威胁跟踪器 - 新增的和值得注意的威胁

提示

你知道可以免费试用Office 365计划 2 Microsoft 365 Defender 中的功能吗?Microsoft 365 Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

适用对象

Office 365威胁调查和响应功能使组织的安全团队能够发现网络安全威胁并采取措施。 Office 365威胁调查和响应功能包括威胁跟踪器功能,包括值得注意的跟踪器。 阅读本文,大致了解这些新功能和后续步骤。

重要

Office 365威胁情报现已Microsoft Defender for Office 365计划 2 以及其他威胁防护功能。 若要了解详细信息,请参阅Microsoft Defender for Office 365计划和定价以及Microsoft Defender for Office 365服务说明

什么是威胁跟踪器?

威胁跟踪器是信息丰富的小组件和视图,可为你提供有关可能影响公司的不同网络安全问题的情报。 例如,可以使用威胁跟踪器查看有关热门恶意软件活动的信息。

跟踪器只是计划 2 Microsoft Defender for Office 365众多出色功能中的一小部分。 威胁跟踪器包括 值得注意的跟踪器趋势跟踪器跟踪的查询已保存的查询

若要查看和使用组织的威胁跟踪器,请在 中打开Microsoft 365 Defender门户https://security.microsoft.com,然后转到Email&协作>威胁跟踪器。 若要直接转到 “威胁跟踪器 ”页,请使用 https://security.microsoft.com/threattrackerv2

注意

若要使用威胁跟踪器,你必须是全局管理员、安全管理员或安全读取者。 请参阅Microsoft 365 Defender门户中的权限

值得注意的跟踪器

值得注意的跟踪器是你会发现大大小小的威胁和风险的地方,我们认为你应该知道。 值得注意的跟踪器可帮助你查找 Microsoft 365 环境中是否存在这些问题,以及指向 (这样的文章的链接) ,其中提供了有关所发生情况以及它们如何影响组织使用Office 365的更多详细信息。 无论是新的重大威胁 (例如 Wannacry、Petya) ,还是可能会像我们的其他首届值得注意的项目-Nemucod) 一样 (产生一些新挑战的现有威胁,你和你的安全团队应该定期查看和检查这些新项目。

通常,当我们识别新威胁并认为可能需要此功能提供的额外可见性时,值得注意的跟踪器将发布几周。 威胁的最大风险过后,我们将删除该值得注意的项目。 这样,我们就可以使列表保持最新状态,并与其他相关的新项目一起更新。

趋势跟踪器 (以前称为“市场活动”) 突出显示过去一周组织电子邮件中收到的新威胁。 “趋势跟踪器”视图提供对影响组织Office 365环境的电子邮件威胁的动态评估。 此视图显示租户级恶意软件趋势,识别上升、持平或下降的恶意软件系列,使管理员更深入地了解需要进一步关注的威胁。

趋势恶意软件市场活动小组件示例

趋势跟踪器可让你了解应查看的新威胁,以确保更广泛的公司环境做好了应对攻击的准备。

跟踪的查询

跟踪的查询利用保存的查询定期评估组织中的 Microsoft 365 活动。 这为你提供了事件趋势,未来几个月将有更多事件。 跟踪的查询会自动运行,提供最新信息,而无需记住重新运行查询。

选中了一个跟踪查询的示例

已保存的查询

还可在“跟踪器”部分找到已保存的查询。 可以使用保存的查询来存储想要更快、更反复地返回的常见资源管理器搜索,而无需每次重新创建搜索。

已跟踪查询的列表,其中选择了一个查询

始终可以使用“资源管理器”页面顶部的“ 保存查询 ”按钮保存值得注意的跟踪器查询或任何自己的资源管理器查询。 保存在其中的任何内容都将显示在“跟踪器”页上的 已保存查询 列表中。

跟踪器和资源管理器

无论你是在查看电子邮件、内容还是 Office 活动 (即将) ,资源管理器和跟踪器协同工作,帮助你调查和跟踪安全风险和威胁。 总之,跟踪器通过突出显示新的、值得注意的、经常搜索的问题来为你提供保护用户的信息,确保业务在迁移到云时受到更好的保护。

请记住,你始终可以通过单击右下角的“ 反馈 ”按钮向我们提供有关此或其他 Microsoft 365 安全功能的反馈。

Microsoft 365 Defender 门户

跟踪器和 Microsoft Defender for Office 365

借助首例值得注意的威胁,我们将重点介绍 安全附件检测到的高级恶意软件威胁。 如果你是Office 365 企业版 E5 客户,并且未使用 Microsoft Defender for Office 365,则应将其包含在订阅中。 即使使用其他安全工具筛选Office 365服务的电子邮件流,Defender for Office 365也会提供价值。 但是,当main电子邮件安全解决方案通过Office 365时,反垃圾邮件和安全链接功能效果最佳。

Microsoft 365 Defender门户中的Microsoft Defender for Office 365

在当今威胁充斥的世界中,仅运行传统的反恶意软件扫描意味着你没有足够的保护来抵御攻击。 如今,更复杂的攻击者使用常用工具来创建新的、经过模糊处理或延迟的攻击,而传统基于签名的反恶意软件引擎无法识别这些攻击。 安全附件功能采用电子邮件附件并在虚拟环境中将其触发,以确定它们是安全的还是恶意的。 此引爆过程在虚拟计算机环境中打开每个文件,然后观察文件打开后发生的情况。 无论是 PDF、压缩文件还是 Office 文档,恶意代码都可以隐藏在文件中,只有在受害者在其计算机上打开它后才会激活。 通过在电子邮件流中引爆和分析文件,Defender for Office 365功能可以根据行为、文件信誉和许多启发式规则找到这些威胁。

新的值得注意的威胁筛选器突出显示最近通过安全附件检测到的项目。 这些检测表示新恶意文件的项目,Microsoft 365 以前未在你的电子邮件流或其他客户的电子邮件中找到。 请注意“值得注意的威胁跟踪器”中的项目,查看“高级分析”选项卡上显示的引爆详细信息, (单击“资源管理器”) 中的电子邮件主题找到。 请注意,你只会在“安全附件”功能检测到的电子邮件上找到此选项卡 - 此值得注意的跟踪器包含该筛选器,但你也可以使用该筛选器进行资源管理器中的其他搜索。

后续步骤