Jaa

Uhkien metsästys Threat Explorerissa ja reaaliaikaiset tunnistamiset Microsoft Defender for Office 365

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft 365 -organisaatioilla, joilla on Microsoft Defender for Office 365 sisältyvät tilaukseensa tai jotka on ostettu lisäosana, on Explorer (tunnetaan myös nimellä Threat Explorer) tai reaaliaikaisia tunnistuksia. Nämä ominaisuudet ovat tehokkaita, lähes reaaliaikaisia työkaluja, joiden avulla security operations (SecOps) -tiimit voivat tutkia uhkia ja vastata niihin. Lisätietoja on artikkelissa Tietoja uhkienhallinnasta ja reaaliaikaisia tunnistuksia Microsoft Defender for Office 365.

Threat Explorerin tai reaaliaikaisten tunnistusten avulla voit suorittaa seuraavat toiminnot:

  • Katso Microsoft 365:n suojausominaisuuksien havaitsemat haittaohjelmat.
  • Näytä tietojenkalastelun URL-osoite ja napsauta tuomion tietoja.
  • Aloita automatisoitu tutkimus- ja reagointiprosessi (vain Threat Explorer).
  • Tutki haitallisia sähköpostiviestejä.
  • Ja paljon muuta.

Katso tästä lyhyestä videosta, miten voit etsiä ja tutkia sähköposti- ja yhteistyöuhkia Defender for Office 365 avulla.

Vihje

Kehittynyt metsästys Microsoft Defender XDR tukee helppokäyttöistä kyselyn muodostinta, joka ei käytä Kusto Query Languagea (KQL). Lisätietoja on artikkelissa Kyselyjen luominen ohjatun tilan avulla.

Seuraavat tiedot ovat saatavilla tässä artikkelissa:

Vihje

Seuraavissa artikkeleissa on sähköpostiskenaarioita, joissa käytetään Uhkien hallintaa ja reaaliaikaisia tunnistuksia:

Jos etsit hyökkäyksiä, jotka perustuvat QR-koodeihin upotettuihin haitallisiin URL-osoitteisiin, URL-lähdesuodattimen arvon QR-koodi Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymistä Uhkienhallinnassa tai Reaaliaikaiset tunnistuksia -toiminnolla voit hakea sähköpostiviestiä QR-koodeista poimittujen URL-osoitteiden avulla.

Mitä on hyvä tietää ennen aloittamista?

Uhkienhallinnan ja reaaliaikaisten tunnistusten vaiheittaiset ohjeet

Threat Explorer tai reaaliaikaiset tunnisteet ovat käytettävissä Microsoft Defender-portaalin Sähköposti & yhteistyö -osassa osoitteessa https://security.microsoft.com:

Threat Explorer sisältää samat tiedot ja ominaisuudet kuin reaaliaikaiset tunnistuksia, mutta sisältää seuraavat lisäominaisuudet:

  • Lisää näkymiä.
  • Lisää ominaisuuksien suodatusasetuksia, mukaan lukien kyselyiden tallennusvaihtoehto.
  • Uhkien metsästys- ja korjaustoimet.

Lisätietoja Defender for Office 365 palvelupaketin 1 ja 2 eroista on Defender for Office 365 palvelupaketin 1 ja palvelupaketin 2 pikaohjeissa.

Aloita tutkimus sivun yläreunassa olevien välilehtien (näkymien) avulla.

