Sähköpostisuojaus Threat Explorerin ja reaaliaikaisten tunnistusten avulla Microsoft Defender for Office 365
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Microsoft 365 -organisaatioilla, joilla on Microsoft Defender for Office 365 sisältyvät tilaukseensa tai jotka on ostettu lisäosana, on Explorer (tunnetaan myös nimellä Threat Explorer) tai reaaliaikaisia tunnistuksia. Nämä ominaisuudet ovat tehokkaita, lähes reaaliaikaisia työkaluja, joiden avulla security operations (SecOps) -tiimit voivat tutkia uhkia ja vastata niihin. Lisätietoja on artikkelissa Tietoja uhkienhallinnasta ja reaaliaikaisia tunnistuksia Microsoft Defender for Office 365.
Tässä artikkelissa kerrotaan, miten voit tarkastella ja tutkia havaittuja haittaohjelmia ja tietojenkalasteluyrityksiä sähköpostissa Threat Explorerin tai reaaliaikaisten tunnistusten avulla.
Vihje
Muut Threat Exploreria ja reaaliaikaisia tunnistusta käyttävät sähköpostiskenaariot ovat seuraavissa artikkeleissa:
Mitä on hyvä tietää ennen aloittamista?
Threat Explorer sisältyy Defender for Office 365 suunnitelmaan 2. Reaaliaikaiset tunnistamiset sisältyvät Defender for Officen palvelupakettiin 1:
- Threat Explorerin ja reaaliaikaisten tunnistusten väliset erot on kuvattu artikkelissa Tietoja Uhkienhallinnasta ja Reaaliaikaiset tunnistuksia Microsoft Defender for Office 365.
- Defender for Office 365 palvelupaketin 2 ja Defender for Officen palvelupaketin 1 väliset erot on kuvattu Defender for Office 365 palvelupaketin 1 ja palvelupaketin 2 pikaikkunassa.
Uhkienhallinnan ja reaaliaikaisten tunnistusten käyttöoikeudet ja käyttöoikeusvaatimukset ovat kohdassa Uhkienhallinnan ja reaaliaikaisten tunnistusten käyttöoikeudet ja käyttöoikeudet.
Näytä tietojenkalastelusähköpostiviesti, joka lähetetään tekeytyneesi käyttäjille ja toimialueille
Lisätietoja tietojenkalastelun torjuntakäytäntöjen käyttäjä- ja toimialuesisuuksista Defender for Office 365 on Microsoft Defender for Office 365 tietojenkalastelun torjuntakäytäntöjen tekeytymisasetuksissa.
Oletusarvoissa tai mukautetuissa tietojenkalastelun vastaisissa käytännöissä sinun on määritettävä tekeytymisiltä suojaavat käyttäjät ja toimialueet, mukaan lukien omistamasi (hyväksytyt toimialueet). Vakio- tai Strict-esiasetusten suojauskäytännöissä omistamasi toimialueet saavat automaattisesti tekeytymissuojan, mutta sinun on määritettävä kaikki käyttäjät tai mukautetut toimialueet tekeytymissuojausta varten. Katso ohjeet seuraavista artikkeleista:
- Esimääritetyt suojauskäytännöt EOP:ssä ja Microsoft Defender for Office 365:ssä
- Tietojenkalastelun torjuntakäytäntöjen määrittäminen Microsoft Defender for Office 365
Seuraavien vaiheiden avulla voit tarkastella tietojenkalasteluviestejä ja etsiä tekeytynejä käyttäjiä tai toimialueita.
Avaa Uhkien hallinta tai Reaaliaikaiset tunnistimet jollakin seuraavista vaiheista:
- Uhkienhallinta: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Security>Explorer. Voit myös siirtyä suoraan Resurssienhallinta-sivulle valitsemalla https://security.microsoft.com/threatexplorerv3.
- Reaaliaikaiset tunnistamiset: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Suojauksen>reaaliaikaiset tunnistuksia. Voit myös siirtyä suoraan Reaaliaikaiset tunnistuksia -sivulle valitsemalla https://security.microsoft.com/realtimereportsv3.
