適用於 Office 365 的 Defender 中的模擬深入解析

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

模擬 是當電子郵件訊息的寄件者看起來類似真實或預期寄件者的電子郵件位址時。 攻擊者通常會在網路釣魚或其他類型的攻擊中使用仿真的寄件者電子郵件位址，以取得收件者的信任。 模擬有兩種基本類型：

• 網域模擬：包含網域中的細微差異。 例如，lila@ćóntoso.com 模擬 lila@contoso.com。
• 用戶模擬：包含電子郵件別名的細微差異。 例如， rnichell@contoso.com 模擬 michelle@contoso.com。

網域模擬與網 域詐騙不同，因為模擬網域通常是實際的已註冊網域，但目的是要進行詐騙。 來自模擬網域中發件者的郵件可以傳遞一般電子郵件驗證檢查，否則會將郵件識別為SPF、DKIM和 DMARC) (詐騙嘗試。

模擬保護是專屬於 適用於 Office 365 的 Microsoft Defender 之防網路釣魚原則設定的一部分。 如需這些設定的詳細資訊，請參閱 適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的模擬設定。

系統管理員可以在 Microsoft Defender 入口網站中使用模擬深入解析，快速識別來自模擬發件者或發件者網域的訊息，這些郵件是在反網路釣魚原則的模擬保護中指定。

開始之前有哪些須知？

• 您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [防網络釣魚] 頁面，請使用 https://security.microsoft.com/antiphishing。 若要直接移到 模擬深入解析 頁面，請使用 https://security.microsoft.com/impersonationinsight。

• 您必須獲得指派許可權，才能執行本文中的程式。 您有下列選項：

  • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站，而不會影響 PowerShell) ： (管理) 的授權和設定/安全性設定/核心安全性設定或 (讀取) 的授權和設定/安全性設定/核心安全性設定。

  • Email & Microsoft Defender 入口網站中的共同作業許可權：下列任一角色群組中的成員資格：

    • 組織管理
    • 安全性系統管理員
    • 安全性讀取者
    • 全域讀取者

  • Microsoft Entra 權限：全域管理員、安全性系統管理員^*、安全性讀取者或全域讀取者角色的成員資格，會為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。

    重要事項

    ^* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色，應僅在無法使用現有角色的緊急案例下使用。

• 您可以在 適用於 Office 365 的 Microsoft Defender 中啟用和設定防網路釣魚原則中的模擬保護。 預設不會啟用模擬保護。 如需詳細資訊，請參閱在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則和使用 Microsoft Defender 入口網站將標準和嚴格預設安全策略指派給使用者。

• 如需授權需求的詳細資訊，請參閱 授權條款。

在 Microsoft Defender 入口網站中開啟模擬深入解析

在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 [原則>] 區段中的 [Email & 共同作業原則 & 規則>威脅>原則反網络釣魚]。 或者，若要直接移至 [反網络釣魚 ] 頁面，請使用 https://security.microsoft.com/antiphishing。

在 [ 防網络釣魚 ] 頁面上，模擬深入解析如下所示：

深入解析有兩種模式：

• 深入解析模式：如果在任何反網路釣魚原則中啟用並設定模擬保護，深入解析會顯示過去七天內從模擬網域和模擬使用者 (發件者) 偵測到的訊息數目。 顯示的數位是所有防網路釣魚原則中偵測到的所有模擬嘗試總數。
• What if mode： If impersonation protection isn't enabled and configured in any active anti-phishing policies， the insights shows how many messages have been detected by impersonation protection in the past7 days.

若要檢視模擬偵測的相關信息，請選取 [模擬深入解析] 中的 [ 檢視 模擬] 以移至 [模擬深入解析 ] 頁面。

檢視網域模擬偵測的相關信息

當您在 https://security.microsoft.com/impersonationinsight [反網络釣魚] 頁面的模擬深入解析中選取 [檢視模擬] 時，可以使用 中的 [模擬深入解析] 頁面。

在 [ 模擬深入解析 ] 頁面上，確認已選取 [ 網域] 索引 標籤。

您可以按下可用的數據列標頭來排序專案。 有下列數據行可供使用：^*：

• 寄件者網域：模擬網域，這是用來傳送電子郵件訊息的網域。
• 訊息計數：過去七天內來自模擬發件人網域的訊息數目。
• 模擬類型：此值會顯示模擬 (的偵測位置，例如 位址) 中的網域 。
• 模擬網域 (的) ：受網域模擬保護保護的網域，其應該類似於 發件者網域中的網域。
• 網域類型：此值是可接受網域的公司網域，或自定義網域的自定義網域。
• 原則：偵測到模擬網域的反網路釣魚原則。
• 允許模擬：下列其中一個值：
  • 是：網域已設定為受信任的網域， (偵測到訊息的反網路釣魚原則中) 模擬保護的例外狀況。 偵測到來自模擬網域的訊息，但允許。
  • 否：網域已在偵測到訊息的反網路釣魚原則中設定模擬保護。 反網路釣魚原則中的網域模擬偵測動作會對訊息執行。

^* 若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 縮小網頁瀏覽器。

若要將網域模擬偵測清單從一般變更為精簡間距，請選取 [將清單間距變更為精簡或正常]，然後選取 [壓縮清單]。

使用 [ 搜尋] 方塊和以逗號分隔的值清單來尋找特定網域模擬偵測。

使用 Export 將網域模擬偵測清單匯出至 CSV 檔案。

檢視網域模擬偵測的詳細數據

在 的 [模擬深入解析] 頁面的 [網域] 索引卷標上https://security.microsoft.com/impersonationinsight?type=Domain，按兩下複選框以外的數據列中的任何位置，選取其中一個模擬偵測。

