Email säkerhet med Hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Microsoft 365-organisationer som har Microsoft Defender för Office 365 ingår i prenumerationen eller som köpts som ett tillägg har Explorer (även kallat Hotutforskaren) eller realtidsidentifieringar. Dessa funktioner är kraftfulla verktyg i nära realtid som hjälper SecOps-team (Security Operations) att undersöka och reagera på hot. Mer information finns i Om hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365.

Den här artikeln beskriver hur du visar och undersöker upptäckt skadlig kod och nätfiskeförsök i e-post med hotutforskaren eller realtidsidentifieringar.

Tips

Andra e-postscenarier med hotutforskaren och realtidsidentifieringar finns i följande artiklar:

• Hotjakt i Threat Explorer och realtidsidentifieringar i Microsoft Defender för Office 365
• Undersöka skadlig e-post som levererades i Microsoft 365

Vad behöver jag veta innan jag börjar?

• Threat Explorer ingår i Defender för Office 365 plan 2. Realtidsidentifieringar ingår i Defender för Office Plan 1:

  • Skillnaderna mellan Hotutforskaren och Realtidsidentifieringar beskrivs i Om hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365.
  • Skillnaderna mellan Defender för Office 365 plan 2 och Defender för Office Plan 1 beskrivs i Defender för Office 365 plan 1 jämfört med plan 2.

• Behörigheter och licensieringskrav för Hotutforskaren och realtidsidentifieringar finns i Behörigheter och licensiering för Hotutforskaren och Realtidsidentifieringar.

Visa nätfiskemeddelande som skickas till personifierade användare och domäner

Mer information om skydd mot användar- och domänpersonifiering i principer för skydd mot nätfiske i Defender för Office 365 finns i Personifieringsinställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365.

I standardprinciperna eller anpassade principer för skydd mot nätfiske måste du ange vilka användare och domäner som ska skyddas mot personifiering, inklusive domäner som du äger (godkända domäner). I standard- eller strikt förinställda säkerhetsprinciper får domäner som du äger automatiskt personifieringsskydd, men du måste ange alla användare eller anpassade domäner för personifieringsskydd. Anvisningar finns i följande artiklar:

• Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365
• Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365

Använd följande steg för att granska nätfiskemeddelanden och söka efter personifierade användare eller domäner.

1. Använd något av följande steg för att öppna Hotutforskaren eller Realtidsidentifieringar:

   • Hotutforskaren: I Defender-portalen på https://security.microsoft.comgår du till Email & Security>Explorer. Om du vill gå direkt till sidan Utforskaren använder du https://security.microsoft.com/threatexplorerv3.
   • Realtidsidentifieringar: I Defender-portalen på https://security.microsoft.comgår du till Email & Realtidsidentifieringar för säkerhet>. Om du vill gå direkt till sidan Realtidsidentifieringar använder du https://security.microsoft.com/realtimereportsv3.

2. På sidan Explorer eller Realtidsidentifieringar väljer du vyn Nätfiske . Mer information om phish-vyn finns i Phish view in Threat Explorer and Real-time detections (Phish-vyn i Hotutforskaren och Realtidsidentifieringar).

3. Välj datum-/tidsintervall. Standardvärdet är igår och i dag.

4. Utför något av följande steg:

   • Hitta alla personifieringsförsök för användare eller domäner:

     • Välj rutan Avsändaradress (egenskap) och välj sedan Identifieringsteknik i avsnittet Grundläggande i listrutan.
     • Kontrollera att lika med någon av har valts som filteroperator.
     • I rutan egenskapsvärde väljer du Personifieringsdomän och Personifieringsanvändare

   • Hitta specifika personifierade användarförsök:

     • Välj rutan Avsändaradress (egenskap) och välj sedan Personifierad användare i avsnittet Grundläggande i listrutan.
     • Kontrollera att lika med någon av har valts som filteroperator.
     • I rutan egenskapsvärde anger du mottagarens fullständiga e-postadress. Avgränsa flera mottagarvärden med kommatecken.

