Microsoft Defender for Office 365中使用威胁资源管理器和实时检测Email安全性

• 适用于:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

Microsoft Defender for Office 365包含在订阅中或作为加载项购买的 Microsoft 365 组织具有 Explorer (也称为威胁资源管理器) 或实时检测。 这些功能是功能强大的准实时工具，可帮助安全运营 (SecOps) 团队调查和响应威胁。 有关详细信息，请参阅关于威胁资源管理器和Microsoft Defender for Office 365中的实时检测。

本文介绍如何使用威胁资源管理器或实时检测查看和调查电子邮件中检测到的恶意软件和网络钓鱼尝试。

提示

有关使用威胁资源管理器和实时检测的其他电子邮件方案，请参阅以下文章：

• 威胁资源管理器中的威胁搜寻和 Microsoft Defender for Office 365 中的实时检测
• 调查在 Microsoft 365 中传递的恶意电子邮件

开始前，有必要了解什么？

• 威胁资源管理器包含在计划 2 Defender for Office 365 中。 实时检测包含在 Defender for Office 计划 1 中：

  • 关于威胁资源管理器和Microsoft Defender for Office 365中的实时检测中介绍了威胁资源管理器和实时检测之间的差异。
  • Defender for Office 365计划 1 与计划 2 备忘单中介绍了 Defender for Office 365 计划 2 和 Defender for Office 计划 1 之间的差异。

• 有关威胁资源管理器和实时检测的权限和许可要求，请参阅 威胁资源管理器的权限和许可和实时检测。

查看发送给模拟用户和域的钓鱼电子邮件

有关 Defender for Office 365 中反钓鱼策略中的用户和域模拟保护的详细信息，请参阅 Microsoft Defender for Office 365 中的反钓鱼策略中的模拟设置。

在默认或自定义的防钓鱼策略中，需要指定用户和域以防止模拟，包括你拥有的域 (接受的域) 。 在标准或严格预设安全策略中，你拥有的域会自动接收模拟保护，但你需要指定任何用户或自定义域进行模拟保护。 有关说明，请参阅以下文章：

• 在 EOP 和 Microsoft Defender for Office 365 中预设安全策略
• 在 Microsoft Defender for Office 365 中配置反钓鱼策略

使用以下步骤查看钓鱼邮件并搜索模拟的用户或域。

1. 使用以下步骤之一打开威胁资源管理器或实时检测：

   • 威胁资源管理器：在 Defender 门户中https://security.microsoft.com，转到Email &安全>资源管理器。 或者，若要直接转到 “资源管理器” 页，请使用 https://security.microsoft.com/threatexplorerv3。
   • 实时检测：在 的 Defender 门户中https://security.microsoft.com，转到Email &安全>实时检测。 或者，若要直接转到 “实时检测 ”页，请使用 https://security.microsoft.com/realtimereportsv3。

2. 在 “资源管理器” 或 “实时检测 ”页上，选择“ 钓鱼” 视图。 有关 “钓鱼” 视图的详细信息，请参阅 威胁资源管理器中的网络钓鱼视图和实时检测。

3. 选择日期/时间范围。 默认值为昨天和今天。

4. 执行以下任一步骤：

   • 查找任何用户或域模拟尝试：

     • 选择“发件人地址 (属性) ”框，然后在下拉列表的“基本”部分选择“检测技术”。
     • 验证 是否选择了 “等于任意” 作为筛选器运算符。
     • 在属性值框中，选择“ 模拟域 ”和“ 模拟用户”

   • 查找特定的模拟用户尝试：

     • 选择“发件人地址 (属性) ”框，然后在下拉列表的“基本”部分选择“模拟用户”。
     • 验证 是否选择了 “等于任意” 作为筛选器运算符。
     • 在属性值框中，输入收件人的完整电子邮件地址。 用逗号分隔多个收件人值。

   • 查找特定的模拟域尝试：

     • 选中“发件人地址 (属性) ”框，然后在下拉列表的“基本”部分选择“模拟域”。
     • 验证 是否选择了 “等于任意” 作为筛选器运算符。
     • 在属性值框中，输入域 (例如，contoso.com) 。 用逗号分隔多个域值。

5. 根据需要使用其他可筛选属性输入更多条件。 有关说明，请参阅 威胁资源管理器中的属性筛选器和实时检测。

6. 创建完筛选条件后，选择“ 刷新”。

7. 在图表下方的详细信息区域中，验证是否选择了“Email”选项卡， (视图) 。

   可以按威胁资源管理器和实时检测中“网络钓鱼”视图的详细信息区域Email视图中所述对条目进行排序并显示更多列。

   • 如果选择表中某个条目的 “主题” 值，则会打开电子邮件详细信息浮出控件。 此详细信息浮出控件称为“Email摘要面板”，包含邮件的Email实体页上也提供的标准化摘要信息。