Valitse Resurssienhallinnan tai reaaliaikaisten tunnistusten sivulla Tietojen kalastelu -näkymä. Lisätietoja tietojenkalastelunäkymästä on artikkelissa Uhkienhallinnan tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia.
Valitse päivämäärä/aika-alue. Oletusarvo on eilen ja tänään.
Toimi seuraavasti:
Etsi käyttäjä- tai toimialue-tekeytymisyritykset:
- Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Tunnistustekniikka avattavan luettelon Perus-osiosta .
- Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
- Valitse Ominaisuuden arvo -ruudussa Tekeytymistoimialue ja Tekeytyminen käyttäjäksi
Etsi tietyt tekeytyneet käyttäjäyritykset:
- Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Sikeydytty käyttäjä avattavan luettelon Perus-osiosta .
- Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
- Kirjoita ominaisuuden arvo -ruutuun vastaanottajan koko sähköpostiosoite. Erota useiden vastaanottajien arvot toisistaan pilkuilla.
Etsi tietyt tekeytyneet toimialueyritykset:
- Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Tekeydytty toimialue avattavan luettelon Perus-osassa .
- Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
- Kirjoita Ominaisuuden arvo -ruutuun toimialue (esimerkiksi contoso.com). Erota useiden toimialueiden arvot toisistaan pilkuilla.
Anna lisää ehtoja käyttämällä muita suodatettavia ominaisuuksia tarpeen mukaan. Katso ohjeet kohdasta Ominaisuussuodattimet Threat Explorerissa ja Reaaliaikaiset tunnistuksia.
Kun olet luonut suodatusehdot, valitse Päivitä.
Tarkista kaavion alapuolella olevalta tietoalueelta, että Sähköposti-välilehti (näkymä) on valittuna.
Voit lajitella merkinnät ja näyttää lisää sarakkeita Sähköposti-näkymässä kuvatulla tavalla Tietojenkalastelu-näkymän tietoalueelle Uhkien hallinnassa ja reaaliaikaisissa tunnistuksissa.
Jos valitset merkinnän Aihe-arvon taulukossa, sähköpostin tietojen pikaikkuna avautuu. Tämä tietojen pikaikkuna tunnetaan sähköpostin yhteenvetopaneelina , ja se sisältää standardoituja yhteenvetotietoja, jotka ovat käytettävissä myös viestin Sähköposti-entiteettisivulla .
Lisätietoja sähköpostin yhteenvetopaneelin tiedoista on kohdassa Sähköpostin yhteenveto -paneeli.
Lisätietoja käytettävissä olevista toiminnoista Threat Explorerin sähköpostin yhteenvetopaneelin yläosassa ja Reaaliaikaiset tunnistuksia varten on artikkelissa Sähköpostin tiedot Tiedot-alueen Sähköposti-näkymästä Kaikki sähköpostit -näkymässä (samat toiminnot ovat käytettävissä myös tietojenkalastelunäkymässä ).
Jos valitset taulukon merkinnän Vastaanottaja-arvon , näyttöön avautuu eri tietojen pikaikkuna. Lisätietoja on artikkelissa Tietojenkalastelu-näkymän Tieto-alueen Sähköposti-näkymän vastaanottajatiedot.
Vie URL-osoitteen napsautustiedot
Voit viedä URL-osoitteen napsauttamalla tietoja CSV-tiedostoon, jos haluat tarkastella verkon viestitunnusta ja napsautuspäätöksen arvoja, mikä auttaa selittämään, mistä URL-osoitteen napsautusliikenne on peräisin.
Avaa Uhkien hallinta tai Reaaliaikaiset tunnistimet jollakin seuraavista vaiheista:
- Uhkienhallinta: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Security>Explorer. Voit myös siirtyä suoraan Resurssienhallinta-sivulle valitsemalla https://security.microsoft.com/threatexplorerv3.
