在 適用於 Office 365 的 Microsoft Defender 中使用威脅總管和即時偵測來 Email 安全性

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

將 適用於 Office 365 的 Microsoft Defender 包含在其訂用帳戶或購買為附加元件的 Microsoft 365 組織具有 Explorer (也稱為威脅總管) 或即時偵測。 這些功能是強大的近乎即時工具,可協助安全性作業 (SecOps) 小組調查和回應威脅。 如需詳細資訊,請參閱關於威脅總管和 適用於 Office 365 的 Microsoft Defender 中的即時偵測

本文說明如何使用威脅總管或即時偵測,檢視及調查電子郵件中偵測到的惡意代碼和網路釣魚嘗試。

提示

如需使用威脅總管和即時偵測的其他電子郵件案例,請參閱下列文章:

開始之前有哪些須知?

檢視傳送給模擬使用者和網域的網路釣魚電子郵件

如需 適用於 Office 365 的 Defender 中反網路釣魚原則中使用者和網域模擬保護的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的模擬設定

在預設或自定義的反網路釣魚原則中,您必須指定要防止仿真的使用者和網域,包括您擁有的網 域 (接受的網域) 。 在標準或嚴格預設安全策略中,您擁有的網域會自動收到模擬保護,但您需要指定任何使用者或自定義網域以進行模擬保護。 如需指示,請參閱下列文章:

使用下列步驟來檢閱網路釣魚訊息,並搜尋仿真的使用者或網域。

  1. 使用下列其中一個步驟來開啟威脅總管或即時偵測:

  2. 在 [ 總管 ] 或 [實時偵測] 頁面上,選取 [網络釣魚 ] 檢視。 如需 網路釣魚 檢視的詳細資訊,請參閱威脅總管 中的網路釣魚檢視和即時偵測

  3. 選取日期/時間範圍。 預設值為昨天和今天。

  4. 執行下列任何步驟:

    • 尋找任何使用者或網域模擬嘗試

      • 選取 [寄件者位址 (屬性) ] 方塊,然後在下拉式清單的 [基本] 區段中選取 [偵測技術]。
      • 確認已選取 Equal any 作為篩選運算符。
      • 在屬性值方塊中,選取 [模擬網域 ] 和 [模擬使用者]

    • 尋找特定的模擬使用者嘗試

      • 選取 [寄件者位址 (屬性) ] 方塊,然後在下拉式清單的 [基本] 區段中選取 [模擬使用者]。
      • 確認已選取 Equal any 作為篩選運算符。
      • 在屬性值方塊中,輸入收件者的完整電子郵件位址。 以逗號分隔多個收件者值。

    • 尋找特定的模擬網域嘗試

      • 選取 [寄件者位址 (屬性) ] 方塊,然後在下拉式清單的 [基本] 區段中選取 [模擬網域]。
      • 確認已選取 Equal any 作為篩選運算符。
      • 在屬性值方塊中,輸入網域 (例如,contoso.com) 。 以逗號分隔多個定義域值。

  5. 視需要使用其他可篩選屬性輸入更多條件。 如需指示,請參閱 威脅總管中的屬性篩選和即時偵測

  6. 當您完成建立篩選條件時,請選取 [ 重新整理]

  7. 在圖表下方的詳細數據區域中,確認已選取 Email 索引標籤 (檢視) 。

    您可以排序專案,並顯示更多數據行,如威脅總管和即時偵測中網路釣魚檢視的詳細數據區域 Email 檢視中所述。

    • 如果您選取資料表中專案的 [ 主旨 ] 值,就會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,並包含訊息 Email 實體頁面上也提供的標準化摘要資訊。

      如需 Email 摘要面板中資訊的詳細資訊,請參閱 Email 摘要面板

      如需威脅總管和即時偵測 Email 摘要面板頂端可用動作的相關信息,請參閱 [所有電子郵件檢視] 中詳細數據區域的 Email 檢視 Email 詳細數據 (網络釣魚檢視) 也提供相同的動作。

    • 如果您選取資料表中專案的 [ 收件者 ] 值,則會開啟不同的詳細數據飛出視窗。 如需詳細資訊,請參閱網路釣魚檢視中詳細數據區域 Email 檢視中的收件者詳細數據