Uhkienhallinnan ja reaaliaikaisten tunnistusten käytettävissä olevat näkymät on kuvattu seuraavassa taulukossa:

Näytä Uhka
Tutkimusmatkailija		 Reaaliaikainen
Etsivä		 Kuvaus
Kaikki sähköpostit Uhkienhallinnan oletusnäkymä. Tietoja kaikista ulkoisten käyttäjien organisaatioosi lähettämiä sähköpostiviestejä tai organisaation sisäisten käyttäjien välillä lähetettyjä sähköpostiviestejä.
Haittaohjelma Reaaliaikaisten tunnistusten oletusnäkymä. Tietoja haittaohjelmia sisältävistä sähköpostiviesteista.
Tietojen kalastelu Tietoja sähköpostiviesteista, jotka sisältävät tietojenkalasteluuhkia.
Kampanjat Tietoja haitallisista sähköposteista, jotka Defender for Office 365 palvelupaketti 2 tunnistaa osana koordinoitua tietojenkalastelu- tai haittaohjelmakampanjaa.
Sisällön haittaohjelma Tietoja seuraavien ominaisuuksien havaitsemista haitallisista tiedostoista:
URL-osoitteen napsautukset Tietoja käyttäjien napsautuksista sähköpostiviesteissä, Teams-viesteissä, SharePoint-tiedostoissa ja OneDrive-tiedostoissa.

Tarkenna tuloksia päivämäärä/aika-suodattimen ja näkymän käytettävissä olevien suodatinominaisuuksien avulla:

Vihje

Muista valita Päivitä suodattimen luomisen tai päivittämisen jälkeen. Suodattimet vaikuttavat kaavion tietoihin ja näkymän tietoalueeseen.

Voit ajatella kohdistuksen tarkentamista Uhkien hallinnassa tai reaaliaikaisia tunnistuksia kerroksina, jotka helpottavat vaiheiden seuraamista:

  • Ensimmäinen kerros on käyttämäsi näkymä.
  • Toinen myöhemmin on suodattimet, joita käytät tässä näkymässä.

Voit esimerkiksi jäljittää tekemäsi toimet uhan löytämiseksi tallentamalla tekemäsi päätökset näin: Voit etsiä ongelman Threat Explorerista käyttämällä Haittaohjelma-näkymää ja käyttämällä Vastaanottaja-suodattimen kohdistusta.

Muista myös testata näyttöasetuksiasi. Eri käyttäjäryhmät (esimerkiksi hallinta) saattavat reagoida samojen tietojen eri esityksiin paremmin tai huonommin.

Esimerkiksi Threat Explorerin Kaikki sähköposti -näkymässä Sähköpostin alkuperä - ja Kampanjat-näkymät (välilehdet) ovat käytettävissä sivun alareunan tietoalueella:

  • Joillekin yleisöille Sähköpostin alkuperä -välilehden maailmankartta voi auttaa näyttämään, kuinka laajalle levinneitä havaitut uhat ovat.

    Näyttökuva maailmankartasta Sähköpostin alkuperä -näkymässä Threat Explorerin Kaikki sähköpostit -näkymän tiedot-alueella.

  • Toiset saattavat pitää taulukon yksityiskohtaisia tietoja Kampanjat-välilehdellä hyödyllisempinä tietojen välittämisessä.

    Näyttökuva Tietotaulukko-taulukosta Kampanja-välilehdellä Threat Explorerin Kaikki sähköposti -näkymässä.

Voit käyttää näitä tietoja seuraavissa tuloksissa:

  • Suojauksen tarpeen osoittamiseksi.
  • Osoittaakseen myöhemmin kaikkien toimien tehokkuuden.

Sähköpostitutkimus

Kaikki sähköposti-, haittaohjelma- tai tietojenkalastelunäkymät Uhkienhallinnassa tai Reaaliaikaiset tunnistuksia -kohdassa sähköpostiviestien tulokset näytetään taulukossa Sähköposti-välilehdellä (näkymässä) kaavion alapuolella olevalla tietoalueella.

Kun näet epäilyttävän sähköpostiviestin, napsauta merkinnän Aihe-arvoa taulukossa. Näyttöön avautuva tietoikkuna sisältää Avaussähköposti-entiteetin pikaikkunan yläosassa.

Näyttökuva toiminnoista, jotka ovat käytettävissä sähköpostin tietojen pikaikkunassa sen jälkeen, kun olet valinnut Aihe-arvon Tiedot-alueen Sähköposti-välilehdessä Kaikki sähköpostit -näkymässä.

