Undersöka skadlig e-post som levererades i Microsoft 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.
Microsoft 365-organisationer som har Microsoft Defender för Office 365 ingår i prenumerationen eller som köpts som ett tillägg har Explorer (även kallat Hotutforskaren) eller realtidsidentifieringar. Dessa funktioner är kraftfulla verktyg i nära realtid som hjälper SecOps-team (Security Operations) att undersöka och reagera på hot. Mer information finns i Om hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365.
Med hotutforskaren och realtidsidentifieringar kan du undersöka aktiviteter som utsätter personer i din organisation för risker och vidta åtgärder för att skydda din organisation. Till exempel:
- Hitta och ta bort meddelanden.
- Identifiera IP-adressen för en avsändare med skadlig e-post.
- Starta en incident för vidare undersökning.
Den här artikeln beskriver hur du använder Hotutforskaren och realtidsidentifieringar för att hitta skadlig e-post i mottagarpostlådor.
Tips
Information om hur du går direkt till reparationsprocedurerna finns i Åtgärda skadlig e-post som levereras i Office 365.
Andra e-postscenarier med hotutforskaren och realtidsidentifieringar finns i följande artiklar:
Vad behöver jag veta innan jag börjar?
Threat Explorer ingår i Defender för Office 365 plan 2. Realtidsidentifieringar ingår i Defender för Office Plan 1:
- Skillnaderna mellan Hotutforskaren och Realtidsidentifieringar beskrivs i Om hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365.
- Skillnaderna mellan Defender för Office 365 plan 2 och Defender för Office Plan 1 beskrivs i Defender för Office 365 plan 1 jämfört med plan 2.
För filteregenskaper som kräver att du väljer ett eller flera tillgängliga värden har egenskapen i filtervillkoret med alla värden markerade samma resultat som att inte använda egenskapen i filtervillkoret.
Behörigheter och licensieringskrav för Hotutforskaren och realtidsidentifieringar finns i Behörigheter och licensiering för Hotutforskaren och Realtidsidentifieringar.
Hitta misstänkt e-post som levererades
Använd något av följande steg för att öppna Hotutforskaren eller Realtidsidentifieringar:
- Hotutforskaren: I Defender-portalen på https://security.microsoft.comgår du till Email & Security>Explorer. Om du vill gå direkt till sidan Utforskaren använder du https://security.microsoft.com/threatexplorerv3.
- Realtidsidentifieringar: I Defender-portalen på https://security.microsoft.comgår du till Email & Realtidsidentifieringar för säkerhet>. Om du vill gå direkt till sidan Realtidsidentifieringar använder du https://security.microsoft.com/realtimereportsv3.
På sidan Explorer eller Realtidsidentifieringar väljer du en lämplig vy:
- Hotutforskaren: Kontrollera att vyn Alla e-postmeddelanden är markerad.
- Realtidsidentifieringar: Kontrollera att vyn Skadlig kod är markerad eller välj vyn Nätfiske.
Välj datum-/tidsintervall. Standardvärdet är igår och i dag.
Skapa ett eller flera filtervillkor med några eller alla av följande målegenskaper och värden. Fullständiga instruktioner finns i Egenskapsfilter i Hotutforskaren och Realtidsidentifieringar. Till exempel:
Leveransåtgärd: Den åtgärd som vidtas på ett e-postmeddelande på grund av befintliga principer eller identifieringar. Användbara värden är:
- Levereras: Email levereras till användarens inkorg eller annan mapp där användaren kan komma åt meddelandet.
- Skräppost: Email levereras till användarens mapp för skräppost Email eller borttagna objekt där användaren kan komma åt meddelandet.
- Blockerad: Email meddelanden som satts i karantän, som misslyckades med leveransen eller som togs bort.
Ursprunglig leveransplats: Var e-post gick före automatiska eller manuella åtgärder efter leverans av systemet eller administratörerna (till exempel ZAP eller flyttades till karantän). Användbara värden är:
- Mapp för borttagna objekt
- Släppt: Meddelandet förlorades någonstans i e-postflödet.
- Misslyckades: Meddelandet kunde inte nå postlådan.
- Inkorg/mapp
- Skräppostmapp
- Lokal/extern: Postlådan finns inte i Microsoft 365-organisationen.
- Karantän
- Okänd: Efter leverans flyttade till exempel en inkorgsregel meddelandet till en standardmapp (till exempel Utkast eller Arkiv) i stället för till mappen Inkorgen eller Skräppost Email.
Plats för senaste leverans: Där e-post hamnade efter automatiska eller manuella åtgärder efter leverans av systemet eller administratörerna. Samma värden är tillgängliga från den ursprungliga leveransplatsen.
Riktning: Giltiga värden är:
- Inkommande
- Intra-org
- Utgående
Den här informationen kan hjälpa dig att identifiera förfalskning och personifiering. Meddelanden från interna domänavsändare bör till exempel vara Intra-org, inte Inkommande.
Ytterligare åtgärd: Giltiga värden är:
- Automatiserad reparation (Defender för Office 365 plan 2)
- Dynamisk leverans: Mer information finns i Dynamic Delivery in Safe Attachments policies (Dynamisk leverans i principer för säkra bifogade filer).