   • Hitta specifika personifierade domänförsök:

     • Välj rutan Avsändaradress (egenskap) och välj sedan Personifierad domän i avsnittet Grundläggande i listrutan.
     • Kontrollera att lika med någon av har valts som filteroperator.
     • I rutan egenskapsvärde anger du domänen (till exempel contoso.com). Avgränsa flera domänvärden med kommatecken.

5. Ange fler villkor med andra filterbara egenskaper efter behov. Anvisningar finns i Egenskapsfilter i Hotutforskaren och Realtidsidentifieringar.

6. När du är klar med att skapa filtervillkoren väljer du Uppdatera.

7. Kontrollera att fliken Email (vy) är markerad i informationsområdet under diagrammet.

   Du kan sortera posterna och visa fler kolumner enligt beskrivningen i Email vy för informationsområdet i nätfiskevyn i Hotutforskaren och Realtidsidentifieringar.

   • Om du väljer ämnesvärdet för en post i tabellen öppnas en utfälld utfällning med e-postinformation. Den här utfällbara menyn för information kallas Email sammanfattningspanel och innehåller standardiserad sammanfattningsinformation som också är tillgänglig på Email entitetssidan för meddelandet.

     Mer information om informationen i Email sammanfattningspanelen finns i panelen Email sammanfattning.

     Information om tillgängliga åtgärder överst i Email sammanfattningspanelen för Hotutforskaren och Realtidsidentifieringar finns i Email information från Email vy över informationsområdet i e-postvyn Alla (samma åtgärder är också tillgängliga från nätfiskevyn).

   • Om du väljer värdet Mottagare för en post i tabellen öppnas en annan utfälld information. Mer information finns i Mottagarinformation från Email vy över informationsområdet i vyn Nätfiske.

Exportera URL klicka på data

Du kan exportera URL:en genom att klicka på data till en CSV-fil för att visa värdena för nätverksmeddelande-ID och Klicka på omdöme , vilket förklarar var url-klicktrafiken kom ifrån.

1. Använd något av följande steg för att öppna Hotutforskaren eller Realtidsidentifieringar:

   • Hotutforskaren: I Defender-portalen på https://security.microsoft.comgår du till Email & Security>Explorer. Om du vill gå direkt till sidan Utforskaren använder du https://security.microsoft.com/threatexplorerv3.
   • Realtidsidentifieringar: I Defender-portalen på https://security.microsoft.comgår du till Email & Realtidsidentifieringar för säkerhet>. Om du vill gå direkt till sidan Realtidsidentifieringar använder du https://security.microsoft.com/realtimereportsv3.

2. På sidan Explorer eller Realtidsidentifieringar väljer du vyn Nätfiske . Mer information om phish-vyn finns i Phish view in Threat Explorer and Real-time detections (Phish-vyn i Hotutforskaren och Realtidsidentifieringar).

3. Välj datum/tid-intervallet och välj sedan Uppdatera. Standardvärdet är igår och i dag.

4. I informationsområdet väljer du fliken Översta URL:er eller Översta klick (vy).

5. I vyn Översta URL:er eller Översta klick väljer du en eller flera poster i tabellen genom att markera kryssrutan bredvid den första kolumnen och sedan välja Exportera. Utforskare>Nätfiske>Klick>De översta URL:erna eller url-toppklickarna> väljer en post för att öppna den utfällbara URL:en.

Du kan använda värdet för nätverksmeddelande-ID för att söka efter specifika meddelanden i Hotutforskaren, Realtidsidentifieringar eller externa verktyg. Dessa sökningar identifierar det e-postmeddelande som är associerat med ett klickresultat. Med det korrelerade nätverksmeddelande-ID:t blir det snabbare och mer kraftfullt att analysera.

Visa skadlig kod som identifierats i e-post

Använd följande steg i Hotutforskaren eller Realtidsidentifieringar för att se den skadliga kod som upptäckts via e-post av Microsoft 365.

1. Använd något av följande steg för att öppna Hotutforskaren eller Realtidsidentifieringar:

   • Hotutforskaren: I Defender-portalen på https://security.microsoft.comgår du till Email & Security>Explorer. Om du vill gå direkt till sidan Utforskaren använder du https://security.microsoft.com/threatexplorerv3.
   • Realtidsidentifieringar: I Defender-portalen på https://security.microsoft.comgår du till Email & Realtidsidentifieringar för säkerhet>. Om du vill gå direkt till sidan Realtidsidentifieringar använder du https://security.microsoft.com/realtimereportsv3.