Sähköposti-entiteetin sivu kokoaa yhteen kaiken, mitä sinun on tiedettävä viestistä ja sen sisällöstä, jotta voit selvittää, onko viesti uhka. Lisätietoja on artikkelissa Sähköposti-entiteetin sivun yleiskatsaus.

Sähköpostin korjaus

Kun olet toteanut, että sähköpostiviesti on uhka, seuraava vaihe on uhan korjaaminen. Voit korjata uhan Uhkienhallinnassa tai reaaliaikaisia tunnistuksia käyttämällä Toimi-toimintoa.

Toiminto on käytettävissä Kaikki sähköposti-, Haittaohjelma- tai Tietojen kalastelu -näkymissä Threat Explorerissa tai Reaaliaikaiset tunnistuksia Sähköposti-välilehdellä (näkymässä) kaavion alla olevalta tietoalueelta:

  • Valitse vähintään yksi taulukon merkintä valitsemalla ensimmäisen sarakkeen vieressä oleva valintaruutu. Toiminto on käytettävissä suoraan välilehdessä.

    Näyttökuva tietotaulukon Sähköposti-näkymästä (välilehti), jossa on valittuna viesti ja Ota toiminto käyttöön.

    Vihje

    Toiminto korvaa avattavan Sanomatoiminnot-luettelon .

    Jos valitset enintään 100 merkintää, voit suorittaa viesteille useita toimintoja ohjatussa Toiminto-toiminnossa .

    Jos valitset 101 - 200 000 merkintää, ohjatussa Toiminnon suorittaminen -toiminnossa on käytettävissä vain seuraavat toiminnot:

    • Uhkienhallinta: Siirrä tai poista ja Ehdota korjausta ovat käytettävissä, mutta ne ovat toisensa poissulkevia (voit valita jommankumman).
    • Reaaliaikaiset tunnistukset: Lähetä Microsoftille vain tarkistettavaksi ja luo vastaavat salli/estä-merkinnät Vuokraajan salli/estä-luettelossa.

  • Napsauta taulukon merkinnän Aihe-arvoa . Näyttöön avautuvassa tiedot-pikaikkunassa on Suorita toiminto pikaikkunan yläosassa.

    Toiminnot, jotka ovat käytettävissä Tiedot-välilehdessä sen jälkeen, kun olet valinnut Aihe-arvon Kaikki sähköpostit -näkymän Tiedot-alueen Sähköposti-välilehdessä.

Ohjattu toiminnon suorittaminen

Kun valitset Suorita toiminto , ohjatun toiminnon suorittaminen avautuu pikaikkunassa. Defender for Office 365 palvelupaketin 2 ja Defender for Office 365 palvelupaketin 1 ohjatun toiminnon käytettävissä olevat toiminnot on lueteltu seuraavassa taulukossa:

Toiminta Defender ille
Office 365 palvelupaketti 2		 Defender ille
Office 365 palvelupaketti 1
Siirrä tai poista ✔¹
  Vapauta karanteeniin asetettuja viestejä joillekin tai kaikille alkuperäisille vastaanottajille²
Lähetä Microsoftille tarkistettavaksi
   Salli tai estä merkinnät vuokraajan Salli/Estä luettelo³ -kohdassa
Aloita automatisoitu tutkinta
Ehdota korjausta

¹ Tämä toiminto edellyttää haku- ja tyhjennysroolia& yhteiskäyttöoikeuksia. Oletusarvoisesti tämä rooli määritetään vain tietotutkijan ja organisaation hallinnan rooliryhmille. Voit lisätä käyttäjiä kyseisiin rooliryhmiin tai luoda uuden rooliryhmän , jolle on määritetty Hae ja tyhjennä-rooli , ja lisätä käyttäjät mukautettuun rooliryhmään.

