Prošetření škodlivých e-mailů doručených v Microsoftu 365
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnuté ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekci v reálném čase. Tyto funkce představují výkonné nástroje téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně. Další informace najdete v tématech o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defender pro Office 365.
Průzkumník hrozeb a detekce v reálném čase umožňují prozkoumat aktivity, které ohrožují lidi ve vaší organizaci, a podniknout kroky k ochraně vaší organizace. Příklady:
- Vyhledejte a odstraňte zprávy.
- Identifikujte IP adresu odesílatele e-mailu se zlými úmysly.
- Zahajte incident pro další šetření.
Tento článek vysvětluje, jak pomocí Průzkumníka hrozeb a detekce v reálném čase najít škodlivé e-maily v poštovních schránkách příjemců.
Tip
Pokud chcete přejít přímo k postupům nápravy, přečtěte si téma Náprava škodlivých e-mailů doručených v Office 365.
Další e-mailové scénáře s využitím Průzkumníka hrozeb a detekce v reálném čase najdete v následujících článcích:
Co potřebujete vědět, než začnete?
Průzkumník hrozeb je součástí plánu Defender pro Office 365 Plan 2. Detekce v reálném čase jsou součástí plánu Defender for Office Plan 1:
- Rozdíly mezi Průzkumníkem hrozeb a detekcemi v reálném čase jsou popsané v tématu Informace o Průzkumníku hrozeb a Detekce v reálném čase v Microsoft Defender pro Office 365.
- Rozdíly mezi Defender pro Office 365 Plán 2 a Defender for Office Plan 1 jsou popsané ve stručné nápovědě Defender pro Office 365 Plan 1 a Plan 2.
U vlastností filtru, které vyžadují, abyste vybrali jednu nebo více dostupných hodnot, má použití vlastnosti v podmínce filtru se všemi vybranými hodnotami stejný výsledek jako nepoužívání vlastnosti v podmínce filtru.
Informace o oprávněních a licenčních požadavcích pro Průzkumníka hrozeb a detekce v reálném čase najdete v tématu Oprávnění a licencování pro Průzkumníka hrozeb a detekce v reálném čase.
Vyhledání doručované podezřelé e-maily
Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:
- Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte do Email & Průzkumníka zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
- Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na Email & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3
Na stránce Průzkumník nebo Detekce v reálném čase vyberte odpovídající zobrazení:
- Průzkumník hrozeb: Ověřte, že je vybrané zobrazení Všechny e-maily .
- Detekce v reálném čase: Ověřte, že je vybrané zobrazení Malware , nebo vyberte zobrazení Phish.
Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.
Vytvořte jednu nebo více podmínek filtru pomocí některých nebo všech následujících cílových vlastností a hodnot. Úplné pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase. Příklady:
Akce doručení: Akce proběhla u e-mailu kvůli existujícím zásadám nebo detekci. Užitečné hodnoty jsou:
- Doručeno: Email doručeno do složky Doručená pošta uživatele nebo do jiné složky, kde má uživatel přístup ke zprávě.
- Nevyžádaná pošta: Email doručena do složky Nevyžádaná Email uživatele nebo Odstraněná pošta, kde má uživatel přístup ke zprávě.
- Blokováno: Email zprávy, které byly v karanténě, které se nepodařilo doručit nebo byly vyřazeny.
Původní místo doručení: Kam se e-maily dostaly před automatickými nebo ručními akcemi po doručení ze strany systému nebo správců (například ZAP nebo přesunuté do karantény). Užitečné hodnoty jsou:
- Složka Odstraněná pošta
- Zahozeno: Zpráva se ztratila někde v toku pošty.
- Selhání: Zpráva se nepodařilo dostat do poštovní schránky.
- Doručená pošta nebo složka
- Nevyžádaná pošta
- Místní/externí: Poštovní schránka v organizaci Microsoft 365 neexistuje.
- Karanténa
- Neznámé: Například pravidlo doručené pošty po doručení přesunulo zprávu do výchozí složky (například Koncept nebo Archiv) místo do složky Doručená pošta nebo Nevyžádaná Email pošta.
Místo posledního doručení: Kde e-mail skončil po automatických nebo ručních akcích po doručení ze strany systému nebo správců. Stejné hodnoty jsou k dispozici v umístění původního doručení.
Směrovost: Platné hodnoty:
- Směřující sem
- Uvnitř organizace
- Odchozí
Tyto informace vám můžou pomoct identifikovat falšování identity a zosobnění. Zprávy od interních odesílatelů domény by například měly být v rámci organizace, nikoli příchozí.
Další akce: Platné hodnoty:
- Automatizovaná náprava (Defender pro Office 365 Plan 2)
- Dynamické doručování: Další informace najdete v tématu Dynamické doručování v zásadách bezpečných příloh.
- Ruční náprava
- Žádné
- Uvolnění do karantény
- Znovu zpracováno: Zpráva byla zpětně identifikována jako dobrá.
- ZAP: Další informace najdete v tématu Automatické vyprázdnění (ZAP) v Microsoft Defender pro Office 365.
Primární přepsání: Pokud nastavení organizace nebo uživatele povoluje nebo blokuje zprávy, které by jinak byly blokované nebo povolené. Hodnoty jsou:
- Povolené zásadami organizace
- Povolené zásadami uživatele
- Blokováno zásadami organizace
- Blokováno zásadami uživatele
- Žádné
Tyto kategorie jsou dále upřesňující primární vlastností přepsání zdrojového kódu.
