Defender for Office 365中的模拟见解
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
当 电子邮件的发件人看起来类似于真实或预期发件人的电子邮件地址时,模拟。 攻击者经常在网络钓鱼或其他类型的攻击中使用模拟发件人电子邮件地址来获取收件人的信任。 模拟有两种基本类型:
- 域模拟:包含域中的细微差异。 例如,lila@ćóntoso.com 模拟 lila@contoso.com。
- 用户模拟:包含电子邮件别名中的细微差异。 例如, rnichell@contoso.com 模拟 michelle@contoso.com。
域模拟与 域欺骗不同,因为模拟域通常是真实的已注册域,但意图欺骗。 来自模拟域中发件人的邮件能够通过常规电子邮件身份验证检查,否则会将邮件标识为 (SPF、DKIM 和 DMARC) 的欺骗尝试。
模拟保护是特定于Microsoft Defender for Office 365的防钓鱼策略设置的一部分。 有关这些设置的详细信息,请参阅 Microsoft Defender for Office 365 中的防钓鱼策略中的模拟设置。
管理员可以使用Microsoft Defender门户中的模拟见解快速识别来自反钓鱼策略中模拟保护中指定的模拟发件人或发件人域的邮件。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。 若要直接转到 “模拟见解 ”页,请使用 https://security.microsoft.com/impersonationinsight。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。
Email & Microsoft Defender门户中的协作权限:以下任一角色组中的成员身份:
- 组织管理
- 安全管理员
- 安全信息读取者
- 全局读取器
Microsoft Entra权限:全局管理员*、安全管理员、安全读取者或全局读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
可以在 Microsoft Defender for Office 365 中的反钓鱼策略中启用和配置模拟保护。 默认情况下不启用模拟保护。 有关详细信息,请参阅在 Microsoft Defender for Office 365 中配置反钓鱼策略和使用Microsoft Defender门户向用户分配Standard和严格预设安全策略。
有关许可要求的详细信息,请参阅 许可条款。
在Microsoft Defender门户中打开模拟见解
在 Microsoft Defender 门户中https://security.microsoft.com,转到策略部分中Email &协作>策略& 规则>威胁策略>反钓鱼。 或者,若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。
在 “防钓鱼 ”页上,模拟见解如下所示:
见解有两种模式:
- 见解模式:如果在任何反钓鱼策略中启用并配置了模拟保护,则见解会显示过去 7 天内从模拟域和模拟用户 (发件人) 检测到的邮件数。 显示的数字是所有反钓鱼策略中检测到的所有模拟尝试总数。
- 如果模式:如果未在任何活动反网络钓鱼策略中启用和配置模拟保护,则见解会显示模拟保护在过去七天内 检测到的消息数 。
若要查看有关模拟检测的信息,请选择“ 在模拟 见解中查看模拟”,转到“ 模拟见解 ”页。
查看有关域模拟检测的信息
当你在“防钓鱼”页上https://security.microsoft.com/impersonationinsight选择“在模拟见解中查看模拟”时,“模拟见解”页可用。
在 “模拟见解 ”页上,验证“ 域 ”选项卡是否已选中。
可以通过单击可用的列标题对条目进行排序。 以下列可用:*
- 发件人域:模拟域,它是用于发送电子邮件的域。
- 邮件计数:过去 7 天内来自模拟发件人域的邮件数。
- 模拟类型:此值显示检测到的模拟位置 (例如 地址) 中的域 。
- 模拟域 () :受域模拟保护保护的域,应类似于 发件人域中的域。
- 域类型:此值为接受域的公司域或自定义域的自定义域。
- 策略:检测到模拟域的反钓鱼策略。
-
允许模拟:以下值之一:
- 是:域配置为受信任的域, (检测到邮件的防钓鱼策略中模拟保护) 的例外。 检测到来自模拟域的消息,但已允许。
- 否:已在检测到邮件的反钓鱼策略中为域配置了模拟保护。 对邮件执行反钓鱼策略中的域模拟检测操作。
* 若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
若要将域模拟检测列表从正常间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 精简列表”。
使用“搜索”框和以逗号分隔的值列表查找特定的域模拟检测。
使用 “导出 ”将域模拟检测的列表导出到 CSV 文件。
查看有关域模拟检测的详细信息
在 的“模拟见解”页上https://security.microsoft.com/impersonationinsight?type=Domain的“域”选项卡上,单击行中除“检查”框以外的任意位置,选择其中一个模拟检测。
详细信息浮出控件中提供了以下信息:
我们为什么抓住这个?
你需要做什么?
域摘要:检测到为模拟的域。
Whois 数据:包含有关域的信息:
- 发件人位置
- 域创建日期
- 域过期日期
- 注册
资源管理器调查:选择链接以打开 威胁资源管理器或实时检测 ,了解有关发件人的其他详细信息。
发件人Email:本部分显示有关域中发件人的类似邮件的以下信息:
- Date
- 收件人
- 主题
- Sender
- 发件人 IP
- 传递操作
提示
若要查看有关其他域模拟条目的详细信息,而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。
若要防止检测到的域中的发件人被标识为域模拟,请参阅下一小节。
从将来的域模拟检查中免除检测到的域中的发件人
在 的“模拟见解”页https://security.microsoft.com/impersonationinsight?type=Domain的“域”选项卡上,使用以下步骤免除检测到的域中的发件人被标识为域模拟:
单击行中除“检查”框以外的任意位置,从列表中选择条目。
在打开的详细信息浮出控件中,使用 “选择模拟”策略修改 浮出控件顶部的“ 允许模拟”列表 设置,并将其添加到允许的模拟列表设置。 这些设置协同工作,将域添加到策略中将邮件错误地标识为域模拟的受信任 发件人和 域列表:
在下拉列表中选择防钓鱼策略。 负责检测邮件的防钓鱼策略显示在“域”选项卡上的“策略”值中。
将切换开关滑动到“打开: ”,将域添加到所选策略中的 “受信任的发件人和域” 列表。
若要从 “受信任的发件人和域 ”列表中删除域,请将切换开关滑回
完成详细信息浮出控件后,选择“ 关闭”。
查看有关用户模拟检测的信息
当你在“防钓鱼”页上https://security.microsoft.com/impersonationinsight选择“在模拟见解中查看模拟”时,“模拟见解”页可用。
在 “模拟见解 ”页上,选择“ 用户 ”选项卡。
可以通过单击可用的列标题对条目进行排序。 以下列可用:*
- 发件人:发送电子邮件的模拟发件人的电子邮件地址。
- 邮件计数:过去 7 天内来自模拟发件人的消息数。
- 模拟类型:例如, 显示名称中的用户。
- 模拟用户 () :受模拟保护保护的发件人的显示名称和电子邮件地址,类似于 发件人中的电子邮件地址。
- 用户类型: (应用的保护类型,例如 受保护的用户 或 邮箱智能) 。
- 策略:检测到模拟发件人的反钓鱼策略。
-
允许模拟:以下值之一:
- 是:发件人配置为受信任的用户, (检测到邮件的防钓鱼策略中模拟保护) 例外。 检测到来自模拟发件人的邮件,但允许。
- 否:发送方在检测到邮件的防钓鱼策略中配置了模拟保护。 对邮件执行反钓鱼策略中的用户模拟检测操作。
* 若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
若要将用户模拟检测列表从正常间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用“ 搜索 ”框和以逗号分隔的值列表查找特定的用户模拟检测。
使用 “导出” 将用户模拟检测的列表导出到 CSV 文件。
查看有关用户模拟检测的详细信息
在 的“模拟见解”页上https://security.microsoft.com/impersonationinsight?type=User的“用户”选项卡上,单击行中除“检查”框以外的任意位置,选择其中一个模拟检测。
详细信息浮出控件中提供了以下信息:
我们为什么抓住这个?
你需要做什么?
发件人摘要:检测到为模拟的发件人。
资源管理器调查:选择链接以打开 威胁资源管理器或实时检测 ,了解有关发件人的其他详细信息。
发件人Email:本部分显示来自发件人的类似邮件的以下信息:
- Date
- 收件人
- 主题
- Sender
- 发件人 IP
- 传递操作
提示
若要查看有关其他用户模拟条目的详细信息,而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。
若要防止检测到的发件人被标识为用户模拟,请参阅下一小节。
从将来的用户模拟检查中免除检测到的发件人
在 的“模拟见解”页https://security.microsoft.com/impersonationinsight?type=User的“用户”选项卡上,使用以下步骤免除检测到的发件人被标识为用户模拟:
单击行中除“检查”框以外的任意位置,从列表中选择条目。
在打开的详细信息浮出控件中,使用 “选择模拟”策略修改 浮出控件顶部的“ 允许模拟”列表 设置,并将其添加到允许的模拟列表设置。 这些设置协同工作,将发件人添加到策略中将邮件错误地标识为用户模拟的 受信任发件人和域 列表:
在下拉列表中选择防钓鱼策略。 负责检测邮件的防钓鱼策略显示在“域”选项卡上的“策略”值中。
将切换开关滑动到“打开: ”,将发件人添加到所选策略中的 “受信任的发件人和域 ”列表。
若要从 “受信任的发件人和域 ”列表中删除发件人,请将切换开关滑回
完成详细信息浮出控件后,选择“ 关闭”。