     有关Email摘要面板中的信息的详细信息，请参阅Email摘要面板。

     有关威胁资源管理器和实时检测Email摘要面板顶部的可用操作的信息，请参阅“所有电子邮件”视图中详细信息区域Email视图Email详细信息， (“钓鱼”视图) 中也提供了相同的操作。

   • 如果选择表中某个条目的 “收件人” 值，则会打开其他详细信息浮出控件。 有关详细信息，请参阅“钓鱼”视图中详细信息区域Email视图中的收件人详细信息。

导出 URL 单击数据

可以将 URL 单击数据导出到 CSV 文件以查看“网络消息 ID”和“单击判决”值，这有助于解释 URL 单击流量的源。

1. 使用以下步骤之一打开威胁资源管理器或实时检测：

   • 威胁资源管理器：在 Defender 门户中https://security.microsoft.com，转到Email &安全>资源管理器。 或者，若要直接转到 “资源管理器” 页，请使用 https://security.microsoft.com/threatexplorerv3。
   • 实时检测：在 的 Defender 门户中https://security.microsoft.com，转到Email &安全>实时检测。 或者，若要直接转到 “实时检测 ”页，请使用 https://security.microsoft.com/realtimereportsv3。

2. 在 “资源管理器” 或 “实时检测 ”页上，选择“ 钓鱼” 视图。 有关 “钓鱼” 视图的详细信息，请参阅 威胁资源管理器中的网络钓鱼视图和实时检测。

3. 选择日期/时间范围，然后选择“ 刷新”。 默认值为昨天和今天。

4. 在详细信息区域中，选择“ 热门 URL ”或“ 顶部单击 次数”选项卡， (查看) 。

5. 在“前 URL”或“顶部单击次数”视图中，通过选择第一列旁边的“检查”框，从表中选择一个或多个条目，然后选择“导出”。 探险 家>网络钓鱼>点击>顶部 URL 或 URL 顶部单击> 选择任何记录以打开 URL 浮出控件。

可以使用网络消息 ID 值在威胁资源管理器或实时检测或外部工具中搜索特定消息。 这些搜索标识与单击结果关联的电子邮件。 使用关联的网络消息 ID 可以更快、更强大的分析。

查看电子邮件中检测到的恶意软件

使用威胁资源管理器或实时检测中的以下步骤查看 Microsoft 365 在电子邮件中检测到的恶意软件。

1. 使用以下步骤之一打开威胁资源管理器或实时检测：

   • 威胁资源管理器：在 Defender 门户中https://security.microsoft.com，转到Email &安全>资源管理器。 或者，若要直接转到 “资源管理器” 页，请使用 https://security.microsoft.com/threatexplorerv3。
   • 实时检测：在 的 Defender 门户中https://security.microsoft.com，转到Email &安全>实时检测。 或者，若要直接转到 “实时检测 ”页，请使用 https://security.microsoft.com/realtimereportsv3。

2. 在 “资源管理器” 或 “实时检测 ”页上，选择“ 恶意软件” 视图。 有关 “钓鱼” 视图的详细信息，请参阅 威胁资源管理器中的恶意软件视图和实时检测。

3. 选择日期/时间范围。 默认值为昨天和今天。

4. 选择“发件人地址 (属性) ”框，然后在下拉列表的“基本”部分选择“检测技术”。

   • 验证 是否选择了 “等于任意” 作为筛选器运算符。
   • 在“属性值”框中，选择以下一个或多个值：
     • 反恶意软件保护
     • 文件设置
     • 文件创建的信誉
     • 文件信誉
     • 指纹匹配

5. 根据需要使用其他可筛选属性输入更多条件。 有关说明，请参阅 威胁资源管理器中的属性筛选器和实时检测。

6. 创建完筛选条件后，选择“ 刷新”。

报表显示使用所选技术选项在电子邮件中检测到的恶意软件的结果。 可在此处进行进一步分析。

将邮件报告为干净邮件

可以使用 Defender 门户中https://security.microsoft.com/reportsubmission的“提交”页将邮件报告为干净 (误报) Microsoft。 但你也可以从资源管理器或实时检测中将邮件作为干净状态提交到 Microsoft。

有关说明，请参阅威胁资源管理器中的Email修正和实时检测。

总结一下：

• 从“Email”选项卡的详细信息表中选择一封邮件， (视图) “所有电子邮件”、“恶意软件”或“钓鱼”视图中，方法是选择行中的“检查”框，然后选择“邮件操作”，然后选择以下选项之一：
  • 威胁资源管理器：在“开始新提交”部分选择“提交到 Microsoft”。 有关进一步的说明，请参阅 在威胁资源管理器中启动新的提交操作。
  • 实时检测：选择“ 清理报表”。 有关进一步的说明，请参阅 在实时检测中启动新的提交操作。

