Microsoft Defender for Office 365中的市场活动

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在Microsoft Defender for Office 365计划 2 的 365 个Microsoft组织中,市场活动功能可识别并分类协调的钓鱼和恶意软件电子邮件攻击。 Microsoft将电子邮件攻击分类为离散市场活动有助于:

  • 有效地调查和响应电子邮件攻击。
  • 更好地了解针对组织的电子邮件攻击的范围。
  • 展示Microsoft Defender for Office 365在防止电子邮件威胁方面对决策者的价值。

市场活动功能使你可以比任何人更快、更全面地了解电子邮件攻击的整体情况。

观看此简短视频,了解Microsoft Defender for Office 365中的市场活动如何帮助你了解针对组织的协调电子邮件攻击。

什么是活动 (campaign)?

活动是针对一个或多个组织的协同式电子邮件攻击。 Email窃取凭据和公司数据的攻击是一个庞大的利润丰厚的行业。 随着技术的增长以阻止攻击,攻击者会修改其方法,以确保持续成功。

Microsoft应用整个服务中的大量反钓鱼、反垃圾邮件和反恶意软件数据来识别市场活动。 我们根据多个因素分析和分类攻击信息。 例如:

  • 攻击源:源 IP 地址和发件人电子邮件域。
  • 消息属性:消息的内容、样式和语气。
  • 邮件收件人:收件人之间的关系。 例如,收件人域、收件人工作职能 (管理员、高管等 ) 、公司类型 (大、小、公、私等 ) 和行业。
  • 攻击有效负载:邮件中的恶意链接、附件或其他有效负载。

市场活动可能是短期的,也可以跨越几天、几周或几个月的活动和非活动期。 可能会专门针对你的组织发起市场活动,或者你的组织可能是跨多个公司的大型活动的一部分。

所需的许可证和权限

  • 具有Defender for Office 365计划 2 (附加许可证或包含在订阅(如 Microsoft 365 E5) )中的组织中可以使用市场活动功能。
  • 需要分配权限才能查看有关市场活动的信息,如本文所述。 可以选择下列选项:
    • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不会影响 PowerShell) :安全操作/原始数据 (电子邮件 & 协作) /Email 邮件头 (读取)

    • Email & Microsoft Defender门户中的协作权限组织管理安全管理员安全读取者角色组中的成员身份。

    • Microsoft Entra权限全局管理员*安全管理员安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能的所需权限权限。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

Microsoft Defender门户中的“市场活动”页

若要在 Microsoft Defender 门户中https://security.microsoft.com打开“市场活动”页,请转到Email &协作>市场活动。 或者,若要直接转到 “市场活动 ”页,请使用 https://security.microsoft.com/campaigns

“市场活动”页包含以下元素:

  • 页面顶部的筛选器/查询生成器。
  • 一个图表区,你可以使用可用的透视以不同方式组织图表。 默认情况下,图表使用 市场活动类型 透视表,即使该透视表似乎未选中也是如此。
  • 详细信息区域,默认情况下设置为“ 市场活动 ”选项卡

显示Microsoft Defender门户中市场活动的屏幕截图。

提示

  • 如果未看到任何市场活动数据或非常有限的数据,请尝试更改日期范围或 筛选器

  • 还可以在威胁资源管理器https://security.microsoft.com/threatexplorerv3中查看有关市场活动的相同信息::

    • 市场活动 视图。
    • 所有电子邮件 在图表下方的详细信息区域中查看 >“市场活动 ”选项卡。
    • 图表下方的详细信息区域中查看>“恶意软件”活动选项卡。
    • 在图表下方的详细信息区域中查看>“网络钓鱼”活动选项卡。
  • 如果你有Microsoft Defender for Endpoint订阅,市场活动信息与Microsoft Defender for Endpoint相关联。

市场活动页上的图表区域

“市场活动 ”页上,图表区域显示条形图,显示每天的收件人数。 默认情况下,该图同时显示 恶意软件网络钓鱼 数据。

若要筛选图表和详细信息表中显示的信息,请更改 筛选器

通过选择“ 市场活动类型”,然后在下拉列表中选择以下值之一来更改图表的组织:

  • 市场活动名称
  • 市场活动子类型
  • 发件人域
  • 发件人 IP
  • 传递操作
  • 检测技术
  • 完整 URL
  • URL 域
  • URL 域和路径

使用 导出图表数据 将图表中的数据导出到 CSV 文件。

若要从页中删除图表 (以最大化) 详细信息区域的大小,请执行以下步骤之一:

  • 选择页面顶部的“ 图表视图>列表视图 ”。
  • 为详细信息表选择“在图表和视图之间显示列表视图”。

市场活动页面上的详细信息区域

若要筛选图表和详细信息表中显示的信息,请更改 筛选器

“市场活动 ”页上,图表下方的“ 市场活动 ”选项卡在详细信息表中显示以下信息:

  • 名称
  • 示例主题:活动中某封邮件的主题行。 市场活动中的所有消息不一定具有相同的主题。
  • 目标:按以下方式计算的百分比: (组织中的市场活动收件人数) / (服务) 中所有组织中的活动收件人总数。 此值指示市场活动仅针对组织 (较高值) 与服务中的其他组织 (较低值) 的程度。
  • 类型:值为 “网络钓鱼”“恶意软件”。
  • 子类型:值包含有关市场活动的更多详细信息。 例如:
    • 网络钓鱼:如果可用,则为受此市场活动钓鱼的品牌。 例如、Microsoft365UnknownOutlookDocuSign。 当检测由Defender for Office 365技术驱动时,会将前缀 ATP- 添加到子类型值。
    • 恶意软件:例如 或 W32/<MalwareFamilyName>VBS/<MalwareFamilyName>
  • 标记:有关用户标记的详细信息,请参阅 用户标记
  • 收件人:此活动所面向的用户数。
  • 收件箱:在其收件箱中收到来自此市场活动的邮件的用户数 (未传递到其垃圾邮件Email文件夹) 。
  • 已单击:在钓鱼邮件中选择 URL 或打开附件的用户数。
  • 点击率:在网络钓鱼活动中,按“单击收件箱 / ”计算的百分比。 此值是市场活动有效性的指标。 换句话说,收件人是否能够将邮件识别为网络钓鱼,从而避免使用有效负载 URL? 恶意软件市场活动不使用点击率
  • 已访问:有多少用户实际通过有效负载网站。 如果存在 Clicked 值,但 安全链接 阻止了对网站的访问,则此值为零。

选择列标题以按该列排序。 若要删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。

使用 “导出” 将详细信息表中的数据导出到 CSV 文件。

“市场活动 ”页上,图表下方的“ 市场活动来源 ”选项卡显示世界地图上的消息源。

“市场活动”页上的筛选器

“市场活动 ”页面顶部,有几个筛选器设置可帮助你查找和隔离特定的市场活动。 所选筛选器会影响图表和详细信息表。

默认情况下,视图按昨天和今天进行筛选。 若要更改日期筛选器,请选择日期范围,然后选择 “开始日期 ”和“ 结束日期 值”,时间最长为 30 天。

“市场活动”页上的“市场活动”筛选器。

还可以按一个或多个邮件或市场活动属性筛选结果。 基本语法为:

<属性><等于任何 | 等于无><属性值或值>

  • 从“市场活动类型”下拉列表中选择邮件或 市场活动 属性, (“市场活动类型 ”是) 选择的默认值。
  • 需要输入的属性值完全依赖于 属性。 某些属性允许使用逗号分隔多个值的自由格式文本,而某些属性允许从列表中选择多个值。

下表介绍了可用属性及其关联值:

属性 类型
基本
市场活动类型 选择一个或多个值¹:
  • 恶意软件
  • 网络钓鱼
市场活动名称 文本。 用逗号分隔多个值。
市场活动子类型 文本。 用逗号分隔多个值。
发件人地址 文本。 用逗号分隔多个值。
收件人 文本。 用逗号分隔多个值。
发件人域 文本。 用逗号分隔多个值。
收件人域 文本。 用逗号分隔多个值。
主题 文本。 用逗号分隔多个值。
发件人显示名称 文本。 用逗号分隔多个值。
发件人邮件发件人地址 文本。 用逗号分隔多个值。
来自域的发件人邮件 文本。 用逗号分隔多个值。
恶意软件系列 文本。 用逗号分隔多个值。
标记 文本。 用逗号分隔多个值。