匯出 URL 點擊資料

您可以將 URL Click 數據匯出至 CSV 檔案,以檢視 網路訊息識別 碼和 按兩下決策 值,這有助於說明URL點選流量的來源。

  1. 使用下列其中一個步驟來開啟威脅總管或即時偵測:

  2. 在 [ 總管 ] 或 [實時偵測] 頁面上,選取 [網络釣魚 ] 檢視。 如需 網路釣魚 檢視的詳細資訊,請參閱威脅總管 中的網路釣魚檢視和即時偵測

  3. 選取日期/時間範圍,然後選取 [ 重新整理]。 預設值為昨天和今天。

  4. 在詳細數據區域中,選取 [ 頂端 URL] 或 [ 頂端點選] 索引卷標 (檢視) 。

  5. 在 [ 頂端 URL][頂端按兩下 ] 檢視中,選取第一個數據行旁邊的複選框,從數據表中選取一或多個專案,然後選取 [ 導出]探險 家>網路釣魚>點擊>最上層 URLURL 單擊滑鼠選取> 任何記錄以開啟 URL 飛出視窗。

您可以使用網路訊息識別碼值,在威脅總管或即時偵測或外部工具中搜尋特定訊息。 這些搜尋會識別與點選結果相關聯的電子郵件訊息。 擁有相互關聯的網路訊息標識碼可讓您更快速且更強大的分析。

檢視在電子郵件中偵測到的惡意代碼

使用威脅總管或即時偵測中的下列步驟,查看 Microsoft 365 在電子郵件中偵測到的惡意代碼。

  1. 使用下列其中一個步驟來開啟威脅總管或即時偵測:

  2. 在 [ 總管 ] 或 [實時偵測] 頁面上,選取 [ 惡意代碼] 檢視 。 如需 網路釣魚 檢視的詳細資訊,請參閱威脅總管 中的惡意代碼檢視和即時偵測

  3. 選取日期/時間範圍。 預設值為昨天和今天。

  4. 選取 [寄件者位址 (屬性) ] 方塊,然後在下拉式清單的 [基本] 區段中選取 [偵測技術]。

    • 確認已選取 Equal any 作為篩選運算符。
    • 在 [屬性值] 方塊中,選取下列一或多個值:
      • Anti-malware protection
      • 檔案擷取
      • 檔案擷取信譽
      • 檔案信譽
      • 指紋比對

  5. 視需要使用其他可篩選屬性輸入更多條件。 如需指示,請參閱 威脅總管中的屬性篩選和即時偵測

  6. 當您完成建立篩選條件時,請選取 [ 重新整理]

此報告會使用您選取的技術選項,顯示惡意代碼在電子郵件中偵測到的結果。 您可以從這裡進行進一步分析。

將訊息回報為乾淨

您可以使用 Defender https://security.microsoft.com/reportsubmission 入口網站中的 [提交] 頁面,將訊息回報為清除 (誤判) 給 Microsoft。 但您也可以從總管或即時偵測將訊息以乾淨的方式提交給 Microsoft。

如需指示,請參閱威脅搜捕:Email 補救。

摘要說明:

  • 使用下列其中一種方法選取 [採取動作]:

    • 從 [Email] 索引卷標的詳細數據表中選取一或多個訊息 (選取 [所有電子郵件]、[惡意代碼] 或 [網络釣魚] 檢視中的檢視) ,方法是選取專案的複選框。

    • 在詳細數據飛出視窗中,按兩下 [主旨] 值,從 [Email] 索引卷標中的詳細數據數據表中選取訊息 (檢視) 在 [所有電子郵件]、[惡意代碼] 或 [網络釣魚] 檢視中。

  • 在 [ 採取動作精 靈] 中,選取 [提交至 Microsoft 以供檢閱>我已確認其是否乾淨]

檢視網路釣魚 URL,然後按兩下決策數據

安全鏈接保護會追蹤允許、封鎖和覆寫的URL。 由於 預設安全策略中的內建保護,安全鏈接保護預設為開啟。 安全鏈接保護已在標準和嚴格預設安全策略中開啟。 您也可以在自定義安全鏈接原則中建立和設定 安全連結保護。 如需安全鏈接原則設定的詳細資訊,請參閱 安全鏈接原則設定

