области сведений в нижней части страницы:

  • Для некоторых аудиторий карта мира на вкладке Email источник может лучше показать, насколько широко распространены обнаруженные угрозы.

    Снимок экрана: карта мира в представлении источника Email в области сведений представления Все сообщения электронной почты в Обозреватель угрозы.

  • Другие могут найти подробные сведения в таблице на вкладке Кампании более полезными для передачи информации.

    Снимок экрана: таблица сведений на вкладке Кампания в представлении Все сообщения электронной почты в Обозреватель угрозы.

Эти сведения можно использовать для получения следующих результатов:

  • Чтобы показать необходимость обеспечения безопасности и защиты.
  • Для последующей демонстрации эффективности любых действий.

исследование Email

В представлениях Все сообщения электронной почты, Вредоносные программы или Фишинг в Обозреватель угроз или обнаружения в режиме реального времени результаты сообщений электронной почты отображаются в таблице на вкладке Email (представление) области сведений под диаграммой.

При появлении подозрительного сообщения электронной почты щелкните значение Тема записи в таблице. Откроется всплывающее окно сведений, содержащее сущность Open email в верхней части всплывающего окна.

Снимок экрана: действия, доступные во всплывающем элементе сведений об электронной почте после выбора значения

Страница сущности Email объединяет все, что вам нужно знать о сообщении и его содержимом, чтобы вы могли определить, является ли сообщение угрозой. Дополнительные сведения см. в статье Общие сведения о Email странице сущностей.

исправление Email

После того как вы определите, что сообщение электронной почты является угрозой, следующим шагом будет устранение угрозы. Вы устраняете угрозу в Обозреватель угроз или обнаружения в режиме реального времени с помощью действия .

Действие доступно в представлении Все сообщения электронной почты, вредоносные программы или фишинга в Обозреватель угроз или обнаружение в режиме реального времени на вкладке Email (представление) области сведений под диаграммой.

  • Выберите одну или несколько записей в таблице, выбрав поле проверка рядом с первым столбцом. Действие "Выполнить " доступно непосредственно на вкладке .

    Снимок экрана: представление Email (вкладка) таблицы сведений с выбранным сообщением и активным действием.

    Совет

    Действие "Выполнить" заменяет раскрывающийся список Действия сообщения .

    Если выбрать не более 100 записей, можно выполнить несколько действий с сообщениями в мастере выполнения действий .

    Если выбрать от 101 до 200 000 записей, в мастере выполнения действий доступны только следующие действия:

    • Угрозы Обозреватель: доступны переход к почтовому ящику и предложение по исправлению, но они являются взаимоисключающими (вы можете выбрать один или другой).
    • Обнаружение в режиме реального времени. Доступны только отправка в Корпорацию Майкрософт для проверки и создание соответствующих записей разрешений и блокировок в списке разрешенных и заблокированных клиентов.

  • Щелкните значение Subject записи в таблице. Откроется всплывающий элемент Сведений, содержащий Действие в верхней части всплывающего элемента.

    Действия, доступные на вкладке сведений после выбора значения Тема на вкладке Email области сведений в представлении Все сообщения электронной почты.

При выборе действия открывается мастер выполнения действий во всплывающем элементе. Доступные действия в мастере принятия действий в Обозреватель угроз (Defender для Office 365 план 2) и обнаружения в режиме реального времени (Defender для Office 365 план 1) перечислены в следующей таблице:

Действие Угрозы
Обозреватель		 В режиме реального времени
Detections
Перемещение в папку почтового ящика ✔¹
Отправить в Корпорацию Майкрософт для проверки
  Разрешить или заблокировать записи в списке разрешенных и заблокированных клиентов
Запуск автоматического исследования
Предложение исправления ²

¹ Для этого действия требуется роль Поиск и Purge в Email & разрешения на совместную работу. По умолчанию эта роль назначается только группам ролей "Исследователь данных " и "Управление организацией ". Вы можете добавить пользователей в эти группы ролей или создать новую группу ролей с назначенными Поиск и Purge, а также добавить пользователей в настраиваемую группу ролей.

2 Хотя это действие может показаться доступным в обнаружениях в режиме реального времени, оно недоступно в Defender для Office 365 плане 1.

³ Это действие доступно в разделе Отправить в Корпорацию Майкрософт для проверки.

Мастер принятия действий описан в следующем списке:

  1. На странице Выбор действий ответа сделайте следующее:

    • Показать все действия ответа. Этот параметр доступен только в Обозреватель угроз.

      По умолчанию некоторые действия недоступны или неактивны в зависимости от последнего расположения доставки сообщения. Чтобы отобразить все доступные действия ответа, переместите переключатель в положение Вкл.

