通过Microsoft Defender for Office 365中的市场活动跟踪和响应新出现的威胁

市场活动可用于跟踪和响应新出现的威胁，因为市场活动允许你调查针对组织的协调电子邮件攻击。 当新的威胁针对你的组织时，Microsoft Defender for Office 365会自动检测并关联恶意邮件。

你将需要什么

• Microsoft Defender for Office 365计划 2 (包含在 E5 计划) 中。
• 安全读取者角色) (足够的权限。
• 执行这些步骤需要 5 到 10 分钟。

什么是Microsoft Defender for Office 365中的市场活动

活动是针对一个或多个组织的协同式电子邮件攻击。 Email窃取凭据和公司数据的攻击是一个庞大的利润丰厚的行业。 随着用于阻止攻击的技术的增长和成倍增加，攻击者会修改其方法以继续成功。

Microsoft 在整个服务中利用大量的反网络钓鱼、反垃圾邮件和反恶意软件数据来帮助识别市场活动。 我们根据几个因素分析和分类攻击信息，例如：

• 攻击源：源 IP 地址和发件人电子邮件域。
• 消息属性：消息的内容、样式和语气。
• 邮件收件人：收件人之间的关系如何，例如收件人域、收件人工作职能 (（例如管理员和高管) ），公司类型 (（例如大、小、公、私）) 以及行业。
• 攻击有效负载：邮件中的恶意链接、附件或其他有效负载。

市场活动可能是短期的，也可以跨越几天、几周或几个月的活动和非活动期。 可能会针对你的特定组织发起市场活动，或者你的组织可能是 跨多个 公司的大型活动的一部分。

提示

若要了解有关市场活动内可用数据的详细信息，请阅读Microsoft Defender for Office 365中的市场活动视图。

观看 探索市场活动视图 视频

使用威胁报告调查可疑电子邮件活动

如果市场活动已针对你的组织，并且你希望了解有关影响的详细信息：

1. 导航到 市场活动页面。
2. 选择要调查的市场活动名称。
3. 浮出控件打开后，选择“ 下载威胁报告”。
4. 打开威胁报告，它将提供有关市场活动的详细信息。 报告中的信息包括：
   • 摘要： 活动类型和组织中目标用户数的高级摘要。
   • 分析： 活动开始时间线图表、面向组织的消息计数以及邮件的目标和判决结果。

• 攻击来源： 发送 IP 地址和域的头数为已传递到组织中的收件箱的邮件数。 这允许你调查谁是针对你的组织。
• Email模板和有效负载：作为市场活动一部分的电子邮件的主题行和 URL (及其频率) 作为活动的一部分出现。
• 建议： 有关修正消息的后续步骤的建议。

调查属于电子邮件威胁活动一部分的收件箱邮件

1. 导航到 市场活动页面。
2. 在图表下方的 “详细信息”视图中滚动浏览市场活动列表。
3. 选择要调查的市场活动名称。 如果市场活动点击计数超过零，则表示组织中的用户单击了 URL 或从电子邮件下载了文件。
4. 市场活动浮出控件显示有关市场活动的详细信息，图形显示从市场活动开始到结束日期的时间线，水平流程图显示市场活动从起源、判决和消息的当前位置开始的各个阶段。
5. 在流程图下方，选择 “URL 单击 ”选项卡以显示有关单击的信息。 如果用户被标记为优先帐户用户、URL 本身以及单击时间，则可以在此处查看单击 URL 的用户。
6. 如果要了解有关收件箱和单击的邮件的详细信息，请选择“ 浏览邮件>”“收件箱邮件”。 将打开一个新选项卡，并导航到“威胁资源管理器”。
7. 在资源管理器 的详细信息视图中 ，可以引用 最新送达 ，以确定邮件是否仍在收件箱中，或者系统 ZAP 已移至隔离区。 若要获取有关特定消息的更多详细信息，请选择该消息。 浮出控件提供额外信息。 选择浮出控件左上角的 “打开电子邮件”实体页 后，将打开一个新选项卡，并提供有关邮件的详细信息。
8. 如果要执行操作并将邮件移出收件箱，可以选择邮件，然后选择“ 执行操作>”“移动到垃圾邮件文件夹”。 这将确保用户不会继续与可能导致潜在违规的恶意消息进行交互。

后续步骤

若要了解详细信息，请阅读 Microsoft Defender for Office 365 中的市场活动视图。