E-postsikkerhet med Trusselutforsker og Sanntidsregistreringer i Microsoft Defender for Office 365

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Microsoft 365-organisasjoner som har Microsoft Defender for Office 365 inkludert i abonnementet eller kjøpt som et tillegg, har Explorer (også kjent som Trusselutforsker) eller Sanntidsgjenkjenning. Disse funksjonene er kraftige, nær sanntidsverktøy for å hjelpe Security Operations (SecOps)-team med å undersøke og reagere på trusler. Hvis du vil ha mer informasjon, kan du se Om Trusselutforsker og Sanntidsregistreringer i Microsoft Defender for Office 365.

Denne artikkelen forklarer hvordan du viser og undersøker oppdaget skadelig programvare og phishing-forsøk i e-post ved hjelp av Trusselutforsker eller Sanntidsgjenkjenning.

Tips

Hvis du vil se andre e-postscenarioer som bruker Trusselutforsker og Sanntidsgjenkjenning, kan du se følgende artikler:

• Trusseljakt i Trusselutforsker og sanntidsregistreringer i Microsoft Defender for Office 365
• Undersøke skadelig e-post som ble levert i Microsoft 365

Hva må du vite før du begynner?

• Trusselutforsker er inkludert i Defender for Office 365 plan 2. Sanntidsgjenkjenninger er inkludert i Defender for Office Plan 1:

  • Forskjellene mellom Trusselutforsker og Sanntidsgjenkjenning er beskrevet i Om Trusselutforsker og Sanntidsregistreringer i Microsoft Defender for Office 365.
  • Forskjellene mellom Defender for Office 365 Plan 2 og Defender for Office Plan 1 er beskrevet i Defender for Office 365 Plan 1 kontra Jukselapp 2.

• Hvis du vil ha tillatelser og lisensieringskrav for Trusselutforsker og Sanntidsregistreringer, kan du se Tillatelser og lisensiering for Trusselutforsker og Sanntidsregistreringer.

Vis phishing-e-post sendt til representerte brukere og domener

Hvis du vil ha mer informasjon om beskyttelse av bruker- og domenerepresentasjon i policyer for anti-phishing i Defender for Office 365, kan du se Representasjonsinnstillinger i policyer for anti-phishing i Microsoft Defender for Office 365.

I standardpolicyer for eller egendefinerte anti-phishing-policyer må du angi brukere og domener for å beskytte mot representasjon, inkludert domener du eier (godtatte domener). I standard- eller strenge forhåndsinnstilte sikkerhetspolicyer mottar domener som du eier automatisk representasjonsbeskyttelse, men du må angi brukere eller egendefinerte domener for representasjonsbeskyttelse. Hvis du vil ha instruksjoner, kan du se følgende artikler:

• Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365
• Konfigurer policyer for anti-phishing i Microsoft Defender for Office 365

Bruk følgende fremgangsmåte for å se gjennom phishing-meldinger og søke etter representerte brukere eller domener.

1. Bruk ett av følgende trinn for å åpne Trusselutforsker eller Sanntidsregistreringer:

   • Trusselutforsker: Gå til E-post &Sikkerhetsutforsker> i Defender-portalen på https://security.microsoft.com. Du kan også gå direkte til Explorer-siden ved å bruke https://security.microsoft.com/threatexplorerv3.
   • Sanntidsregistreringer: Gå til E-post & Sikkerhetsgjenkjenninger> isanntid i Defender-portalen på https://security.microsoft.com. Eller bruk hvis du vil gå direkte til oppdagelsessidenhttps://security.microsoft.com/realtimereportsv3i sanntid.

2. Velg Phish-visningen på explorer- eller sanntidsgjenkjenningssiden. Hvis du vil ha mer informasjon om Phish-visningen , kan du se Phish-visning i Trusselutforsker og Sanntidsregistreringer.

3. Velg dato/klokkeslett-området. Standardverdien er i går og i dag.

4. Gjør ett av følgende:

   • Finn alle forsøk på bruker- eller domenerepresentasjon:

     • Velg avsenderadresseboksen (egenskap), og velg deretter Gjenkjenningsteknologi i Grunnleggende-delen av rullegardinlisten.
     • Bekreft lik hvilken som helst av er valgt som filteroperator.
     • Velg representeringsdomene og representasjonsbruker i egenskapsverdiboksen

   • Finn spesifikke representerte brukerforsøk:

     • Velg avsenderadresse - boksen (egenskap), og velg deretter Representert bruker i Grunnleggende-delen av rullegardinlisten.
     • Bekreft lik hvilken som helst av er valgt som filteroperator.
     • Skriv inn den fullstendige e-postadressen til mottakeren i egenskapsverdiboksen. Skill flere mottakerverdier med komma.