    • Email раздел действий с сообщениями:

      Вы можете выбрать несколько действий, если вы выбрали не более 100 сообщений на вкладке Email (представление) области сведений в представлении Все сообщения электронной почты, вредоносные программы или фишинг при выборе действия.

      Вы также можете выбрать несколько действий, если вы выбрали Действие во всплывающем окне сведений после того, как вы щелкнули значение Тема записи.

      Выберите один или несколько доступных параметров:

    • Переместить в папку почтового ящика. Выберите одно из отображаемых доступных значений:

      • Нежелательная почта. Переместите сообщение в папку "Нежелательная Email".
      • Папка "Входящие". Переместите сообщение в папку "Входящие".
      • Удаленные элементы. Переместите сообщение в папку Удаленные.
      • Обратимо удаленные элементы. Удалите сообщение из папки "Удаленные" (перейдите в папку "Элементы с возможностью восстановления\Удаления"). Сообщение может быть восстановлено пользователем и администраторами.
      • Жестко удаленные элементы: очистка удаленного сообщения. Администраторы могут восстанавливать жестко удаленные элементы с помощью восстановления с одним элементом. Дополнительные сведения о жестко удаленных и обратимо удаленных элементах см. в разделе Обратимо удаленные и жестко удаленные элементы.

    • Отправить в Майкрософт для проверки. Выберите одно из отображаемых доступных значений:

      • Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что сообщение чисто. Отобразятся следующие параметры:

        • Разрешить такие сообщения: если вы выберете это значение, в список разрешенных и заблокированных клиентов добавляются записи разрешения для отправителя и все связанные URL-адреса или вложения в сообщении. Также отображаются следующие параметры:
          • Удалить запись после. Значение по умолчанию — 1 день, но можно также выбрать 7 дней, 30 дней или конкретную дату , которая меньше 30 дней.
          • Разрешить ввод. Введите необязательное примечание, содержащее дополнительные сведения.

      • Оно отображается как чистое или подозрительное. Выберите одно из этих значений, если вы не уверены и хотите получить вердикт от корпорации Майкрософт.

      • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

        • Фишинг
        • Вредоносная программа
        • Спам

        После выбора одного из этих значений откроется всплывающее окно Выбор сущностей для блокировки , в котором можно выбрать одну или несколько сущностей, связанных с сообщением (адрес отправителя, домен отправителя, URL-адреса или вложения файлов), чтобы добавить в список разрешенных и заблокированных клиентов в качестве блок-записей.

        Выбрав блокированные элементы, выберите Добавить правило блокировки , чтобы закрыть всплывающее окно Выбрать сущности для блокировки . Или не выберите элементы, а затем нажмите кнопку Отмена.

        Вернитесь на страницу Выбор действий ответа и выберите параметр окончания срока действия для записей блока:

        • Срок действия: выберите дату окончания срока действия записей блокировки.
        • Срок действия не истекает

        Отображается количество заблокированных сущностей (например, 4/4 сущностей, которые нужно заблокировать). Выберите Изменить , чтобы снова открыть правило Добавить в блок и внести изменения.

    • Запуск автоматического исследования: только Обозреватель угроз. Выберите одно из указанных ниже значений:

      • Изучение электронной почты
      • Исследование получателя
      • Исследовать отправителя. Это значение применяется только к отправителям в вашей организации.
      • Контакты получателей

    • Предложить исправление. Выберите одно из указанных ниже значений.

      • Create новое: это значение активирует действие обратимого удаления сообщения электронной почты, ожидающее действия, которое должно быть утверждено администратором в центре уведомлений. Этот результат также называется двухфакторным утверждением.

      • Добавить к существующему. Используйте это значение для применения действий к этому сообщению электронной почты из существующего исправления. В поле Отправить сообщение электронной почты в следующие исправления выберите существующее исправление.

        Совет

        Сотрудники SecOps, у которых недостаточно пермиссий, могут использовать этот параметр для создания исправления, но кто-то с разрешениями должен утвердить действие в Центре уведомлений.

    Завершив работу на странице Выбор действий ответа , нажмите кнопку Далее.

  2. На странице Выбор целевых сущностей настройте следующие параметры:

    • Имя и описание. Введите уникальное описательное имя и необязательное описание для отслеживания и идентификации выбранного действия.

