通过Microsoft Defender for Office 365中的市场活动跟踪和响应新出现的威胁

市场活动可用于跟踪和响应新出现的威胁,因为市场活动允许你调查针对组织的协调电子邮件攻击。 当新的威胁针对你的组织时,Microsoft Defender for Office 365会自动检测并关联恶意邮件。

你将需要什么

  • Microsoft Defender for Office 365计划 2 (包含在 E5 计划) 中。
  • 安全读取者角色) (足够的权限。
  • 执行这些步骤需要 5 到 10 分钟。

什么是Microsoft Defender for Office 365中的市场活动

活动是针对一个或多个组织的协同式电子邮件攻击。 Email窃取凭据和公司数据的攻击是一个庞大的利润丰厚的行业。 随着用于阻止攻击的技术的增长和成倍增加,攻击者会修改其方法以继续成功。

Microsoft 在整个服务中利用大量的反网络钓鱼、反垃圾邮件和反恶意软件数据来帮助识别市场活动。 我们根据几个因素分析和分类攻击信息,例如:

  • 攻击源:源 IP 地址和发件人电子邮件域。
  • 消息属性:消息的内容、样式和语气。
  • 邮件收件人:收件人之间的关系如何,例如收件人域、收件人工作职能 ((例如管理员和高管) ),公司类型 ((如大、小、公、私)) 以及行业。
  • 攻击有效负载:邮件中的恶意链接、附件或其他有效负载。

市场活动可能是短期的,也可以跨越几天、几周或几个月的活动和非活动期。 可能会针对你的特定组织发起市场活动,或者你的组织可能是 跨多个 公司的大型活动的一部分。

提示

若要详细了解市场活动内可用的数据,请阅读Microsoft Defender for Office 365中的市场活动视图

观看 探索市场活动视图 视频

使用威胁报告调查可疑电子邮件活动

如果市场活动面向你的组织,并且你希望了解有关影响的详细信息:

  1. 导航到 市场活动页面
  2. 选择要调查的市场活动名称。
  3. 浮出控件打开后,选择“ 下载威胁报告”。
  4. 打开威胁报告,它将提供有关市场活动的详细信息。 报告中的信息包括:
    • 摘要: 活动类型和组织中目标用户数的高级摘要。
    • 分析: 活动开始时间线图表、面向组织的消息计数以及邮件的目标和判决结果。
  • 攻击来源: 发送 IP 地址和域的头数为已传递到组织中的收件箱的邮件数。 这允许你调查谁是针对你的组织。
  • Email模板和有效负载:作为市场活动一部分的电子邮件的主题行和 URL (及其频率) 作为活动的一部分出现。
  • 建议: 有关修正消息的后续步骤的建议。

调查属于电子邮件威胁活动的收件箱邮件

  1. 导航到 市场活动页面
  2. 在图表下方的 “详细信息”视图中滚动浏览市场活动列表。
  3. 选择要调查的市场活动名称。 如果市场活动点击计数超过零,则表示组织中的用户单击了 URL 或从电子邮件下载了文件。
  4. 市场活动浮出控件显示有关市场活动的详细信息,该图显示市场活动从活动开始到结束日期的日程表,水平流图显示市场活动从源、判决和消息的当前位置开始的各个阶段。
  5. 在流程图下方,选择 “URL 单击 ”选项卡以显示有关单击的信息。 如果用户标记为优先帐户用户、URL 本身以及单击时间,可在此处查看单击 URL 的用户。
  6. 如果要了解有关收件箱和单击的邮件的详细信息,请选择“ 浏览邮件>”“收件箱邮件”。 将打开一个新选项卡,并导航到“威胁资源管理器”。
  7. 在资源管理器 的详细信息视图中 ,可以引用 最新送达 ,以确定邮件是否仍在收件箱中,或者系统 ZAP 已移至隔离区。 若要获取有关特定消息的更多详细信息,请选择该消息。 浮出控件提供额外信息。 选择浮出控件左上角的 “打开电子邮件”实体页 后,将打开一个新选项卡,并提供有关邮件的详细信息。
  8. 如果要执行操作并将邮件移出收件箱,可以选择邮件,然后选择“ 邮件操作>”“移动到垃圾邮件文件夹”。 这将确保用户不会继续与可能导致潜在违规的恶意消息进行交互。

后续步骤

若要了解详细信息,请阅读 Microsoft Defender for Office 365 中的市场活动视图