或

• 单击“主题”值，从“Email”选项卡的详细信息表中选择邮件 (视图) “所有电子邮件”、“恶意软件”或“网络钓鱼”视图中。

  在打开的详细信息浮出控件中，选择“ 执行操作>提交到 Microsoft 以供审阅>，我已确认它已干净”。 有关进一步的说明，请参阅 使用“采取操作”进行修正。

查看钓鱼 URL 并单击判决数据

安全链接保护跟踪允许、阻止和重写的 URL。 由于 预设安全策略中的内置保护，安全链接保护默认处于打开状态。 “标准”和“严格”预设安全策略中启用了安全链接保护。 还可以在自定义安全链接策略中创建和配置 安全链接保护。 有关安全链接策略设置的详细信息，请参阅 安全链接策略设置。

使用以下步骤查看电子邮件中使用 URL 进行钓鱼尝试。

1. 使用以下步骤之一打开威胁资源管理器或实时检测：

   • 威胁资源管理器：在 Defender 门户中https://security.microsoft.com，转到Email &安全>资源管理器。 或者，若要直接转到 “资源管理器” 页，请使用 https://security.microsoft.com/threatexplorerv3。
   • 实时检测：在 的 Defender 门户中https://security.microsoft.com，转到Email &安全>实时检测。 或者，若要直接转到 “实时检测 ”页，请使用 https://security.microsoft.com/realtimereportsv3。

2. 在 “资源管理器” 或 “实时检测 ”页上，选择“ 钓鱼” 视图。 有关 “钓鱼” 视图的详细信息，请参阅 威胁资源管理器中的网络钓鱼视图和实时检测。

3. 选择日期/时间范围。 默认值为昨天和今天。

4. 选择“发件人地址 (属性) ”框，然后选择下拉列表的“URL”部分中的“单击判决”。

   • 验证 是否选择了 “等于任意” 作为筛选器运算符。
   • 在“属性值”框中，选择以下一个或多个值：
     • 阻止
     • 被阻止重写

   有关单击判决值的说明，请参阅威胁资源管理器中“所有电子邮件”视图中的“可筛选属性中的单击判决”。

5. 根据需要使用其他可筛选属性输入更多条件。 有关说明，请参阅 威胁资源管理器中的属性筛选器和实时检测。

6. 创建完筛选条件后，选择“ 刷新”。

图表下方详细信息区域中的“ 热门 URL ”选项卡 (视图) 显示前五个 URL 的阻止邮件、 垃圾邮件和 传递的邮件 数。 有关详细信息，请参阅 热门 URL 视图，了解威胁资源管理器和实时检测中网络钓鱼视图的详细信息区域。

图表下方详细信息区域中的“ 最高单击 次数”选项卡 (视图) 显示安全链接包装的前五个单击链接。 单击未包装的链接的 URL 不会在此处显示。 有关详细信息，请参阅 “威胁资源管理器”和“实时检测”中“网络钓鱼”视图的详细信息区域。

这些 URL 表显示尽管有警告，但仍被阻止或访问的 URL。 此信息显示向用户显示的潜在错误链接。 可在此处进行进一步分析。

有关详细信息，请从视图中的条目中选择 URL。 有关详细信息，请参阅 “网络钓鱼”视图中的“热门 URL”和“热门单击”选项卡的 URL 详细信息。

提示

在 URL 详细信息浮出控件中，将删除对电子邮件的筛选，以显示环境中 URL 公开的完整视图。 此行为允许筛选特定电子邮件，查找潜在威胁的特定 URL，然后扩展对环境中 URL 公开的了解，而无需在 “钓鱼” 视图中添加 URL 筛选器。

点击判决的解释

Click 判决属性结果在以下位置可见：

• 单击“所有电子邮件”视图详细信息区域“的”URL 单击“图表透视 (”仅威胁资源管理器) “或”钓鱼“视图
• 威胁资源管理器中“所有电子邮件”视图详细信息区域的点击次数靠前视图
• 威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的热门单击视图
• 威胁资源管理器中 URL 单击视图的详细信息区域顶部单击视图

以下列表中介绍了判决值：

• 允许：允许用户打开 URL。
• 被重写的块：用户被阻止直接打开 URL，但他们覆盖块以打开 URL。
• 已阻止：阻止用户打开 URL。
• 错误：向用户显示错误页，或者在捕获判决时出错。
• 失败：捕获判决时发生未知异常。 用户可能已打开 URL。
• 无：无法捕获 URL 的判决。 用户可能已打开 URL。
• 待定判决：向用户显示引爆待定页面。
• 未决判决被绕过：用户已看到引爆页面，但他们覆盖了消息以打开 URL。

在威胁资源管理器中启动自动调查和响应

Defender for Office 365计划 2 中的自动调查和响应 (AIR) 可以节省调查和缓解网络攻击的时间和精力。 可以配置触发安全 playbook 的警报，并且可以在威胁资源管理器中启动 AIR。 有关详细信息，请参阅 示例：安全管理员从资源管理器触发调查。

其他文章

使用Email实体页调查电子邮件