² Tämä vaihtoehto on käytettävissä karanteeniin asetetuissa viesteissä, kun valitset siirtosijainniksi Saapuneet .

³ Tämä toiminto on käytettävissä kohdassa Lähetä Microsoftille tarkistettavaksi.

Ohjattu toiminnon luominen on kuvattu seuraavassa luettelossa:

  1. Valitse vastaustoiminnot -sivulla on käytettävissä seuraavat asetukset:

    • Näytä kaikki vastaustoiminnot: Tämä vaihtoehto on käytettävissä vain Threat Explorerissa.

      Oletusarvon mukaan jotkin toiminnot eivät ole käytettävissä tai näkyvät harmaina viestin viimeisimmän toimitussijainnin arvon perusteella. Jos haluat näyttää kaikki käytettävissä olevat vastaustoiminnot, siirrä valitsin Käytössä-kohtaan.

    • Siirrä tai poista: Valitse jokin näkyviin tuomista arvoista:

      • Roskaposti: Siirrä viesti Roskaposti-kansioon.

      • Saapuneet: Siirrä viesti Saapuneet-kansioon. Tämän arvon valitseminen saattaa myös paljastaa seuraavat vaihtoehdot:

        • Siirrä takaisin Lähetetyt-kansioon: Jos viestin lähetti sisäinen lähettäjä ja viesti poistettiin pehmeästi (siirrettiin Palautettavat kohteet\Poistot-kansioon), tämän vaihtoehdon valitseminen yrittää siirtää viestin takaisin Lähetetyt-kansioon. Tämä asetus on kumoamistoiminto, jos olet aiemmin valinnut Siirrä tai poista>pehmeästi poistettuja kohteita ja valinnut myös Poista lähettäjän kopio viestistä.

        • Jos sanoman arvo on Karanteeniuusimman toimituksen sijainti -ominaisuudelle, Saapuneet-kansion valitseminen vapauttaa viestin karanteenista, joten käytettävissä ovat myös seuraavat vaihtoehdot:

          • Vapauta vähintään yhdelle sähköpostiviestin alkuperäisistä vastaanottajista: Jos valitset tämän arvon, näkyviin tulee ruutu, jossa voit valita karanteeniin asetetun viestin alkuperäiset vastaanottajat tai poistaa niiden valinnan.
          • Julkaise kaikille vastaanottajille

      • Poistetut: Siirrä viesti Poistetut-kansioon.

      • Pehmeästi poistetut kohteet: Siirrä viesti Palautettavat kohteet\Poistot-kansioon, joka vastaa viestin poistamista Poistetut-kansiosta. Käyttäjä ja järjestelmänvalvojat voivat palauttaa viestin.

        Poista lähettäjän kopio: Jos viestin on lähettänyt sisäinen lähettäjä, yritä poistaa viesti myös lähettäjän Lähetetyt-kansiosta.

      • Vaikeasti poistetut kohteet: Tyhjennä poistettu viesti. Järjestelmänvalvojat voivat palauttaa poistettuja pysyväiskohteita yhden kohteen palautuksen avulla. Lisätietoja poistetuista ja pehmeistä poistetuista kohteista on kohdassa Pehmeästi poistetut ja poistetut kohteet.

    • Lähetä Microsoftille tarkistettavaksi: Valitse jokin käytettävissä olevista arvoista:

      • Olen varmistanut, että se on puhdas: Valitse tämä arvo, jos olet varma, että viesti on puhdas. Näkyviin tulevat seuraavat asetukset:

        • Salli tämän kaltaiset viestit: Jos valitset tämän arvon, salli merkinnät lisätään lähettäjän vuokraajan sallittujen tai estettyjen luetteloon ja viestiin liittyviin URL-osoitteisiin tai liitteisiin. Näkyviin tulevat myös seuraavat vaihtoehdot:
          • Poista merkintä jälkeen: Oletusarvo on 1 päivä, mutta voit myös valita 7 päivää, 30 päivää tai tietyn päivämäärän , joka on alle 30 päivää.
          • Salli merkintähuomautus: Kirjoita valinnainen huomautus, joka sisältää lisätietoja.