    Остальная часть страницы — это таблица, в которую перечислены затронутые ресурсы. Таблица организована по следующим столбцам:

    • Затронутый ресурс. Затронутые ресурсы с предыдущей страницы. Например:
      • Адрес электронной почты получателя
      • Весь клиент
    • Действие: выбранные действия для ресурсов с предыдущей страницы. Например:
      • Значения из отправки в Майкрософт для проверки:
        • Отчет как чистый
        • Report
        • Отчет как вредоносная программа, отчет как спам или отчет как фишинг
        • Блокировка отправителя
        • Блокировка домена отправителя
        • URL-адрес блока
        • Вложение блока
      • Значения из запуска автоматического исследования:
        • Изучение электронной почты
        • Исследование получателя
        • Изучение отправителя
        • Контакты получателей
      • Значения из предложения исправления:
        • Create новое исправление
        • Добавление к существующему исправлению
    • Целевая сущность: например:
      • Значение идентификатора сетевого сообщения сообщения электронной почты.
      • Адрес электронной почты заблокированного отправителя.
      • Домен заблокированного отправителя.
      • Заблокированный URL-адрес.
      • Заблокированное вложение.
    • Срок действия истекает: значения существуют только для разрешенных или блокировочных записей в списке клиентов или разрешенных блокировок. Например:
      • Никогда не истечет срок действия для записей блока.
      • Дата окончания срока действия разрешенных или заблокированных записей.
    • Область. Как правило, это значение MDO.

    На этом этапе можно также отменить некоторые действия. Например, если вы хотите создать запись блока в списке разрешенных и заблокированных клиентов без отправки сущности в корпорацию Майкрософт, это можно сделать здесь.

    Завершив работу на странице Выбор целевых сущностей , нажмите кнопку Далее.

  3. На странице Проверка и отправка просмотрите предыдущие выбранные варианты.

    Выберите Экспорт , чтобы экспортировать затронутые ресурсы в CSV-файл. По умолчанию имя файла — Затронуто, assets.csv находится в папке Загрузки .

    Нажмите кнопку Назад , чтобы вернуться и изменить выбранные параметры.

    Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.

Совет

Для отображения действий на связанных страницах может потребоваться время, но скорость исправления не влияет.

Опыт поиска угроз с помощью Обозреватель угроз и обнаружения в режиме реального времени

Обнаружение угроз Обозреватель или обнаружение в режиме реального времени помогает вашей группе по операциям безопасности эффективно исследовать угрозы и реагировать на них. В следующих подразделах объясняется, как Обозреватель угроз и обнаружение в режиме реального времени могут помочь найти угрозы.

Поиск угроз из оповещений

Страница Оповещения доступна на портале Defender по адресу Инциденты & оповещения оповещения>или непосредственно по адресу https://security.microsoft.com/alerts.

Для многих оповещений со значением источника обнаруженияMDO в верхней части всплывающего окна сведения об оповещении доступно действие Просмотр сообщений в Обозреватель.

Всплывающее окно сведений об оповещении открывается, когда вы щелкаете в любом месте оповещения, кроме проверка рядом с первым столбцом. Например:

  • Обнаружен потенциально вредоносный url-адрес щелчка
  • Администратор результат отправки завершен
  • Email сообщения, содержащие вредоносный URL-адрес, удалены после доставки
  • Сообщения электронной почты удаляются после доставки
  • Сообщения, содержащие вредоносную сущность, не удалены после доставки
  • Фишинг не затмлен, так как ZAP отключен

Снимок экрана: доступные действия во всплывающем элементе сведений об оповещении со значением источника обнаружения MDO на странице Оповещения на портале Defender.

При выборе пункта Просмотреть сообщения в Обозреватель откроется Обозреватель угрозы в представлении Все сообщения электронной почты с выбранным для оповещения фильтром свойств идентификатором оповещения. Значение идентификатора оповещения — это уникальное значение GUID для оповещения (например, 89e00cdc-4312-7774-6000-08dc33a24419).

Идентификатор оповещения — это фильтруемое свойство в следующих представлениях в Обозреватель угроз и обнаружения в режиме реального времени:

В этих представлениях идентификатор оповещения доступен как доступный для выбора столбец в области сведений под диаграммой на следующих вкладках (представлениях):

Во всплывающем окне сведений о сообщении электронной почты, открывающемся при щелчке значения "Тема" из одной из записей, ссылка "Идентификатор оповещения" доступна в разделе сведений о Email всплывающего элемента. Если щелкнуть ссылку Идентификатор оповещения , откроется страница Просмотр оповещений по адресу https://security.microsoft.com/viewalertsv2 с выбранным оповещением, а для оповещения откроется всплывающее окно сведений.

Снимок экрана: всплывающее окно сведений об оповещении на странице Просмотр оповещений после выбора идентификатора оповещения во всплывающем элементе сведений о сообщении электронной почты на вкладке Email из представлений Все сообщения электронной почты, вредоносные программы или фишинга в Обозреватель угроз или обнаружения в режиме реального времени.

