Jaa


Sähköpostisuojaus Threat Explorerin ja reaaliaikaisten tunnistusten avulla Microsoft Defender for Office 365

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft 365 -organisaatioilla, joilla on Microsoft Defender for Office 365 sisältyvät tilaukseensa tai jotka on ostettu lisäosana, on Explorer (tunnetaan myös nimellä Threat Explorer) tai reaaliaikaisia tunnistuksia. Nämä ominaisuudet ovat tehokkaita, lähes reaaliaikaisia työkaluja, joiden avulla security operations (SecOps) -tiimit voivat tutkia uhkia ja vastata niihin. Lisätietoja on artikkelissa Tietoja uhkienhallinnasta ja reaaliaikaisia tunnistuksia Microsoft Defender for Office 365.

Tässä artikkelissa kerrotaan, miten voit tarkastella ja tutkia havaittuja haittaohjelmia ja tietojenkalasteluyrityksiä sähköpostissa Threat Explorerin tai reaaliaikaisten tunnistusten avulla.

Vihje

Muut Threat Exploreria ja reaaliaikaisia tunnistusta käyttävät sähköpostiskenaariot ovat seuraavissa artikkeleissa:

Mitä on hyvä tietää ennen aloittamista?

Näytä tietojenkalastelusähköpostiviesti, joka lähetetään tekeytyneesi käyttäjille ja toimialueille

Lisätietoja tietojenkalastelun torjuntakäytäntöjen käyttäjä- ja toimialuesisuuksista Defender for Office 365 on Microsoft Defender for Office 365 tietojenkalastelun torjuntakäytäntöjen tekeytymisasetuksissa.

Oletusarvoissa tai mukautetuissa tietojenkalastelun vastaisissa käytännöissä sinun on määritettävä tekeytymisiltä suojaavat käyttäjät ja toimialueet, mukaan lukien omistamasi (hyväksytyt toimialueet). Vakio- tai Strict-esiasetusten suojauskäytännöissä omistamasi toimialueet saavat automaattisesti tekeytymissuojan, mutta sinun on määritettävä kaikki käyttäjät tai mukautetut toimialueet tekeytymissuojausta varten. Katso ohjeet seuraavista artikkeleista:

Seuraavien vaiheiden avulla voit tarkastella tietojenkalasteluviestejä ja etsiä tekeytynejä käyttäjiä tai toimialueita.

  1. Avaa Uhkien hallinta tai Reaaliaikaiset tunnistimet jollakin seuraavista vaiheista:

  2. Valitse Resurssienhallinnan tai reaaliaikaisten tunnistusten sivulla Tietojen kalastelu -näkymä. Lisätietoja tietojenkalastelunäkymästä on artikkelissa Uhkienhallinnan tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia.

  3. Valitse päivämäärä/aika-alue. Oletusarvo on eilen ja tänään.

  4. Toimi seuraavasti:

    • Etsi käyttäjä- tai toimialue-tekeytymisyritykset:

      • Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Tunnistustekniikka avattavan luettelon Perus-osiosta .
      • Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
      • Valitse Ominaisuuden arvo -ruudussa Tekeytymistoimialue ja Tekeytyminen käyttäjäksi
    • Etsi tietyt tekeytyneet käyttäjäyritykset:

      • Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Sikeydytty käyttäjä avattavan luettelon Perus-osiosta .
      • Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
      • Kirjoita ominaisuuden arvo -ruutuun vastaanottajan koko sähköpostiosoite. Erota useiden vastaanottajien arvot toisistaan pilkuilla.
    • Etsi tietyt tekeytyneet toimialueyritykset:

      • Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Tekeydytty toimialue avattavan luettelon Perus-osassa .
      • Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
      • Kirjoita Ominaisuuden arvo -ruutuun toimialue (esimerkiksi contoso.com). Erota useiden toimialueiden arvot toisistaan pilkuilla.
  5. Anna lisää ehtoja käyttämällä muita suodatettavia ominaisuuksia tarpeen mukaan. Katso ohjeet kohdasta Ominaisuussuodattimet Threat Explorerissa ja Reaaliaikaiset tunnistuksia.

