Aracılığıyla paylaş

Office 365 için Microsoft Defender araştırmalarında Email analizi

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Uyarıların otomatik araştırması sırasında, Office 365 için Microsoft Defender özgün e-postayı tehditler için analiz eder ve özgün e-postayla ilgili olan ve bir saldırının parçası olabilecek diğer e-posta iletilerini tanımlar. Bu analiz önemlidir çünkü e-posta saldırıları nadiren tek bir e-postadan oluşur.

Otomatik araştırmanın e-posta analizi, kuruluşunuz tarafından gönderilen ve alınan e-postaları sorgulamak için özgün e-postadaki öznitelikleri kullanarak e-posta kümelerini tanımlar. Bu analiz, bir güvenlik operasyonları analistinin Gezgin veya Gelişmiş Avcılık'ta ilgili e-postayı nasıl avlayacağıyla benzerdir. Saldırganlar genellikle güvenlik algılamasını önlemek için e-posta parametrelerini biçimlendirdiğinden eşleşen e-posta iletilerini tanımlamak için çeşitli sorgular kullanılır. Kümeleme analizi, araştırmada yer alan e-postaların nasıl işleneceğini belirlemek için şu denetimleri gerçekleştirir:

  • E-posta analizi, özgün e-postadaki öznitelikleri kullanarak e-posta sorguları (kümeler) oluşturur: ilgili olabilecek e-postayı bulmak için gönderen değerleri (IP adresi, gönderen etki alanı) ve içerik (konu, küme kimliği).
  • Özgün e-postanın URL'lerinin ve dosyalarının analizi, bazılarının kötü amaçlı olduğunu (kötü amaçlı yazılım veya kimlik avı) tanımlarsa, kötü amaçlı URL'yi veya dosyayı içeren sorgular veya e-posta kümeleri de oluşturur.
  • Email kümeleme analizi, kümedeki benzer e-postayla ilişkili tehditleri sayarak e-postanın kötü amaçlı, şüpheli veya net bir tehdit olup olmadığını belirler. Sorguyla eşleşen e-posta kümesinde yeterli miktarda istenmeyen posta, normal kimlik avı, yüksek güvenilirlikli kimlik avı veya kötü amaçlı yazılım tehditleri varsa, e-posta kümesi bu tehdit türüne uygulanır.
  • E-posta kümeleme analizi, kaldırılmaları gerekebilecek veya düzeltilmiş veya engellenmiş olabilecek iletileri tanımlamaya yardımcı olmak için özgün e-postanın ve e-posta kümelerindeki iletilerin en son teslim konumunu da denetler. Saldırganlar kötü amaçlı içeriğe ek olarak güvenlik ilkeleri ve koruma posta kutuları arasında değişiklik gösterebileceğinden bu çözümleme önemlidir. Bu özellik, bir veya daha fazla kötü amaçlı e-posta iletisi sıfır saatlik otomatik temizleme (ZAP) ile engellenmiş veya algılanmış ve kaldırılmış olsa bile posta kutularında kötü amaçlı içeriğin hala bulunabileceği durumlara yol açar.
  • Kötü amaçlı yazılım, yüksek güvenilirlikli kimlik avı, kötü amaçlı dosyalar veya kötü amaçlı URL tehditleri nedeniyle kötü amaçlı olarak kabul edilen Email kümeleri, bulut posta kutusunda (Gelen Kutusu veya Gereksiz Email klasörleri) bulunan iletileri geçici olarak silmek için bekleyen bir eylem alır. Kötü amaçlı e-posta veya e-posta kümeleri "Posta Kutusunda Değil" (engellendi, karantinaya alındı, başarısız, geçici olarak silindi vb.) veya bulut posta kutusunda hiçbiri olmayan "Şirket İçi/Dış" ise, bunları kaldırmak için bekleyen bir eylem ayarlanmaz.
  • E-posta kümelerinden herhangi birinin kötü amaçlı olduğu belirlenirse, küme tarafından tanımlanan tehdit araştırmada yer alan özgün e-postaya geri uygulanır. Bu davranış, benzer e-postayı temel alan özgün bir e-postanın kararını belirlemek için e-posta avcılığı sonuçlarını kullanan bir güvenlik operasyonları analistine benzer. Bu sonuç, özgün bir e-postanın URL'lerinin, dosyalarının veya kaynak e-posta göstergelerinin algılanıp algılanmadığına bakılmaksızın, sistemin kişiselleştirme, dönüşüm, kaçınma veya diğer saldırgan teknikleri aracılığıyla algılamadan kaçınan kötü amaçlı e-posta iletilerini tanımlamasını sağlar.
  • Kullanıcı güvenliğinin aşılmasına yönelik araştırmada, posta kutusu tarafından oluşturulan olası e-posta sorunlarını belirlemek için ek e-posta kümeleri oluşturulur. Bu işlem temiz bir e-posta kümesi (kullanıcıdan iyi e-posta, olası veri sızdırma ve olası komut/denetim e-postası), şüpheli e-posta kümeleri (istenmeyen posta veya normal kimlik avı içeren e-postalar) ve kötü amaçlı e-posta kümelerini (kötü amaçlı yazılım içeren e-postalar veya yüksek güvenilirlikli kimlik avı) içerir. Bu e-posta kümeleri, güvenlik işlemleri analistlerine güvenlik işlemleri analistleri verilerini, bir riskten çözülmesi gerekebilecek diğer sorunları belirlemek ve özgün uyarıları tetiklemiş olabilecek iletilerin görünürlüğünü (örneğin, kullanıcı gönderme kısıtlamalarını tetikleyen kimlik avı/istenmeyen posta) sağlar

