调查在 Microsoft 365 中传递的恶意电子邮件
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft Microsoft Defender for Office 365包含在订阅中或作为加载项购买的 365 个组织具有 Explorer (也称为威胁资源管理器) 或实时检测。 这些功能是功能强大的准实时工具,可帮助安全运营 (SecOps) 团队调查和响应威胁。 有关详细信息,请参阅关于威胁资源管理器和Microsoft Defender for Office 365中的实时检测。
使用威胁资源管理器和实时检测,可以调查使组织中的人员面临风险的活动,并采取措施保护组织。 例如:
- 查找和删除邮件。
- 标识恶意电子邮件发件人的 IP 地址。
- 启动事件以进一步调查。
本文介绍如何使用威胁资源管理器和实时检测在收件人邮箱中查找恶意电子邮件。
开始前,有必要了解什么?
威胁资源管理器包含在计划 2 Defender for Office 365 中。 实时检测包含在 Defender for Office 计划 1 中:
- 关于威胁资源管理器和Microsoft Defender for Office 365中的实时检测中介绍了威胁资源管理器和实时检测之间的差异。
- Defender for Office 365计划 1 与计划 2 备忘单中介绍了 Defender for Office 365 计划 2 和 Defender for Office 计划 1 之间的差异。
对于需要选择一个或多个可用值的筛选器属性,在筛选条件中使用 具有所选所有值的 属性的结果与不使用筛选条件中的 属性相同。
有关威胁资源管理器和实时检测的权限和许可要求,请参阅 威胁资源管理器的权限和许可和实时检测。
查找已送达的可疑电子邮件
使用以下步骤之一打开威胁资源管理器或实时检测:
- 威胁资源管理器:在 Defender 门户中https://security.microsoft.com,转到Email &安全>资源管理器。 或者,若要直接转到 “资源管理器” 页,请使用 https://security.microsoft.com/threatexplorerv3。
- 实时检测:在 的 Defender 门户中https://security.microsoft.com,转到Email &安全>实时检测。 或者,若要直接转到 “实时检测 ”页,请使用 https://security.microsoft.com/realtimereportsv3。
在 “资源管理器” 或 “实时检测 ”页上,选择适当的视图:
- 威胁资源管理器:验证是否已选择 “所有电子邮件”视图 。
- 实时检测:验证是否已选择 “恶意软件”视图 ,或选择“ 钓鱼”视图。
选择日期/时间范围。 默认值为昨天和今天。
使用以下部分或全部目标属性和值创建一个或多个筛选条件。 有关完整说明,请参阅 威胁资源管理器中的属性筛选器和实时检测。 例如:
传递操作:由于现有策略或检测,对电子邮件执行的操作。 有用的值为:
- 已送达:Email传递到用户的收件箱或其他用户可以访问邮件的文件夹。
- 垃圾邮件:Email传递到用户可以访问邮件的“垃圾邮件Email”文件夹或“已删除邮件”文件夹。
- 已阻止:Email已隔离、传递失败或已删除的邮件。
原始传递位置:电子邮件在系统或管理员 ((例如 ZAP 或移动到隔离) )的任何自动或手动传递操作之前到达的位置。 有用的值为:
- 已删除邮件文件夹
- 已删除:邮件在邮件流中的某个位置丢失。
- 失败:邮件无法到达邮箱。
- 收件箱/文件夹
- 垃圾邮件文件夹
- 本地/外部:Microsoft 365 组织中不存在邮箱。
- 隔离
- 未知:例如,在传递后,收件箱规则将邮件移动到默认文件夹 (例如“草稿”或“存档) ”,而不是“收件箱”或“垃圾邮件 Email”文件夹。