  6. Kun olet luonut suodatusehdot, valitse Päivitä.

  7. Tarkista kaavion alapuolella olevalta tietoalueelta, että Sähköposti-välilehti (näkymä) on valittuna.

    Voit lajitella merkinnät ja näyttää lisää sarakkeita Sähköposti-näkymässä kuvatulla tavalla Tietojenkalastelu-näkymän tietoalueelle Uhkien hallinnassa ja reaaliaikaisissa tunnistuksissa.

Vie URL-osoitteen napsautustiedot

Voit viedä URL-osoitteen napsauttamalla tietoja CSV-tiedostoon, jos haluat tarkastella verkon viestitunnusta ja napsautuspäätöksen arvoja, mikä auttaa selittämään, mistä URL-osoitteen napsautusliikenne on peräisin.

  1. Avaa Uhkien hallinta tai Reaaliaikaiset tunnistimet jollakin seuraavista vaiheista:

  2. Valitse Resurssienhallinnan tai reaaliaikaisten tunnistusten sivulla Tietojen kalastelu -näkymä. Lisätietoja tietojenkalastelunäkymästä on artikkelissa Uhkienhallinnan tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia.

  3. Valitse päivämäärä/aika-alue ja valitse sitten Päivitä. Oletusarvo on eilen ja tänään.

  4. Valitse Tiedot-alueella Ylimmät URL-osoitteet tai Ylimmät napsautukset -välilehti (näkymä).

  5. Valitse ylimmät URL-osoitteet tai ylimmät napsautukset -näkymässä vähintään yksi merkintä taulukosta valitsemalla ensimmäisen sarakkeen vieressä oleva valintaruutu ja valitse sitten Vie. Tutkimusmatkailija>Tietojen kalastelu>Napsautuksia>Ylimmät URL-osoitteet tai URL-osoitteen ylimmät napsautukset valitsevat> minkä tahansa tietueen AVATAksesi URL-pikaikkunan.

Verkkoviestin tunnus -arvon avulla voit hakea tiettyjä viestejä Threat Explorerista, reaaliaikaisia tunnistuksia tai ulkoisia työkaluja. Nämä haut tunnistavat napsautustulokseen liittyvän sähköpostiviestin. Kun käytössä on korreloitu verkon sanomatunnus, analyysi on nopeampaa ja tehokkaampaa.

Näytä sähköpostissa havaitut haittaohjelmat

Seuraavien Uhkienhallinnan tai reaaliaikaisten tunnistusten vaiheiden avulla voit nähdä Microsoft 365:n sähköpostissa havaitseman haittaohjelman.

  1. Avaa Uhkien hallinta tai Reaaliaikaiset tunnistimet jollakin seuraavista vaiheista:

  2. Valitse Resurssienhallinnan tai reaaliaikaisten tunnistusten sivulla Haittaohjelma-näkymä . Lisätietoja tietojenkalastelunäkymästä on kohdassa Haittaohjelmanäkymä Uhkien hallinnassa ja Reaaliaikaiset tunnistuksia.

  3. Valitse päivämäärä/aika-alue. Oletusarvo on eilen ja tänään.

  4. Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Tunnistustekniikka avattavan luettelon Perus-osiosta .

    • Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
    • Valitse ominaisuuden arvo -ruudussa vähintään yksi seuraavista arvoista:
      • Suojautuminen haittaohjelmilta
      • Tiedoston räjähdys
      • Tiedoston räjähdyksen maine
      • Tiedoston maine
      • Sormenjälkien vastaavuus
  5. Anna lisää ehtoja käyttämällä muita suodatettavia ominaisuuksia tarpeen mukaan. Katso ohjeet kohdasta Ominaisuussuodattimet Threat Explorerissa ja Reaaliaikaiset tunnistuksia.

