调查在 Microsoft 365 中传递的恶意电子邮件

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft Microsoft Defender for Office 365包含在订阅中或作为加载项购买的 365 个组织具有 Explorer (也称为威胁资源管理器) 或实时检测 这些功能是功能强大的准实时工具,可帮助安全运营 (SecOps) 团队调查和响应威胁。 有关详细信息,请参阅关于威胁资源管理器和Microsoft Defender for Office 365中的实时检测

使用威胁资源管理器和实时检测,可以调查使组织中的人员面临风险的活动,并采取措施保护组织。 例如:

  • 查找和删除邮件。
  • 标识恶意电子邮件发件人的 IP 地址。
  • 启动事件以进一步调查。

本文介绍如何使用威胁资源管理器和实时检测在收件人邮箱中查找恶意电子邮件。

提示

若要直接转到修正过程,请参阅修正在 Office 365 中传递的恶意电子邮件

有关使用威胁资源管理器和实时检测的其他电子邮件方案,请参阅以下文章:

开始前,有必要了解什么?

查找已送达的可疑电子邮件

  1. 使用以下步骤之一打开威胁资源管理器或实时检测:

  2. “资源管理器”“实时检测 ”页上,选择适当的视图:

  3. 选择日期/时间范围。 默认值为昨天和今天。

    威胁资源管理器中使用的日期筛选器和 Defender 门户中的实时检测的屏幕截图。

  4. 使用以下部分或全部目标属性和值创建一个或多个筛选条件。 有关完整说明,请参阅 威胁资源管理器中的属性筛选器和实时检测。 例如:

    • 传递操作:由于现有策略或检测,对电子邮件执行的操作。 有用的值为:

      • 已送达:Email传递到用户的收件箱或其他用户可以访问邮件的文件夹。
      • 垃圾邮件:Email传递到用户可以访问邮件的“垃圾邮件Email”文件夹或“已删除邮件”文件夹。
      • 已阻止:Email已隔离、传递失败或已删除的邮件。
    • 原始传递位置:电子邮件在系统或管理员 ((例如 ZAP 或移动到隔离) )的任何自动或手动传递操作之前到达的位置。 有用的值为:

      • 已删除邮件文件夹
      • 已删除:邮件在邮件流中的某个位置丢失。
      • 失败:邮件无法到达邮箱。
      • 收件箱/文件夹
      • 垃圾邮件文件夹
      • 本地/外部:Microsoft 365 组织中不存在邮箱。
      • 隔离
      • 未知:例如,在传递后,收件箱规则将邮件移动到默认文件夹 (例如“草稿”或“存档) ”,而不是“收件箱”或“垃圾邮件 Email”文件夹。
    • 最后传递位置:系统或管理员执行任何自动或手动传递后操作后,电子邮件最终出现的位置。 原始交付位置提供相同的值。

    • 方向性:有效值为:

      • 入境
      • 组织内部
      • 出站

      此信息可帮助识别欺骗和模拟。 例如,来自内部域发件人的邮件应为 组织内部,而不是 入站

    • 其他操作:有效值为:

    • 主要替代:如果组织或用户设置允许或阻止本来会被阻止或允许的邮件。 值为:

      • 组织策略允许
      • 用户策略允许
      • 被组织策略阻止
      • 被用户策略阻止

      主要重写源属性进一步优化了这些类别。

    • 主重写源 允许或阻止本来会被阻止或允许的消息的组织策略或用户设置的类型。 值为:

    • 替代源:与 主要替代源相同的可用值。

      提示

      在“Email”选项卡 (视图) “所有电子邮件”、“恶意软件”和“网络钓鱼”视图的详细信息区域中,相应的替代列名为“系统替代”和“系统替代源”。

    • URL 威胁:有效值为:

      • 恶意软件
      • 网络钓鱼
      • 垃圾邮件
  5. 完成配置日期/时间和属性筛选器后,选择“ 刷新”。

Email”选项卡 (“所有电子邮件”、“恶意软件”或“网络钓鱼”视图的详细信息区域中的视图) ,其中包含调查可疑电子邮件所需的详细信息。

例如,使用“Email”选项卡中的“传递操作”、“原始传递位置”和“上次送达位置”列 () 查看) 获取受影响邮件所在位置的完整图片。 这些值已在步骤 4 中说明。

使用 “导出 ”选择性地将最多 200,000 个筛选或未筛选的结果导出到 CSV 文件。

修正已送达的恶意电子邮件

识别已传递的恶意电子邮件后,可以从收件人邮箱中删除它们。 有关说明,请参阅 修正在 Microsoft 365 中传递的恶意电子邮件

修正在 Office 365 中传递的恶意电子邮件

Microsoft Defender for Office 365

查看Defender for Office 365报表