Benzerlik ve kötü amaçlı varlık sorguları aracılığıyla kümeleme analizi Email, bir saldırıdan yalnızca bir e-posta tanımlansa bile e-posta sorunlarının tam olarak tanımlanmasını ve temizlenmesini sağlar. E-posta kümesi ayrıntıları yan panel görünümlerindeki bağlantıları kullanarak sorguları Gezgin'de veya Gelişmiş Tehdit Avcılığı'nda açarak daha ayrıntılı analiz yapabilir ve gerekirse sorguları değiştirebilirsiniz. Bu özellik, e-posta kümesinin sorgularını çok dar veya çok geniş (ilişkisiz e-posta dahil) bulursanız el ile iyileştirme ve düzeltme sağlar.

Araştırmalarda e-posta analizine yönelik ek geliştirmeler aşağıdadır.

AIR araştırması gelişmiş teslim öğelerini yoksayar (SecOps posta kutuları ve kimlik avı simülasyon iletileri)

E-posta kümeleme analizi sırasında tüm kümeleme sorguları, Gelişmiş teslim ilkesi tanımlanan SecOps posta kutularını ve kimlik avı simülasyonu URL'lerini yoksayar. Kümeleme özniteliklerinin basit ve kolay okunması için sorguda SecOps posta kutuları ve kimlik avı benzetimi URL'leri gösterilmez. Bu dışlamalar, SecOps posta kutularına gönderilen iletilerin ve kimlik avı benzetimi URL'leri içeren iletilerin tehdit analizi sırasında yoksayılmasını ve herhangi bir düzeltme sırasında kaldırılmamasını sağlar.

Not

E-posta kümesi ayrıntılarından Explorer'da görüntülemek üzere bir e-posta kümesini açarken, kimlik avı benzetimi ve SecOps posta kutusu filtreleri Gezgin'e uygulanır ancak gösterilmez. Gezgin filtrelerini, tarihlerini değiştirir veya sayfadaki sorguyu yenilerseniz, kimlik avı benzetimi/SecOps filtresi dışlamaları kaldırılır ve eşleşen e-posta iletileri bir kez daha gösterilir. Tarayıcı yenileme işlevini kullanarak Gezgin sayfasını yenilerseniz, kimlik avı benzetimi/SecOps filtreleri de dahil olmak üzere özgün sorgu filtreleri yeniden yüklenir, ancak daha sonra yaptığınız değişiklikler kaldırılır.