2. På sidan Explorer eller Realtidsidentifieringar väljer du vyn Skadlig kod . Mer information om phish-vyn finns i vyn Skadlig kod i Hotutforskaren och Identifieringar i realtid.

3. Välj datum-/tidsintervall. Standardvärdet är igår och i dag.

4. Välj rutan Avsändaradress (egenskap) och välj sedan Identifieringsteknik i avsnittet Grundläggande i listrutan.

   • Kontrollera att lika med någon av har valts som filteroperator.
   • I rutan egenskapsvärde väljer du ett eller flera av följande värden:
     • Skydd mot skadlig kod
     • Fildetonation
     • Fildetonationsrykte
     • Filrykte
     • Matchning av fingeravtryck

5. Ange fler villkor med andra filterbara egenskaper efter behov. Anvisningar finns i Egenskapsfilter i Hotutforskaren och Realtidsidentifieringar.

6. När du är klar med att skapa filtervillkoren väljer du Uppdatera.

Rapporten visar de resultat som skadlig kod har identifierats i e-post med hjälp av de teknikalternativ som du har valt. Härifrån kan du utföra ytterligare analys.

Rapportera meddelanden som rena

Du kan använda sidan Inskickade meddelanden i Defender-portalen på https://security.microsoft.com/reportsubmission för att rapportera meddelanden som rena (falska positiva identifieringar) till Microsoft. Men du kan också skicka meddelanden som rena till Microsoft från Vidta åtgärder i Hotutforskaren eller Email entitetssidan.

Anvisningar finns i Hotjakt: Guiden Vidta åtgärder.

Så här sammanfattar du:

• Välj Vidta åtgärd med någon av följande metoder:

  • Markera ett eller flera meddelanden från informationstabellen på fliken Email (vy) i vyerna Alla e-postmeddelanden, Skadlig kod eller Nätfiske genom att markera kryssrutorna för posterna.

  Eller

  • I den utfällbara menyn med information när du har valt ett meddelande från informationstabellen på fliken Email (vy) i vyerna Alla e-postmeddelanden, Skadlig kod eller Nätfiske genom att klicka på ämnesvärdet.

• I guiden Vidta åtgärder väljer du Skicka till Microsoft för granskning>Jag har bekräftat att den är ren.

Visa nätfiske-URL och klicka på bedömningsdata

Skydd mot säkra länkar spårar URL:er som har tillåtits, blockerats och åsidosatts. Skydd mot säkra länkar är aktiverat som standard tack vare inbyggt skydd i förinställda säkerhetsprinciper. Skydd mot säkra länkar är aktiverat i standard- och strikt förinställda säkerhetsprinciper. Du kan också skapa och konfigurera skydd för säkra länkar i anpassade principer för säkra länkar. Mer information om principinställningarna för säkra länkar finns i Principinställningar för säkra länkar.

Använd följande steg för att se nätfiskeförsök med hjälp av URL:er i e-postmeddelanden.

1. Använd något av följande steg för att öppna Hotutforskaren eller Realtidsidentifieringar:

   • Hotutforskaren: I Defender-portalen på https://security.microsoft.comgår du till Email & Security>Explorer. Om du vill gå direkt till sidan Utforskaren använder du https://security.microsoft.com/threatexplorerv3.
   • Realtidsidentifieringar: I Defender-portalen på https://security.microsoft.comgår du till Email & Realtidsidentifieringar för säkerhet>. Om du vill gå direkt till sidan Realtidsidentifieringar använder du https://security.microsoft.com/realtimereportsv3.

2. På sidan Explorer eller Realtidsidentifieringar väljer du vyn Nätfiske . Mer information om phish-vyn finns i Phish view in Threat Explorer and Real-time detections (Phish-vyn i Hotutforskaren och Realtidsidentifieringar).

