Kampanjer i Microsoft Defender för Office 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.
I Microsoft 365-organisationer med Microsoft Defender för Office 365 Plan 2 identifierar och kategoriserar kampanjfunktionen samordnade nätfiske- och e-postattacker mot skadlig kod. Microsofts kategorisering av e-postattacker i diskreta kampanjer hjälper dig att:
- Undersöka och reagera effektivt på e-postattacker.
- Bättre förstå omfattningen av den e-postattack som riktar sig mot din organisation.
- Visa värdet av Microsoft Defender för Office 365 för beslutsfattare när det gäller att förhindra e-posthot.
Med kampanjfunktionen kan du se den övergripande bilden av en e-postattack snabbare och mer fullständigt än någon människa.
Titta på den här korta videon om hur kampanjer i Microsoft Defender för Office 365 hjälpa dig att förstå samordnade e-postattacker som riktar sig mot din organisation.
Vad är en kampanj?
En kampanj är en samordnad e-postattack mot en eller flera organisationer. Email attacker som stjäl autentiseringsuppgifter och företagsdata är en stor och lukrativ bransch. När teknikerna ökar för att stoppa attacker ändrar angripare sina metoder för att säkerställa fortsatt framgång.
Microsoft använder stora mängder data för skydd mot nätfiske, skräppostskydd och skadlig kod från hela tjänsten för att identifiera kampanjer. Vi analyserar och klassificerar attackinformationen enligt flera faktorer. Till exempel:
- Attackkälla: Källans IP-adresser och e-postdomäner för avsändaren.
- Meddelandeegenskaper: Innehållet, formatet och tonen i meddelandena.
- Meddelandemottagare: Hur mottagare är relaterade. Till exempel mottagardomäner, funktioner för mottagarjobb (administratörer, chefer osv.), företagstyper (stora, små, offentliga, privata osv.) och branscher.
- Attacknyttolast: Skadliga länkar, bifogade filer eller andra nyttolaster i meddelandena.
En kampanj kan vara kortvarig eller kan sträcka sig över flera dagar, veckor eller månader med aktiva och inaktiva perioder. En kampanj kan startas specifikt mot din organisation, eller så kan din organisation ingå i en större kampanj i flera företag.
Obligatoriska licenser och behörigheter
- Kampanjfunktionen är tillgänglig i organisationer med Defender för Office 365 Plan 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5).
- Du måste tilldelas behörigheter för att visa information om kampanjer enligt beskrivningen i den här artikeln. Du har följande alternativ:
- Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (påverkar endast Defender-portalen, inte PowerShell): Säkerhetsåtgärder/rådata (e-post & samarbete)/Email meddelandehuvuden (läs).
- Email & samarbetsbehörigheter i Microsoft Defender-portalen: Medlemskap i rollgruppen Organisationshantering, Säkerhetsadministratör eller Säkerhetsläsare.
- Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör, Säkerhetsadministratör eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.
Sidan Kampanjer i Microsoft Defender-portalen
Om du vill öppna sidan Kampanjer i Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & samarbetskampanjer>. Om du vill gå direkt till sidan Kampanjer använder du https://security.microsoft.com/campaigns.
Sidan Kampanjer består av följande element:
- Ett filter/frågeverktyget överst på sidan.
- Ett diagramområde där du kan använda tillgängliga pivoter för att organisera diagrammet på olika sätt. Som standard använder diagrammet pivoten Kampanjtyp , även om pivoten inte verkar vara markerad.
- Ett informationsområde som är inställt på fliken Kampanj som standard
Tips
Om du inte ser några kampanjdata eller mycket begränsade data kan du prova att ändra datumintervallet eller filtren.
Du kan också visa samma information om kampanjer i Threat Explorer på https://security.microsoft.com/threatexplorerv3:
- Kampanjvy .
- Alla e-postvyer>Fliken Kampanj i informationsområdet under diagrammet.
- Fliken >Kampanj för skadligkod visas i informationsområdet under diagrammet.
- Fliken Phish view Campaign (Nätfiske) >i informationsområdet under diagrammet.
