共用方式為


使用 適用於 Office 365 的 Microsoft Defender 中的營銷活動追蹤和響應新興威脅

活動可用來追蹤和響應新興的威脅,因為營銷活動可讓您調查對組織進行協調的電子郵件攻擊。 當新的威脅以您的組織為目標時,適用於 Office 365 的 Microsoft Defender 會自動偵測惡意訊息並相互關聯。

您需要什麼

  • 適用於 Office 365 的 Microsoft Defender E5 方案) 中包含的方案 2 (。
  • 足夠的許可權 (安全性讀取者角色) 。
  • 執行這些步驟的五到十分鐘。

什麼是 適用於 Office 365 的 Microsoft Defender 中的營銷活動

行銷活動是針對一或多個組織的協調式電子郵件攻擊。 竊取認證和公司數據的 Email 攻擊是大型且龐大的產業。 隨著停止攻擊的技術成長並相乘,攻擊者會修改其方法以繼續成功。

Microsoft 在整個服務中運用大量的反網路釣魚、反垃圾郵件和反惡意代碼數據,以協助識別活動。 我們會根據數個因素來分析和分類攻擊資訊,例如:

  • 攻擊來源:來源IP位址和寄件者電子郵件網域。
  • 訊息屬性:訊息的內容、樣式和音調。
  • 郵件收件者:收件者如何相關,例如收件者網域、收件者工作 (,例如系統管理員和主管) 、公司類型 (例如大型、小型、公用和私人) ,以及產業。
  • 攻擊承載:惡意連結、附件或訊息中的其他承載。

營銷活動可能是短期的,或可能跨越數天、周或月,且使用中和非使用中期間。 活動可能會針對您的特定組織啟動,或您的組織可能是 跨多 家公司的較大行銷活動的一部分。

提示

若要深入瞭解行銷活動內可用的數據,請參閱 適用於 Office 365 的 Microsoft Defender 中的營銷活動檢視

觀看 探索營銷活動檢視 影片

使用威脅報告調查可疑的電子郵件活動

如果活動已將您的組織設為目標,而您想要深入了解影響:

  1. 流覽至 營銷活動頁面
  2. 選取您想要調查的營銷活動名稱。
  3. 飛出視窗開啟時,選取 [下載威脅報告]
  4. 開啟威脅報告,它會提供有關行銷活動的詳細資訊。 報表中的資訊包括:
    • 摘要: 活動類型和組織中目標用戶數目的高階摘要。
    • 分析: 啟用開始時間的時程表圖表、以您組織為目標的訊息計數,以及訊息的目的地和決策。
  • 攻擊來源: 最常傳送IP位址和網域,其中包含已傳遞至組織內收件匣的訊息計數。 這可讓您調查以組織為目標的人員。
  • Email 範本和承載:屬於營銷活動和 URL 一部分的電子郵件主旨行 (及其頻率) 出現在行銷活動的一部分。
  • 建議: 補救訊息後續步驟的建議。

調查屬於電子郵件威脅營銷活動的收件匣郵件

  1. 流覽至 營銷活動頁面
  2. 捲動圖形下方 [詳細數據] 檢視中的營銷活動清單。
  3. 選取您想要調查的營銷活動名稱。 如果營銷活動的點擊計數超過零,表示您組織中的使用者按兩下 URL,或從電子郵件下載檔案。
  4. 營銷活動飛出視窗會顯示行銷活動的詳細資訊、圖表會顯示從營銷活動開始到結束日期的營銷啟用時程表,而水準流程圖則會顯示營銷活動的來源階段、決策,以及訊息的目前位置。
  5. 在流程圖下方,選取 [URL 點選] 索引 標籤,以顯示有關點選的資訊。 您可以在這裡看到單擊 URL 的使用者,如果使用者已標記為優先順序帳戶使用者、URL 本身和點選時間。
  6. 如果您想要深入瞭解收件匣和已點選的訊息,請選取 [探索郵件>收件匣訊息]。 新的索引標籤會開啟並流覽至 [威脅總管]。
  7. 在總管的 詳細數據檢視 中,您可以參考 最新傳遞 ,以判斷郵件是否仍在收件匣中,或已由系統 ZAP 移至隔離區。 若要取得有關特定訊息的詳細數據,請選取訊息。 飛出視窗會提供額外的資訊。 選取飛出視窗左上方的 [ 開啟電子郵件實體] 頁面 時,將會開啟新的索引標籤,並提供訊息的進一步資訊。
  8. 如果您想要採取動作並將訊息移出收件匣,您可以選取訊息,然後選取 [ 採取動作>移至垃圾郵件資料夾]。 這可確保您的使用者不會繼續與可能導致潛在缺口的惡意訊息互動。

後續步驟

若要深入瞭解,請參閱 適用於 Office 365 的 Microsoft Defender 中的營銷活動檢視