調查在 Microsoft 365 中傳遞的惡意電子郵件

提示

您知道您可以免費試用Office 365方案 2 的Microsoft 365 Defender功能嗎? 使用 Microsoft 365 Defender 入口網站試用中樞的 90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款

適用於:

適用於 Office 365 的 Microsoft Defender可讓您調查讓組織中的人員面臨風險的活動,並採取動作來保護您的組織。 例如,如果您是組織安全性小組的一員,您可以尋找並調查已傳遞的可疑電子郵件訊息。 您可以使用 威脅總管 (或即時偵測) 來執行這項操作。

注意事項

跳至 這裡的補救文章。

開始之前

請確定符合下列需求:

預覽角色許可權

若要執行某些動作,例如檢視郵件標頭或下載電子郵件訊息內容,您必須將 預覽 角色新增至另一個適當的角色群組。 下表厘清必要的角色和許可權。

活動 角色群組 需要預覽角色嗎?
使用威脅總管 (和即時偵測) 來分析威脅 全域系統管理員

安全性系統管理員

安全性讀取者

使用威脅總管 (和即時偵測) 來檢視電子郵件訊息的標頭,以及預覽和下載隔離的電子郵件訊息 全域系統管理員

安全性系統管理員

安全性讀取者

使用威脅總管檢視標頭,僅在電子郵件實體頁面中預覽電子郵件 () 並下載傳遞至信箱的電子郵件訊息 全域系統管理員

安全性系統管理員

安全性讀取者

預覽

注意事項

預覽 是角色,而不是角色群組。 預覽角色必須新增至Microsoft 365 Defender入口網站中的現有角色群組或新的角色群組。 如需詳細資訊,請參閱 Microsoft 365 Defender 入口網站中的權限

全域管理員角色會在 指派Microsoft 365 系統管理中心。 https://admin.microsoft.com 安全性系統管理員和安全性讀取者角色會在 Microsoft 365 Defender 入口網站中指派。

我們瞭解預覽和下載電子郵件是敏感性活動,因此已針對這些活動啟用稽核。 一旦系統管理員在電子郵件上執行這些活動,就會產生相同的稽核記錄,並可在Microsoft 365 Defender入口網站 https://security.microsoft.com 的 [> 核搜尋] 索引標籤上看到,然後在 [使用者] 方塊中篩選系統管理員名稱。 篩選的結果會顯示活動 AdminMailAccess。 選取資料列,以檢視有關預覽或下載電子郵件的詳細 資訊 一節中的詳細資料。

尋找已傳遞的可疑電子郵件

威脅總管是功能強大的報告,可提供多種用途,例如尋找和刪除訊息、識別惡意電子郵件寄件者 IP 位址,或啟動事件以供進一步調查。 下列程式著重于使用 Explorer 來尋找並刪除收件者信箱中的惡意電子郵件。

注意事項

Explorer 中的預設搜尋目前不包含以零時差自動清除從雲端信箱移除的傳遞專案, (ZAP) 。 這項限制適用于所有檢視 (例如,Email > 惡意程式碼Email > 網路釣魚檢視) 。 若要包含 ZAP 移除的專案,您必須新增傳遞 動作 集,以包含 ZAP 移除的專案。 如果您包含所有選項,您會看到所有傳遞動作結果,包括 ZAP 移除的專案。

  1. 在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至Email & 共同作業>總管。 若要直接移至 [ 總管] 頁面,請使用 https://security.microsoft.com/threatexplorer

    在 [ 總管] 頁面上,[ 其他動作] 欄會顯示系統管理員處理電子郵件的結果。 [ 其他動作 ] 資料行可以存取于與 [ 傳遞] 動作 和 [ 傳遞位置] 相同的位置。 特殊動作可能會在威脅總管的電子郵件時程表結尾更新,這是一項新功能,目的是讓系統管理員的搜捕體驗更佳。

  2. 在 [檢視]功能表中,從下拉式清單中選擇 [Email>所有電子郵件]。

    惡意程式碼下拉式清單

    惡意 代碼 檢視目前為預設值,會擷取偵測到惡意程式碼威脅的電子郵件。 網路釣魚檢視的運作方式與網路釣魚相同。

    不過, [所有電子郵件 檢視] 會列出組織收到的每個郵件,不論是否偵測到威脅。 如您所想像,這是許多資料,這就是為什麼此檢視會顯示會要求套用篩選的預留位置。 (此檢視僅適用于 P2 客戶適用於 Office 365 的 Defender。)

    提交檢視會顯示系統管理員或使用者提交給Microsoft的所有郵件。

  3. 威脅總管中的搜尋和篩選:篩選會出現在搜尋列的頁面頂端,以協助系統管理員進行調查。 請注意,可以同時套用多個篩選,並將多個逗號分隔值新增至篩選,以縮小搜尋範圍。 請記住:

    • 篩選準則會在大部分的篩選準則上執行完全比對。
    • 主體篩選器會使用 CONTAINS 查詢。
    • URL 篩選可搭配或不使用通訊協定, (例如 HTTPs) 。
    • URL 網域、URL 路徑,以及 URL 網域和路徑篩選器不需要通訊協定即可篩選。
    • 每次變更篩選值以取得相關結果時,都必須按一下 [重新整理] 圖示。
  4. 進階篩選:使用這些篩選,您可以建置複雜的查詢並篩選資料集。 按一下 [ 進階篩選] 會 開啟具有選項的飛出視窗。

    進階篩選是搜尋功能的絕佳新增專案。 [收件者]、[寄件者] 和 [寄件者] 網域篩選器上的布林值 NOT 可讓系統管理員藉由排除值來進行調查。 此選項為 [不等於] 選取範圍 。 此選項可讓系統管理員從調查中排除不想要的信箱 (例如,警示信箱和預設的回復信箱) ,而且適用于系統管理員搜尋特定主旨 (例如,[注意]) ,其中 Recipient 可以設定為等於任何專案: defaultMail@contoso.com。 這是精確的值搜尋。

    [收件者] 窗格

    將時間篩選準則新增至開始日期和結束日期,可協助您的安全性小組快速向下切入。 最短的允許時間持續時間為 30 分鐘。 如果您可以依時間範圍 (例如,它發生在 3 小時前) ,這會限制內容並協助找出問題。

    依小時篩選選項

  5. 威脅總管中的欄位:威脅總管會公開更多安全性相關的郵件資訊,例如 傳遞動作傳遞位置特殊動作方向性覆寫URL 威脅。 它也可讓貴組織的安全性小組以更高的確定性進行調查。

    傳遞動作 是因現有原則或偵測而對電子郵件採取的動作。 以下是電子郵件可能採取的動作:

    • 已傳遞 – 電子郵件已傳遞至使用者的收件匣或資料夾,且使用者可以直接存取它。
    • 垃圾 (傳遞至垃圾郵件) – 電子郵件已傳送至使用者的垃圾郵件資料夾或已刪除的資料夾,且使用者可以存取其 [垃圾郵件] 或 [已刪除] 資料夾中的電子郵件訊息。
    • 已封鎖 – 任何已隔離、失敗或已卸載的電子郵件訊息。
    • 已取代 – 任何惡意附件由.txt檔案取代的電子郵件,這些檔案會指出該附件為惡意

    傳遞位置:提供傳遞位置篩選,以協助系統管理員瞭解可疑惡意郵件的結束位置,以及對其採取的動作。 產生的資料可以匯出至試算表。 可能的傳遞位置如下:

    • 收件匣或資料夾 – 根據您的電子郵件規則,電子郵件位於 [收件匣] 或特定資料夾中。
    • 內部部署或外部 – 信箱不存在於雲端,而是內部部署。
    • 垃圾郵件資料夾 – 電子郵件位於使用者的 [垃圾郵件] 資料夾中。
    • 已刪除的專案資料夾 – 電子郵件位於使用者的 [已刪除的專案] 資料夾中。
    • 隔離 – 隔離中的電子郵件,而不是使用者信箱中的電子郵件。
    • 失敗 – 電子郵件無法連線到信箱。
    • 已卸載 – 電子郵件在郵件流程中的某處遺失。

    方向性:此選項可讓您的安全性作業小組依郵件來源或進行中的「方向」進行篩選。 方向性 值是輸入輸出和組織 內部 (對應到從外部進入組織、從組織傳送出或在內部傳送至組織的郵件,分別) 。 這項資訊可協助安全性作業小組找出詐騙和模擬,因為 Directionality 值 (例如輸入) ,以及寄件者 (的網域之間的不相符) 會很明顯! Directionality 值是分開的,而且可能與訊息追蹤不同。 結果可以匯出至試算表。

    覆寫:此篩選會取得出現在郵件詳細資料索引標籤上的資訊,並使用它來公開組織或使用者原則,以允許和封鎖已 覆寫的郵件。 此篩選最重要的一點是,它可協助貴組織的安全性小組查看由於設定而傳遞的可疑電子郵件數目。 這可讓他們有機會視需要修改允許和封鎖。 這個篩選的結果集可以匯出至試算表。

    威脅總管覆寫 其意義
    組織原則允許 依照組織原則的指示,允許郵件進入信箱。
    遭到組織原則封鎖 郵件已依照組織原則的指示封鎖,無法傳遞至信箱。
    組織原則封鎖的副檔名 檔案已依照組織原則的指示封鎖,無法傳遞至信箱。
    使用者原則允許 郵件已依照使用者原則的指示進入信箱。
    遭到使用者原則封鎖 郵件遭到封鎖,無法依照使用者原則的指示傳遞至信箱。