      • Se vaikuttaa puhtaalta tai vaikuttaa epäilyttävältä: Valitse jokin näistä arvoista, jos et ole varma ja haluat Microsoftin tuomion.

      • Olen vahvistanut, että se on uhka: Valitse tämä arvo, jos olet varma, että kohde on haitallinen, ja valitse sitten jokin seuraavista arvoista avautuvasta Valitse luokka -osiosta:

        • Tietojen kalastelu
        • Haittaohjelma
        • Roskaposti

        Kun olet valinnut jonkin näistä arvoista, näyttöön avautuu Valitse entiteetit, jotka estävät pikaikkunan, jossa voit valita vähintään yhden viestiin liittyvän entiteetin (lähettäjän osoite, lähettäjän toimialue, URL-osoitteet tai liitetiedostot), joka lisätään lohkomerkinnöiksi Vuokraajan salliminen/estä -luetteloon.

        Kun olet valinnut estettävät kohteet, valitse Lisää estääksesi säännönsulkeaksesi Valitse entiteetit estääksesi pikaikkunan. Voit myös valita ei kohteita ja valita sitten Peruuta.

        Valitse Valitse vastaustoiminnot -sivulla vanhentumisasetus lohkomerkinnöille:

        • Vanhentumispäivä: Valitse päivämäärä, jolloin estomerkinnät vanhenevat.
        • Ei vanhene koskaan

        Estettyjen entiteettien määrä näytetään (esimerkiksi 4/4 estettävää entiteettiä). Valitse Muokkaa , jos haluat avata uudelleen Lisää estääksesi säännön ja tehdäksesi muutoksia.

    • Aloita automatisoitu tutkimus: vain Threat Explorer. Valitse jokin seuraavista näkyvistä arvoista:

      • Sähköpostin tutkiminen
      • Tutki vastaanottajaa
      • Tutki lähettäjää: Tämä arvo koskee vain lähettäjiä organisaatiossasi.
      • Yhteyshenkilön vastaanottajat

    • Ehdota korjausta: Valitse jokin seuraavista näkyvistä arvoista:

      • Luo uusi: Tämä arvo käynnistää pehmeän poiston odottavan toiminnon, joka järjestelmänvalvojan on hyväksyttävä toimintokeskuksessa. Tätä tulosta kutsutaan myös kaksivaiheiseksi hyväksynnäksi.

      • Lisää aiemmin luotuun: Käytä tätä arvoa, jos haluat käyttää toimintoja tähän aiemmin luodun korjauksen sähköpostiviestiin. Valitse Lähetä sähköpostiviesti seuraavaan korjaukseen -ruudussa olemassa oleva korjaus.

        Vihje

        SecOps henkilöstö, jolla ei ole riittävästi käyttöoikeuksia, voi käyttää tätä vaihtoehtoa korjauksen luomiseen, mutta jonkun, jolla on käyttöoikeudet, on hyväksyttävä toiminto toimintokeskuksessa.

    Kun olet valmis Valitse vastaustoiminnot -sivulla, valitse Seuraava.

  2. Määritä Valitse kohdeentiteetit -sivulla seuraavat asetukset:

    • Nimi ja kuvaus: Anna yksilöllinen, kuvaava nimi ja valinnainen kuvaus valitun toiminnon seuraamiseksi ja tunnistamiseksi.

