分享方式:


Email 適用於 Office 365 的 Microsoft Defender 調查分析

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在警示的自動化調查期間,適用於 Office 365 的 Microsoft Defender 分析原始電子郵件中的威脅,並識別與原始電子郵件相關的其他電子郵件訊息,以及可能屬於攻擊的一部分。 這項分析很重要,因為電子郵件攻擊很少包含單一電子郵件。

自動化調查的電子郵件分析會使用原始電子郵件中的屬性來查詢貴組織所傳送和接收的電子郵件,以識別電子郵件叢集。 這項分析類似於安全性作業分析師在 Explorer 或進階搜捕中搜捕相關電子郵件的方式。 有數個查詢可用來識別相符的電子郵件訊息,因為攻擊者通常會將電子郵件參數變形以避免安全性偵測。 叢集分析會執行這些檢查,以判斷如何處理涉及調查的電子郵件:

  • 電子郵件分析會使用原始電子郵件中的屬性,建立 (叢集) 電子郵件的查詢:寄件者值 (IP 位址、寄件者網域) 和內容 (主體、叢集標識符) ,以尋找可能相關的電子郵件。
  • 如果原始電子郵件的 URL 和檔案分析發現某些是惡意 (,也就是惡意代碼或網路釣魚) ,則也會建立包含惡意 URL 或檔案的電子郵件查詢或叢集。
  • Email 叢集分析會計算與叢集中類似電子郵件相關聯的威脅,以判斷電子郵件是否為惡意、可疑或沒有明確的威脅。 如果符合查詢的電子郵件叢集具有足夠的垃圾郵件數量、一般網路釣魚、高信賴度網路釣魚或惡意代碼威脅,則電子郵件叢集會套用該威脅類型。
  • 電子郵件群集分析也會檢查原始電子郵件和電子郵件叢集中訊息的最新傳遞位置,以協助識別可能需要移除或已修復或已防止的郵件。 這項分析很重要,因為攻擊者會改變惡意內容,加上安全策略和保護可能會因信箱而異。 這項功能會導致惡意內容仍可能位於信箱中,即使零時差自動清除已防止或偵測到一或多個惡意電子郵件訊息, (ZAP) 移除。
  • Email 因惡意代碼、高信賴度網路釣魚、惡意檔案或惡意 URL 威脅而被視為惡意的叢集,會取得暫止動作,將仍在雲端信箱中的郵件虛刪除 (收件匣或垃圾郵件 Email 資料夾) 。 如果惡意電子郵件或電子郵件叢集「不在信箱中」 (封鎖、隔離、失敗、虛刪除等等。) 或雲端信箱中沒有的「內部部署/外部」,則不會設定任何擱置動作來移除它們。
  • 如果任何電子郵件叢集判斷為惡意,則叢集所識別的威脅會套用回調查所涉及的原始電子郵件。 此行為類似於安全性作業分析師使用電子郵件搜捕結果,根據類似的電子郵件判斷原始電子郵件的決策。 此結果可確保無論是否偵測到原始電子郵件的 URL、檔案或來源電子郵件指標,系統都可以識別惡意的電子郵件訊息,這些郵件可能會透過個人化、、惡意或其他攻擊者技術來逸出偵測。
  • 在使用者入侵調查中,會建立其他電子郵件叢集,以識別信箱所建立的潛在電子郵件問題。 此程式包括乾淨的電子郵件叢集 (來自使用者的良好電子郵件、潛在數據外流,以及潛在的命令/控制電子郵件) 、可疑的電子郵件叢集 (包含垃圾郵件或一般網路釣魚) 的電子郵件,以及包含惡意代碼或高信賴度網路釣魚) 的電子郵件 (惡意電子郵件叢集。 這些電子郵件叢集提供安全性作業分析師數據,以判斷可能需要從入侵中解決的其他問題,以及哪些訊息可能觸發原始警示的可見性 (例如,觸發使用者傳送限制的網路釣魚/垃圾郵件)