    URL 威脅:URL 威脅欄位已包含在電子郵件的 [詳細 資料] 索引標籤上,以指出 URL 所呈現的威脅。 URL 所呈現的威脅可能包括 惡意程式碼網路釣魚垃圾郵件而沒有威脅 的 URL 則會在威脅區段中顯示為 None

  6. Email時程表檢視:您的安全性作業小組可能需要深入探討電子郵件詳細資料,以進一步調查。 電子郵件時程表可讓系統管理員檢視電子郵件從傳遞到傳遞後所採取的動作。 若要檢視電子郵件時程表,請按一下電子郵件訊息的主旨,然後按一下 [Email時程表]。 (顯示在面板上的其他標題中,例如 Summary 或 Details.) 這些結果可以匯出至試算表。

    Email時間軸會開啟至顯示電子郵件所有傳遞和傳遞後事件的資料表。 如果電子郵件上沒有進一步的動作,您應該會看到原始傳遞的單一事件,其中指出結果,例如 [已封鎖],並出現 類似網路釣魚的決策。 系統管理員可以匯出整個電子郵件時程表,包括索引標籤上的所有詳細資料和電子郵件 (,例如主旨、寄件者、收件者、網路和郵件識別碼) 。 電子郵件時間軸會減少隨機化,因為檢查不同位置以嘗試瞭解電子郵件送達後所發生的事件所花費的時間較少。 當電子郵件上同時發生或接近多個事件時,這些事件會顯示在時間軸檢視中。

  7. 預覽/下載:威脅總管會提供安全性作業小組調查可疑電子郵件所需的詳細資料。 您的安全性作業小組可以:

檢查傳遞動作和位置

[威脅總管] (和即時偵測) 中,您現在有 [ 傳遞動作 ] 和 [ 傳遞位置 ] 資料行,而不是先前的 [ 傳遞狀態 ] 資料行。 這會讓您更完整地瞭解電子郵件訊息的登陸位置。 這項變更的目標之一是讓安全性作業小組更容易進行調查,但最終結果是一目了然地知道問題電子郵件訊息的位置。

傳遞狀態現在劃分為兩個資料行:

  • 傳遞動作 - 此電子郵件的狀態為何?
  • 傳遞位置 - 此電子郵件路由傳送至何處?

傳遞動作是因現有原則或偵測而對電子郵件採取的動作。 以下是電子郵件可能採取的動作:

  • 已傳遞 – 電子郵件已傳遞至使用者的收件匣或資料夾,且使用者可以直接存取它。
  • 垃圾 郵件 – 電子郵件已傳送至使用者的垃圾郵件資料夾或已刪除的資料夾,且使用者可以存取其 [垃圾郵件] 或 [已刪除] 資料夾中的電子郵件訊息。
  • 已封鎖 – 任何已隔離、失敗或已卸載的電子郵件訊息。
  • 已取代 – 任何惡意附件會由.txt檔案取代,指出該附件為惡意的電子郵件。

傳遞位置顯示原則和執行傳遞後偵測的結果。 其連結到「傳遞動作」。 已新增此欄位,以深入了解找到問題電子郵件時所採取的動作。 以下是傳遞位置可能的值:

  • 收件匣或資料夾 – 電子郵件位於收件匣或資料夾中, (根據您的電子郵件規則) 。
  • 內部部署或外部 – 信箱不存在於雲端,而是內部部署。
  • 垃圾郵件資料夾 – 電子郵件位於使用者的 [垃圾郵件] 資料夾中。
  • 已刪除的專案資料夾 – 電子郵件位於使用者的 [已刪除的專案] 資料夾中。
  • 隔離 – 隔離中的電子郵件,而不是使用者信箱中的電子郵件。
  • 失敗 – 電子郵件無法連線到信箱。
  • 已卸載 – 電子郵件會在郵件流程中的某處遺失。

檢視電子郵件的時間軸

Email時間軸是威脅總管中的一個欄位,可讓安全性作業小組更輕鬆地進行搜捕。 當電子郵件上發生多個事件或接近同一時間時,這些事件會顯示在時間軸檢視中。 某些在傳遞至電子郵件後發生的事件會擷取到 [ 特殊動作] 資料行 中。 結合電子郵件訊息時間軸中的資訊與傳遞後所採取的任何特殊動作,可讓系統管理員深入瞭解原則和威脅處理 (例如郵件路由的位置,以及在某些情況下) 最終評估的內容。

重要事項

跳至 處的補救主題。

補救 Office 365 中傳送的惡意電子郵件

適用於 Office 365 的 Microsoft Defender

防範Office 365中的威脅

檢視適用於 Office 365 的 Defender報表