  6. Kun olet luonut suodatusehdot, valitse Päivitä.

Raportissa näytetään tulokset, jotka haittaohjelma on havainnut sähköpostissa, käyttäen valitsemisiasi tekniikka-asetuksia. Täältä voit tehdä lisäanalyyseja.

Ilmoita viestit puhtaiksi

Voit käyttää Lähetykset-sivua Defender-portaalissa osoitteessa https://security.microsoft.com/reportsubmissionilmoittaaksesi viestit puhtaiksi (false-positiiviset) Microsoftille. Voit myös lähettää Microsoftille viestejä, jotka ovat puhtaita, Threat Explorerin tai Sähköposti-entiteetin sivulta.

Katso ohjeet kohdasta Uhkien metsästys: Ohjattu toiminto.

Yhteenveto:

  • Valitse Suorita toiminto jollakin seuraavista menetelmistä:

    • Valitse yksi tai useampi viesti Tieto-taulukosta Sähköposti-välilehdessä (näkymä) Kaikki sähköposti-, Haittaohjelma- tai Tietojen kalastelu -näkymissä valitsemalla merkintöjen valintaruudut.

    TAI

    • Tiedot-pikaikkunassa, kun olet valinnut viestin Tieto-taulukosta Sähköposti-välilehdessä (näkymä) Kaikki sähköposti-, Haittaohjelma- tai Tietojenkalastelu -näkymissä napsauttamalla Aihe-arvoa .
  • Valitse ohjatussa toimintotoiminnossaLähetä Microsoftille tarkistaaksesi>,että se on puhdas.

Näytä tietojenkalastelun URL-osoite ja napsauta tuomion tietoja

Safe Links -suojaus seuraa URL-osoitteita, jotka olivat sallittuja, estettyjä ja ohitettuja. Turvalliset linkit -suojaus on oletusarvoisesti käytössä valmiiksi määritettyjen suojauskäytäntöjen sisäänrakennetun suojauksen ansiosta. Turvalliset linkit -suojaus on käytössä vakio- ja strict-suojauskäytännöissä. Voit myös luoda ja määrittää Turvallisten linkkien suojauksen mukautetuissa Turvalliset linkit -käytännöissä. Lisätietoja Turvalliset linkit -käytäntöasetuksista on kohdassa Turvalliset linkit -käytäntöasetukset.

Seuraavien ohjeiden avulla voit tarkastella tietojenkalasteluyrityksiä käyttämällä URL-osoitteita sähköpostiviesteissä.

  1. Avaa Uhkien hallinta tai Reaaliaikaiset tunnistimet jollakin seuraavista vaiheista:

  2. Valitse Resurssienhallinnan tai reaaliaikaisten tunnistusten sivulla Tietojen kalastelu -näkymä. Lisätietoja tietojenkalastelunäkymästä on artikkelissa Uhkienhallinnan tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia.

  3. Valitse päivämäärä/aika-alue. Oletusarvo on eilen ja tänään.

  4. Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Napsauta tuomiota avattavan luettelon URL-osoitteet-osassa .

    • Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
    • Valitse ominaisuuden arvo -ruudussa vähintään yksi seuraavista arvoista:
      • Tukossa
      • Estetty ohitettu

    Saat lisätietoja Napsautus-tuomion arvoista ohjeartikkelista NapsautuspäätösSuodatettavissa ominaisuuksissa Threat Explorerin Kaikki sähköposti -näkymässä.

  5. Anna lisää ehtoja käyttämällä muita suodatettavia ominaisuuksia tarpeen mukaan. Katso ohjeet kohdasta Ominaisuussuodattimet Threat Explorerissa ja Reaaliaikaiset tunnistuksia.