Om du har en Microsoft Defender för Endpoint prenumeration är kampanjinformationen kopplad till Microsoft Defender för Endpoint.
Diagramområde på sidan Kampanjer
På sidan Kampanjer visar diagramområdet ett stapeldiagram som visar antalet mottagare per dag. Som standard visar diagrammet både skadlig kod och nätfiskedata .
Om du vill filtrera den information som visas i diagrammet och i informationstabellen ändrar du filtren.
Ändra diagrammets organisation genom att välja Kampanjtyp och sedan välja något av följande värden i listrutan:
- Kampanjnamn
- Kampanjundertyp
- Avsändningsdomän
- Avsändarens IP-adress
- Leveransåtgärd
- Identifieringsteknik
- Fullständig URL
- URL-domän
- URL-domän och sökväg
Använd 
Exportera diagramdata för att exportera data i diagrammet till en CSV-fil.
Om du vill ta bort diagrammet från sidan (vilket maximerar storleken på informationsområdet) gör du något av följande steg:
- Välj
Listvy för diagram>
överst på sidan. - Välj
Visa listvy mellan diagrammet och vyerna för informationstabellen.
Informationsområde på sidan Kampanjer
Om du vill filtrera den information som visas i diagrammet och i informationstabellen ändrar du filtren.
På sidan Kampanjer visar fliken Kampanj under diagrammet följande information i informationstabellen:
- Namn
- Exempelämne: Ämnesraden i ett av meddelandena i kampanjen. Alla meddelanden i kampanjen har inte nödvändigtvis samma ämne.
- Mål: Den procentandel som beräknas av: (antalet kampanjmottagare i din organisation) / (det totala antalet mottagare i kampanjen för alla organisationer i tjänsten). Det här värdet anger i vilken grad kampanjen endast riktas mot din organisation (ett högre värde) jämfört med andra organisationer i tjänsten (ett lägre värde).
- Typ: Värdet är antingen Nätfiske eller Skadlig kod.
- Undertyp: Värdet innehåller mer information om kampanjen. Till exempel:
- Nätfiske: Om tillgängligt, varumärket som nätas av denna kampanj. Till exempel
Microsoft,365,Unknown,OutlookellerDocuSign. När identifieringen drivs av Defender för Office 365 teknik läggs prefixet ATP till i undertypsvärdet. - Skadlig kod: Till exempel
W32/<MalwareFamilyName>ellerVBS/<MalwareFamilyName>.
- Nätfiske: Om tillgängligt, varumärket som nätas av denna kampanj. Till exempel
- Taggar: Mer information om användartaggar finns i Användartaggar.
- Mottagare: Antalet användare som kampanjen har riktat in sig på.
- Inkorg: Antalet användare som tog emot meddelanden från den här kampanjen i inkorgen (levereras inte till mappen Junk Email).
- Klickade: Antalet användare som valde URL:en eller öppnade den bifogade filen i nätfiskemeddelandet.
- Klickfrekvens: I nätfiskekampanjer beräknas procentandelen med "Klickad / inkorg". Det här värdet är en indikator på kampanjens effektivitet. Med andra ord, kunde mottagarna identifiera meddelandet som nätfiske och därmed undvika nyttolastens URL? Klickfrekvens används inte i kampanjer för skadlig kod.
- Besökt: Hur många användare som faktiskt tog sig till nyttolastwebbplatsen. Om det finns klickade värden, men säkra länkar blockerade åtkomsten till webbplatsen, är det här värdet noll.
Välj en kolumnrubrik som ska sorteras efter den kolumnen. Om du vill ta bort kolumner väljer du 
Anpassa kolumner. Som standard är alla tillgängliga kolumner markerade.
Använd Exportera för att exportera data i informationstabellen till en CSV-fil.
På sidan Kampanjer visar fliken Kampanj ursprung under diagrammet meddelandekällorna på en världskarta.
Filter på sidan Kampanjer
Överst på kampanjsidan finns det flera filterinställningar som hjälper dig att hitta och isolera specifika kampanjer. De filter du väljer påverkar diagrammet och informationstabellen.