Email 透過相似性和惡意實體查詢進行叢集分析,可確保完全識別並清除電子郵件問題,即使只識別出一封來自攻擊的電子郵件也一般。 您可以使用電子郵件叢集詳細數據側邊面板檢視的連結,在 Explorer 或進階搜捕中開啟查詢,以執行更深入的分析,並視需要變更查詢。 如果您發現電子郵件叢集的查詢太窄或太過廣泛, (包括不相關的電子郵件) ,此功能可啟用手動精簡和補救。

以下是調查中電子郵件分析的其他增強功能。

AIR 調查會忽略 SecOps 信箱和網路釣魚模擬訊息 (進階傳遞專案)

在電子郵件群集分析期間,所有叢集查詢都會忽略識別為進階傳遞原則的 SecOps 信箱和網路釣魚模擬 URL。 查詢中不會顯示 SecOps 信箱和網路釣魚模擬 URL,讓叢集屬性保持簡單易讀。 這些排除專案可確保在威脅分析期間會忽略傳送至 SecOps 信箱和包含網路釣魚模擬 URL 的郵件,而且不會在任何補救期間移除。

注意事項

開啟電子郵件叢集以從電子郵件叢集詳細數據在 Explorer 中檢視它時,網路釣魚模擬和 SecOps 信箱篩選會套用在 Explorer 中,但不會顯示。 如果您變更 [總管] 篩選、日期或重新整理頁面內的查詢,則會移除網路釣魚模擬/SecOps 篩選排除專案,並再次顯示相符的電子郵件訊息。 如果您使用瀏覽器重新整理函式重新整理 Explorer 頁面,則會重新載入原始查詢篩選,包括網路釣魚模擬/SecOps 篩選,但移除您所做的任何後續變更。

AIR 更新擱置中的電子郵件動作狀態

調查電子郵件分析會計算調查時的電子郵件威脅和位置,以建立調查證據和動作。 當調查外部的動作影響調查所涉及的電子郵件時,此數據可能會過時且過期。 例如,安全性作業手動搜捕和補救可能會清除調查中包含的電子郵件。 同樣地,平行調查或 ZAP 自動隔離動作中核准的刪除動作可能已移除電子郵件。 此外,在電子郵件傳遞之後延遲偵測到的威脅,可能會變更調查的電子郵件查詢/叢集中包含的威脅數目。

為確保調查動作是最新的,包含擱置動作的調查會定期重新執行電子郵件分析查詢,以更新電子郵件位置和威脅。

  • 當電子郵件叢集數據變更時,它會更新威脅和最新的傳遞位置計數。
  • 如果信箱中不再有具有擱置動作的電子郵件或電子郵件叢集,則會取消擱置中的動作,並將惡意電子郵件/叢集視為已修復。
  • 一旦如先前所述補救或取消所有調查的威脅之後,調查就會轉換成補救狀態,並解決原始警示。

顯示電子郵件和電子郵件叢集的事件辨識項

事件 [辨識項和回應] 索引標籤中 Email 辨識項現在會顯示下列資訊。

辨識項和回應中的電子郵件分析資訊

從圖中的編號圖說文字:

  1. 除了 控制中心之外,您還可以執行補救動作。

  2. 您可以針對具有 惡意 決策的電子郵件叢集採取補救動作, (但不) 可疑 的) 。

  3. 針對電子郵件垃圾郵件決策,網路釣魚會分割成高信賴度和一般網路釣魚。

    針對惡意決策,威脅類別為惡意代碼、高信賴度網路釣魚、惡意 URL 和惡意檔案。

    針對可疑的決策,威脅類別為垃圾郵件和一般網路釣魚。

  4. 的電子郵件計數是以最新的傳遞位置為基礎,並包含信箱中的電子郵件計數器,而不是信箱和內部部署中的電子郵件計數器。

  5. 包含查詢的日期和時間,可能會針對最新數據進行更新。

對於調查之 [ 實體 ] 索引卷標的電子郵件或電子郵件叢集,[ 已防止 ] 表示此專案的信箱中沒有惡意電子郵件, (郵件或叢集) 。 以下為範例。

防止的電子郵件。

在此範例中,電子郵件是惡意的,但不是在信箱中。

後續步驟