   • Finn spesifikke representerte domeneforsøk:

     • Velg avsenderadresse - boksen (egenskap), og velg deretter Representert domene i Grunnleggende-delen av rullegardinlisten.
     • Bekreft lik hvilken som helst av er valgt som filteroperator.
     • Skriv inn domenet (for eksempel contoso.com) i egenskapsverdiboksen. Skill flere domeneverdier med komma.

5. Angi flere betingelser ved hjelp av andre filtrerbare egenskaper etter behov. Hvis du vil ha instruksjoner, kan du se Egenskapsfiltre i Trusselutforsker og Sanntidsregistreringer.

6. Når du er ferdig med å opprette filterbetingelsene, velger du Oppdater.

7. Kontroller at E-post-fanen (visning) er valgt i detaljområdet under diagrammet.

   Du kan sortere oppføringene og vise flere kolonner som beskrevet i e-postvisning for detaljområdet i Phish-visningen i Trusselutforsker og Sanntidsregistreringer.

   • Hvis du velger Emne-verdien for en oppføring i tabellen, åpnes en undermeny for e-postdetaljer. Undermenyen for detaljer kalles sammendragspanelet for e-post og inneholder standardisert sammendragsinformasjon som også er tilgjengelig på siden for e-postenhet for meldingen.

     Hvis du vil ha mer informasjon om informasjonen i sammendragspanelet for e-post, kan du se sammendragspanelet for e-post.

     Hvis du vil ha informasjon om de tilgjengelige handlingene øverst i sammendragspanelet for e-post for Trusselutforsker og Sanntidsgjenkjenning, kan du se E-postdetaljer fra e-postvisningen i detaljområdet i Alle e-post-visningen (de samme handlingene er også tilgjengelige fra Phish-visningen ).

   • Hvis du velger mottakerverdien for en oppføring i tabellen, åpnes en annen undermeny for detaljer. Hvis du vil ha mer informasjon, kan du se Mottakerdetaljer fra e-postvisningen i detaljområdet i Phish-visningen.

Eksporter nettadresse klikkdata

Du kan eksportere nettadresseklikksdata til en CSV-fil for å vise nettverksmeldings-ID-en og klikke verdier for dom, som bidrar til å forklare hvor nettadressens klikktrafikk kom fra.

1. Bruk ett av følgende trinn for å åpne Trusselutforsker eller Sanntidsregistreringer:

   • Trusselutforsker: Gå til E-post &Sikkerhetsutforsker> i Defender-portalen på https://security.microsoft.com. Du kan også gå direkte til Explorer-siden ved å bruke https://security.microsoft.com/threatexplorerv3.
   • Sanntidsregistreringer: Gå til E-post & Sikkerhetsgjenkjenninger> isanntid i Defender-portalen på https://security.microsoft.com. Eller bruk hvis du vil gå direkte til oppdagelsessidenhttps://security.microsoft.com/realtimereportsv3i sanntid.

2. Velg Phish-visningen på explorer- eller sanntidsgjenkjenningssiden. Hvis du vil ha mer informasjon om Phish-visningen , kan du se Phish-visning i Trusselutforsker og Sanntidsregistreringer.

3. Velg dato/klokkeslett-området, og velg deretter Oppdater. Standardverdien er i går og i dag.

4. Velg de øverste nettadressene eller Toppklikk-fanen (visning) i detaljområdet.

5. Velg én eller flere oppføringer fra tabellen i øverste nettadresser eller toppklikkvisning ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Eksporter. Utforsker>Phish>Klikk>Øverste nettadresser eller toppklikk for nettadresse velger> en post for å åpne undermenyen for nettadressen.

Du kan bruke verdien for nettverksmeldings-ID til å søke etter bestemte meldinger i Trusselutforsker eller Sanntidsregistreringer eller eksterne verktøy. Disse søkene identifiserer e-postmeldingen som er knyttet til et klikkresultat. Når du har den korrelerte nettverksmeldings-ID-en, blir det raskere og mer effektiv analyse.

Vis skadelig programvare oppdaget i e-post

Bruk følgende fremgangsmåte i Trusselutforsker eller Sanntidsregistreringer for å se skadelig programvare som oppdages i e-post av Microsoft 365.

