Undersöka skadlig e-post som levererades i Microsoft 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Microsoft 365-organisationer som har Microsoft Defender för Office 365 ingår i prenumerationen eller som köpts som ett tillägg har Explorer (även kallat Hotutforskaren) eller realtidsidentifieringar. Dessa funktioner är kraftfulla verktyg i nära realtid som hjälper SecOps-team (Security Operations) att undersöka och reagera på hot. Mer information finns i Om hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365.
Med hotutforskaren och realtidsidentifieringar kan du undersöka aktiviteter som utsätter personer i din organisation för risker och vidta åtgärder för att skydda din organisation. Till exempel:
- Hitta och ta bort meddelanden.
- Identifiera IP-adressen för en avsändare med skadlig e-post.
- Starta en incident för vidare undersökning.
Den här artikeln beskriver hur du använder Hotutforskaren och realtidsidentifieringar för att hitta skadlig e-post i mottagarpostlådor.
Tips
Information om hur du går direkt till reparationsprocedurerna finns i Åtgärda skadlig e-post som levereras i Office 365.
Andra e-postscenarier med hotutforskaren och realtidsidentifieringar finns i följande artiklar:
Vad behöver jag veta innan jag börjar?
Threat Explorer ingår i Defender för Office 365 plan 2. Realtidsidentifieringar ingår i Defender för Office Plan 1:
- Skillnaderna mellan Hotutforskaren och Realtidsidentifieringar beskrivs i Om hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365.
- Skillnaderna mellan Defender för Office 365 plan 2 och Defender för Office Plan 1 beskrivs i Defender för Office 365 plan 1 jämfört med plan 2.
För filteregenskaper som kräver att du väljer ett eller flera tillgängliga värden har egenskapen i filtervillkoret med alla värden markerade samma resultat som att inte använda egenskapen i filtervillkoret.
Behörigheter och licensieringskrav för Hotutforskaren och realtidsidentifieringar finns i Behörigheter och licensiering för Hotutforskaren och Realtidsidentifieringar.
Hitta misstänkt e-post som levererades
Använd något av följande steg för att öppna Hotutforskaren eller Realtidsidentifieringar:
- Hotutforskaren: I Defender-portalen på https://security.microsoft.comgår du till Email & Security>Explorer. Om du vill gå direkt till sidan Utforskaren använder du https://security.microsoft.com/threatexplorerv3.
- Realtidsidentifieringar: I Defender-portalen på https://security.microsoft.comgår du till Email & Realtidsidentifieringar för säkerhet>. Om du vill gå direkt till sidan Realtidsidentifieringar använder du https://security.microsoft.com/realtimereportsv3.
På sidan Explorer eller Realtidsidentifieringar väljer du en lämplig vy:
- Hotutforskaren: Kontrollera att vyn Alla e-postmeddelanden är markerad.
- Realtidsidentifieringar: Kontrollera att vyn Skadlig kod är markerad eller välj vyn Nätfiske.
Välj datum-/tidsintervall. Standardvärdet är igår och i dag.
Skapa ett eller flera filtervillkor med några eller alla av följande målegenskaper och värden. Fullständiga instruktioner finns i Egenskapsfilter i Hotutforskaren och Realtidsidentifieringar. Till exempel:
Leveransåtgärd: Den åtgärd som vidtas på ett e-postmeddelande på grund av befintliga principer eller identifieringar. Användbara värden är:
- Levereras: Email levereras till användarens inkorg eller annan mapp där användaren kan komma åt meddelandet.
- Skräppost: Email levereras till användarens mapp för skräppost Email eller borttagna objekt där användaren kan komma åt meddelandet.
- Blockerad: Email meddelanden som satts i karantän, som misslyckades med leveransen eller som togs bort.
Ursprunglig leveransplats: Var e-post gick före automatiska eller manuella åtgärder efter leverans av systemet eller administratörerna (till exempel ZAP eller flyttades till karantän). Användbara värden är:
- Mapp för borttagna objekt
- Släppt: Meddelandet förlorades någonstans i e-postflödet.
- Misslyckades: Meddelandet kunde inte nå postlådan.
- Inkorg/mapp
- Skräppostmapp
- Lokal/extern: Postlådan finns inte i Microsoft 365-organisationen.
- Karantän
- Okänd: Efter leverans flyttade till exempel en inkorgsregel meddelandet till en standardmapp (till exempel Utkast eller Arkiv) i stället för till mappen Inkorgen eller Skräppost Email.
Plats för senaste leverans: Där e-post hamnade efter automatiska eller manuella åtgärder efter leverans av systemet eller administratörerna. Samma värden är tillgängliga från den ursprungliga leveransplatsen.
Riktning: Giltiga värden är:
- Inkommande
- Intra-org
- Utgående
Den här informationen kan hjälpa dig att identifiera förfalskning och personifiering. Meddelanden från interna domänavsändare bör till exempel vara Intra-org, inte Inkommande.
Ytterligare åtgärd: Giltiga värden är:
- Automatiserad reparation (Defender för Office 365 plan 2)
- Dynamisk leverans: Mer information finns i Dynamic Delivery in Safe Attachments policies (Dynamisk leverans i principer för säkra bifogade filer).