Теги в Обозреватель угроз

В Defender для Office 365 плане 2, если вы используете теги пользователей для маркировки учетных записей целевых объектов с высоким значением (например, тег учетной записи Priority), эти теги можно использовать в качестве фильтров. Этот метод показывает попытки фишинга, направленные на высокоценные целевые учетные записи в течение определенного периода времени. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Теги пользователей доступны в следующих расположениях в Обозреватель угроз:

Сведения об угрозах для сообщений электронной почты

Действия перед доставкой и после доставки сообщений электронной почты объединяются в одну запись независимо от различных событий после доставки, которые повлияли на сообщение. Например:

Во всплывающем элементе сведений об электронной почте на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинг отображаются связанные угрозы и соответствующие технологии обнаружения, связанные с сообщением электронной почты. Сообщение может содержать ноль, одну или несколько угроз.

  • В разделе Сведения о доставке свойство Технология обнаружения показывает технологию обнаружения, которая идентифицировала угрозу. Технология обнаружения также доступна в виде сводной диаграммы или столбца в таблице сведений для многих представлений в Обозреватель угроз и обнаружения в режиме реального времени.

  • В разделе URL-адреса отображаются конкретные сведения об угрозах для всех URL-адресов в сообщении. Например, вредоносные программы, фишинг, **Спам или Нет.

Совет

Анализ вердиктов может не обязательно быть привязан к сущностям. Перед назначением вердикта фильтры оценивают содержимое и другие сведения сообщения электронной почты. Например, сообщение электронной почты может быть классифицировано как фишинговое или нежелательное, но ни у каких URL-адресов в сообщении нет отметки с фишингом или спамом.

Выберите Открыть сущность электронной почты в верхней части всплывающего окна, чтобы просмотреть исчерпывающие сведения о сообщении электронной почты. Дополнительные сведения см. на странице сущности Email в Microsoft Defender для Office 365.

Снимок экрана: всплывающее окно сведений об электронной почте после выбора значения

Расширенные возможности в Обозреватель угроз

В следующих подразделах описываются фильтры, которые являются эксклюзивными для Обозреватель угроз.

Правила потока обработки почты для обмена (правила транспорта)

Чтобы найти сообщения, затронутые правилами потока обработки почты Exchange (также называемые правилами транспорта), в представлениях Все сообщения электронной почты, вредоносные программы и фишинга в Обозреватель угрозы (не в режиме обнаружения в режиме реального времени) доступны следующие параметры:

  • Правило транспорта Exchange — это значение, которое можно выбрать для фильтруемых свойств основного источника переопределения, источника переопределения и типа политики .
  • Правило транспорта Exchange — это фильтруемое свойство. Введите частичное текстовое значение для имени правила.

Дополнительные сведения см. по указанным ниже ссылкам.

На вкладке Email (представление) для области сведений представлений Все сообщения электронной почты, вредоносных программ и фишинга в Обозреватель также есть правило транспорта Exchange в качестве доступного столбца, который не выбран по умолчанию. В этом столбце показано имя правила транспорта. Дополнительные сведения см. по указанным ниже ссылкам.

Совет

Разрешения, необходимые для поиска правил потока обработки почты по имени в Обозреватель угроз, см. в разделе Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени. Для просмотра имен правил во всплывающие элементы сведений по электронной почте, таблицы сведений и экспортированные результаты не требуются специальные разрешения.

Входящие соединители

Соединители для входящих подключений задают определенные параметры для источников электронной почты для Microsoft 365. Дополнительные сведения см. в разделе Настройка потока обработки почты с помощью соединителей в Exchange Online.

Чтобы найти сообщения, затронутые входящими соединителями, можно использовать свойство Connector filterable для поиска соединителей по имени в представлениях Все сообщения электронной почты, вредоносные программы и фишинговые сообщения в Обозреватель угроз (а не при обнаружении в режиме реального времени). Введите частичное текстовое значение для имени соединителя. Дополнительные сведения см. по указанным ниже ссылкам.

На вкладке Email (представление) области сведений в представлениях Все сообщения электронной почты, вредоносных программ и фишинга в Обозреватель также есть доступный столбец Соединитель, который не выбран по умолчанию. В этом столбце показано имя соединителя. Дополнительные сведения см. по указанным ниже ссылкам.

Email сценарии безопасности в Обозреватель угроз и обнаружения в режиме реального времени

Конкретные сценарии см. в следующих статьях:

Другие способы использования Обозреватель угроз и обнаружения в режиме реального времени

В дополнение к сценариям, описанным в этой статье, у вас есть дополнительные возможности в Обозреватель или обнаружения в режиме реального времени. Дополнительные сведения см. в следующих статьях: