Email безопасности с помощью Обозреватель угроз и обнаружения в режиме реального времени в Microsoft Defender для Office 365
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Организации Microsoft 365, которые Microsoft Defender для Office 365 включены в свою подписку или приобрели в качестве надстройки, имеют Обозреватель (также известный как Обозреватель угроз) или обнаружение в режиме реального времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об обнаружении угроз Обозреватель и обнаружении в режиме реального времени в Microsoft Defender для Office 365.
В этой статье объясняется, как просматривать и исследовать обнаруженные вредоносные программы и попытки фишинга в электронной почте с помощью Обозреватель угроз или обнаружения в режиме реального времени.
Совет
Другие сценарии электронной почты с использованием Обозреватель угроз и обнаружения в режиме реального времени см. в следующих статьях:
Что нужно знать перед началом работы
Обозреватель угроз включен в план 2 Defender для Office 365. Обнаружения в режиме реального времени включены в Defender для Office плана 1:
- Различия между обнаружением угроз Обозреватель и обнаружением в режиме реального времени описаны в разделе Сведения об обнаружении угроз Обозреватель и обнаружение в режиме реального времени в Microsoft Defender для Office 365.
- Различия между Defender для Office 365 планом 2 и Defender для Office 1 описаны в памятке Defender для Office 365 план 1 и план 2.
Разрешения и требования к лицензированию для Обозреватель угроз и обнаружения в режиме реального времени см. в разделе Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени.
Просмотр фишингового сообщения электронной почты, отправляемого олицетворенным пользователям и доменам
Дополнительные сведения о защите олицетворения пользователей и домена в политиках защиты от фишинга в Defender для Office 365 см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365.
В политиках защиты от фишинга по умолчанию или настраиваемых политиках защиты от фишинга необходимо указать пользователей и домены для защиты от олицетворения, включая принадлежащие вам домены (обслуживаемые домены). В Standard или строгих предустановленных политиках безопасности домены, которыми вы владеете, автоматически получают защиту олицетворения, но необходимо указать всех пользователей или личные домены для защиты олицетворения. Инструкции см. в следующих статьях:
- Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365
- Настройка политик защиты от фишинга в Microsoft Defender для Office 365
Выполните следующие действия, чтобы просмотреть фишинговые сообщения и найти олицетворенных пользователей или доменов.
Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.
- Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
- Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
На странице обнаружения Обозреватель или в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении фишинга см. в разделе Представление фишинга в статье Обозреватель угроз и обнаружение в режиме реального времени.
Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.
Выполните одно из следующих действий.
Найдите любые попытки олицетворения пользователя или домена:
- Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
- В поле значение свойства выберите домен олицетворения и пользователь олицетворения.
Поиск определенных попыток олицетворенных пользователей:
- Выберите поле Адрес отправителя (свойство) и выберите олицетворенный пользователь в разделе Базовый раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
- В поле значение свойства введите полный адрес электронной почты получателя. Разделите несколько значений получателей запятыми.
Поиск определенных попыток олицетворения домена:
- Выберите поле Адрес отправителя (свойство) и выберите олицетворенный домен в разделе Базовый раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
- В поле значение свойства введите домен (например, contoso.com). Разделите значения нескольких доменов запятыми.
Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.
Завершив создание условий фильтра, нажмите кнопку Обновить.
В области сведений под диаграммой убедитесь, что выбрана вкладка Email (представление).
Вы можете отсортировать записи и отобразить дополнительные столбцы, как описано в Email представлении подробных сведений в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени.
Если выбрать значение Тема для записи в таблице, откроется всплывающее окно сведений о сообщении электронной почты. Этот всплывающий элемент сведений называется панелью сводки Email и содержит стандартизированную сводную информацию, которая также доступна на странице Email сущности сообщения.
Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.
Сведения о доступных действиях в верхней части панели сводки Email для обнаружения угроз Обозреватель и обнаружения в режиме реального времени см. в разделе сведения о Email из Email области сведений в представлении Все сообщения электронной почты (те же действия также доступны в представлении Фишинг).
Если выбрать значение Recipient для записи в таблице, откроется другое всплывающее окно сведений. Дополнительные сведения см. в разделе Сведения о получателе из представления Email области сведений в представлении Фишинг.