- Manuell reparation
- Ingen
- Karantänversion
- Ombearbetad: Meddelandet identifierades retroaktivt som bra.
- ZAP: Mer information finns i Automatisk rensning av nolltimmar (ZAP) i Microsoft Defender för Office 365.
Primär åsidosättning: Om organisations- eller användarinställningar tillåter eller blockerar meddelanden som annars skulle ha blockerats eller tillåtits. Värden är:
- Tillåts av organisationsprincip
- Tillåts av användarprincip
- Blockerad av organisationsprincip
- Blockerad av användarprincip
- Ingen
Dessa kategorier förfinas ytterligare av egenskapen Primär åsidosättningskälla .
Primär åsidosättningskälla Typ av organisationsprincip eller användarinställning som tillät eller blockerade meddelanden som annars skulle ha blockerats eller tillåtits. Värden är:
- Filter från tredje part
- Admin initierad tidsresa
- Principblock för program mot skadlig kod efter filtyp: Vanliga bifogade filer filtrerar i principer för skydd mot skadlig kod
- Principinställningar för antispam
- Anslutningsprincip: Konfigurera anslutningsfiltrering
- Exchange-transportregel (e-postflödesregel)
- Exklusivt läge (åsidosättning av användare): Den enda betrodda e-postadressen från adresser i listan Säkra avsändare och domäner samt inställningen Säkra e-postlistor i samlingen med säkra listor i en postlåda.
- Filtreringen hoppades över på grund av lokal organisation
- IP-regionfilter från princip: Från dessa länder filtreras i principer för skräppostskydd.
- Språkfilter från princip: Filtret Innehåller specifika språk i principer för skräppostskydd.
- Nätfiskesimulering: Konfigurera nätfiskesimuleringar från tredje part i den avancerade leveransprincipen
- Karantänversion: Släppa e-post i karantän
- SecOps-postlåda: Konfigurera SecOps-postlådor i den avancerade leveransprincipen
- Adresslista för avsändare (Admin åsidosättning): Listan över tillåtna avsändare eller blockerade avsändare i principer för skräppostskydd.
- Adresslista för avsändare (åsidosättning av användare): Avsändarens e-postadresser i listan Blockerade avsändare i samlingen med betrodda användare i en postlåda.
- Avsändardomänlista (Admin åsidosättning): Listan över tillåtna domäner eller blockerade domäner i principer för skräppostskydd.
- Avsändardomänlista (åsidosättning av användare): Avsändardomäner i listan Blockerade avsändare i samlingen med betrodda listor i en postlåda.
- Filblocket Tillåt/blockera lista för klientorganisation: Skapa blockposter för filer
- E-postadressblock för klientorganisations tillåt/blockera lista: Skapa blockposter för domäner och e-postadresser
- Tillåt/blockera förfalskningsblock för klientorganisationslista: Skapa blockposter för falska avsändare
- Url-blockering för klientorganisationslista/blockeringslista: Skapa blockposter för URL:er
- Betrodd kontaktlista (åsidosättning av användare): Inställningen Betrodd e-post från mina kontakter i samlingen med säkra listor i en postlåda.
- Filblocket Tillåt/blockera lista för klientorganisation: Skapa blockposter för filer
- Betrodd domän (åsidosättning av användare): Avsändardomäner i listan Säkra avsändare i samlingen safelist i en postlåda.
- Betrodd mottagare (åsidosättning av användare): E-postadresser eller domäner för mottagare i listan Betrodda mottagare i samlingen med säkra listor i en postlåda.
- Endast betrodda avsändare (åsidosättning av användare): Endast säker Listor: Endast e-post från personer eller domäner i listan över betrodda avsändare eller listan över betrodda mottagare levereras till inkorgsinställningen i samlingen med säkra listor i en postlåda.
Åsidosätt källa: Samma tillgängliga värden som primär åsidosättningskälla.
Tips
På fliken Email (vy) i informationsområdet för vyerna Alla e-postmeddelanden, Skadlig kod och Nätfiske kallas motsvarande åsidosättningskolumner system åsidosättningar och system åsidosättningar källa.
URL-hot: Giltiga värden är:
- Skadlig kod
- Nätfiske
- Skräppost
När du är klar med konfigurationen av datum-/tids- och egenskapsfilter väljer du Uppdatera.
Fliken Email (vy) i informationsområdet för vyerna Alla e-postmeddelanden, Skadlig kod eller Nätfiske innehåller den information som du behöver för att undersöka misstänkt e-post.
Använd till exempel kolumnerna Leveransåtgärd, Ursprunglig leveransplats och Senaste leveransplats på fliken Email (vy) för att få en fullständig bild av var de berörda meddelandena hamnade. Värdena förklarades i steg 4.
Använd 
Exportera för att selektivt exportera upp till 200 000 filtrerade eller ofiltrerade resultat till en CSV-fil.
Åtgärda skadlig e-post som har levererats
När du har identifierat de skadliga e-postmeddelanden som levererades kan du ta bort dem från mottagarpostlådor. Anvisningar finns i Åtgärda skadlig e-post som levereras i Microsoft 365.
Relaterade artiklar
Åtgärda skadlig e-post som levereras i Office 365