    Sivun loppuosa on taulukko, jossa luetellaan kyseiset resurssit. Taulukko on järjestetty seuraavien sarakkeiden mukaan:

    • Resurssi, johon vaikutus kohdistui: Kyseessä olevat resurssit edelliseltä sivulta. Esimerkki:
      • Vastaanottajan sähköpostiosoite
      • Koko vuokraaja
    • Toiminto: Valitut toiminnot resursseille edelliseltä sivulta. Esimerkki:
      • Tarkistettavat arvot Lähetä Microsoftille -kohdasta:
        • Raportti puhtaana
        • Raportti
        • Ilmoita haittaohjelmaksi, ilmoita roskapostiksi tai ilmoita tietojenkalasteluksi
        • Lohkon lähettäjä
        • Estä lähettäjän toimialue
        • Estä URL-osoite
        • Estä liite
      • Automatisoidun tutkimuksen aloittamisen arvot:
        • Sähköpostin tutkiminen
        • Tutki vastaanottajaa
        • Tutki lähettäjää
        • Yhteyshenkilön vastaanottajat
      • Ehdota korjausta -arvot:
        • Luo uusi korjaus
        • Lisää olemassa olevaan korjaukseen
    • Kohde-entiteetti: Esimerkiksi:
      • Sähköpostiviestin verkkoviestin tunnusarvo .
      • Estetty lähettäjän sähköpostiosoite.
      • Estetty lähettäjän toimialue.
      • Estetty URL-osoite.
      • Estetty liite.
    • Vanhentuu: Vain vuokraaja-/salli estetty-luettelon sallittujen tai estettyjen merkintöjen arvot ovat olemassa. Esimerkki:
      • Älä koskaan vanhene lohkomerkinnöissä.
      • Sallittujen tai estettyjen merkintöjen vanhentumispäivämäärä.
    • Laajuus: Tämä arvo on yleensä MDO.

    Tässä vaiheessa voit myös kumota joitakin toimintoja. Jos haluat esimerkiksi luoda lohkomerkinnän vain vuokraajan sallittujen ja estettyjen luetteloon lähettämättä entiteettiä Microsoftille, voit tehdä sen täällä.

    Kun olet valmis Valitse kohdeentiteetit -sivulla, valitse Seuraava.

  3. Tarkista aiemmat valintasi Tarkista ja lähetä -sivulla.

    Valitse Vie , jos haluat viedä kohderesurssit CSV-tiedostoon. Tiedostonimi on oletusarvoisesti Impacted assets.csv sijaitsee Lataukset-kansiossa .

    Palaa takaisin ja muuta valintoja valitsemalla Takaisin .

    Kun olet valmis Tarkista ja lähetä -sivulla, valitse Lähetä.

Vihje

Toimintojen näkyminen liittyvillä sivuilla saattaa kestää kauan, mutta korjausnopeus ei muutu.

Uhkien metsästyskokemus Uhkienhallinnan ja reaaliaikaisten tunnistusten avulla

Threat Explorerin tai reaaliaikaisten tunnistusten avulla tietoturvatiimisi voi tutkia uhkia ja vastata niihin tehokkaasti. Seuraavissa alakohdissa selitetään, miten Threat Explorer ja reaaliaikaiset tunnistimet voivat auttaa sinua löytämään uhkia.

Uhkien metsästys hälytyksistä

Ilmoitukset-sivu on käytettävissä Defender-portaalissa kohdassa Tapaukset & hälytyksiä> tai suoraan osoitteessa .https://security.microsoft.com/alerts

Monissa ilmoituksessa, joiden tunnistuslähteen arvo on MDO On Näytä viestit Resurssienhallinnassa -toiminto käytettävissä ilmoituksen tietojen pikaikkunan yläosassa.

Ilmoitustietojen pikaikkuna avautuu, kun napsautat mitä tahansa muuta ilmoitusta kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua. Esimerkki:

  • Havaittiin mahdollisesti haitallinen URL-osoitteen napsautus
  • Hallinta lähetystulos valmis
  • Haitallisen URL-osoitteen sisältävät sähköpostiviestit poistettiin toimituksen jälkeen
  • Sähköpostiviestit poistettu toimituksen jälkeen
  • Haitallisia entiteettejä sisältäviä viestejä ei poistettu toimituksen jälkeen
  • Tietojen kalastelua ei ole zapped, koska ZAP on poistettu käytöstä

Näyttökuva hälytyksen tietojen pikaikkunan käytettävissä olevista toiminnoista, joiden Tunnistuksen lähde -arvo MDO Defender-portaalin Ilmoitukset-sivulta.