- Manuell reparation
- Ingen
- Karantänversion
- Ombearbetad: Meddelandet identifierades retroaktivt som bra.
- ZAP: Mer information finns i Automatisk rensning av nolltimmar (ZAP) i Microsoft Defender för Office 365.
Primär åsidosättning: Om organisations- eller användarinställningar tillåter eller blockerar meddelanden som annars skulle ha blockerats eller tillåtits. Värden är:
- Tillåts av organisationsprincip
- Tillåts av användarprincip
- Blockerad av organisationsprincip
- Blockerad av användarprincip
- Ingen
Dessa kategorier förfinas ytterligare av egenskapen Primär åsidosättningskälla .
Primär åsidosättningskälla Typ av organisationsprincip eller användarinställning som tillät eller blockerade meddelanden som annars skulle ha blockerats eller tillåtits. Värden är:
- Filter från tredje part
- Admin initierad tidsresa
- Principblock för program mot skadlig kod efter filtyp: Vanliga bifogade filer filtrerar i principer för skydd mot skadlig kod
- Principinställningar för antispam
- Anslutningsprincip: Konfigurera anslutningsfiltrering
- Exchange-transportregel (e-postflödesregel)
- Exklusivt läge (åsidosättning av användare): Den enda betrodda e-postadressen från adresser i listan Säkra avsändare och domäner samt inställningen Säkra e-postlistor i samlingen med säkra listor i en postlåda.
- Filtreringen hoppades över på grund av lokal organisation
- IP-regionfilter från princip: Från dessa länder filtreras i principer för skräppostskydd.
- Språkfilter från princip: Filtret Innehåller specifika språk i principer för skräppostskydd.
- Nätfiskesimulering: Konfigurera nätfiskesimuleringar från tredje part i den avancerade leveransprincipen
- Karantänversion: Släppa e-post i karantän
- SecOps-postlåda: Konfigurera SecOps-postlådor i den avancerade leveransprincipen
- Adresslista för avsändare (Admin åsidosättning): Listan över tillåtna avsändare eller blockerade avsändare i principer för skräppostskydd.
- Adresslista för avsändare (åsidosättning av användare): Avsändarens e-postadresser i listan Blockerade avsändare i samlingen med betrodda användare i en postlåda.
- Avsändardomänlista (Admin åsidosättning): Listan över tillåtna domäner eller blockerade domäner i principer för skräppostskydd.
- Avsändardomänlista (åsidosättning av användare): Avsändardomäner i listan Blockerade avsändare i samlingen med betrodda listor i en postlåda.
- Tillåt/blockera filblock för klientorganisation: Skapa blockera poster för filer
- E-postadressblock för e-postadress för klientorganisations-/blockeringslista: Skapa blockera poster för domäner och e-postadresser
- Tillåt/blockera förfalskningsblock för klientorganisationslista: Skapa blockposter för falska avsändare
- Url-blockering för tillåtna/blockerade klientorganisationer: Skapa blockera poster för URL:er
- Betrodd kontaktlista (åsidosättning av användare): Inställningen Betrodd e-post från mina kontakter i samlingen med säkra listor i en postlåda.
- Tillåt/blockera filblock för klientorganisation: Skapa blockera poster för filer
- Betrodd domän (åsidosättning av användare): Avsändardomäner i listan Säkra avsändare i samlingen safelist i en postlåda.
- Betrodd mottagare (åsidosättning av användare): E-postadresser eller domäner för mottagare i listan Betrodda mottagare i samlingen med säkra listor i en postlåda.
- Endast betrodda avsändare (åsidosättning av användare): Endast säker Listor: Endast e-post från personer eller domäner i listan över betrodda avsändare eller listan över betrodda mottagare levereras till inkorgsinställningen i samlingen med säkra listor i en postlåda.
Åsidosätt källa: Samma tillgängliga värden som primär åsidosättningskälla.
Tips
På fliken Email (vy) i informationsområdet för vyerna Alla e-postmeddelanden, Skadlig kod och Nätfiske kallas motsvarande åsidosättningskolumner system åsidosättningar och system åsidosättningar källa.
URL-hot: Giltiga värden är:
- Malware
- Nätfiske
- Skräppost
När du är klar med konfigurationen av datum-/tids- och egenskapsfilter väljer du Uppdatera.
Fliken Email (vy) i informationsområdet för vyerna Alla e-postmeddelanden, Skadlig kod eller Nätfiske innehåller den information som du behöver för att undersöka misstänkt e-post.
Använd till exempel kolumnerna Leveransåtgärd, Ursprunglig leveransplats och Senaste leveransplats på fliken Email (vy) för att få en fullständig bild av var de berörda meddelandena hamnade. Värdena förklarades i steg 4.
Använd Exportera för att selektivt exportera upp till 200 000 filtrerade eller ofiltrerade resultat till en CSV-fil.
Åtgärda skadlig e-post som har levererats
När du har identifierat de skadliga e-postmeddelanden som levererades kan du ta bort dem från mottagarpostlådor. Anvisningar finns i Åtgärda skadlig e-post som levereras i Microsoft 365.
Relaterade artiklar
Åtgärda skadlig e-post som levereras i Office 365
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för