- Reaaliaikaiset tunnistamiset: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Suojauksen>reaaliaikaiset tunnistuksia. Voit myös siirtyä suoraan Reaaliaikaiset tunnistuksia -sivulle valitsemalla https://security.microsoft.com/realtimereportsv3.
Valitse Resurssienhallinnan tai reaaliaikaisten tunnistusten sivulla Tietojen kalastelu -näkymä. Lisätietoja tietojenkalastelunäkymästä on artikkelissa Uhkienhallinnan tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia.
Valitse päivämäärä/aika-alue ja valitse sitten Päivitä. Oletusarvo on eilen ja tänään.
Valitse Tiedot-alueella Ylimmät URL-osoitteet tai Ylimmät napsautukset -välilehti (näkymä).
Valitse ylimmät URL-osoitteet tai ylimmät napsautukset -näkymässä vähintään yksi merkintä taulukosta valitsemalla ensimmäisen sarakkeen vieressä oleva valintaruutu ja valitse sitten Vie. Tutkimusmatkailija>Tietojen kalastelu>Napsautuksia>Ylimmät URL-osoitteet tai URL-osoitteen ylimmät napsautukset valitsevat> minkä tahansa tietueen AVATAksesi URL-pikaikkunan.
Verkkoviestin tunnus -arvon avulla voit hakea tiettyjä viestejä Threat Explorerista, reaaliaikaisia tunnistuksia tai ulkoisia työkaluja. Nämä haut tunnistavat napsautustulokseen liittyvän sähköpostiviestin. Kun käytössä on korreloitu verkon sanomatunnus, analyysi on nopeampaa ja tehokkaampaa.
Näytä sähköpostissa havaitut haittaohjelmat
Seuraavien Uhkienhallinnan tai reaaliaikaisten tunnistusten vaiheiden avulla voit nähdä Microsoft 365:n sähköpostissa havaitseman haittaohjelman.
Avaa Uhkien hallinta tai Reaaliaikaiset tunnistimet jollakin seuraavista vaiheista:
- Uhkienhallinta: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Security>Explorer. Voit myös siirtyä suoraan Resurssienhallinta-sivulle valitsemalla https://security.microsoft.com/threatexplorerv3.
- Reaaliaikaiset tunnistamiset: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Suojauksen>reaaliaikaiset tunnistuksia. Voit myös siirtyä suoraan Reaaliaikaiset tunnistuksia -sivulle valitsemalla https://security.microsoft.com/realtimereportsv3.
Valitse Resurssienhallinnan tai reaaliaikaisten tunnistusten sivulla Haittaohjelma-näkymä . Lisätietoja tietojenkalastelunäkymästä on kohdassa Haittaohjelmanäkymä Uhkien hallinnassa ja Reaaliaikaiset tunnistuksia.
Valitse päivämäärä/aika-alue. Oletusarvo on eilen ja tänään.
Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Tunnistustekniikka avattavan luettelon Perus-osiosta .
- Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
- Valitse ominaisuuden arvo -ruudussa vähintään yksi seuraavista arvoista:
- Suojautuminen haittaohjelmilta
- Tiedoston räjähdys
- Tiedoston räjähdyksen maine
- Tiedoston maine
- Sormenjälkien vastaavuus
Anna lisää ehtoja käyttämällä muita suodatettavia ominaisuuksia tarpeen mukaan. Katso ohjeet kohdasta Ominaisuussuodattimet Threat Explorerissa ja Reaaliaikaiset tunnistuksia.
Kun olet luonut suodatusehdot, valitse Päivitä.
Raportissa näytetään tulokset, jotka haittaohjelma on havainnut sähköpostissa, käyttäen valitsemisiasi tekniikka-asetuksia. Täältä voit tehdä lisäanalyyseja.
Ilmoita viestit puhtaiksi
Voit käyttää Lähetykset-sivua Defender-portaalissa osoitteessa https://security.microsoft.com/reportsubmissionilmoittaaksesi viestit puhtaiksi (false-positiiviset) Microsoftille. Voit myös lähettää Microsoftille viestejä, jotka ovat puhtaita, Threat Explorerin tai Sähköposti-entiteetin sivulta.