Kun valitset Näytä viestit Resurssienhallinnassa , Uhkien hallinta avautuu Kaikki sähköposti -näkymään, jossa on ominaisuussuodatin Hälytystunnus valittuna ilmoitukselle. Hälytystunnuksen arvo on ilmoituksen yksilöllinen GUID-arvo (esimerkiksi 89e00cdc-4312-7774-6000-08dc33a24419).

Hälytystunnus on suodatettava ominaisuus seuraavissa Uhkien hallinta- ja Reaaliaikaisten tunnistusten näkymissä:

Näissä näkymissä ilmoitustunnus on käytettävissä valittavissa olevana sarakkeena kaavion alapuolella olevalla tietoalueella seuraavissa välilehdissä (näkymissä):

Kun napsautat jonkin merkinnän Aihe-arvoa sähköpostitietojen pikaikkunassa, Ilmoitustunnus-linkki on käytettävissä pikaikkunan Sähköpostitiedot-osiossa. Ilmoitustunnus-linkin valitseminen avaa Näytä ilmoitukset -sivun, https://security.microsoft.com/viewalertsv2 jossa ilmoitus on valittuna, ja tiedot-pikaikkunan ilmoitukselle.

Näyttökuva Näytä ilmoitukset -sivun ilmoitustietojen pikaikkunasta sen jälkeen, kun olet valinnut Ilmoitustunnuksen Sähköposti-välilehden Sähköposti-välilehden Sähköpostiviesti-välilehden Kaikki sähköposti-, Haittaohjelma- tai Tietojenkalastelu -näkymistä Uhkien hallinnassa tai Reaaliaikaiset tunnistuksia -kohdassa.

Tunnisteet Uhkien hallinnassa

Jos merkitset palvelupakettiin Defender for Office 365 2 käyttäjätunnisteita suuren arvon kohdetilien (esimerkiksi Priority-tilitunnisteen) merkitsemiseen, voit käyttää kyseisiä tunnisteita suodattimina. Tämä menetelmä näyttää tietojenkalasteluyritykset, jotka on suunnattu korkean arvon kohdetileihin tietyn ajanjakson aikana. Lisätietoja käyttäjätunnisteista on kohdassa Käyttäjätunnisteet.

Käyttäjätunnisteet ovat käytettävissä seuraavissa Threat Explorerin sijainneissa:

Sähköpostiviestien uhkatiedot

Sähköpostiviestien ennakko- ja jälkitoimitustoiminnot yhdistetään yhdeksi tietueeksi riippumatta siitä, mitkä toimituksen jälkeiset tapahtumat vaikuttivat viestiin. Esimerkki:

Sähköpostin tiedot -pikaikkuna Sähköposti-välilehdestä (näkymä)Kaikki sähköposti-, Haittaohjelma- tai Tietojenkalastelu -näkymistä näyttää liittyvät uhat ja vastaavat sähköpostiviestiin liittyvät tunnistustekniikat. Viestillä voi olla nolla, yksi tai useita uhkia.

  • Toimitustiedot-osiossaTunnistustekniikka-ominaisuus näyttää uhan tunnistaneen tunnistustekniikan. Tunnistustekniikka on myös käytettävissä kaavion pivot-taulukkona tai tietotaulukon sarakkeena monille näkymille Threat Explorerissa ja Reaaliaikaisissa tunnistuksia varten.

  • URL-osoitteet-osiossa näytetään tietyt uhkatiedot kaikista viestin URL-osoitteista. Esimerkiksi Haittaohjelma, Tietojenkalastelu, **Roskaposti tai Ei mitään.

