提示
您是否知道您可以免費試用適用於 Office 365 的 Microsoft Defender 方案 2 中的功能? 在 Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 瞭解誰可以在試用適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在具有 適用於 Office 365 的 Microsoft Defender 計劃 2 的 Microsoft 365 組織中,活動功能可識別協調的網路釣魚和惡意軟體電子郵件攻擊並對其進行分類。 Microsoft 將電子郵件攻擊分類為離散的行銷活動可協助您:
- 有效調查和回應電子郵件攻擊。
- 進一步瞭解針對貴組織的電子郵件攻擊範圍。
- 向決策者顯示適用於 Office 365 的 Microsoft Defender 的價值,以防止電子郵件威脅。
活動功能可讓您比任何人更快、更完整地查看電子郵件攻擊的整體情況。
觀看這段簡短影片,瞭解適用於 Office 365 的 Microsoft Defender 中的行銷活動如何協助您瞭解以組織為目標的協調電子郵件攻擊。
什麼是行銷活動?
行銷活動是針對一或多個組織的協調式電子郵件攻擊。 竊取憑證和公司資料的 Email 攻擊是一個龐大且利潤豐厚的產業。 隨著阻止攻擊的技術不斷增加,攻擊者會修改他們的方法以確保持續成功。
Microsoft 會套用來自整個服務的大量反網路釣魚、反垃圾郵件和反惡意代碼數據來識別行銷活動。 我們根據幾個因素對攻擊資訊進行分析和分類。 例如:
- 攻擊來源:來源 IP 位址和寄件者電子郵件網域。
- 訊息屬性:訊息的內容、樣式和語氣。
- 訊息收件者:收件者的關聯方式。 例如,收件者網域、收件者工作職能 (管理員、高階主管等 ) 公司類型 (大、小、公有、私人等 ) 以及產業。
- 攻擊承載:訊息中的惡意連結、附件或其他承載。
行銷活動可能是短暫的,也可能跨越數天、數週或數月,並有作用中和非作用中的期間。 行銷活動可能會專門針對您的組織發起,或者您的組織可能是跨多個公司的大型行銷活動的一部分。
必要的授權和權限
- 行銷活動功能適用於具有 適用於 Office 365 的 Defender 方案 2 (附加元件授權的組織,或包含在 Microsoft 365 E5) 等訂閱中。
- 您必須獲指派許可權,才能檢視有關行銷活動的資訊,如本文所述。 您有下列選項:
Microsoft Defender 全面偵測回應 RBAC) (統一角色型存取控制 (如果Email &共同作業>適用於 Office 365 的 Defender權限為
[作用中]。只影響 Defender 入口網站,不影響 PowerShell) :安全性作業/原始數據 (電子郵件 & 共同作業) /Email 訊息標頭 (讀取) 。Email & Microsoft Defender 入口網站中的共同作業許可權:組織管理、安全性系統管理員或安全性讀取者角色群組中的成員資格。
Microsoft Entra 許可權:全域管理員*、安全性系統管理員或安全性讀取者角色的成員資格可為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft 強烈提倡最小權限原則。 僅為帳戶指派執行其任務所需的最低權限,有助於降低安全風險並加強組織的整體保護。 全域管理員是高度許可權的角色,您應該將其限制為緊急情況或當您無法使用其他角色時。
Microsoft Defender 入口網站中的 [行銷活動] 頁面
若要在Microsoft Defender入口網站https://security.microsoft.com中開啟 行銷活動 頁面,請移至 Email & 協作>行銷活動。 或者,若要直接移至 行銷活動 頁面,請使用 https://security.microsoft.com/campaigns。
此 行銷活動 頁面包含下列元素:
- 頁面頂端的篩選器/查詢產生器。
- 圖表區域,您可以使用可用的樞紐分析,以不同的方式組織圖表。 依預設,圖表會使用 行銷活動類型 樞紐,即使該樞紐似乎未選取也一樣。