Primární zdroj přepsání Typ zásad organizace nebo nastavení uživatele, které povoluje nebo blokuje zprávy, které by jinak byly blokované nebo povolené. Hodnoty jsou:
- Filtr třetí strany
- Správa zahájené cestování časem
- Blokování antimalwarových zásad podle typu souboru: Filtr běžných příloh v zásadách antimalwaru
- Nastavení antispamových zásad
- Zásady připojení: Konfigurace filtrování připojení
- Pravidlo přenosu Exchange (pravidlo toku pošty)
- Výhradní režim (přepsání uživatelem): Nastavení Důvěřovat pouze e-mailům z adres v seznamu bezpečných odesílatelů a domén a Seznamům bezpečných adresátů v kolekci seznamu bezpečných adres v poštovní schránce.
- Filtrování se přeskočí kvůli místní organizaci
- Filtr oblastí IP adres ze zásad: Filtr Z těchto zemí v zásadách ochrany proti spamu.
- Filtr jazyka ze zásad: Filtr Obsahuje konkrétní jazyky v zásadách ochrany proti spamu.
- Simulace útoků phishing: Konfigurace simulací útoků phishing třetích stran v pokročilých zásadách doručování
- Uvolnění do karantény: Uvolnění e-mailu v karanténě
- Poštovní schránka SecOps: Konfigurace poštovních schránek SecOps v rozšířených zásadách doručování
- Seznam adres odesílatelů (Správa Přepsání):Seznam povolených odesílatelů nebo seznam blokovaných odesílatelů v zásadách ochrany proti spamu.
- Seznam adres odesílatelů (přepsání uživatelem): E-mailové adresy odesílatele v seznamu Blokovaní odesílatelé v kolekci bezpečných adres poštovní schránky.
- Seznam domén odesílatelů (Správa Přepsání): Seznam povolených domén nebo seznam blokovaných domén v zásadách ochrany proti spamu.
- Seznam domén odesílatelů (přepsání uživatelem): Domény odesílatelů v seznamu Blokovaní odesílatelé v kolekci seznamu bezpečných položek poštovní schránky.
- Blokování souborů seznamu povolených nebo blokovaných tenantů: Vytvoření položek bloku pro soubory
- Blok e-mailové adresy odesílatele v seznamu povolených nebo blokovaných tenantů: Vytvoření položek blokování pro domény a e-mailové adresy
- Blokování falšování seznamu povolených nebo blokovaných tenantů: Vytváření položek bloku pro zfalšované odesílatele
- Blok adresy URL seznamu povolených nebo blokovaných tenantů: Vytváření položek bloku pro adresy URL
- Seznam důvěryhodných kontaktů (přepsání uživatelem): Nastavení Důvěřovat e-mailům od mých kontaktů v kolekci seznamu bezpečných kontaktů v poštovní schránce.
- Blokování souborů seznamu povolených nebo blokovaných tenantů: Vytvoření položek bloku pro soubory
- Důvěryhodná doména (přepsání uživatelem): Domény odesílatelů v seznamu bezpečných odesílatelů v kolekci bezpečných odesílatelů poštovní schránky.
- Důvěryhodný příjemce (přepsání uživatelem): E-mailové adresy příjemců nebo domény v seznamu bezpečných příjemců v kolekci seznamu bezpečných příjemců poštovní schránky.
- Pouze důvěryhodní odesílatelé (přepsání uživatelem): Bezpečný Seznamy Pouze: Do vaší složky Doručená pošta v kolekci seznamu bezpečných odesílatelů v poštovní schránce se doručí jenom pošta od lidí nebo domén ze seznamu bezpečných odesílatelů nebo seznamu bezpečných příjemců.
Přepsat zdroj: Stejné dostupné hodnoty jako primární zdroj přepsání.
Tip
Na kartě Email (zobrazení) v oblasti podrobností zobrazení Veškerý e-mail, Malware a Phish mají odpovídající sloupce přepsání názvy Přepsání systému a Zdroj přepsání systému.
Hrozba adresy URL: Platné hodnoty jsou:
- Malware
- Phish
- Spam
Až dokončíte konfiguraci filtrů data a času a vlastností, vyberte Aktualizovat.
Karta Email (zobrazení) v oblasti podrobností zobrazení Veškerý e-mail, Malware nebo Phish obsahuje podrobnosti, které potřebujete k prozkoumání podezřelých e-mailů.
Například pomocí sloupců Akce doručení, Původní místo doručení a Poslední místo doručení na kartě Email (zobrazení) získáte úplnou představu o tom, kam se ovlivněné zprávy dostaly. Hodnoty byly vysvětleny v kroku 4.
Export slouží k selektivnímu exportu až 200 000 filtrovaných nebo nefiltrovaných výsledků do souboru CSV.
Náprava doručených škodlivých e-mailů
Jakmile identifikujete doručované škodlivé e-mailové zprávy, můžete je odebrat z poštovních schránek příjemců. Pokyny najdete v tématu Náprava škodlivých e-mailů doručených v Microsoftu 365.
Související články
Náprava škodlivých e-mailů doručených v Office 365