使用 適用於 Office 365 的 Microsoft Defender 中的營銷活動追蹤和響應新興威脅
活動可用來追蹤和響應新興的威脅,因為營銷活動可讓您調查對組織進行協調的電子郵件攻擊。 當新的威脅以您的組織為目標時,適用於 Office 365 的 Microsoft Defender 會自動偵測惡意訊息並相互關聯。
您需要什麼
- 適用於 Office 365 的 Microsoft Defender E5 方案) 中包含的方案 2 (。
- 足夠的許可權 (安全性讀取者角色) 。
- 執行這些步驟的五到十分鐘。
什麼是 適用於 Office 365 的 Microsoft Defender 中的營銷活動
行銷活動是針對一或多個組織的協調式電子郵件攻擊。 竊取認證和公司數據的 Email 攻擊是大型且龐大的產業。 隨著停止攻擊的技術成長並相乘,攻擊者會修改其方法以繼續成功。
Microsoft 在整個服務中運用大量的反網路釣魚、反垃圾郵件和反惡意代碼數據,以協助識別活動。 我們會根據數個因素來分析和分類攻擊資訊,例如:
- 攻擊來源:來源IP位址和寄件者電子郵件網域。
- 訊息屬性:訊息的內容、樣式和音調。
- 郵件收件者:收件者如何相關,例如收件者網域、收件者工作 (,例如系統管理員和主管) 、公司類型 (例如大型、小型、公用和私人) ,以及產業。
- 攻擊承載:惡意連結、附件或訊息中的其他承載。
營銷活動可能是短期的,或可能跨越數天、周或月,且使用中和非使用中期間。 活動可能會針對您的特定組織啟動,或您的組織可能是 跨多 家公司的較大行銷活動的一部分。
提示
若要深入瞭解行銷活動內可用的數據,請參閱 適用於 Office 365 的 Microsoft Defender 中的營銷活動檢視。
觀看 探索營銷活動檢視 影片
使用威脅報告調查可疑的電子郵件活動
如果活動已將您的組織設為目標,而您想要深入了解影響:
- 流覽至 營銷活動頁面。
- 選取您想要調查的營銷活動名稱。
- 飛出視窗開啟時,選取 [下載威脅報告]。
- 開啟威脅報告,它會提供有關行銷活動的詳細資訊。 報表中的資訊包括:
- 摘要: 活動類型和組織中目標用戶數目的高階摘要。
- 分析: 啟用開始時間的時程表圖表、以您組織為目標的訊息計數,以及訊息的目的地和決策。
- 攻擊來源: 最常傳送IP位址和網域,其中包含已傳遞至組織內收件匣的訊息計數。 這可讓您調查以組織為目標的人員。
- Email 範本和承載:屬於營銷活動和 URL 一部分的電子郵件主旨行 (及其頻率) 出現在行銷活動的一部分。
- 建議: 補救訊息後續步驟的建議。
調查屬於電子郵件威脅營銷活動的收件匣郵件
- 流覽至 營銷活動頁面。
- 捲動圖形下方 [詳細數據] 檢視中的營銷活動清單。
- 選取您想要調查的營銷活動名稱。 如果營銷活動的點擊計數超過零,表示您組織中的使用者按兩下 URL,或從電子郵件下載檔案。
- 營銷活動飛出視窗會顯示行銷活動的詳細資訊、圖表會顯示從營銷活動開始到結束日期的營銷啟用時程表,而水準流程圖則會顯示營銷活動的來源階段、決策,以及訊息的目前位置。
- 在流程圖下方,選取 [URL 點選] 索引 標籤,以顯示有關點選的資訊。 您可以在這裡看到單擊 URL 的使用者,如果使用者已標記為優先順序帳戶使用者、URL 本身和點選時間。
- 如果您想要深入瞭解收件匣和已點選的訊息,請選取 [探索郵件>收件匣訊息]。 新的索引標籤會開啟並流覽至 [威脅總管]。
- 在總管的 詳細數據檢視 中,您可以參考 最新傳遞 ,以判斷郵件是否仍在收件匣中,或已由系統 ZAP 移至隔離區。 若要取得有關特定訊息的詳細數據,請選取訊息。 飛出視窗會提供額外的資訊。 選取飛出視窗左上方的 [ 開啟電子郵件實體] 頁面 時,將會開啟新的索引標籤,並提供訊息的進一步資訊。
- 如果您想要採取動作並將訊息移出收件匣,您可以選取訊息,然後選取 [ 採取動作>移至垃圾郵件資料夾]。 這可確保您的使用者不會繼續與可能導致潛在缺口的惡意訊息互動。
後續步驟
若要深入瞭解,請參閱 適用於 Office 365 的 Microsoft Defender 中的營銷活動檢視。