- 詳細資料區域,預設設定為 Campaign 索引標籤
提示
如果您沒有看到任何廣告活動資料或資料非常有限,請嘗試變更日期範圍或 篩選器。
您也可以在威脅 總管 中檢視有關活動的相同資訊,網址 https://security.microsoft.com/threatexplorerv3為:
- 行銷活動 檢視。
- 所有電子郵件都會檢視>圖表下方詳細資料區域中的行銷活動標籤。
- 惡意軟體檢視>圖表下方詳細資料區域中的行銷活動索引標籤。
- 網路釣魚檢視>圖表下方詳細資料區域中的 [行銷活動] 索引標籤。
如果您有適用於端點的 Microsoft Defender 訂用帳戶,行銷活動資訊會與適用於端點的 Microsoft Defender 連線。
「行銷活動」頁面上的圖表區域
在 [行銷活動 ] 頁面上,圖表區域會顯示長條圖,其中顯示每天的收件者數目。 根據預設,圖表會同時顯示 惡意代碼 和 網路釣魚 數據。
若要篩選圖表和詳細資料表中顯示的資訊,請變更 篩選器。
選取 [行銷活動類型],然後在下拉式清單中選取下列其中一個值,以變更圖表的組織:
- 行銷活動名稱
- 行銷活動子類型
- 寄件者網域
- 寄件者 IP
- 傳遞動作
- 檢測技術
- 完整網址
- URL 網域
- URL 網域和路徑
使用 [匯出圖表資料] 將
圖表中的資料匯出至 CSV 檔案。
若要從頁面 (中移除圖表,以最大化詳細資料區域) 的大小,請執行下列其中一個步驟:
- 選取
頁面頂端的圖表檢視>
清單檢視。 - 選取
[在圖表與詳細資料表的檢視之間顯示清單檢視]。
「行銷活動」頁面上的詳細資料區域
若要篩選圖表和詳細資料表中顯示的資訊,請變更 篩選器。
在 「行銷活動 」頁面上,圖表下方的 「行銷活動」 索引標籤會在詳細資料表中顯示下列資訊:
- 名稱
- 樣本主旨:行銷活動中其中一個訊息的主旨列。 行銷活動中的所有訊息不一定具有相同的主題。
- 目標:計算方式為的百分比: (組織中的行銷活動收件者數量) / (服務) 中所有組織的行銷活動收件者總數。 此值表示行銷活動僅針對您的組織的程度 (較高值) 與服務中其他組織 (較低值) 。
- 類型:值為 [網路釣魚] 或 [惡意代碼]。
-
子型別:值包含行銷活動的詳細資訊。 例如:
-
網路釣魚:如果可用,則此行銷活動正在網路釣魚的品牌。 例如,
Microsoft、365、OutlookUnknown、 或DocuSign。 當偵測是由適用於 Office 365 的 Defender 技術驅動時,前置詞 ATP- 會新增至子類型值。 -
惡意軟體:例如,
W32/<MalwareFamilyName>或VBS/<MalwareFamilyName>。
-
網路釣魚:如果可用,則此行銷活動正在網路釣魚的品牌。 例如,
- 標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
- 收件者:此行銷活動鎖定的使用者數目。
- 收件匣:在其收件匣中收到此行銷活動訊息的使用者人數 (未傳送到其垃圾郵件Email資料夾) 。
- 點按:選取 URL 或開啟網路釣魚訊息中附件的使用者數目。
- 點擊率:在網路釣魚行銷活動中,以「收件匣點擊次數 / 」計算的百分比。 此值是行銷活動有效性的指標。 換句話說,收件者是否能夠將郵件識別為網路釣魚,因此避免承載 URL? 惡意軟體行銷活動不會使用點擊率。
- 造訪:有多少使用者實際造訪了有效負載網站。 如果有 Clicked 值,但 Safe Links 封鎖了對網站的存取,則此值為零。
選取要依該欄排序的欄標題。 若要移除欄,請選取 
[自訂欄]。 依預設,會選取所有可用的欄。
使用「匯出」將詳細資料表中的資料匯出至 CSV 檔案。
在 「行銷活動」 頁面上,圖表下方的 「行銷活動來源 」索引標籤會在世界地圖上顯示訊息來源。
行銷活動頁面上的篩選器
在 「行銷活動」 頁面頂端,有數個篩選器設定可協助您尋找和隔離特定行銷活動。 您選取的篩選器會影響圖表和詳細資料表。
依預設,檢視會依昨天和今天進行篩選。 若要變更日期篩選器,請選取日期範圍,然後選取 [ 開始日期 ] 和 [結束日期] 值,最多 30 天前。
