Sdílet prostřednictvím


Prošetření škodlivých e-mailů doručených v Microsoftu 365

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnuté ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekci v reálném čase. Tyto funkce představují výkonné nástroje téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně. Další informace najdete v tématech o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defender pro Office 365.

Průzkumník hrozeb a detekce v reálném čase umožňují prozkoumat aktivity, které ohrožují lidi ve vaší organizaci, a podniknout kroky k ochraně vaší organizace. Příklady:

  • Vyhledejte a odstraňte zprávy.
  • Identifikujte IP adresu odesílatele e-mailu se zlými úmysly.
  • Zahajte incident pro další šetření.

Tento článek vysvětluje, jak pomocí Průzkumníka hrozeb a detekce v reálném čase najít škodlivé e-maily v poštovních schránkách příjemců.

Tip

Pokud chcete přejít přímo k postupům nápravy, přečtěte si téma Náprava škodlivých e-mailů doručených v Office 365.

Další e-mailové scénáře s využitím Průzkumníka hrozeb a detekce v reálném čase najdete v následujících článcích:

Co potřebujete vědět, než začnete?

Vyhledání doručované podezřelé e-maily

  1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

  2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte odpovídající zobrazení:

  3. Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.

    Snímek obrazovky s filtrem data použitým v Průzkumníku hrozeb a detekcemi v reálném čase na portálu Defender

  4. Vytvořte jednu nebo více podmínek filtru pomocí některých nebo všech následujících cílových vlastností a hodnot. Úplné pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase. Příklady:

    • Akce doručení: Akce proběhla u e-mailu kvůli existujícím zásadám nebo detekci. Užitečné hodnoty jsou:

      • Doručeno: Email doručeno do složky Doručená pošta uživatele nebo do jiné složky, kde má uživatel přístup ke zprávě.
      • Nevyžádaná pošta: Email doručena do složky Nevyžádaná Email uživatele nebo Odstraněná pošta, kde má uživatel přístup ke zprávě.
      • Blokováno: Email zprávy, které byly v karanténě, které se nepodařilo doručit nebo byly vyřazeny.
    • Původní místo doručení: Kam se e-maily dostaly před automatickými nebo ručními akcemi po doručení ze strany systému nebo správců (například ZAP nebo přesunuté do karantény). Užitečné hodnoty jsou:

      • Složka Odstraněná pošta
      • Zahozeno: Zpráva se ztratila někde v toku pošty.
      • Selhání: Zpráva se nepodařilo dostat do poštovní schránky.
      • Doručená pošta nebo složka
      • Nevyžádaná pošta
      • Místní/externí: Poštovní schránka v organizaci Microsoft 365 neexistuje.
      • Karanténa
      • Neznámé: Například pravidlo doručené pošty po doručení přesunulo zprávu do výchozí složky (například Koncept nebo Archiv) místo do složky Doručená pošta nebo Nevyžádaná Email pošta.
    • Místo posledního doručení: Kde e-mail skončil po automatických nebo ručních akcích po doručení ze strany systému nebo správců. Stejné hodnoty jsou k dispozici v umístění původního doručení.

    • Směrovost: Platné hodnoty:

      • Směřující sem
      • Uvnitř organizace
      • Odchozí

      Tyto informace vám můžou pomoct identifikovat falšování identity a zosobnění. Zprávy od interních odesílatelů domény by například měly být v rámci organizace, nikoli příchozí.

    • Další akce: Platné hodnoty:

    • Primární přepsání: Pokud nastavení organizace nebo uživatele povoluje nebo blokuje zprávy, které by jinak byly blokované nebo povolené. Hodnoty jsou:

      • Povolené zásadami organizace
      • Povolené zásadami uživatele
      • Blokováno zásadami organizace
      • Blokováno zásadami uživatele
      • Žádné

      Tyto kategorie jsou dále upřesňující primární vlastností přepsání zdrojového kódu.

    • Primární zdroj přepsání Typ zásad organizace nebo nastavení uživatele, které povoluje nebo blokuje zprávy, které by jinak byly blokované nebo povolené. Hodnoty jsou:

    • Přepsat zdroj: Stejné dostupné hodnoty jako primární zdroj přepsání.

      Tip

      Na kartě Email (zobrazení) v oblasti podrobností zobrazení Veškerý e-mail, Malware a Phish mají odpovídající sloupce přepsání názvy Přepsání systému a Zdroj přepsání systému.

    • Hrozba adresy URL: Platné hodnoty jsou:

      • Malware
      • Phish
      • Spam
  5. Až dokončíte konfiguraci filtrů data a času a vlastností, vyberte Aktualizovat.

Karta Email (zobrazení) v oblasti podrobností zobrazení Veškerý e-mail, Malware nebo Phish obsahuje podrobnosti, které potřebujete k prozkoumání podezřelých e-mailů.

Například pomocí sloupců Akce doručení, Původní místo doručení a Poslední místo doručení na kartě Email (zobrazení) získáte úplnou představu o tom, kam se ovlivněné zprávy dostaly. Hodnoty byly vysvětleny v kroku 4.

Export slouží k selektivnímu exportu až 200 000 filtrovaných nebo nefiltrovaných výsledků do souboru CSV.

Náprava doručených škodlivých e-mailů

Jakmile identifikujete doručované škodlivé e-mailové zprávy, můžete je odebrat z poštovních schránek příjemců. Pokyny najdete v tématu Náprava škodlivých e-mailů doručených v Microsoftu 365.

Náprava škodlivých e-mailů doručených v Office 365

Microsoft Defender pro Office 365

Zobrazení sestav pro Defender pro Office 365