使用下列步驟查看在電子郵件訊息中使用URL的網路釣魚嘗試。

  1. 使用下列其中一個步驟來開啟威脅總管或即時偵測:

  2. 在 [ 總管 ] 或 [實時偵測] 頁面上,選取 [網络釣魚 ] 檢視。 如需 網路釣魚 檢視的詳細資訊,請參閱威脅總管 中的網路釣魚檢視和即時偵測

  3. 選取日期/時間範圍。 預設值為昨天和今天。

  4. 選取 [寄件者位址 (屬性) ] 方塊,然後選取下拉式清單的 [URL] 區段中的 [按兩下決策]。

    • 確認已選取 Equal any 作為篩選運算符。
    • 在 [屬性值] 方塊中,選取下列一或多個值:
      • 封鎖
      • 已封鎖覆寫

    如需 Click 決策值的說明,請參閱威脅總管中 [所有電子郵件] 檢視中的 [可篩選屬性] 中的[按兩下決策]。

  5. 視需要使用其他可篩選屬性輸入更多條件。 如需指示,請參閱 威脅總管中的屬性篩選和即時偵測

  6. 當您完成建立篩選條件時,請選取 [ 重新整理]

圖表下方詳細數據區域中 (檢視) 的 [ 最上層 URL ] 索引標籤會顯示前五個 URL 的 [已封鎖的郵件]、[ 已垃圾郵件] 和 [訊息傳遞 ] 計數。 如需詳細資訊,請參閱威脅總管 和即時偵測中網路釣魚檢視詳細數據區域的前一個URL檢視。

圖表下方詳細數據區域中的 [ 頂端點 選] 索引標籤 (檢視) 會顯示安全連結所包裝的前五個點選連結。 未包裝連結上的 URL 點選不會顯示於此處。 如需詳細資訊,請參閱威脅總管 中網路釣魚檢視的詳細數據區域和即時偵測的按滑鼠頂端檢視。

這些 URL 資料表會顯示儘管出現警告,仍遭到封鎖或流覽的 URL。 此信息顯示提供給使用者的潛在不良連結。 您可以從這裡進行進一步分析。

從檢視中的項目選取 URL 以取得詳細數據。 如需詳細資訊,請參閱網路釣魚 檢視中 [前一個 URL] 和 [最上一步] 索引卷標的 URL 詳細數據

提示

在 URL 詳細資料飛出視窗中,會移除電子郵件訊息的篩選,以顯示您環境中 URL 曝光的完整檢視。 此行為可讓您篩選特定的電子郵件訊息、尋找潛在威脅的特定 URL,然後擴展您對環境中 URL 曝光的瞭解,而不需要在 網路 釣魚檢視中新增 URL 篩選。

按兩下決策的解譯

Click 決策屬性結果會顯示在下列位置:

下列清單說明決策值:

  • 允許:允許用戶開啟 URL。
  • 封鎖覆寫:已封鎖使用者直接開啟 URL,但他們會覆寫區塊以開啟 URL。
  • 已封鎖:已封鎖用戶開啟 URL。
  • 錯誤:使用者看到錯誤頁面,或擷取決策時發生錯誤。
  • 失敗:擷取決策時發生未知的例外狀況。 使用者可能已開啟 URL。
  • :無法擷取 URL 的決策。 使用者可能已開啟 URL。
  • 暫止的決策:使用者看到擱置中的擱置頁面。
  • 略過暫止的決策:使用者看到遭到竊聽的頁面,但他們會覆寫訊息以開啟 URL。

在威脅總管中開始自動化調查和回應

適用於 Office 365 的 Defender 方案 2 中 AIR) (自動化調查和回應,可在您調查及減輕網路攻擊時節省時間和精力。 您可以設定觸發安全性劇本的警示,而且可以在 [威脅總管] 中啟動 AIR。 如需詳細資訊,請參閱 範例:安全性系統管理員從 Explorer 觸發調查

使用 Email 實體頁面調查電子郵件