您也可以依一或多個訊息或行銷活動屬性來篩選結果。 基本語法為:
<屬性><等於任何一個 | 等於 屬性值或值 都不等於><>
- 從 [行銷活動型別 ] 下拉式清單中選取訊息或行銷活動屬性 ([行銷活動型別 ] 是) 選取的預設值。
- 您需要輸入的屬性值完全取決於屬性。 某些屬性允許具有多個值以逗號分隔的自由格式文本,而某些屬性允許從清單中選取多個值。
下表說明可用的內容及其相關聯的值:
| 屬性 | 類型 |
|---|---|
| 基本 | |
| 行銷活動類型 | 選取一或多個值¹:
|
| 行銷活動名稱 | 文字。 以逗號分隔多個值。 |
| 行銷活動子類型 | 文字。 以逗號分隔多個值。 |
| 寄件者位址 | 文字。 以逗號分隔多個值。 |
| 收件者 | 文字。 以逗號分隔多個值。 |
| 寄件者網域 | 文字。 以逗號分隔多個值。 |
| 收件者網域 | 文字。 以逗號分隔多個值。 |
| 主旨 | 文字。 以逗號分隔多個值。 |
| 寄件者顯示名稱 | 文字。 以逗號分隔多個值。 |
| 寄件者郵件地址 | 文字。 以逗號分隔多個值。 |
| 來自網域的寄件者郵件 | 文字。 以逗號分隔多個值。 |
| 惡意軟體家族 | 文字。 以逗號分隔多個值。 |
| 標記 | 文字。 以逗號分隔多個值。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。 |
| 傳遞動作 | 選取一或多個值¹:
|
| 其他動作 | 選取一或多個值¹:
|
| Directionality | 選取一或多個值¹:
|
| 檢測技術 | 選取一或多個值¹:
|
| 原送貨地點 | 選取一或多個值¹:
|
| 最新送貨地點 | 與原始送貨地點相同的值 |
| 系統覆寫 | 選取一或多個值¹:
|
| 系統覆寫來源 | 選取一或多個值¹:
|
| 進階 | |
| 網際網路訊息 ID | 文字。 以逗號分隔多個值。 可在郵件標頭的 [Message-ID 標頭] 欄位中使用。 一個範例值 ( <08f1e0f6806a47b4ac103961109ae6ef@server.domain> 注意尖括號) 。 |
| 網路訊息 ID | 文字。 以逗號分隔多個值。 訊息標頭中 X-MS-Exchange-Organization-Network-Message-Id 標頭欄位中可用的 GUID 值。 |
| 寄件者 IP | 文字。 以逗號分隔多個值。 |
| 附件 SHA256 | 文字。 以逗號分隔多個值。 若要尋找檔案的 SHA256 雜湊值,請在 PowerShell 中執行下列命令: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256。 |
| 叢集識別碼 | 文字。 以逗號分隔多個值。 |
| 警示標識碼 | 文字。 以逗號分隔多個值。 |
| 警示原則識別碼 | 文字。 以逗號分隔多個值。 |
| 行銷活動ID | 文字。 以逗號分隔多個值。 |
| ZAP URL 訊號 | 文字。 以逗號分隔多個值。 |
| Urls | |
| URL 網域 | 文字。 以逗號分隔多個值。 |
| URL 網域和路徑 | 文字。 以逗號分隔多個值。 |
| URL | 文字。 以逗號分隔多個值。 |
| 網址路徑 | 文字。 以逗號分隔多個值。 |
| 點擊判決 | 選取一或多個值¹:
|
| 檔案 | |
| 附件檔名 | 文字。 以逗號分隔多個值。 |
¹ 不使用此屬性篩選器,或在未選取任何值的情況下使用此屬性篩選器,與在選取所有值的情況下使用此屬性篩選器,其結果相同。
從 [行銷活動型別 ] 下拉式清單中選取屬性後,選取 [ 等於任何一項 ] 或 [ 不等於任何一項],然後在屬性方塊中輸入或選取值,篩選查詢會出現在篩選區域下方。
若要新增更多條件,請選取另一個屬性/值組,然後選取 [AND ] 或 [OR]。 視需要重複這些步驟。
若要移除現有的屬性/值組,請選取項目旁邊的 。
當您完成建置篩選查詢時,請選取 [重新整理]。
若要儲存篩選查詢,請選取 [儲存查詢][儲存查詢>
]。 在開啟的 [儲存查詢] 飛出視窗中,設定下列設定:
- 查詢名稱:輸入唯一值。
- 選取下列其中一個值:
- 確切日期:選取日期範圍。
- 相對日期:從 1 到 30 天中選取。
- 追蹤此查詢
當您在 [ 儲存查詢 ] 飛出視窗中完成時,請選取 [ 儲存],然後在確認對話方塊中選取 [ 確定 ]。
當您返回 Campaigns 頁面時,您可以選取 Save query>
Saved query settings 來載入已儲存的篩選器。
行銷活動詳細資料
當您按一下名稱旁核取方塊以外的資料列中的任何位置,從詳細資料表中選取專案時,會開啟一個飛出視窗,其中包含行銷活動的詳細數據。
下列小節說明行銷活動詳細資料飛出視窗中顯示的內容。
活動資訊
在行銷活動詳細數據飛出視窗的頂端,提供下列行銷活動資訊:
- 行銷活動ID:唯一的行銷活動識別碼。
- 活動:行銷活動的持續時間和活動。
- 您選取的日期範圍篩選器的下列資料 (或您在時間表) 中選取的日期範圍篩選器:
- 影響
- 訊息:收件者總數。
- 收件匣:傳遞至收件匣的郵件數目,而不是傳送到垃圾郵件Email資料夾。
- 點按的連結:有多少使用者在網路釣魚訊息中選取了承載 URL。
- 造訪連結:造訪 URL 的使用者數量。
- 目標 (%) :計算方式為的百分比: (組織中的行銷活動收件者人數) / (服務) 中所有組織的行銷活動收件者總數。 此值是在行銷活動的整個生命週期內計算的,不會由日期篩選器變更。
- 行銷活動流程的開始日期/時間和結束資料/時間篩選器,如下一節所述。
- 行銷活動活動的互動式時間表:時間表會顯示行銷活動整個生命週期內的活動。 您可以將滑鼠游標懸停在圖表中的資料點上,以查看偵測到的訊息數量。
行銷活動流程
在行銷活動詳細數據飛出視窗的中間,行銷活動的重要詳細數據會呈現在水平流程圖中 (稱為 Sankey 圖) 。 這些詳細資料可協助您瞭解行銷活動的元素,以及組織中的潛在影響。
提示
流程圖中顯示的資訊由時間表中的日期範圍篩選器控制,如上一節所述。
如果您將滑鼠停留在圖表中的水平帶上,您會看到相關訊息的數量,例如,來自特定來源 IP 的訊息、使用指定寄件者網域的來源 IP 的訊息等 () 。
圖表中包含下列資訊:
寄件者 IP
寄件者網域
篩選判定:判定值與可用的網路釣魚和垃圾郵件篩選判定有關,如 反垃圾郵件標頭中所述。 下表說明可用的值:
值 垃圾郵件過濾器判定 描述 允許 SFV:SKN
<br/SFV:SKI郵件在垃圾郵件過濾評估之前被標記為非垃圾郵件和/或略過過濾。 例如,郵件流程規則 (也稱為傳輸規則) ,將郵件標示為非垃圾郵件。
<br/ 該郵件因其他原因跳過了垃圾郵件過濾。 例如,寄件者和收件者似乎位於同一個組織中。封鎖 SFV:SKS郵件在垃圾郵件過濾評估之前被標記為垃圾郵件。 例如,透過郵件流程規則。 已偵測 SFV:SPM垃圾郵件篩選已將此郵件標記為垃圾郵件。 未偵測到 SFV:NSPM郵件被垃圾郵件過濾標記為非垃圾郵件。 已釋出 SFV:SKQ郵件略過垃圾郵件過濾,因為它已從隔離區釋放。 租用戶允許¹ SFV:SKA郵件跳過垃圾郵件過濾,因為反垃圾郵件策略中的設定。 例如,寄件者位於允許的寄件者清單或允許的網域清單中。 租戶大樓² SFV:SKA郵件因反垃圾郵件原則中的設定而遭到垃圾郵件篩選所封鎖。 例如,寄件者位於允許的寄件者清單或允許的網域清單中。 使用者允許¹ SFV:SFE郵件略過垃圾郵件篩選,因為寄件者位於使用者的安全寄件者清單中。 用戶區塊² SFV:BLK郵件被垃圾郵件過濾封鎖,因為寄件者位於使用者的封鎖寄件者清單中。 ZAP 不適用 零小時自動清除 (ZAP) 將傳遞的郵件移至垃圾郵件Email資料夾或隔離區。 您可以在 反垃圾郵件原則中設定動作。 ¹ 檢閱您的垃圾郵件防護政策,因為允許的郵件可能會被服務封鎖。
² 檢閱您的垃圾郵件防護政策,因為這些郵件應該被隔離,而不是傳送。
郵件目的地:調查傳遞給收件者的郵件, (收件匣或垃圾郵件Email資料夾) ,即使使用者未在郵件中選取承載 URL。 您也可以從隔離區中移除隔離的郵件。 如需詳細資訊,請參閱隔離 區。
- 已刪除資料夾
- 已丟棄
- 外部:收件者位於混合式環境中的內部部署電子郵件組織中。
- 已失敗
- 轉發
- 收件匣
- 垃圾郵件資料夾
- 隔離區
- Unknown
URL 點按次數:下一節將說明這些值。
注意事項
在包含超過 10 個項目的所有圖層中,會顯示前 10 個項目,而其餘項目則在 「其他」中捆綁在一起。
URL 點選
當網路釣魚訊息傳遞至收件者的收件匣或垃圾郵件Email資料夾時,使用者一律有可能選取承載 URL。 未選取 URL 是成功的一小部分衡量標準,但您必須先判斷網路釣魚訊息傳遞至信箱的原因。
如果使用者在網路釣魚訊息中選取承載 URL,則動作會顯示在行銷活動詳細資料檢視中圖表的 URL 點按區域 中。
- 允許
- BlockPage:收件者選取承載 URL,但組織中的 安全連結 原則封鎖了他們對惡意網站的存取。
- BlockPageOverride:收件者在訊息中選取承載 URL,安全連結會嘗試停止它們,但允許他們覆寫封鎖。 檢查您的 安全連結原則 ,以瞭解為什麼允許使用者覆寫安全連結判定並繼續造訪惡意網站。
- PendingDetonationPage:適用於 Office 365 的 Microsoft Defender 中的安全附件正在虛擬環境中開啟並調查承載 URL。
- PendingDetonationPageOverride:允許收件者覆寫承載引爆程序,並開啟 URL,而不等待結果。
定位字元
提示
索引標籤上顯示的資訊是由行銷活動詳細數據飛出視窗中的日期範圍篩選所控制,如 [行銷活動資訊 ] 區段中所述。
行銷活動詳細數據飛出視窗中的索引標籤可讓您進一步調查行銷活動。 下列索引標籤可供使用:
URL 點按次數:如果使用者未在訊息中選取承載 URL,則此區段會為空白。 如果使用者能夠選取 URL,則會填入下列值:
- 使用者*
- 標記
- 網址*
- 點擊時間
- 點擊判決
寄件者 IP
- 寄件者 IP*
- 總計數
- 收件匣
- 未收件匣
- SPF 通過:寄件者已由寄 件者原則架構 (SPF) 進行驗證。 未通過 SPF 驗證的寄件者表示寄件者未經驗證,或郵件正在詐騙合法寄件者。
寄件者
- 寄件者:此位址是 SMTP MAIL FROM 命令中的實際寄件者位址,不一定是使用者在其電子郵件用戶端中看到的 From: 電子郵件地址。
- 總計數
- 收件匣
- 未收件匣
- DKIM 已通過:寄件者已透過網域 金鑰識別郵件 (DKIM) 進行驗證。 未通過 DKIM 驗證的寄件者表示寄件者未經驗證,或郵件正在詐騙合法寄件者。
- DMARC已通過:寄件者已透過 DMARC) (網域型郵件驗證、報告和一致性 進行驗證。 未通過 DMARC 驗證的寄件者表示寄件者未經驗證,或郵件正在詐騙合法寄件者。
附件
- Filename
- SHA256
- 惡意軟體家族
- 總計數
URL
- URL*
- 總數
* 選取此值會開啟新的飛出視窗,其中包含行銷活動詳細數據檢視頂端指定專案 (使用者、URL 等的更多詳細數據 ) 。 若要返回行銷活動詳細數據飛出視窗,請在新的飛出視窗中選取 [完成]。
在每個索引標籤上,選取要依該資料行排序的資料行標題。 若要移除欄,請選取 [自訂欄]。 依預設,會選取每個索引標籤上的所有可用欄。
其他動作
行銷活動詳細數據飛出視窗底部的動作可讓您調查和記錄行銷活動的詳細數據:
- 在 [您認為此行銷活動已將這些訊息正確分組在一起嗎?] 中選取 [是] 或 [否]。
-
探索訊息:使用威脅總管的強大功能,在下拉式清單中選取下列其中一個值,以進一步調查行銷活動:
- 所有訊息:使用 [行銷活動識別碼 ] 值作為搜尋篩選,開啟新的 [威脅總管] 搜尋索引標籤。
- 收件匣訊息:使用 行銷活動識別碼 和 傳遞位置:收件匣 作為搜尋篩選器,開啟新的威脅總管搜尋索引標籤。
- 內部訊息:使用 活動識別碼 和 方向:組織內 作為搜尋篩選器,開啟新的威脅總管搜尋索引標籤。
- 下載威脅報告:將活動詳細資訊下載到預設 (名為 CampaignReport.docx) 的Word文件。 下載包含行銷活動整個生命週期的詳細資料 (而不只是您選取) 日期篩選器。