Vihje

Tuomioanalyysi ei välttämättä ole sidottu entiteetteihin. Suodattimet arvioivat sähköpostiviestin sisällön ja muut tiedot ennen tuomion antamista. Esimerkiksi sähköpostiviesti voidaan luokitella tietojenkalasteluksi tai roskapostiksi, mutta viestin URL-osoitteisiin ei ole leimattu tietojenkalastelu- tai roskapostipäätöstä.

Valitse Avaussähköposti-entiteetti pikaikkunan yläreunasta, jotta saat tyhjentäviä tietoja sähköpostiviestistä. Lisätietoja on artikkelissa Microsoft Defender for Office 365 Sähköposti-entiteettisivu.

Näyttökuva sähköpostiviestin tietojen pikaikkunasta, kun olet valinnut Aihe-arvon Tiedot-alueen Sähköposti-välilehdessä Kaikki sähköpostit -näkymässä.

Uhkienhallinnan laajennetut ominaisuudet

Seuraavat aliosat kuvaavat suodattimia, jotka ovat yksinoikeudella Threat Explorerin käytössä.

Exchange-postinkulun säännöt (siirtosäännöt)

Jos haluat etsiä viestejä, joihin Exchange-postinkulun säännöt (joita kutsutaan myös siirtosäännöiksi), sinulla on seuraavat vaihtoehdot Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymissä (ei reaaliaikaisia tunnistuksia):

  • Exchange-siirtosääntö on ensisijaisen ohituslähteen, ohituslähteen ja käytäntötyypin suodatettavien ominaisuuksien valittavissa oleva arvo.
  • Exchange-siirtosääntö on suodatettava ominaisuus. Kirjoitat säännön nimelle osittaisen tekstiarvon.

Lisätietoja on seuraavissa linkeissä:

Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymien Tiedot-alueen Sähköposti-välilehdessä (näkymä) on myös Exchange-siirtosääntö käytettävissä olevana sarakkeena, jota ei ole oletusarvoisesti valittu. Tässä sarakkeessa näkyy siirtosäännön nimi. Lisätietoja on seuraavissa linkeissä:

Vihje

Katso käyttöoikeudet, joita tarvitaan postinkulun sääntöjen etsimiseen nimeltä Threat Explorerissa, artikkelista Uhkienhallinnan ja reaaliaikaisten tunnistusten käyttöoikeudet. Sääntöjen nimien näkemiseen sähköpostitietojen pikaikkunassa, tietotaulukoissa ja viedyissä tuloksissa ei tarvita erityisiä käyttöoikeuksia.

Saapuvat liittimet

Saapuvat liittimet määrittävät tietyt asetukset Microsoft 365:n sähköpostilähteille. Lisätietoja on artikkelissa Postinkulun määrittäminen liittimien avulla Exchange Online.

Voit etsiä viestejä, joihin saapuvat liittimet vaikuttivat, käyttämällä Liittimen suodatettavaa ominaisuutta etsiäksesi liittimiä nimen mukaan Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymistä (ei reaaliaikaisten tunnistusten näkymissä). Anna liittimen nimelle osittainen tekstiarvo. Lisätietoja on seuraavissa linkeissä:

Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymien Tiedot-alueen Sähköposti-välilehdessä (näkymässä) on myös Liitin käytettävissä olevana sarakkeena, jota ei ole oletusarvoisesti valittu. Tässä sarakkeessa näkyy liittimen nimi. Lisätietoja on seuraavissa linkeissä:

Sähköpostin suojausskenaariot Uhkien hallinnassa ja reaaliaikaiset tunnistuksia varten

Katso tarkat skenaariot seuraavista artikkeleista:

Lisää tapoja käyttää Uhkienhallintaa ja reaaliaikaisia tunnistuksia

Tässä artikkelissa kuvattujen skenaarioiden lisäksi sinulla on enemmän vaihtoehtoja Resurssienhallinnassa tai Reaaliaikaiset tunnistukset. Lisätietoja on seuraavissa artikkeleissa: