Поделиться через


Email безопасности с помощью Обозреватель угроз и обнаружения в режиме реального времени в Microsoft Defender для Office 365

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Организации Microsoft 365, которые Microsoft Defender для Office 365 включены в свою подписку или приобрели в качестве надстройки, имеют Обозреватель (также известный как Обозреватель угроз) или обнаружение в режиме реального времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об обнаружении угроз Обозреватель и обнаружении в режиме реального времени в Microsoft Defender для Office 365.

В этой статье объясняется, как просматривать и исследовать обнаруженные вредоносные программы и попытки фишинга в электронной почте с помощью Обозреватель угроз или обнаружения в режиме реального времени.

Совет

Другие сценарии электронной почты с использованием Обозреватель угроз и обнаружения в режиме реального времени см. в следующих статьях:

Что нужно знать перед началом работы

Просмотр фишингового сообщения электронной почты, отправляемого олицетворенным пользователям и доменам

Дополнительные сведения о защите олицетворения пользователей и домена в политиках защиты от фишинга в Defender для Office 365 см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365.

В политиках защиты от фишинга по умолчанию или настраиваемых политиках защиты от фишинга необходимо указать пользователей и домены для защиты от олицетворения, включая принадлежащие вам домены (обслуживаемые домены). В Standard или строгих предустановленных политиках безопасности домены, которыми вы владеете, автоматически получают защиту олицетворения, но необходимо указать всех пользователей или личные домены для защиты олицетворения. Инструкции см. в следующих статьях:

Выполните следующие действия, чтобы просмотреть фишинговые сообщения и найти олицетворенных пользователей или доменов.

  1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

    • Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
    • Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
  2. На странице обнаружения Обозреватель или в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении фишинга см. в разделе Представление фишинга в статье Обозреватель угроз и обнаружение в режиме реального времени.

  3. Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.

  4. Выполните одно из следующих действий.

    • Найдите любые попытки олицетворения пользователя или домена:

      • Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.
      • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
      • В поле значение свойства выберите домен олицетворения и пользователь олицетворения.
    • Поиск определенных попыток олицетворенных пользователей:

      • Выберите поле Адрес отправителя (свойство) и выберите олицетворенный пользователь в разделе Базовый раскрывающегося списка.
      • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
      • В поле значение свойства введите полный адрес электронной почты получателя. Разделите несколько значений получателей запятыми.
    • Поиск определенных попыток олицетворения домена:

      • Выберите поле Адрес отправителя (свойство) и выберите олицетворенный домен в разделе Базовый раскрывающегося списка.
      • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
      • В поле значение свойства введите домен (например, contoso.com). Разделите значения нескольких доменов запятыми.
  5. Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.

  6. Завершив создание условий фильтра, нажмите кнопку Обновить.

  7. В области сведений под диаграммой убедитесь, что выбрана вкладка Email (представление).

    Вы можете отсортировать записи и отобразить дополнительные столбцы, как описано в Email представлении подробных сведений в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени.

Экспорт данных щелчка URL-адреса

Вы можете экспортировать данные щелчка URL-адреса в CSV-файл, чтобы просмотреть значения Идентификатор сетевого сообщения и Щелчок вердикта , которые помогут объяснить, откуда пришел трафик щелчка URL-адреса.

  1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

    • Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
    • Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
  2. На странице обнаружения Обозреватель или в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении фишинга см. в разделе Представление фишинга в статье Обозреватель угроз и обнаружение в режиме реального времени.

  3. Выберите диапазон даты и времени, а затем щелкните Обновить. Значение по умолчанию — вчера и сегодня.

  4. В области сведений выберите вкладку Верхние URL-адреса или Верхние щелчки (представление).

  5. В представлении Верхние URL-адреса или Верхний щелчок выберите одну или несколько записей из таблицы, выбрав поле проверка рядом с первым столбцом, а затем выберите Экспорт. > ОбозревательВыжатые>>url-адреса или url-адреса первые щелчки> выбирают любую запись, чтобы открыть всплывающее окно URL-адреса.

Значение идентификатора сетевых сообщений можно использовать для поиска определенных сообщений в Обозреватель угроз, обнаружениях в режиме реального времени или внешних средствах. Эти поисковые запросы определяют сообщение электронной почты, связанное с результатом щелчка. Наличие коррелированного идентификатора сетевых сообщений обеспечивает более быстрый и эффективный анализ.

Просмотр вредоносных программ, обнаруженных в электронной почте

Выполните следующие действия в разделе Обозреватель угроз или обнаружение в режиме реального времени, чтобы увидеть вредоносные программы, обнаруженные в электронной почте Microsoft 365.

  1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

    • Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
    • Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
  2. На странице обнаружения Обозреватель или в режиме реального времени выберите представление Вредоносные программы. Дополнительные сведения о представлении фишинга см. в разделе Представление вредоносных программ в Обозреватель угроз и обнаружение в режиме реального времени.

  3. Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.

  4. Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.

    • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
    • В поле значение свойства выберите одно или несколько из следующих значений:
      • Защита от вредоносных программ
      • Отключение файла
      • Репутация отключения файла
      • Репутация файла
      • Сопоставление отпечатков
  5. Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.

  6. Завершив создание условий фильтра, нажмите кнопку Обновить.

В отчете отображаются результаты обнаружения вредоносных программ в электронной почте с использованием выбранных параметров технологии. Здесь можно провести дальнейший анализ.

Отчет о сообщениях как чистых

Вы можете использовать страницу Отправки на портале Defender по адресу https://security.microsoft.com/reportsubmission , чтобы сообщать о сообщениях как о чистых (ложных срабатываниях) в Корпорацию Майкрософт. Но вы также можете отправлять сообщения как чистые в Корпорацию Майкрософт из действия в Обозреватель угроз или на странице сущности Email.

Инструкции см. в разделе Охота на угрозы: мастер принятия действий.

Подводя итоги, выполните приведенные ниже действия.

  • Выберите Действие , используя один из следующих методов:

    • Выберите одно или несколько сообщений из таблицы сведений на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинга, выбрав поля проверка для записей.

    Или

    • Во всплывающем окне сведений после выбора сообщения из таблицы сведений на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинга, щелкнув значение Тема.
  • В мастере принятия действий выберите Отправить в Майкрософт для проверки>Я подтвердила, что она чиста.

Просмотр URL-адреса фишинга и выбор данных вердикта

Защита безопасных ссылок отслеживает разрешенные, заблокированные и переопределенные URL-адреса. Защита безопасных ссылок включена по умолчанию благодаря встроенной защите в предустановленных политиках безопасности. Защита безопасных ссылок включена в Standard и строгих предустановленных политиках безопасности. Вы также можете создать и настроить защиту безопасных ссылок в настраиваемых политиках безопасных ссылок. Дополнительные сведения о параметрах политики безопасных ссылок см. в разделе Параметры политики безопасных ссылок.

Выполните следующие действия, чтобы просмотреть попытки фишинга с использованием URL-адресов в сообщениях электронной почты.

  1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

    • Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
    • Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
  2. На странице обнаружения Обозреватель или в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении фишинга см. в разделе Представление фишинга в статье Обозреватель угроз и обнаружение в режиме реального времени.

  3. Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.

  4. Выберите поле Адрес отправителя (свойство) и выберите Щелкните вердикт в разделе URL-адреса раскрывающегося списка.

    • Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
    • В поле значение свойства выберите одно или несколько из следующих значений:
      • Заблокировано
      • Заблокировано переопределено

    Пояснения о значениях click вердиктов см. в разделе Click verdict in Filterable properties in The Filterable properties in the All email view in Threat Обозреватель.

  5. Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.

  6. Завершив создание условий фильтра, нажмите кнопку Обновить.

На вкладке "Верхние URL-адреса " (представление) в области сведений под диаграммой показано количество заблокированных сообщений, сообщений нежелательной почты и сообщений, доставленных для первых пяти URL-адресов. Дополнительные сведения см. в разделе Основные URL-адреса представления сведений о представлении фишинга в статье Обнаружение угроз Обозреватель и обнаружение в режиме реального времени.

На вкладке Верхние щелчки (представление) в области сведений под диаграммой отображаются первые пять щелкаемых ссылок, которые были заключены безопасными ссылками. Здесь не отображаются переходы по URL-адресам для распакованных ссылок. Дополнительные сведения см. в разделе Представление верхних щелчков для области сведений о представлении фишинга в статье Обнаружение угроз Обозреватель и обнаружение в режиме реального времени.

В этих таблицах URL-адресов отображаются URL-адреса, которые были заблокированы или посещены, несмотря на предупреждение. Эта информация показывает потенциальные плохие ссылки, которые были представлены пользователям. Здесь можно провести дальнейший анализ.

Выберите URL-адрес из записи в представлении для получения дополнительных сведений. Дополнительные сведения см. в разделе Сведения о URL-адресе для вкладки "Верхние URL-адреса" и "Первые щелчки" в представлении фишинга.

Совет

Во всплывающем меню сведения о URL-адресе фильтрация сообщений электронной почты удаляется, чтобы отобразить полное представление о воздействии URL-адреса в вашей среде. Это позволяет фильтровать определенные сообщения электронной почты, находить определенные URL-адреса, которые представляют собой потенциальные угрозы, а затем расширять понимание уязвимости URL-адресов в вашей среде, не добавляя фильтры URL-адресов в представление фишинга .

Интерпретация вердиктов щелчков

Результаты свойства Click verdict отображаются в следующих местах:

Значения вердиктов описаны в следующем списке:

  • Разрешено: пользователю было разрешено открыть URL-адрес.
  • Блокировка переопределена: пользователю было запрещено открывать URL-адрес напрямую, но он переопределяет этот блок, чтобы открыть URL-адрес.
  • Заблокировано: пользователю было запрещено открывать URL-адрес.
  • Ошибка: пользователю была представлена страница ошибки или произошла ошибка при записи вердикта.
  • Сбой. При записи вердикта произошло неизвестное исключение. Возможно, пользователь открыл URL-адрес.
  • Нет: не удается записать вердикт для URL-адреса. Возможно, пользователь открыл URL-адрес.
  • Ожидающий вердикт. Пользователю была представлена страница ожидания детонации.
  • Ожидающий вердикт обошел стороной: пользователю была представлена страница детонации, но он перечеркнул сообщение, чтобы открыть URL-адрес.

Запуск автоматического исследования и реагирования в Обозреватель угроз

Автоматизированное исследование и реагирование (AIR) в Defender для Office 365 план 2 позволяет сэкономить время и усилия при расследовании и устранении кибератак. Вы можете настроить оповещения, которые активируют сборник схем безопасности, и запустить AIR в Обозреватель угроз. Дополнительные сведения см. в разделе Пример. Администратор безопасности активирует расследование из Обозреватель.

Изучение электронной почты с помощью страницы сущностей Email