Som standard filtreras vyn efter igår och i dag. Om du vill ändra datumfiltret väljer du datumintervallet och sedan Startdatum och Slutdatum för upp till 30 dagar sedan.
Du kan också filtrera resultatet efter ett eller flera meddelande- eller kampanjegenskaper. Den grundläggande syntaxen är:
<Egenskap><lika med något av | lika med inget egenskapsvärde><eller -värden>
- Välj meddelande- eller kampanjegenskapen i listrutan Kampanjtyp (Kampanjtyp är det standardvärde som har valts).
- De egenskapsvärden som du behöver ange är helt beroende av egenskapen. Vissa egenskaper tillåter frihandstext med flera värden avgränsade med kommatecken, och vissa egenskaper tillåter flera värden som valts från en lista.
De tillgängliga egenskaperna och deras associerade värden beskrivs i följande tabell:
| Egenskap | Typ |
|---|---|
| Basic | |
| Kampanjtyp | Välj ett eller flera värden,Y:
|
| Kampanjnamn | Text. Avgränsa flera värden med kommatecken. |
| Kampanjundertyp | Text. Avgränsa flera värden med kommatecken. |
| Avsändarens adress | Text. Avgränsa flera värden med kommatecken. |
| Mottagare | Text. Avgränsa flera värden med kommatecken. |
| Avsändningsdomän | Text. Avgränsa flera värden med kommatecken. |
| Mottagardomän | Text. Avgränsa flera värden med kommatecken. |
| Ämne | Text. Avgränsa flera värden med kommatecken. |
| Avsändarens visningsnamn | Text. Avgränsa flera värden med kommatecken. |
| Avsändarens e-postadress från adressen | Text. Avgränsa flera värden med kommatecken. |
| Avsändarens e-post från domänen | Text. Avgränsa flera värden med kommatecken. |
| Familj med skadlig kod | Text. Avgränsa flera värden med kommatecken. |
| Taggar | Text. Avgränsa flera värden med kommatecken. Mer information om användartaggar finns i Användartaggar. |
| Leveransåtgärd | Välj ett eller flera värden,Y:
|
| Ytterligare åtgärd | Välj ett eller flera värden,Y:
|
| Riktning | Välj ett eller flera värden,Y:
|
| Identifieringsteknik | Välj ett eller flera värden,Y:
|
| Ursprunglig leveransplats | Välj ett eller flera värden,Y:
|
| Senaste leveransplats | Samma värden som ursprunglig leveransplats |
| System åsidosättningar | Välj ett eller flera värden,Y:
|
| System åsidosättningskälla | Välj ett eller flera värden,Y:
|
| Avancerat | |
| Internet Message ID | Text. Avgränsa flera värden med kommatecken. Tillgängligt i fältet Meddelande-ID-huvud i meddelandehuvudet. Ett exempelvärde är <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (observera vinkelparenteserna). |
| Meddelande-ID för nätverk | Text. Avgränsa flera värden med kommatecken. Ett GUID-värde som är tillgängligt i rubrikfältet X-MS-Exchange-Organization-Network-Message-Id i meddelandehuvudet. |
| Avsändarens IP-adress | Text. Avgränsa flera värden med kommatecken. |
| Bifogad fil SHA256 | Text. Avgränsa flera värden med kommatecken. Om du vill hitta SHA256-hashvärdet för en fil i Windows kör du följande kommando i en kommandotolk: certutil.exe -hashfile "<Path>\<Filename>" SHA256. |
| Kluster-ID | Text. Avgränsa flera värden med kommatecken. |
| Aviserings-ID | Text. Avgränsa flera värden med kommatecken. |
| Princip-ID för avisering | Text. Avgränsa flera värden med kommatecken. |
| Kampanj-ID | Text. Avgränsa flera värden med kommatecken. |
| ZAP URL-signal | Text. Avgränsa flera värden med kommatecken. |
| Webbadresser | |
| URL-domän | Text. Avgränsa flera värden med kommatecken. |
| URL-domän och sökväg | Text. Avgränsa flera värden med kommatecken. |
| URL | Text. Avgränsa flera värden med kommatecken. |
| URL-sökväg | Text. Avgränsa flera värden med kommatecken. |
| Klicka på domslut | Välj ett eller flera värden,Y:
|
| Fil | |
| Filnamn för bifogad fil | Text. Avgränsa flera värden med kommatecken. |
² Att inte använda det här egenskapsfiltret eller använda det här egenskapsfiltret utan valda värden har samma resultat som att använda det här egenskapsfiltret med alla värden markerade.
När du har valt en egenskap i listrutan Kampanjtyp väljer du Lika med något av eller Inte lika med något av, och anger eller väljer sedan ett värde i egenskapsrutan, visas filterfrågan under filterområdet.
Om du vill lägga till fler villkor väljer du ett annat egenskaps-/värdepar och sedan AND eller OR. Upprepa de här stegen så många gånger det behövs.
Om du vill ta bort befintliga egenskaps-/värdepar väljer du 
bredvid posten.
När du är klar med att skapa filterfrågan väljer du Uppdatera.
Om du vill spara filterfrågan väljer du Spara fråga>
Spara fråga. I den utfällbara menyn Spara fråga som öppnas konfigurerar du följande inställningar:
- Frågenamn: Ange ett unikt värde.
- Välj något av följande värden:
- Exakta datum: Välj datumintervallet.
- Relativa datum: Välj mellan en och 30 dagar.
- Spåra den här frågan
När du är klar med den utfällbara menyn Spara fråga väljer du Spara och sedan OK i bekräftelsedialogrutan.
När du går tillbaka till sidan Kampanjer kan du läsa in ett sparat filter genom att välja Spara fråga>
Sparade frågeinställningar.
Kampanjinformation
När du väljer en post i informationstabellen genom att klicka någon annanstans på raden än kryssrutan bredvid namnet öppnas en utfälld meny som innehåller information om kampanjen.
Det som visas i den utfällbara menyn kampanjinformation beskrivs i följande underavsnitt.
Kampanjinformation
Överst i den utfällbara menyn kampanjinformation finns följande kampanjinformation tillgänglig:
- Kampanj-ID: Den unika kampanjidentifieraren.
- Aktivitet: Varaktighet och aktivitet för kampanjen.
- Följande data för datumintervallfiltret som du har valt (eller som du väljer i tidslinjen):
- Påverkan
- Meddelanden: Det totala antalet mottagare.
- Inkorg: Antalet meddelanden som levererades till inkorgen, inte till mappen Junk Email.
- Länk som klickades: Hur många användare som valde nyttolast-URL:en i nätfiskemeddelandet.
- Besökt länk: Hur många användare som besökte URL:en.
- Targeted(%): Den procentandel som beräknas av: (antalet kampanjmottagare i din organisation) / (det totala antalet mottagare i kampanjen för alla organisationer i tjänsten). Det här värdet beräknas under hela kampanjens livslängd och ändras inte av datumfilter.
- Startdatum/tids- och slutdata/tidsfilter för kampanjflödet enligt beskrivningen i nästa avsnitt.
- En interaktiv tidslinje för kampanjaktivitet: Tidslinjen visar aktivitet under hela kampanjens livstid. Du kan hovra över datapunkterna i diagrammet för att se antalet identifierade meddelanden.
Kampanjflöde
I mitten av den utfällbara menyn med kampanjinformation visas viktig information om kampanjen i ett vågrätt flödesdiagram (kallas ett Sankey-diagram ). Den här informationen hjälper dig att förstå elementen i kampanjen och den potentiella effekten i din organisation.
Tips
Informationen som visas i flödesdiagrammet styrs av datumintervallfiltret på tidslinjen enligt beskrivningen i föregående avsnitt.
Om du hovra över ett vågrätt band i diagrammet ser du antalet relaterade meddelanden (till exempel meddelanden från en viss käll-IP, meddelanden från käll-IP-adressen med den angivna avsändardomänen osv.).