Экспорт данных щелчка URL-адреса
Вы можете экспортировать данные щелчка URL-адреса в CSV-файл, чтобы просмотреть значения Идентификатор сетевого сообщения и Щелчок вердикта , которые помогут объяснить, откуда пришел трафик щелчка URL-адреса.
Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.
- Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
- Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
На странице обнаружения Обозреватель или в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении фишинга см. в разделе Представление фишинга в статье Обозреватель угроз и обнаружение в режиме реального времени.
Выберите диапазон даты и времени, а затем щелкните Обновить. Значение по умолчанию — вчера и сегодня.
В области сведений выберите вкладку Верхние URL-адреса или Верхние щелчки (представление).
В представлении Верхние URL-адреса или Верхний щелчок выберите одну или несколько записей из таблицы, выбрав поле проверка рядом с первым столбцом, а затем выберите Экспорт. > ОбозревательВыжатые>>url-адреса или url-адреса первые щелчки> выбирают любую запись, чтобы открыть всплывающее окно URL-адреса.
Значение идентификатора сетевых сообщений можно использовать для поиска определенных сообщений в Обозреватель угроз, обнаружениях в режиме реального времени или внешних средствах. Эти поисковые запросы определяют сообщение электронной почты, связанное с результатом щелчка. Наличие коррелированного идентификатора сетевых сообщений обеспечивает более быстрый и эффективный анализ.
Просмотр вредоносных программ, обнаруженных в электронной почте
Выполните следующие действия в разделе Обозреватель угроз или обнаружение в режиме реального времени, чтобы увидеть вредоносные программы, обнаруженные в электронной почте Microsoft 365.
Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.
- Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
- Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
На странице обнаружения Обозреватель или в режиме реального времени выберите представление Вредоносные программы. Дополнительные сведения о представлении фишинга см. в разделе Представление вредоносных программ в Обозреватель угроз и обнаружение в режиме реального времени.
Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.
Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
- В поле значение свойства выберите одно или несколько из следующих значений:
- Защита от вредоносных программ
- Отключение файла
- Репутация отключения файла
- Репутация файла
- Сопоставление отпечатков
Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.
Завершив создание условий фильтра, нажмите кнопку Обновить.
В отчете отображаются результаты обнаружения вредоносных программ в электронной почте с использованием выбранных параметров технологии. Здесь можно провести дальнейший анализ.
Отчет о сообщениях как чистых
Вы можете использовать страницу Отправки на портале Defender по адресу https://security.microsoft.com/reportsubmission , чтобы сообщать о сообщениях как о чистых (ложных срабатываниях) в Корпорацию Майкрософт. Но вы также можете отправлять сообщения как чистые в Корпорацию Майкрософт из действия в Обозреватель угроз или на странице сущности Email.
Инструкции см. в разделе Охота на угрозы: мастер принятия действий.
Подводя итоги, выполните приведенные ниже действия.
Выберите Действие , используя один из следующих методов:
- Выберите одно или несколько сообщений из таблицы сведений на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинга, выбрав поля проверка для записей.
Или
- Во всплывающем окне сведений после выбора сообщения из таблицы сведений на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинга, щелкнув значение Тема.
В мастере принятия действий выберите Отправить в Майкрософт для проверки>Я подтвердила, что она чиста.
Просмотр URL-адреса фишинга и выбор данных вердикта
Защита безопасных ссылок отслеживает разрешенные, заблокированные и переопределенные URL-адреса. Защита безопасных ссылок включена по умолчанию благодаря встроенной защите в предустановленных политиках безопасности. Защита безопасных ссылок включена в Standard и строгих предустановленных политиках безопасности. Вы также можете создать и настроить защиту безопасных ссылок в настраиваемых политиках безопасных ссылок. Дополнительные сведения о параметрах политики безопасных ссылок см. в разделе Параметры политики безопасных ссылок.
Выполните следующие действия, чтобы просмотреть попытки фишинга с использованием URL-адресов в сообщениях электронной почты.
Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.
- Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
- Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
На странице обнаружения Обозреватель или в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении фишинга см. в разделе Представление фишинга в статье Обозреватель угроз и обнаружение в режиме реального времени.
Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.
Выберите поле Адрес отправителя (свойство) и выберите Щелкните вердикт в разделе URL-адреса раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбрано значение Равно.
- В поле значение свойства выберите одно или несколько из следующих значений:
- Заблокировано
- Заблокировано переопределено
Пояснения о значениях click вердиктов см. в разделе Click verdict in Filterable properties in The Filterable properties in the All email view in Threat Обозреватель.
Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.
Завершив создание условий фильтра, нажмите кнопку Обновить.
На вкладке "Верхние URL-адреса " (представление) в области сведений под диаграммой показано количество заблокированных сообщений, сообщений нежелательной почты и сообщений, доставленных для первых пяти URL-адресов. Дополнительные сведения см. в разделе Основные URL-адреса представления сведений о представлении фишинга в статье Обнаружение угроз Обозреватель и обнаружение в режиме реального времени.
На вкладке Верхние щелчки (представление) в области сведений под диаграммой отображаются первые пять щелкаемых ссылок, которые были заключены безопасными ссылками. Здесь не отображаются переходы по URL-адресам для распакованных ссылок. Дополнительные сведения см. в разделе Представление верхних щелчков для области сведений о представлении фишинга в статье Обнаружение угроз Обозреватель и обнаружение в режиме реального времени.
В этих таблицах URL-адресов отображаются URL-адреса, которые были заблокированы или посещены, несмотря на предупреждение. Эта информация показывает потенциальные плохие ссылки, которые были представлены пользователям. Здесь можно провести дальнейший анализ.
Выберите URL-адрес из записи в представлении для получения дополнительных сведений. Дополнительные сведения см. в разделе Сведения о URL-адресе для вкладки "Верхние URL-адреса" и "Первые щелчки" в представлении фишинга.
Совет
Во всплывающем меню сведения о URL-адресе фильтрация сообщений электронной почты удаляется, чтобы отобразить полное представление о воздействии URL-адреса в вашей среде. Это позволяет фильтровать определенные сообщения электронной почты, находить определенные URL-адреса, которые представляют собой потенциальные угрозы, а затем расширять понимание уязвимости URL-адресов в вашей среде, не добавляя фильтры URL-адресов в представление фишинга .
Интерпретация вердиктов щелчков
Результаты свойства Click verdict отображаются в следующих местах:
- Щелкните сводку диаграммы вердиктов для представления "URL-адреса" в области сведений в представлении "Все сообщения электронной почты" (только Обозреватель угрозы) или "Фишинг"
- Первые щелчки в области сведений в представлении Все сообщения электронной почты в Обозреватель
- Первые щелчки для области сведений о представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени
- Представление верхних щелчков для области сведений в представлении щелчков URL-адресов в Обозреватель
Значения вердиктов описаны в следующем списке:
- Разрешено: пользователю было разрешено открыть URL-адрес.
- Блокировка переопределена: пользователю было запрещено открывать URL-адрес напрямую, но он переопределяет этот блок, чтобы открыть URL-адрес.
- Заблокировано: пользователю было запрещено открывать URL-адрес.
- Ошибка: пользователю была представлена страница ошибки или произошла ошибка при записи вердикта.
- Сбой. При записи вердикта произошло неизвестное исключение. Возможно, пользователь открыл URL-адрес.
- Нет: не удается записать вердикт для URL-адреса. Возможно, пользователь открыл URL-адрес.
- Ожидающий вердикт. Пользователю была представлена страница ожидания детонации.
- Ожидающий вердикт обошел стороной: пользователю была представлена страница детонации, но он перечеркнул сообщение, чтобы открыть URL-адрес.
Запуск автоматического исследования и реагирования в Обозреватель угроз
Автоматизированное исследование и реагирование (AIR) в Defender для Office 365 план 2 позволяет сэкономить время и усилия при расследовании и устранении кибератак. Вы можете настроить оповещения, которые активируют сборник схем безопасности, и запустить AIR в Обозреватель угроз. Дополнительные сведения см. в разделе Пример. Администратор безопасности активирует расследование из Обозреватель.
Другие статьи
Изучение электронной почты с помощью страницы сущностей Email