Katso ohjeet kohdasta Uhkien metsästys: Ohjattu toiminto.
Yhteenveto:
Valitse Suorita toiminto jollakin seuraavista menetelmistä:
- Valitse yksi tai useampi viesti Tieto-taulukosta Sähköposti-välilehdessä (näkymä) Kaikki sähköposti-, Haittaohjelma- tai Tietojen kalastelu -näkymissä valitsemalla merkintöjen valintaruudut.
TAI
- Tiedot-pikaikkunassa, kun olet valinnut viestin Tieto-taulukosta Sähköposti-välilehdessä (näkymä) Kaikki sähköposti-, Haittaohjelma- tai Tietojenkalastelu -näkymissä napsauttamalla Aihe-arvoa .
Valitse ohjatussa toimintotoiminnossaLähetä Microsoftille tarkistaaksesi>,että se on puhdas.
Näytä tietojenkalastelun URL-osoite ja napsauta tuomion tietoja
Safe Links -suojaus seuraa URL-osoitteita, jotka olivat sallittuja, estettyjä ja ohitettuja. Turvalliset linkit -suojaus on oletusarvoisesti käytössä valmiiksi määritettyjen suojauskäytäntöjen sisäänrakennetun suojauksen ansiosta. Turvalliset linkit -suojaus on käytössä vakio- ja strict-suojauskäytännöissä. Voit myös luoda ja määrittää Turvallisten linkkien suojauksen mukautetuissa Turvalliset linkit -käytännöissä. Lisätietoja Turvalliset linkit -käytäntöasetuksista on kohdassa Turvalliset linkit -käytäntöasetukset.
Seuraavien ohjeiden avulla voit tarkastella tietojenkalasteluyrityksiä käyttämällä URL-osoitteita sähköpostiviesteissä.
Avaa Uhkien hallinta tai Reaaliaikaiset tunnistimet jollakin seuraavista vaiheista:
- Uhkienhallinta: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Security>Explorer. Voit myös siirtyä suoraan Resurssienhallinta-sivulle valitsemalla https://security.microsoft.com/threatexplorerv3.
- Reaaliaikaiset tunnistamiset: Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & Suojauksen>reaaliaikaiset tunnistuksia. Voit myös siirtyä suoraan Reaaliaikaiset tunnistuksia -sivulle valitsemalla https://security.microsoft.com/realtimereportsv3.
Valitse Resurssienhallinnan tai reaaliaikaisten tunnistusten sivulla Tietojen kalastelu -näkymä. Lisätietoja tietojenkalastelunäkymästä on artikkelissa Uhkienhallinnan tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia.
Valitse päivämäärä/aika-alue. Oletusarvo on eilen ja tänään.
Valitse Lähettäjän osoite (ominaisuus) -ruutu ja valitse sitten Napsauta tuomiota avattavan luettelon URL-osoitteet-osassa .
- Varmista, että suodatinoperaattoriksi on valittu Yhtä suuri kuin mikä tahansa seuraavista .
- Valitse ominaisuuden arvo -ruudussa vähintään yksi seuraavista arvoista:
- Tukossa
- Estetty ohitettu
Saat lisätietoja Napsautus-tuomion arvoista ohjeartikkelista NapsautuspäätösSuodatettavissa ominaisuuksissa Threat Explorerin Kaikki sähköposti -näkymässä.
Anna lisää ehtoja käyttämällä muita suodatettavia ominaisuuksia tarpeen mukaan. Katso ohjeet kohdasta Ominaisuussuodattimet Threat Explorerissa ja Reaaliaikaiset tunnistuksia.
Kun olet luonut suodatusehdot, valitse Päivitä.
Kaavion alla olevalla tietoalueen Ylimmät URL-osoitteet -välilehdellä (näkymä) näkyy estettyjen viestien, roskapostiviestien ja viiden suurimman URL-osoitteen viestien määrä. Lisätietoja on artikkelissa Ylimmät URL-osoitteet -näkymä tietojenkalastelunäkymän tietoalue uhkien hallinnassa ja reaaliaikaiset tunnistuksia varten.