AIR güncelleştirmeleri bekleyen e-posta eylemi durumu

Araştırma e-posta analizi, araştırma kanıtını ve eylemlerini oluşturmak için araştırma sırasındaki e-posta tehditlerini ve konumlarını hesaplar. Araştırma dışındaki eylemler araştırmada yer alan e-postayı etkilediğinde bu veriler eski ve eski olabilir. Örneğin, güvenlik operasyonları el ile avlanma ve düzeltme, bir araştırmada yer alan e-postaları temizleyebilecektir. Benzer şekilde, paralel araştırmalarda onaylanan silme eylemleri veya ZAP otomatik karantina eylemleri e-postayı kaldırmış olabilir. Ayrıca, e-posta teslimi sonrasında tehditlerin gecikmeli algılanması, araştırmanın e-posta sorgularına/kümelerine dahil edilen tehditlerin sayısını değiştirebilir.

Araştırma eylemlerinin güncel olduğundan emin olmak için bekleyen eylemleri içeren araştırmalarda, e-posta konumlarını ve tehditlerini güncelleştirmek için e-posta analizi sorguları düzenli aralıklarla yeniden çalıştırılır.

  • E-posta kümesi verileri değiştiğinde tehdit ve en son teslim konumu sayılarını güncelleştirir.
  • Bekleyen eylemleri olan e-posta veya e-posta kümesi artık posta kutusunda değilse, bekleyen eylem iptal edilir ve kötü amaçlı e-posta/küme düzeltildi olarak kabul edilir.
  • Araştırmanın tüm tehditleri daha önce açıklandığı gibi düzeltildikten veya iptal edildikten sonra, araştırma düzeltilmiş duruma geçirilir ve özgün uyarı çözümlenir.

E-posta ve e-posta kümeleri için olay kanıtının görüntülenmesi

Bir olayın Kanıt ve Yanıt sekmesindeki Email tabanlı kanıt artık aşağıdaki bilgileri görüntüler.

Kanıt ve Yanıt'taki e-posta analizi bilgileri

Şekildeki numaralandırılmış açıklama balonlarından:

  1. İşlem Merkezi'ne ek olarak düzeltme eylemleri de gerçekleştirebilirsiniz.

  2. Kötü amaçlı bir karara sahip (ancak Şüpheli olmayan) e-posta kümeleri için düzeltme eylemi gerçekleştirebilirsiniz.

  3. E-posta istenmeyen postası kararı için, kimlik avı yüksek güvenilirlik ve normal kimlik avı olarak bölünür.

    Kötü amaçlı bir karar için tehdit kategorileri kötü amaçlı yazılım, yüksek güvenilirlikli kimlik avı, kötü amaçlı URL ve kötü amaçlı dosyadır.

    Şüpheli bir karar için tehdit kategorileri istenmeyen posta ve normal kimlik avıdır.

  4. e-posta sayısı, en son teslim konumunu temel alır ve posta kutularındaki ve şirket içi posta kutularındaki değil, posta kutularındaki e-posta sayaçlarını içerir.

  5. En son veriler için güncelleştirilebilecek sorgunun tarih ve saatini içerir.

Araştırmanın Varlıklar sekmesindeki e-posta veya e-posta kümeleri için Engellendi , bu öğe (posta veya küme) için posta kutusunda kötü amaçlı e-posta olmadığı anlamına gelir. İşte bir örnek.

Engellenen bir e-posta.

Bu örnekte, e-posta kötü amaçlıdır ancak posta kutusunda değildir.

Sonraki adımlar