Microsoft Defender for Office 365调查中的Email分析
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在警报的自动调查过程中,Microsoft Defender for Office 365分析原始电子邮件是否存在威胁,并识别与原始电子邮件相关的其他电子邮件,这些电子邮件可能是攻击的一部分。 此分析非常重要,因为电子邮件攻击很少包含一封电子邮件。
自动调查的电子邮件分析使用原始电子邮件中的属性来标识电子邮件群集,以查询组织发送和接收的电子邮件。 此分析类似于安全运营分析师在资源管理器或高级搜寻中搜寻相关电子邮件的方式。 多个查询用于识别匹配的电子邮件,因为攻击者通常会改变电子邮件参数以避免安全检测。 聚类分析分析执行以下检查以确定如何处理调查中涉及的电子邮件:
- 电子邮件分析使用原始电子邮件中的属性创建 (群集) 电子邮件的查询:发件人值 (IP 地址、发件人域) 和内容 (主题、群集 ID) ,以便查找可能相关的电子邮件。
- 如果对原始电子邮件的 URL 和文件进行分析,发现一些是恶意 (,即恶意软件或钓鱼) ,则还会创建包含恶意 URL 或文件的电子邮件查询或群集。
- Email 聚类分析分析统计与群集中类似电子邮件关联的威胁,以确定电子邮件是恶意的、可疑的还是没有明显的威胁。 如果与查询匹配的电子邮件群集具有足够数量的垃圾邮件、普通网络钓鱼、高置信度钓鱼或恶意软件威胁,则电子邮件群集将应用该威胁类型。
- 电子邮件聚类分析分析还会检查电子邮件群集中原始电子邮件和邮件的最新传递位置,以帮助识别可能需要删除的邮件,或者已被修正或阻止的邮件。 此分析非常重要,因为攻击者对恶意内容以及安全策略和保护可能因邮箱而异。 此功能会导致恶意内容可能仍位于邮箱中,即使零小时自动清除 (ZAP) 阻止或检测并删除了一个或多个恶意电子邮件。
- Email群集,如果群集因恶意软件、高可信度钓鱼、恶意文件或恶意 URL 威胁而被视为恶意,则会执行挂起的操作,以软删除仍在云邮箱 (收件箱或垃圾邮件Email文件夹中的邮件) 。 如果恶意电子邮件或电子邮件群集在“不在邮箱中” (被阻止、隔离、失败、软删除等 ) 或“本地/外部”且在云邮箱中没有任何,则不会设置挂起操作来删除它们。
- 如果确定任何电子邮件群集是恶意的,则群集标识的威胁将应用于调查所涉及的原始电子邮件。 此行为类似于安全运营分析师使用电子邮件搜寻结果根据类似电子邮件确定原始电子邮件的判决。 此结果可确保无论是否检测到原始电子邮件的 URL、文件或源电子邮件指示器,系统都可以识别可能通过个性化、变形、逃避或其他攻击者技术逃避检测的恶意电子邮件。
- 在用户泄露调查中,将创建其他电子邮件群集,以识别邮箱创建的潜在电子邮件问题。 此过程包括 (来自用户的良好电子邮件的干净电子邮件群集、潜在的数据外泄和潜在的命令/控制电子邮件) 、可疑电子邮件群集 (包含垃圾邮件或普通钓鱼) 的电子邮件,以及恶意电子邮件群集 (包含恶意软件或高可信度钓鱼) 的电子邮件。 这些电子邮件群集提供安全运营分析师数据,以确定可能需要从入侵中解决的其他问题,以及哪些邮件可能触发了原始警报 ((例如,触发用户发送限制的网络钓鱼/垃圾邮件)的可见性)
通过相似性和恶意实体查询Email 聚类分析分析可确保完全识别和清理电子邮件问题,即使只识别了来自攻击的一封电子邮件。 可以使用电子邮件群集详细信息侧面板视图中的链接在资源管理器或高级搜寻中打开查询,以执行更深入的分析并根据需要更改查询。 如果发现电子邮件群集的查询太窄或过于宽泛, (包括不相关的电子邮件) ,此功能可以实现手动优化和修正。
以下是调查中电子邮件分析的其他增强功能。
AIR 调查会忽略高级传递项 (SecOps 邮箱和钓鱼模拟邮件)
在电子邮件聚类分析分析期间,所有聚类分析查询都会忽略识别为高级传递策略的 SecOps 邮箱和钓鱼模拟 URL。 SecOps 邮箱和钓鱼模拟 URL 不会显示在查询中,以保持聚类分析属性简单易读。 这些排除项可确保发送到 SecOps 邮箱的邮件和包含钓鱼模拟 URL 的邮件在威胁分析期间被忽略,并且不会在任何修正过程中被删除。
注意
打开电子邮件群集以在资源管理器中查看电子邮件群集详细信息时,网络钓鱼模拟和 SecOps 邮箱筛选器将在资源管理器中应用,但不显示。 如果更改资源管理器筛选器、日期或刷新页面中的查询,则会删除钓鱼模拟/SecOps 筛选器排除项,并再次显示匹配的电子邮件。 如果使用浏览器刷新函数刷新资源管理器页面,则会重新加载原始查询筛选器,包括钓鱼模拟/SecOps 筛选器,但会删除你所做的任何后续更改。
AIR 更新挂起电子邮件操作状态
调查电子邮件分析在调查时计算电子邮件威胁和位置,以创建调查证据和操作。 当调查之外的操作影响调查涉及的电子邮件时,此数据可能会过时。 例如,安全操作手动搜寻和修正可能会清理调查中包含的电子邮件。 同样,并行调查中批准的删除操作或 ZAP 自动隔离操作可能删除了电子邮件。 此外,在电子邮件传递后延迟检测威胁可能会更改调查的电子邮件查询/群集中包含的威胁数。
为了确保调查操作是最新的,包含挂起操作的调查会定期重新运行电子邮件分析查询,以更新电子邮件位置和威胁。
- 当电子邮件群集数据发生更改时,它会更新威胁和最新传递位置计数。
- 如果邮箱中不再存在具有挂起操作的电子邮件或电子邮件群集,则挂起操作将被取消,并且恶意电子邮件/群集被视为已修正。
- 如前所述修正或取消所有调查威胁后,调查将转换为已修正状态并解决原始警报。
电子邮件和电子邮件群集的事件证据的显示
事件“证据和响应”选项卡中基于Email的证据现在显示以下信息。
从图中的编号标注:
除了操作中心外,还可以执行修正 操作。
可以对具有 恶意 判决 (的电子邮件群集执行修正操作,但不能对 可疑) 执行修正操作。
对于电子邮件垃圾邮件判决,网络钓鱼分为高置信度和正常网络钓鱼。
对于恶意判决,威胁类别包括恶意软件、高置信度钓鱼、恶意 URL 和恶意文件。
对于可疑判决,威胁类别为垃圾邮件和普通网络钓鱼。
电子邮件计数基于最新的传递位置,包括邮箱中(而不是邮箱和本地)中的电子邮件计数器。
包括查询的日期和时间,该查询可能会针对最新数据进行更新。
对于调查的“ 实体 ”选项卡中的电子邮件或电子邮件群集, “已阻止 ”表示邮箱中没有针对邮件或群集) (恶意电子邮件。 下面是一个示例。
在此示例中,电子邮件是恶意的,但不在邮箱中。