Исследование вредоносных сообщений электронной почты, доставленных в Microsoft 365
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Организации Microsoft 365, которые Microsoft Defender для Office 365 включены в свою подписку или приобрели в качестве надстройки, имеют Обозреватель (также известный как Обозреватель угроз) или обнаружение в режиме реального времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об обнаружении угроз Обозреватель и обнаружении в режиме реального времени в Microsoft Defender для Office 365.
Обнаружение Обозреватель угроз и обнаружение в режиме реального времени позволяют исследовать действия, которые ставят под угрозу сотрудников вашей организации, и принимать меры для защиты вашей организации. Например:
- Поиск и удаление сообщений.
- Определите IP-адрес отправителя вредоносной электронной почты.
- Запустите инцидент для дальнейшего изучения.
В этой статье объясняется, как использовать Обозреватель угроз и обнаружение в режиме реального времени для поиска вредоносных сообщений электронной почты в почтовых ящиках получателей.
Совет
Чтобы перейти непосредственно к процедурам исправления, см. статью Устранение вредоносных сообщений электронной почты, доставленных в Office 365.
Другие сценарии электронной почты с использованием Обозреватель угроз и обнаружения в режиме реального времени см. в следующих статьях:
Что нужно знать перед началом работы
Обозреватель угроз включен в план 2 Defender для Office 365. Обнаружения в режиме реального времени включены в Defender для Office плана 1:
- Различия между обнаружением угроз Обозреватель и обнаружением в режиме реального времени описаны в разделе Сведения об обнаружении угроз Обозреватель и обнаружение в режиме реального времени в Microsoft Defender для Office 365.
- Различия между Defender для Office 365 планом 2 и Defender для Office 1 описаны в памятке Defender для Office 365 план 1 и план 2.
Для свойств фильтра, требующих выбора одного или нескольких доступных значений, использование свойства в условии фильтра со всеми выбранными значениями имеет тот же результат, что и не использование свойства в условии фильтра.
Разрешения и требования к лицензированию для Обозреватель угроз и обнаружения в режиме реального времени см. в разделе Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени.
Поиск подозрительного сообщения электронной почты, которое было доставлено
Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.
- Обозреватель угроз. На портале Defender по адресу https://security.microsoft.comвыберите Email & Безопасность>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorerv3.
- Обнаружение в режиме реального времени. На портале Defender перейдите к https://security.microsoft.comEmail & Обнаружения врежиме реального> времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
На странице обнаружения Обозреватель или в режиме реального времени выберите соответствующее представление:
- Обозреватель угроз: убедитесь, что выбрано представление Все сообщения электронной почты.
- Обнаружение в режиме реального времени. Убедитесь, что выбрано представление "Вредоносные программы " или выберите представление "Фишинг".
Выберите диапазон даты и времени. Значение по умолчанию — вчера и сегодня.
Создайте одно или несколько условий фильтра, используя некоторые или все указанные ниже целевые свойства и значения. Полные инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени. Например:
Действие доставки: действие, выполняемое по электронной почте из-за существующих политик или обнаружений. Ниже приведены полезные значения.
- Доставлено: Email доставлен в папку "Входящие" или другую папку пользователя, в которой пользователь может получить доступ к сообщению.
- Нежелательные файлы: Email доставлены в папку "Нежелательная Email" пользователя или папку "Удаленные", где пользователь может получить доступ к сообщению.
- Заблокировано: Email сообщения, которые были помещены в карантин, которые не были доставлены или были удалены.
Исходное расположение доставки: где электронная почта отправилась до любых автоматических или ручных действий после доставки со стороны системы или администраторов (например, ZAP или перемещены в карантин). Ниже приведены полезные значения.
- Папка "Удаленные элементы"
- Удалено: сообщение было потеряно где-то в потоке обработки почты.
- Сбой: сообщение не достигло почтового ящика.
- Папка "Входящие"
- Нежелательная почта
- Локальный или внешний: почтовый ящик не существует в организации Microsoft 365.
- Карантин
- Неизвестно. Например, после доставки правило папки "Входящие" переместит сообщение в папку по умолчанию (например, Черновик или Архив), а не в папку "Входящие" или "Нежелательная Email".
Место последней доставки: адрес электронной почты заканчивается после любых автоматических или ручных действий после доставки системой или администраторами. Те же значения доступны в исходном расположении доставки.
Направление: допустимые значения:
- Прибывающий
- Внутри организации
- Исходящий
Эти сведения помогут определить спуфинго и олицетворение. Например, сообщения от внутренних отправителей домена должны быть внутренними, а не входящими.
Дополнительное действие. Допустимые значения:
- Автоматическое исправление (Defender для Office 365 план 2)
- Динамическая доставка. Дополнительные сведения см. в разделе Динамическая доставка в политиках безопасных вложений.
- Исправление вручную
- Нет
- Выпуск карантина
- Повторно обработано: сообщение было задним числом идентифицировано как хорошее.