3. Välj datum-/tidsintervall. Standardvärdet är igår och i dag.

4. Välj rutan Avsändaradress (egenskap) och välj sedan Klicka på bedömning i avsnittet URL:er i listrutan.

   • Kontrollera att lika med någon av har valts som filteroperator.
   • I rutan egenskapsvärde väljer du ett eller flera av följande värden:
     • Blockeras
     • Blockerad åsidosatt

   Förklaringar av värdena för Klicka på bedömning finns i Klicka på bedömning i Filterbara egenskaper i vyn Alla e-postmeddelanden i Hotutforskaren.

5. Ange fler villkor med andra filterbara egenskaper efter behov. Anvisningar finns i Egenskapsfilter i Hotutforskaren och Realtidsidentifieringar.

6. När du är klar med att skapa filtervillkoren väljer du Uppdatera.

Fliken Översta URL:er (vy) i informationsområdet under diagrammet visar antalet blockerade meddelanden, meddelanden som har skräppost och Meddelanden som levereras för de fem främsta URL:erna. Mer information finns i vyn Översta URL:er för informationsområdet i vyn Nätfiske i Hotutforskaren och Realtidsidentifieringar.

Fliken Översta klick (vy) i informationsområdet under diagrammet visar de fem mest klickade länkarna som omsluts av säkra länkar. URL-klick på oöppnade länkar visas inte här. Mer information finns i Visning av toppklick för informationsområdet i vyn Nätfiske i Hotutforskaren och Realtidsidentifieringar.

Dessa URL-tabeller visar URL:er som har blockerats eller besökts trots en varning. Den här informationen visar potentiella felaktiga länkar som har presenterats för användarna. Härifrån kan du utföra ytterligare analys.

Välj en URL från en post i vyn för mer information. Mer information finns i URL-information för flikarna Översta URL:er och Övre klick i nätfiskevyn.

Tips

I den utfällbara menyn URL-information tas filtreringen av e-postmeddelanden bort för att visa den fullständiga vyn över URL:ens exponering i din miljö. Med det här beteendet kan du filtrera efter specifika e-postmeddelanden, hitta specifika URL:er som är potentiella hot och sedan utöka din förståelse för URL-exponeringen i din miljö utan att behöva lägga till URL-filter i nätfiskevyn .

Tolkning av klickutslag

Resultatet av egenskapen Klicka på bedömning visas på följande platser:

• Klicka på pivot för bedömningsdiagram för URL-klickvyn för informationsområdet i vyn Alla e-postmeddelanden (endast Hotutforskaren) eller Nätfiskevyn
• Vy med de översta klicken för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren
• Vy med de översta klicken för informationsområdet i vyn Nätfiske i Hotutforskaren och Realtidsidentifieringar
• Vy med de översta klicken för informationsområdet i vyn URL-klick i Hotutforskaren

Bedömningsvärdena beskrivs i följande lista:

• Tillåten: Användaren tilläts öppna URL:en.
• Blockera åsidosatt: Användaren blockerades från att öppna URL:en direkt, men de överskred blocket för att öppna URL:en.
• Blockerad: Användaren blockerades från att öppna URL:en.
• Fel: Användaren har presenterats med felsidan eller ett fel uppstod när domen skulle hämtas.
• Fel: Ett okänt undantag inträffade när domen hämtades. Användaren kan ha öppnat URL:en.
• Ingen: Det går inte att fånga domen för URL:en. Användaren kan ha öppnat URL:en.
• Väntar på dom: Användaren presenterades med den väntande sidan för detonation.
• Väntande dom kringgås: Användaren presenterades med detonationssidan, men de körde över meddelandet för att öppna URL:en.

Starta automatiserad undersökning och svar i Threat Explorer

Automatiserad undersökning och svar (AIR) i Defender för Office 365 plan 2 kan spara tid och arbete när du undersöker och åtgärdar cyberattacker. Du kan konfigurera aviseringar som utlöser en säkerhetsspelbok och du kan starta AIR i Threat Explorer. Mer information finns i Exempel: En säkerhetsadministratör utlöser en undersökning från Explorer.

Andra artiklar

Undersöka e-post med sidan Email entitet