想要開始使用進階搜捕來搜尋電子郵件威脅嗎? 請試試以下步驟:
Microsoft Defender for Office 365 部署指南說明了如何立即進入並從第一天開始設定。
根據您 預設的安全政策與自訂政策選擇,零 時自動清除 (ZAP) 設定非常重要,能判斷郵件是否在送達後被移除。
快速瀏覽至 Kusto 查詢語言以搜捕問題,是這兩個安全性中心交集的優點。 資安團隊可透過 Hunting>Advanced Hunting 的 Microsoft Defender 入口網站https://security.microsoft.com>,監控 ZAP 漏接。
在進階搜尋頁面https://security.microsoft.com/v2/advanced-hunting,確認已選擇新查詢標籤。
將以下查詢複製到 查詢 框:
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType選取 [執行查詢]。
此查詢資料顯示在查詢本身下方 的結果 面板中。 結果包含如
DeviceName、AccountDisplayName、 等資訊,並ZapTime以可自訂的結果集呈現。 也可以匯出結果做為記錄。 要儲存查詢以供重複使用,請選擇 「另存>為」 ,將查詢加入您的查詢、共享或社群查詢清單。
相關資訊
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。