有关用户标记的详细信息,请参阅 用户标记
传递操作 选择一个或多个值¹:
  • 阻止
  • 已送达
  • 已交付到垃圾邮件
  • 取代
其他操作 选择一个或多个值¹:
方向性 选择一个或多个值¹:
  • 入境
  • irg 内部
  • 出站
检测技术 选择一个或多个值¹:
  • 高级筛选器:基于机器学习的信号。
  • 反恶意软件保护
  • 大量邮件
  • 市场活动
  • 域信誉
  • 文件引爆安全附件在 爆炸分析过程中检测到恶意附件。
  • 文件引爆信誉:以前在其他Microsoft 365 组织中由 安全附件 引爆检测到的文件附件。
  • 文件信誉:该消息包含以前在其他 Microsoft 365 组织中标识为恶意的文件。
  • 指纹匹配:该消息与以前检测到的恶意消息非常相似。
  • 常规筛选器
  • 模拟品牌:发送者模拟知名品牌。
  • 模拟域:模拟你拥有或指定用于在防钓鱼策略中保护的发件人域
  • 模拟用户
  • IP 信誉
  • 邮箱智能模拟:反 网络钓鱼策略中来自邮箱智能的模拟检测。
  • 混合分析检测:多个筛选器促成了消息判决。
  • 欺骗 DMARC:消息 DMARC 身份验证失败。
  • 欺骗外部域:发件人电子邮件地址欺骗使用组织外部的域。
  • 组织内部欺骗:使用组织内部域的发件人电子邮件地址欺骗。
  • URL 引爆安全链接 在爆炸分析期间检测到邮件中的恶意 URL。
  • URL 组织的信誉
  • URL 恶意信誉:以前在其他Microsoft 365 组织中的 安全链接 引爆检测到的 URL。
原始交付位置 选择一个或多个值¹:
  • “已删除邮件”文件夹
  • 下降
  • 失败
  • 收件箱/文件夹
  • 垃圾邮件文件夹
  • 本地/外部
  • 隔离
  • Unknown
最新交付位置 原始交付位置相同的值
系统替代 选择一个或多个值¹:
  • 用户策略允许
  • 被用户策略阻止
  • 组织策略允许
  • 被组织策略阻止
  • 被组织策略阻止的文件扩展名
系统重写源 选择一个或多个值¹:
  • 第三方筛选器
  • 管理员 ZAP) 启动 (时间行程
  • 反恶意软件策略阻止(按文件类型)
  • 反垃圾邮件策略设置
  • 连接策略
  • Exchange 传输规则 (邮件流规则)
  • 由于本地组织而跳过筛选
  • 从策略筛选 IP 区域
  • 策略中的语言筛选器
  • 钓鱼模拟
  • 隔离发布
  • SecOPs 邮箱
  • 发件人地址列表 (管理员替代)
  • 发件人地址列表 (用户替代)
  • 发件人域列表 (管理员替代)
高级
Internet 邮件 ID 文本。 用逗号分隔多个值。

在邮件头的 “消息 ID 标头”字段中可用。 示例值 (<08f1e0f6806a47b4ac103961109ae6ef@server.domain> 记下尖括号) 。
网络消息 ID 文本。 用逗号分隔多个值。

在邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。
发件人 IP 文本。 用逗号分隔多个值。
附件 SHA256 文本。 用逗号分隔多个值。

若要查找文件的 SHA256 哈希值,请在 PowerShell 中运行以下命令: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256
群集 ID 文本。 用逗号分隔多个值。
警报 ID 文本。 用逗号分隔多个值。
警报策略 ID 文本。 用逗号分隔多个值。
市场活动 ID 文本。 用逗号分隔多个值。
ZAP URL 信号 文本。 用逗号分隔多个值。
Urls
URL 域 文本。 用逗号分隔多个值。
URL 域和路径 文本。 用逗号分隔多个值。
URL 文本。 用逗号分隔多个值。
URL 路径 文本。 用逗号分隔多个值。
单击“判决” 选择一个或多个值¹:
  • Allowed
  • 被重写的块
  • 已阻止
  • 错误
  • 失败
  • 待决判决
  • 未决判决已绕过
文件
附件的文件名 文本。 用逗号分隔多个值。

¹ 不使用此属性筛选器或未选择任何值的情况下使用此属性筛选器的结果与使用此属性筛选器的所有选定值的结果相同。

“市场活动类型 ”下拉列表中选择属性后,选择“ 等于任意 ”或“ 不等于任何”,然后在属性框中输入或选择一个值,筛选器查询将显示在筛选区域下方。

显示已选择市场活动筛选器的屏幕截图。

若要添加更多条件,请选择另一个属性/值对,然后选择 “AND ”或“ OR”。 根据需要重复执行这些步骤(次数不限)。

若要删除现有属性/值对,请选择条目旁边的 。

生成完筛选器查询后,选择“ 刷新”。

若要保存筛选器查询,请选择“ 保存查询>”“保存查询”。 在打开的 “保存查询” 浮出控件中,配置以下设置:

  • 查询名称:输入唯一值。
  • 选择以下值之一:
    • 确切日期:选择日期范围。
    • 相对日期:选择 1 到 30 天。
  • 跟踪此查询

完成 “保存查询” 浮出控件后,选择“ 保存”,然后在确认对话框中选择“ 确定 ”。

返回到“市场活动”页面时,可以通过选择“保存查询>保存的查询设置”来加载保存的筛选器。

活动详细信息

通过单击名称旁边的检查框以外的任意位置从详细信息表中选择条目时,将打开一个浮出控件,其中包含有关市场活动的详细信息。

活动详细信息浮出控件中显示的内容在以下小节中介绍。

市场活动信息

在市场活动详细信息浮出控件的顶部,提供了以下市场活动信息:

  • 市场活动 ID:唯一的市场活动标识符。
  • 活动:活动的持续时间和活动。
  • 所选日期范围筛选器的以下数据 (或在时间线) 中选择:
    • 影响
    • 邮件:收件人总数。
    • 收件箱:传递到“收件箱”而不是“垃圾邮件Email”文件夹的邮件数。
    • 单击的链接:在钓鱼邮件中选择了有效负载 URL 的用户数。
    • 已访问的链接:访问了该 URL 的用户数。
    • 目标 (%) :按以下方式计算的百分比: (组织中的市场活动收件人数) / (服务) 中所有组织中的活动收件人总数。 此值是在整个市场活动生存期内计算的,不会由日期筛选器更改。
  • 市场活动流的开始日期/时间和结束数据/时间筛选器,如下一部分所述。
  • 市场活动交互式时间线:时间线显示整个市场活动生命周期内的活动。 可以将鼠标悬停在图形中的数据点上,以查看检测到的消息数。

市场活动信息

活动流

在市场活动详细信息浮出控件的中间,有关市场活动的重要详细信息显示在水平流程图 (称为 Sankey 图表) 。 这些详细信息可帮助你了解市场活动的内容以及组织中的潜在影响。

提示

流程图中显示的信息由时间线中的日期范围筛选器控制,如上一部分所述。

不包含用户 URL 点击的“市场活动”详细信息

如果将鼠标悬停在关系图中的水平带上,会看到相关消息的数量 (例如,来自特定源 IP 的消息、来自使用指定发件人域的源 IP 的消息等 ) 。

此图表包含以下信息:

  • 发件人 IP

  • 发件人域名

  • 筛选器判决:判决值与可用的网络钓鱼和垃圾邮件筛选判决相关,如 反垃圾邮件邮件头中所述。 下表描述了可用值:

    垃圾邮件筛选器判决 说明
    Allowed SFV:SKN
    <br/ SFV:SKI
    邮件在被垃圾邮件筛选评估之前被标记为非垃圾邮件和/或跳过筛选。 例如,邮件流规则 (也称为传输规则) 将邮件标记为非垃圾邮件。
    <br/ 邮件由于其他原因跳过了垃圾邮件筛选。 例如,发件人和收件人似乎位于同一组织中。
    阻止 SFV:SKS 邮件在被垃圾邮件筛选评估之前被标记为垃圾邮件。 例如,按邮件流规则。
    已检测 SFV:SPM 邮件被垃圾邮件筛选标记为垃圾邮件。
    未检测到 SFV:NSPM 邮件被垃圾邮件筛选标记为非垃圾邮件。
    已释放 SFV:SKQ 邮件跳过垃圾邮件筛选,因为它已从隔离区中释放。
    租户允许¹ SFV:SKA 由于反垃圾邮件策略中的设置,邮件跳过了垃圾邮件筛选。 例如,发件人位于允许的发件人列表或允许的域列表中。
    租户块² SFV:SKA 由于反垃圾邮件策略中的设置,邮件被垃圾邮件筛选阻止。 例如,发件人位于允许的发件人列表或允许的域列表中。
    用户允许¹ SFV:SFE 邮件跳过垃圾邮件筛选,因为发件人位于用户的安全发件人列表中。
    用户块² SFV:BLK 邮件被垃圾邮件筛选阻止,因为发件人位于用户的“阻止发件人”列表中。
    ZAP 不适用 零小时自动清除 (ZAP) 已传递的邮件移动到“垃圾邮件Email”文件夹或隔离区。 在 反垃圾邮件策略中配置操作。

    ¹ 查看反垃圾邮件策略,因为允许的邮件可能已被服务阻止。

    ² 查看反垃圾邮件策略,因为这些邮件应该被隔离,而不是传递。

  • 邮件目标:调查传递到收件人的邮件 (“收件箱”或“垃圾邮件Email”文件夹) ,即使用户未选择邮件中的有效负载 URL 也是如此。 还可以从隔离区中删除隔离邮件。 有关详细信息,请参阅 EOP 中的隔离电子邮件

    • 已删除文件夹
    • 下降
    • 外部:收件人位于混合环境中的本地电子邮件组织中。
    • 失败
    • 转发
    • 收件箱
    • 垃圾邮件文件夹
    • 隔离
    • Unknown
  • URL 单击次数:下一部分将介绍这些值。

注意

在包含 10 个以上项的所有层中,显示前 10 个项,其余项捆绑在 “其他”中。

URL 单击次数

将钓鱼邮件传递到收件人的“收件箱”或“垃圾邮件Email”文件夹时,用户始终有可能选择有效负载 URL。 不选择 URL 只是一个小的成功指标,但你需要首先确定网络钓鱼邮件传递到邮箱的原因。

如果用户在钓鱼邮件中选择了有效负载 URL,则操作将显示在市场活动详细信息视图中图表的 URL 单击 区域。

  • Allowed
  • BlockPage:收件人选择了有效负载 URL,但你组织中的 安全链接 策略阻止了他们对恶意网站的访问。
  • BlockPageOverride:收件人在邮件中选择了有效负载 URL,安全链接尝试阻止它们,但允许他们覆盖该块。 检查 安全链接策略 ,了解允许用户替代安全链接判决并继续访问恶意网站的原因。
  • PendingDetonationPage:Microsoft Defender for Office 365中的安全附件正在打开并调查虚拟环境中的有效负载 URL。
  • PendingDetonationPageOverride:允许收件人重写有效负载引爆过程并打开 URL,而无需等待结果。

选项卡

提示

选项卡上显示的信息由市场活动详细信息浮出控件中的日期范围筛选器控制,如 市场活动信息 部分所述。

市场活动详细信息浮出控件中的选项卡允许你进一步调查市场活动。 以下选项卡可用:

  • URL 单击次数:如果用户未在消息中选择有效负载 URL,则此部分为空。 如果用户能够选择 URL,则会填充以下值:

    • 用户*
    • Tags
    • URL*
    • 单击时间
    • 单击“判决”
  • 发件人 IP

    • 发件人 IP*
    • 总计计数
    • 收件箱
    • 未收件箱
    • SPF 通过:发件人 策略框架 (SPF) 进行身份验证。 未通过 SPF 验证的发件人指示未经身份验证的发件人,或者邮件正在欺骗合法发件人。
  • 发件人

    • 发件人:这是 SMTP MAIL FROM 命令中的实际发件人地址,不一定是用户在电子邮件客户端中看到的 发件人: 电子邮件地址。
    • 总计计数
    • 收件箱
    • 未收件箱
    • 已通过 DKIM:发件人已通过 域密钥标识邮件 (DKIM) 进行身份验证。 未通过 DKIM 验证的发件人表示未经身份验证的发件人,或邮件正在欺骗合法发件人。
    • 通过 DMARC:发件人已通过 基于域的消息身份验证、报告和符合性 (DMARC) 进行身份验证。 未通过 DMARC 验证的发件人指示未经身份验证的发件人,或邮件正在欺骗合法发件人。
  • 附件

    • Filename
    • SHA256
    • 恶意软件系列
    • 总计计数
  • URL

    • URL*
    • 总计数

* 选择此值将打开一个新的浮出控件,其中包含有关市场活动详细信息视图顶部的指定项 (用户、URL 等 ) 的更多详细信息。 若要返回到市场活动详细信息浮出控件,请在新的浮出控件中选择“ 完成 ”。

在每个选项卡上,选择要按该列排序的列标题。 若要删除列,请选择“ 自定义列”。 默认情况下,选中每个选项卡上的所有可用列。

其他操作

市场活动详细信息浮出控件底部的操作可用于调查和记录有关市场活动的详细信息:

  • 选择 “是 ”或 “否 ”, 选择“你认为此市场活动已将这些消息准确分组在一起?”
  • 浏览消息:在下拉列表中选择以下值之一,利用威胁资源管理器的强大功能进一步调查市场活动:
    • 所有邮件:使用 市场活动 ID 值作为搜索筛选器打开新的威胁资源管理器搜索选项卡。
    • 收件箱邮件:使用 市场活动 ID传递位置打开 新的威胁资源管理器搜索选项卡:收件箱作为搜索筛选器。
    • 内部消息:使用 市场活动 ID方向性:组织内部 作为搜索筛选器打开新的威胁资源管理器搜索选项卡。
  • 下载威胁报告:默认情况下,将市场活动详细信息下载到名为 CampaignReport.docx) 的 (Word文档。 下载内容包含整个市场活动生命周期的详细信息, (而不仅仅是所选) 日期筛选器。