Diagrammet innehåller följande information:
Avsändar-IP-adresser
Avsändardomäner
Filtrera omdömen: Bedömningsvärden är relaterade till de tillgängliga domarna för nätfiske och skräppostfiltrering enligt beskrivningen i Meddelandehuvuden för skräppostskydd. De tillgängliga värdena beskrivs i följande tabell:
Värde Bedömning av skräppostfilter Beskrivning Tillåts SFV:SKN
<Br/SFV:SKIMeddelandet markerades som inte skräppost och/eller hoppades över filtrering innan det utvärderades av skräppostfiltrering. Meddelandet har till exempel markerats som inte skräppost av en e-postflödesregel (kallas även transportregel).
<br/ Meddelandet hoppades över skräppostfiltrering av andra skäl. Avsändaren och mottagaren verkar till exempel vara i samma organisation.Blockeras SFV:SKSMeddelandet markerades som skräppost innan det utvärderades av skräppostfiltreringen. Till exempel av en e-postflödesregel. Upptäckt SFV:SPMMeddelandet markerades som skräppost av skräppostfiltret. Har inte identifierats SFV:NSPMMeddelandet markerades som inte skräppost genom skräppostfiltrering. Frisläpptes SFV:SKQMeddelandet hoppades över skräppostfiltreringen eftersom det släpptes från karantänen. Tillåt klientorganisation 1 SFV:SKAMeddelandet hoppades över skräppostfiltreringen på grund av inställningarna i en princip för skräppostskydd. Avsändaren fanns till exempel i listan över tillåtna avsändare eller listan över tillåtna domäner. Klientorganisationsblock² SFV:SKAMeddelandet blockerades av skräppostfiltrering på grund av inställningarna i en princip för skräppostskydd. Avsändaren fanns till exempel i listan över tillåtna avsändare eller listan över tillåtna domäner. Tillåt användare 1 SFV:SFEMeddelandet hoppades över skräppostfiltreringen eftersom avsändaren fanns i en användares lista över säkra avsändare. Användarblock² SFV:BLKMeddelandet blockerades av skräppostfiltrering eftersom avsändaren fanns i en användares lista över blockerade avsändare. ZAP Saknas Automatisk rensning i noll timmar (ZAP) flyttade det levererade meddelandet till mappen Junk Email eller karantän. Du konfigurerar åtgärden i principer för skräppostskydd. ² Granska dina principer för skräppostskydd eftersom det tillåtna meddelandet troligen skulle ha blockerats av tjänsten.
² Granska dina principer för skräppostskydd eftersom dessa meddelanden ska placeras i karantän och inte levereras.
Meddelandemål: Undersök meddelanden som har levererats till mottagare (antingen till inkorgen eller mappen Skräppost Email), även om användarna inte valde nyttolast-URL:en i meddelandet. Du kan också ta bort meddelanden i karantän från karantänen. Mer information finns i e-postmeddelanden i karantän i EOP.
- Borttagen mapp
- Tappade
- Extern: Mottagaren finns i din lokala e-postorganisation i hybridmiljöer.
- Misslyckades
- Vidarebefordras
- Inkorg
- Skräppostmapp
- Karantän
- Okänd
URL-klick: Dessa värden beskrivs i nästa avsnitt.
Obs!
I alla lager som innehåller fler än 10 objekt visas de 10 översta objekten, medan resten paketeras tillsammans i Andra.
URL-klick
När ett nätfiskemeddelande levereras till en mottagares inkorg eller skräppostmapp Email finns det alltid en chans att användaren väljer nyttolast-URL:en. Att inte välja URL är ett litet mått på framgång, men du måste ta reda på varför nätfiskemeddelandet levererades till postlådan i första hand.
Om en användare har valt nyttolast-URL:en i nätfiskemeddelandet visas åtgärderna i området URL-klick i diagrammet i vyn kampanjinformation.
- Tillåts
- BlockPage: Mottagaren valde nyttolastens URL, men deras åtkomst till den skadliga webbplatsen blockerades av en princip för säkra länkar i din organisation.