詳細資料飛出視窗中提供下列資訊：

• 為什麼我們攔截到這個？

• 您需要做什麼？

• 網域摘要：偵測到為仿真的網域。

• Whois 數據：包含網域的相關信息：

  • 寄件者位置
  • 網域建立日期
  • 網域到期日
  • 註冊

• 總管調查：選取連結以開啟 威脅總管或即時偵 測，以取得有關發件人的其他詳細數據。

• Email 寄件者：本節顯示網域中發件人類似訊息的下列相關信息：

  • Date
  • 收件者
  • 主旨
  • Sender
  • 寄件者 IP
  • 傳遞動作

提示

若要查看其他網域模擬專案的詳細數據，而不需離開詳細數據飛出視窗，請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

若要防止偵測到網域中的寄件人識別為網域模擬，請參閱下一個子節。

將偵測到網域中的發件者免於未來網域模擬檢查

在 的 [模擬見解] 頁面的 [網域] 索引卷標上https://security.microsoft.com/impersonationinsight?type=Domain，使用下列步驟將偵測到網域中的發件者免於識別為網域模擬：

按兩下複選框以外的數據列中的任何位置，從清單中選取專案。

在開啟的詳細數據飛出視窗中，使用 [選取模擬原則] 來修改 ，並將 新增至飛出視窗頂端 允許的模擬清單 設定。 這些設定會一起運作，將網域新增至原則中不正確地將訊息識別為網域仿真的受 信任發件人和網域 清單：

• 在下拉式清單中選取防網路釣魚原則。 負責偵測訊息的反網路釣魚原則會顯示在 [網域] 索引卷標的 [原則] 值中。

• 將切換開關切換為 [開啟]： 將網域新增至所選原則中的 [ 信任的發件人和網域 ] 清單。

  若要從 [信任的 發件人和網域 ] 列表中移除網域，請將切換切換回

當您在詳細資料飛出視窗中完成時，請選取 [ 關閉]。

檢視用戶模擬偵測的相關信息

當您在 https://security.microsoft.com/impersonationinsight [反網络釣魚] 頁面的模擬深入解析中選取 [檢視模擬] 時，可以使用 中的 [模擬深入解析] 頁面。

在 [ 模擬深入解析 ] 頁面上，選取 [ 使用者] 索引卷標。

您可以按下可用的數據列標頭來排序專案。 有下列數據行可供使用：^*：

• 寄件者：模擬傳送電子郵件訊息之寄件者的電子郵件位址。
• 訊息計數：過去七天內來自模擬發件者之訊息的數目。
• 模擬類型：例如， 顯示名稱中的使用者。
• 模擬使用者 (的) ：受到模擬保護保護之發件人的顯示名稱和電子郵件地址，類似於 發件者中的電子郵件位址。
• 使用者類型： (套用的保護類型，例如受 保護的使用者 或 信箱智慧) 。
• 原則：偵測到模擬發件人的反網路釣魚原則。
• 允許模擬：下列其中一個值：
  • 是：傳送者已設定為受信任的使用者， (偵測到訊息的反網路釣魚原則中) 模擬保護的例外狀況。 偵測到來自模擬發件者但允許的訊息。
  • 否：已在偵測到訊息的反網路釣魚原則中設定發件者模擬保護。 反網路釣魚原則中用戶模擬偵測的動作會對訊息完成。

^* 若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 縮小網頁瀏覽器。

若要將用戶模擬偵測清單從一般變更為精簡間距，請選取 [將清單間距變更為精簡或正常]，然後選取 [壓縮清單]。

使用 [ 搜尋] 方 塊和以逗號分隔的值清單來尋找特定的用戶模擬偵測。

使用 Export 將使用者模擬偵測清單匯出至 CSV 檔案。

檢視用戶模擬偵測的詳細數據

在 的 [模擬深入解析] 頁面上的 [使用者] 索引卷標上https://security.microsoft.com/impersonationinsight?type=User，按兩下複選框以外的數據列中的任何位置，選取其中一個模擬偵測。

詳細資料飛出視窗中提供下列資訊：

• 為什麼我們攔截到這個？

• 您需要做什麼？

• 寄件者摘要：偵測到為仿真的發件者。

• 總管調查：選取連結以開啟 威脅總管或即時偵 測，以取得有關發件人的其他詳細數據。

• Email 發件者：本節顯示來自寄件者之類似訊息的下列資訊：

  • Date
  • 收件者
  • 主旨
  • Sender
  • 寄件者 IP
  • 傳遞動作

提示

若要查看其他使用者模擬專案的詳細數據，而不需離開詳細數據飛出視窗，請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

若要防止偵測到的發件者被識別為用戶模擬，請參閱下一個子區段。

將偵測到的發件者免於未來的用戶模擬檢查

在 的 [模擬深入解析] 頁面的 [使用者] 索引卷標上https://security.microsoft.com/impersonationinsight?type=User，使用下列步驟將偵測到的發件人免於識別為用戶模擬：

按兩下複選框以外的數據列中的任何位置，從清單中選取專案。

在開啟的詳細數據飛出視窗中，使用 [選取模擬原則] 來修改 ，並將 新增至飛出視窗頂端 允許的模擬清單 設定。 這些設定會一起運作，將寄件者新增至原則中不正確地將訊息識別為用戶仿真的受 信任發件人和網域 清單：

• 在下拉式清單中選取防網路釣魚原則。 負責偵測訊息的反網路釣魚原則會顯示在 [網域] 索引卷標的 [原則] 值中。

• 將切換開關切換為 [開啟]： 將發件者新增至所選原則中的 [ 信任的發件人和網域 ] 清單。

  若要從 [ 信任的發件人和網域 ] 列表中移除寄件者，請將切換切換切換回

當您在詳細資料飛出視窗中完成時，請選取 [ 關閉]。