最后传递位置:系统或管理员执行任何自动或手动传递后操作后,电子邮件最终出现的位置。 原始交付位置提供相同的值。
方向性:有效值为:
- 入境
- 组织内部
- 出站
此信息可帮助识别欺骗和模拟。 例如,来自内部域发件人的邮件应为 组织内部,而不是 入站。
其他操作:有效值为:
- 计划 2) 自动修正 (Defender for Office 365
- 动态传递:有关详细信息,请参阅 安全附件策略中的动态传递。
- 手动修正
- 无
- 隔离发布
- 重新处理:邮件被追溯标识为良好。
- ZAP:有关详细信息,请参阅 Microsoft Defender for Office 365 中的 ZAP) (零小时自动清除。
主要替代:如果组织或用户设置允许或阻止本来会被阻止或允许的邮件。 值为:
- 组织策略允许
- 用户策略允许
- 被组织策略阻止
- 被用户策略阻止
- 无
主要重写源属性进一步优化了这些类别。
主重写源 允许或阻止本来会被阻止或允许的消息的组织策略或用户设置的类型。 值为:
- 第三方筛选器
- 管理员启动的时间行程
- 按文件类型阻止反恶意软件策略: 反恶意软件策略中的常见附件筛选
- 反垃圾邮件策略设置
- 连接策略: 配置连接筛选
- Exchange 传输规则 (邮件流规则)
- 独占模式 (用户替代) :邮箱安全列表集合中的“仅信任来自我的安全发件人和域”列表中的地址和安全邮件列表“设置。
- 由于本地组织而跳过筛选
- 从策略筛选 IP 区域: 从这些国家/地区 筛选 反垃圾邮件策略。
- 策略中的语言筛选器:反垃圾邮件策略中的“包含特定语言”筛选器。
- 网络钓鱼模拟: 在高级传送策略中配置第三方网络钓鱼模拟
- 隔离发布: 释放隔离的电子邮件
- SecOps 邮箱: 在高级传递策略中配置 SecOps 邮箱
- 发件人地址列表 (管理员 覆盖) :反垃圾邮件策略中允许的发件人列表或阻止发件人列表。
- 发件人地址列表 (用户替代) :邮箱安全列表集合中“阻止发件人”列表中的发件人电子邮件地址。
- 发件人域列表 (管理员 覆盖) :反垃圾邮件策略中允许的域列表或阻止的域列表。
- 发件人域列表 (用户替代) :邮箱安全列表集合中“阻止发件人”列表中的发件人域。
- 租户允许/阻止列表文件块: 为文件创建块条目
- 租户允许/阻止列表发件人电子邮件地址阻止: 为域和电子邮件地址创建阻止条目
- 租户允许/阻止列表欺骗块: 为欺骗发件人创建阻止条目
- 租户允许/阻止列表 URL 块: 为 URL 创建块条目
- 受信任的联系人列表 (用户替代) :邮箱安全列表集合中来自我的联系人的信任电子邮件设置。
- 租户允许/阻止列表文件块: 为文件创建块条目
- 受信任的域 (用户替代) :邮箱安全列表集合中安全发件人列表中的发件人域。
- 受信任的收件人 (用户替代) :邮箱安全列表集合中安全收件人列表中的收件人电子邮件地址或域。
- 受信任的发件人仅 (用户替代) :仅安全Lists:仅来自安全发件人列表或安全收件人列表中的人员或域的邮件才会传递到邮箱的安全列表集合中的收件箱设置。
替代源:与 主要替代源相同的可用值。
URL 威胁:有效值为:
- 恶意软件
- 网络钓鱼
- 垃圾邮件
完成配置日期/时间和属性筛选器后,选择“ 刷新”。
“Email”选项卡 (“所有电子邮件”、“恶意软件”或“网络钓鱼”视图的详细信息区域中的视图) ,其中包含调查可疑电子邮件所需的详细信息。
例如,使用“Email”选项卡中的“传递操作”、“原始传递位置”和“上次送达位置”列 () 查看) 获取受影响邮件所在位置的完整图片。 这些值已在步骤 4 中说明。
使用 “导出 ”选择性地将最多 200,000 个筛选或未筛选的结果导出到 CSV 文件。
修正已送达的恶意电子邮件
识别已传递的恶意电子邮件后,可以从收件人邮箱中删除它们。 有关说明,请参阅 修正在 Microsoft 365 中传递的恶意电子邮件。