- BlockPageOverride: Mottagaren valde nyttolast-URL:en i meddelandet, Säkra länkar försökte stoppa dem, men de tilläts åsidosätta blocket. Granska principerna för säkra länkar för att se varför användare tillåts åsidosätta domen säkra länkar och fortsätta till den skadliga webbplatsen.
- PendingDetonationPage: Säkra bifogade filer i Microsoft Defender för Office 365 öppnar och undersöker nyttolastens URL i en virtuell miljö.
- PendingDetonationPageOverride: Mottagaren tilläts åsidosätta nyttolast detonationsprocessen och öppna URL:en utan att vänta på resultatet.
Flikar
Tips
Informationen som visas på flikarna styrs av datumintervallfiltret i den utfällbara menyn kampanjinformation enligt beskrivningen i avsnittet Kampanjinformation .
Med flikarna i den utfällbara menyn med kampanjinformation kan du undersöka kampanjen ytterligare. Följande flikar är tillgängliga:
URL-klick: Om användarna inte valde nyttolast-URL:en i meddelandet är det här avsnittet tomt. Om en användare kunde välja URL:en fylls följande värden i:
- Användaren*
- Taggar
- URL*
- Klicka på tid
- Klicka på domslut
Avsändar-IP-adresser
- Avsändarens IP-adress*
- Totalt antal
- Inkorg
- Inte inkorg
- SPF har godkänts: Avsändaren autentiserades av SPF (Sender Policy Framework). En avsändare som inte klarar SPF-validering anger en oautentiserad avsändare, eller så förfalskar meddelandet en legitim avsändare.
Avsändare
- Avsändare: Det här är den faktiska avsändaradressen i SMTP MAIL FROM-kommandot , som inte nödvändigtvis är den Från: e-postadress som användarna ser i sina e-postklienter.
- Totalt antal
- Inkorg
- Inte inkorg
- DKIM godkändes: Avsändaren autentiserades av DKIM (Domain Keys Identified Mail). En avsändare som inte klarar DKIM-valideringen anger en oautentiserad avsändare, eller så förfalskar meddelandet en legitim avsändare.
- DMARC godkändes: Avsändaren autentiserades av domänbaserad meddelandeautentisering, rapportering och överensstämmelse (DMARC). En avsändare som inte klarar DMARC-valideringen anger en oautentiserad avsändare, eller så förfalskar meddelandet en legitim avsändare.
Bifogade filer
- Filnamn
- SHA256
- Familj med skadlig kod
- Totalt antal
Webbadresser
- URL*
- Totalt antal
* Om du väljer det här värdet öppnas en ny utfällning som innehåller mer information om det angivna objektet (användare, URL osv.) ovanpå vyn med kampanjinformation. Om du vill återgå till den utfällbara menyn med kampanjinformation väljer du Klar i den nya utfällbara menyn.
På varje flik väljer du en kolumnrubrik för att sortera efter den kolumnen. Om du vill ta bort kolumner väljer du Anpassa kolumner. Som standard är alla tillgängliga kolumner på varje flik markerade.
Ytterligare åtgärder
Med åtgärderna längst ned i den utfällbara menyn med kampanjinformation kan du undersöka och registrera information om kampanjen:
- Välj Ja eller Nej i Tror du att den här kampanjen har grupperat dessa meddelanden korrekt?.
- Utforska meddelanden: Använd kraften i Threat Explorer för att undersöka kampanjen ytterligare genom att välja något av följande värden i listrutan:
- Alla meddelanden: Öppnar en ny sökflik i Hotutforskaren med kampanj-ID-värdet som sökfilter.
- Inkorgsmeddelanden: Öppnar en ny sökflik i Hotutforskaren med hjälp av kampanj-ID och leveransplats: Inkorg som sökfilter.
- Interna meddelanden: Öppnar en ny sökflik i Hotutforskaren med kampanj-ID och riktning: Intra-org som sökfilter.
- Ladda ned hotrapport: Ladda ned kampanjinformationen till ett Word dokument (som standard med namnet CampaignReport.docx). Nedladdningen innehåller information under hela kampanjens livslängd (inte bara det datumfilter som du har valt).
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för