Kaavion alla olevan tietoalueen Ylimmät napsautukset -välilehti (näkymä) näyttää viisi suosituinta napsautnettua linkkiä, jotka turvalliset linkit paketoivat. Avaamattomien linkkien URL-osoitteet eivät näy tässä. Lisätietoja on Artikkelissa Ylimmät napsautukset -näkymä tietojenkalastelunäkymän tietoalue Uhkien hallinnassa ja Reaaliaikaiset tunnistuksia.
Näissä URL-taulukoissa näkyy URL-osoitteita, jotka on estetty tai joita on vierailtu varoituksesta huolimatta. Nämä tiedot näyttävät käyttäjille esitetyt mahdolliset virheellisen linkin. Täältä voit tehdä lisäanalyyseja.
Saat lisätietoja valitsemalla URL-osoitteen näkymän merkinnästä. Lisätietoja on artikkelissa Ylimmät URL-osoitteet ja Tietojenkalastelu-näkymän Ylimmät napsautukset -välilehdet.
Vihje
URL-tietojen pikaikkunassa sähköpostiviestien suodatus poistetaan, jotta url-osoitteen altistuminen ympäristössäsi näkyy kokonaisuudessaan. Tämän toiminnan avulla voit suodattaa tiettyjä sähköpostiviestejä, etsiä tiettyjä MAHDOLLISIA uhkia koskevia URL-osoitteita ja laajentaa sitten ymmärrystäsi URL-altistumisesta ympäristössäsi ilman URL-suodattimien lisäämistä Tietojen kalastelu -näkymässä.
Napsautuspäätösten tulkinta
Click-tuomion ominaisuuden tulokset näkyvät seuraavissa sijainneissa:
- Napsauta tuomiokaavion pivot-kohtaa URL-osoitteen napsautusten näkymässä Kaikki sähköpostit -näkymässä (vain Threat Explorer) tai tietojenkalastelunäkymässä
- Yleisimmät napsautukset -näkymä Uhkienhallinnan Kaikki sähköpostit -näkymän tietoalueelle
- Ylimmät napsautukset -näkymä tietojenkalastelunäkymän tietoalueelle Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
- Ylimmät napsautukset -näkymä URL-napsautusten näkymän tietoalueelle Threat Explorerissa
Tuomion arvot on kuvattu seuraavassa luettelossa:
- Sallittu: käyttäjällä oli oikeus avata URL-osoite.
- Estetty ohitettu: Käyttäjää estettiin avaamasta URL-osoitetta suoraan, mutta hän ohitti lohkon avatakseen URL-osoitteen.
- Estetty: Käyttäjää estettiin avaamasta URL-osoitetta.
- Virhe: Käyttäjälle esitettiin virhesivu tai virhe tallennettaessa tuomiota.
- Virhe: Tuntematon poikkeus tuomiota tallennettaessa. Käyttäjä on saattanut avata URL-osoitteen.
- Ei mitään: URL-osoitteen tuomiota ei voi siepata. Käyttäjä on saattanut avata URL-osoitteen.
- Odottaa tuomiota: Käyttäjälle esitettiin räjähdyksen odottava sivu.
- Odottava tuomio ohitettiin: Käyttäjälle esitettiin räjäytyssivu, mutta hän ohitti viestin avatakseen URL-osoitteen.
Aloita automatisoitu tutkinta ja reagointi Threat Explorerissa
Defender for Office 365 palvelupaketti 2:n automatisoitu tutkinta ja reagointi voivat säästää aikaa ja vaivaa kyberhyökkäysten tutkimisessa ja lieventämisessä. Voit määrittää hälytyksiä, jotka käynnistävät suojauksen pelikirjan, ja voit käynnistää AIR:in Threat Explorerissa. Lisätietoja on artikkelissa Esimerkki: Suojauksen järjestelmänvalvoja käynnistää tutkimuksen Explorerista.