1. Bruk ett av følgende trinn for å åpne Trusselutforsker eller Sanntidsregistreringer:

   • Trusselutforsker: Gå til E-post &Sikkerhetsutforsker> i Defender-portalen på https://security.microsoft.com. Du kan også gå direkte til Explorer-siden ved å bruke https://security.microsoft.com/threatexplorerv3.
   • Sanntidsregistreringer: Gå til E-post & Sikkerhetsgjenkjenninger> isanntid i Defender-portalen på https://security.microsoft.com. Eller bruk hvis du vil gå direkte til oppdagelsessidenhttps://security.microsoft.com/realtimereportsv3i sanntid.

2. Velg visningen For skadelig programvare på explorer- eller sanntidsregistreringssiden. Hvis du vil ha mer informasjon om Phish-visningen , kan du se visningen For skadelig programvare i Trusselutforsker og Sanntidsregistreringer.

3. Velg dato/klokkeslett-området. Standardverdien er i går og i dag.

4. Velg avsenderadresseboksen (egenskap), og velg deretter Gjenkjenningsteknologi i Grunnleggende-delen av rullegardinlisten.

   • Bekreft lik hvilken som helst av er valgt som filteroperator.
   • Velg én eller flere av følgende verdier i egenskapsverdiboksen:
     • Beskyttelse mot skadelig programvare
     • Fildetonasjon
     • Omdømme for fildetonasjon
     • Filsomdømme
     • Fingeravtrykkssamsvar

5. Angi flere betingelser ved hjelp av andre filtrerbare egenskaper etter behov. Hvis du vil ha instruksjoner, kan du se Egenskapsfiltre i Trusselutforsker og Sanntidsregistreringer.

6. Når du er ferdig med å opprette filterbetingelsene, velger du Oppdater.

Rapporten viser resultatene som skadelig programvare oppdaget i e-post ved hjelp av teknologialternativene du valgte. Herfra kan du utføre ytterligere analyser.

Rapporter meldinger som rene

Du kan bruke innsendingssiden i Defender-portalen https://security.microsoft.com/reportsubmission til å rapportere meldinger som rene (falske positiver) til Microsoft. Men du kan også sende meldinger så rene til Microsoft fra Utfør handling i Trusselutforsker eller enhetssiden for e-post.

Hvis du vil ha instruksjoner, kan du se Trusseljakt: Utfør handlingsveiviseren.

Slik oppsummerer du:

• Velg Utfør handling ved hjelp av én av følgende metoder:

  • Velg én eller flere meldinger fra detaljtabellen i E-post-fanen (visning) i visningene Alle e-postmeldinger, Skadelig programvare eller Phish ved å merke av for oppføringene.

  eller

  • Undermenyen for detaljer etter at du har valgt en melding fra detaljtabellen i E-post-fanen (visning) i visningene Alle e-postmeldinger, Skadelig programvare eller Phish ved å klikke emneverdien.

• Velg Send til Microsoft i handlingsveiviseren for gjennomgang>. Jeg har bekreftet at den er ren.

Vis URL-adresse for phishing, og klikk domdata

Beskyttelse mot klarerte koblinger sporer url-adresser som er tillatt, blokkert og overstyrt. Beskyttelse mot klarerte koblinger er aktivert som standard, takket være innebygd beskyttelse i forhåndsinnstilte sikkerhetspolicyer. Beskyttelse mot klarerte koblinger er aktivert i standard- og strenge forhåndsinnstilte sikkerhetspolicyer. Du kan også opprette og konfigurere beskyttelse av klarerte koblinger i egendefinerte policyer for klarerte koblinger. Hvis du vil ha mer informasjon om policyinnstillingene for klarerte koblinger, kan du se policyinnstillingene for klarerte koblinger.

Bruk følgende fremgangsmåte for å se phishing-forsøk med nettadresser i e-postmeldinger.

1. Bruk ett av følgende trinn for å åpne Trusselutforsker eller Sanntidsregistreringer:

   • Trusselutforsker: Gå til E-post &Sikkerhetsutforsker> i Defender-portalen på https://security.microsoft.com. Du kan også gå direkte til Explorer-siden ved å bruke https://security.microsoft.com/threatexplorerv3.
   • Sanntidsregistreringer: Gå til E-post & Sikkerhetsgjenkjenninger> isanntid i Defender-portalen på https://security.microsoft.com. Eller bruk hvis du vil gå direkte til oppdagelsessidenhttps://security.microsoft.com/realtimereportsv3i sanntid.

2. Velg Phish-visningen på explorer- eller sanntidsgjenkjenningssiden. Hvis du vil ha mer informasjon om Phish-visningen , kan du se Phish-visning i Trusselutforsker og Sanntidsregistreringer.

3. Velg dato/klokkeslett-området. Standardverdien er i går og i dag.

4. Velg avsenderadresse - boksen (egenskap), og velg deretter Klikk dom i URL-adresser-delen i rullegardinlisten.

   • Bekreft lik hvilken som helst av er valgt som filteroperator.
   • Velg én eller flere av følgende verdier i egenskapsverdiboksen:
     • Blokkert
     • Blokkert overstyrt

   Hvis du vil ha forklaringer på verdiene for klikkdom , kan du se Klikk dom i filtrerbare egenskaper i Visningen Alle e-postmeldinger i Trusselutforsker.

5. Angi flere betingelser ved hjelp av andre filtrerbare egenskaper etter behov. Hvis du vil ha instruksjoner, kan du se Egenskapsfiltre i Trusselutforsker og Sanntidsregistreringer.

6. Når du er ferdig med å opprette filterbetingelsene, velger du Oppdater.

Fanen Øverste nettadresser (visning) i detaljområdet under diagrammet viser antallet meldinger som er blokkert, søppelpost og meldinger levert for de fem mest populære URL-adressene. Hvis du vil ha mer informasjon, kan du se øverste nettadresser-visning for detaljområdet i Phish-visningen i Trusselutforsker og Sanntidsregistreringer.

Fanen Øverste klikk (visning) i detaljområdet under diagrammet viser de fem øverste klikkede koblingene som ble brutt av klarerte koblinger. Nettadresseklikk på koblinger som ikke er brutt, vises ikke her. Hvis du vil ha mer informasjon, kan du se Øverste klikk-visning for detaljområdet i Phish-visningen i Trusselutforsker og Sanntidsgjenkjenninger.

Disse nettadressetabellene viser url-adresser som ble blokkert eller besøkt, til tross for en advarsel. Denne informasjonen viser potensielle ugyldige koblinger som ble presentert for brukere. Herfra kan du utføre ytterligere analyser.

Velg en URL-adresse fra en oppføring i visningen for detaljer. Hvis du vil ha mer informasjon, kan du se nettadressedetaljene for fanene Øverste nettadresser og Populære klikk i Phish-visning.

Tips

I undermenyen for nettadressedetaljer fjernes filtreringen på e-postmeldinger for å vise den fullstendige visningen av nettadressens eksponering i miljøet ditt. Med denne virkemåten kan du filtrere etter bestemte e-postmeldinger, finne bestemte nettadresser som er potensielle trusler, og deretter utvide forståelsen av nettadresseeksponeringen i miljøet uten å måtte legge til nettadressefiltre i Phish-visningen .

Tolkning av klikkvurderinger

Egenskapsresultatene for klikkdom er synlige på følgende plasseringer:

• Klikk pivot for vurderingsdiagram for nettadressens klikkvisning av detaljområdet i Visningen Alle e-postmeldinger (bare Trusselutforsker) eller Phish-visning
• Øverste klikkvisning for detaljområdet i Alle e-postvisningen i Trusselutforsker
• Øverste klikkvisning for detaljområdet i Phish-visningen i Trusselutforsker og Sanntidsregistreringer
• Øverste klikkvisning for detaljområdet i nettadressen klikker visning i Trusselutforsker

Verdiene for dommen er beskrevet i følgende liste:

• Tillatt: Brukeren har tillatelse til å åpne nettadressen.
• Blokkoverstyrt: Brukeren ble blokkert fra å åpne nettadressen direkte, men de overstyrte blokken for å åpne nettadressen.
• Blokkert: Brukeren ble blokkert fra å åpne URL-adressen.
• Feil: Brukeren ble presentert med feilsiden, eller det oppstod en feil under registrering av dommen.
• Feil: Det oppstod et ukjent unntak under registrering av dommen. Brukeren kan ha åpnet URL-adressen.
• Ingen: Kan ikke registrere dommen for URL-adressen. Brukeren kan ha åpnet URL-adressen.
• Venter på dom: Brukeren ble presentert med den ventende siden for detonasjon.
• Ventende dom forbigått: Brukeren ble presentert med detonasjonssiden, men de overstyrte meldingen for å åpne nettadressen.

Start automatisert undersøkelse og respons i Trusselutforsker

Automatisert undersøkelse og respons (AIR) i Defender for Office 365 Plan 2 kan spare tid og krefter når du undersøker og reduserer cyberangrep. Du kan konfigurere varsler som utløser en sikkerhetsspillebok, og du kan starte AIR i Trusselutforsker. Hvis du vil ha mer informasjon, kan du se Eksempel: En sikkerhetsadministrator utløser en undersøkelse fra Explorer.

Andre artikler

Undersøke e-post med e-postenhetssiden