- ZAP: Дополнительные сведения см. в разделе Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365.
Основное переопределение. Если параметры организации или пользователя разрешают или блокируют сообщения, которые в противном случае были бы заблокированы или разрешены. Значения:
- Разрешено политикой организации
- Разрешено политикой пользователя
- Заблокировано политикой организации
- Заблокировано политикой пользователя
- Нет
Эти категории дополнительно уточняются свойством source переопределения Primary .
Источник первичного переопределения Тип политики организации или параметра пользователя, разрешающего или блокировающего сообщения, которые в противном случае были бы заблокированы или разрешены. Значения:
- Сторонний фильтр
- Администратор инициированные перемещения по времени
- Блок политики защиты от вредоносных программ по типу файла: фильтр распространенных вложений в политиках защиты от вредоносных программ
- Параметры политики защиты от нежелательнойam
- Политика подключения: настройка фильтрации подключений
- Правило транспорта Exchange (правило потока обработки почты)
- Монопольный режим (переопределение пользователей) — параметр Только доверенный адрес электронной почты с адресов в списке надежных отправителей и доменов и безопасные списки рассылки в коллекции списка безопасных почтовых ящиков.
- Фильтрация пропущена из-за локальной организации
- Фильтр ip-регионов из политики: фильтр "Из этих стран " в политиках защиты от нежелательной почты.
- Языковой фильтр из политики: фильтр Содержит определенные языки в политикахзащиты от нежелательной почты.
- Моделирование фишинга. Настройка сторонних симуляций фишинга в расширенной политике доставки
- Выпуск карантина: освобождение электронной почты в карантине
- Почтовый ящик SecOps: настройка почтовых ящиков SecOps в расширенной политике доставки
- Список адресов отправителей (Администратор переопределение): список разрешенных отправителей или список заблокированных отправителей в политиках защиты от нежелательной почты.
- Список адресов отправителей (переопределение пользователей): адреса электронной почты отправителя в списке Заблокированные отправителив коллекции списка безопасных списков в почтовом ящике.
- Список доменов отправителей (Администратор Переопределение): список разрешенных доменов или список заблокированных доменов в политиках защиты от нежелательной почты.
- Список доменов отправителей (переопределение пользователей): домены отправителей в списке Заблокированные отправителив коллекции списка безопасных списков в почтовом ящике.
- Блок файла списка разрешенных и заблокированных клиентов: создание записей блоков для файлов
- Блок адреса электронной почты в списке разрешенных и заблокированных клиентов: создание записей блоков для доменов и адресов электронной почты
- Подделанный блок списка и разрешений клиента: создание записей блоков для подделанных отправителей
- Блок URL-адресов списка разрешенных и заблокированных клиентов: создание записей блоков для URL-адресов
- Список доверенных контактов (переопределение пользователей): параметр Доверять электронной почте из моих контактов в коллекции списка безопасных в почтовом ящике.
- Блок файла списка разрешенных и заблокированных клиентов: создание записей блоков для файлов
- Доверенный домен (переопределение пользователей): домены отправителей в списке Надежные отправителив коллекции списка надежных списков в почтовом ящике.
- Доверенный получатель (переопределение пользователей): адреса электронной почты или домены получателя в списке Надежные получатели в коллекции списка безопасных списков в почтовом ящике.
- Только надежные отправители (переопределение пользователей).Только безопасный Списки: в параметр папки "Входящие" в коллекции списков надежных отправителей в почтовом ящике будут доставлены только сообщения от пользователей или доменов из списка надежных отправителей или списка надежных получателей.
Источник переопределения. Доступны те же значения, что и источник первичного переопределения.
Совет
На вкладке Email (представление) в области сведений представлений Все сообщения электронной почты, Вредоносные программы и Фишинг соответствующие столбцы переопределения называются Системные переопределения и Источник переопределений системы.
Угроза URL-адреса: допустимые значения:
- Вредоносная программа
- Фишинг
- Спам
Завершив настройку фильтров даты и времени и свойств, выберите Обновить.
Вкладка Email (представление) в области сведений представлений Все сообщения электронной почты, вредоносные программы или фишинг содержит сведения, необходимые для расследования подозрительных сообщений электронной почты.
Например, используйте столбцы Действие доставки, Исходное расположение доставки и Расположение последней доставки на вкладке Email (представление), чтобы получить полное представление о том, куда ушли затронутые сообщения. Значения были описаны на шаге 4.
Используйте 
функцию Экспорт для выборочного экспорта до 200 000 отфильтрованных или нефильтрованных результатов в CSV-файл.
Исправление вредоносного сообщения электронной почты, которое было доставлено
Определив вредоносные сообщения электронной почты, которые были доставлены, их можно удалить из почтовых ящиков получателей. Инструкции см. в статье Устранение вредоносных сообщений электронной почты, доставленных в Microsoft 365.
Статьи по теме
Устранение вредоносных писем, доставленных в Office 365