  6. Kun olet luonut suodatusehdot, valitse Päivitä.

Kaavion alla olevalla tietoalueen Ylimmät URL-osoitteet -välilehdellä (näkymä) näkyy estettyjen viestien, roskapostiviestien ja viiden suurimman URL-osoitteen viestien määrä. Lisätietoja on artikkelissa Ylimmät URL-osoitteet -näkymä tietojenkalastelunäkymän tietoalue uhkien hallinnassa ja reaaliaikaiset tunnistuksia varten.

Kaavion alla olevan tietoalueen Ylimmät napsautukset -välilehti (näkymä) näyttää viisi suosituinta napsautnettua linkkiä, jotka turvalliset linkit paketoivat. Avaamattomien linkkien URL-osoitteet eivät näy tässä. Lisätietoja on Artikkelissa Ylimmät napsautukset -näkymä tietojenkalastelunäkymän tietoalue Uhkien hallinnassa ja Reaaliaikaiset tunnistuksia.

Näissä URL-taulukoissa näkyy URL-osoitteita, jotka on estetty tai joita on vierailtu varoituksesta huolimatta. Nämä tiedot näyttävät käyttäjille esitetyt mahdolliset virheellisen linkin. Täältä voit tehdä lisäanalyyseja.

Saat lisätietoja valitsemalla URL-osoitteen näkymän merkinnästä. Lisätietoja on artikkelissa Ylimmät URL-osoitteet ja Tietojenkalastelu-näkymän Ylimmät napsautukset -välilehdet.

Vihje

URL-tietojen pikaikkunassa sähköpostiviestien suodatus poistetaan, jotta url-osoitteen altistuminen ympäristössäsi näkyy kokonaisuudessaan. Tämän toiminnan avulla voit suodattaa tiettyjä sähköpostiviestejä, etsiä tiettyjä MAHDOLLISIA uhkia koskevia URL-osoitteita ja laajentaa sitten ymmärrystäsi URL-altistumisesta ympäristössäsi ilman URL-suodattimien lisäämistä Tietojen kalastelu -näkymässä.

Napsautuspäätösten tulkinta

Click-tuomion ominaisuuden tulokset näkyvät seuraavissa sijainneissa:

Tuomion arvot on kuvattu seuraavassa luettelossa:

  • Sallittu: käyttäjällä oli oikeus avata URL-osoite.
  • Estetty ohitettu: Käyttäjää estettiin avaamasta URL-osoitetta suoraan, mutta hän ohitti lohkon avatakseen URL-osoitteen.
  • Estetty: Käyttäjää estettiin avaamasta URL-osoitetta.
  • Virhe: Käyttäjälle esitettiin virhesivu tai virhe tallennettaessa tuomiota.
  • Virhe: Tuntematon poikkeus tuomiota tallennettaessa. Käyttäjä on saattanut avata URL-osoitteen.
  • Ei mitään: URL-osoitteen tuomiota ei voi siepata. Käyttäjä on saattanut avata URL-osoitteen.
  • Odottaa tuomiota: Käyttäjälle esitettiin räjähdyksen odottava sivu.
  • Odottava tuomio ohitettiin: Käyttäjälle esitettiin räjäytyssivu, mutta hän ohitti viestin avatakseen URL-osoitteen.

Aloita automatisoitu tutkinta ja reagointi Threat Explorerissa

Defender for Office 365 palvelupaketti 2:n automatisoitu tutkinta ja reagointi voivat säästää aikaa ja vaivaa kyberhyökkäysten tutkimisessa ja lieventämisessä. Voit määrittää hälytyksiä, jotka käynnistävät suojauksen pelikirjan, ja voit käynnistää AIR:in Threat Explorerissa. Lisätietoja on artikkelissa Esimerkki: Suojauksen järjestelmänvalvoja käynnistää tutkimuksen Explorerista.

Sähköpostin tutkiminen Sähköposti-entiteettisivulla