威胁资源管理器中的威胁搜寻和 Microsoft Defender for Office 365 中的实时检测
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft Microsoft Defender for Office 365包含在订阅中或作为加载项购买的 365 个组织具有 Explorer (也称为威胁资源管理器) 或实时检测。 这些功能是功能强大的准实时工具,可帮助安全运营 (SecOps) 团队调查和响应威胁。 有关详细信息,请参阅关于威胁资源管理器和Microsoft Defender for Office 365中的实时检测。
威胁资源管理器或实时检测允许你执行以下操作:
- 查看 Microsoft 365 安全功能检测到的恶意软件。
- 查看钓鱼 URL,然后单击“判决数据”。
- 仅) (威胁资源管理器启动自动调查和响应过程。
- 调查恶意电子邮件。
- 等等。
观看此简短视频,了解如何使用Defender for Office 365搜寻和调查基于电子邮件和协作的威胁。
提示
Microsoft Defender XDR中的高级搜寻支持易于使用的查询生成器,该生成器不使用 Kusto 查询语言 (KQL) 。 有关详细信息,请参阅 使用引导模式生成查询。
本文提供了以下信息:
提示
有关使用威胁资源管理器和实时检测的电子邮件方案,请参阅以下文章:
如果要根据 QR 码中嵌入的恶意 URL 来搜寻攻击,则威胁资源管理器或实时检测中“所有电子邮件、恶意软件和网络钓鱼”视图中的 URL 源筛选器值 QR 代码可用于搜索包含从 QR 码提取的 URL 的电子邮件。
开始前,有必要了解什么?
威胁资源管理器包含在计划 2 Defender for Office 365 中。 实时检测包含在 Defender for Office 计划 1 中:
- 关于威胁资源管理器和Microsoft Defender for Office 365中的实时检测中介绍了威胁资源管理器和实时检测之间的差异。
- Defender for Office 365计划 1 与计划 2 备忘单中介绍了 Defender for Office 365 计划 2 和 Defender for Office 计划 1 之间的差异。
有关威胁资源管理器和实时检测的权限和许可要求,请参阅 威胁资源管理器的权限和许可和实时检测。
威胁资源管理器和实时检测演练
威胁资源管理器或实时检测在 Microsoft Defender 门户中https://security.microsoft.com的Email &协作部分中提供:
Defender for Office 365计划 1 中提供了实时检测。 “ 实时检测 ”页直接在 中 https://security.microsoft.com/realtimereportsv3可用。
威胁资源管理器Defender for Office 365计划 2 中提供。 “资源管理器”页直接在 https://security.microsoft.com/threatexplorerv3中可用。
威胁资源管理器包含与实时检测相同的信息和功能,但具有以下附加功能:
- 更多视图。
- 更多属性筛选选项,包括用于保存查询的选项。
- 威胁搜寻和修正操作。
有关Defender for Office 365计划 1 和计划 2 之间的差异的详细信息,请参阅Defender for Office 365计划 1 与计划 2 备忘单。
使用页面顶部的选项卡 (视图) 开始调查。
下表介绍了威胁资源管理器和实时检测中的可用视图:
查看 | 威胁 资源管理器 |
实时 检测 |
说明 |
---|---|---|---|
所有电子邮件 | ✔ | 威胁资源管理器的默认视图。 有关外部用户发送到组织的所有电子邮件的信息,或组织内部用户之间发送的电子邮件。 | |
恶意软件 | ✔ | ✔ | 实时检测的默认视图。 有关包含恶意软件的电子邮件的信息。 |
网络钓鱼 | ✔ | ✔ | 有关包含钓鱼威胁的电子邮件的信息。 |
活动 | ✔ | 有关Defender for Office 365计划 2 标识为协调网络钓鱼或恶意软件活动的一部分的恶意电子邮件的信息。 | |
内容恶意软件 | ✔ | ✔ | 有关以下功能检测到的恶意文件的信息: |
URL 单击次数 | ✔ | 有关用户单击电子邮件、Teams 邮件、SharePoint 文件和 OneDrive 文件中的 URL 的信息。 |
使用视图中的日期/时间筛选器和可用的筛选器属性来优化结果:
- 有关创建筛选器的说明,请参阅 威胁资源管理器中的属性筛选器和实时检测。
- 以下位置介绍了每个视图的可用筛选器属性:
提示
请记得在创建或更新筛选器后选择“ 刷新 ”。 筛选器会影响图表中的信息和视图的详细信息区域。
可以考虑将威胁资源管理器或实时检测中的焦点细化为层,以便更轻松地回溯步骤:
- 第一层是你正在使用的视图。
- 第二个是在该视图中使用的筛选器。
例如,可以通过记录决策来回溯查找威胁所执行的步骤:为了在威胁资源管理器中查找问题,我使用了 “恶意软件” 视图,并使用了 “收件人 筛选器”焦点。
此外,请务必测试显示选项。 例如,不同的受众 (,管理) 可能会对相同数据的不同呈现做出更好或更坏的反应。
例如,在威胁资源管理器的“所有电子邮件”视图中,页面底部的详细信息区域中提供了Email源和市场活动视图 (选项卡) :
可以将此信息用于以下结果:
- 显示对安全性和保护的需求。
- 稍后演示任何操作的有效性。
Email调查
在“威胁资源管理器”或“实时检测”中的“所有电子邮件”、“恶意软件”或“网络钓鱼”视图中,电子邮件结果显示在“Email”选项卡的表中, (图表下方的详细信息区域) 视图。
看到可疑电子邮件时,单击表中某个条目的 “主题” 值。 打开的详细信息浮出控件包含浮出控件顶部的“打开电子邮件”实体。
Email实体页汇集了需要了解的有关消息及其内容的所有内容,以便确定消息是否为威胁。 有关详细信息,请参阅Email实体页概述。
Email修正
确定电子邮件是威胁后,下一步是修正威胁。 使用“执行操作”在威胁资源管理器或实时检测中修正威胁。
“威胁资源管理器”中的所有电子邮件、恶意软件或网络钓鱼视图或“Email”选项卡的“实时检测”中提供了“执行操作”, (图表下方详细信息区域) 视图:
通过选择第一列旁边的“检查”框,选择表中的一个或多个条目。 “执行操作 ”直接在选项卡中可用。
提示
“执行操作” 将替换 “消息操作” 下拉列表。
如果选择 100 个或更少条目,则可以在 “执行操作 ”向导中对消息执行多个操作。
如果选择 101 到 200,000 个条目,则 “执行 操作”向导中只有以下操作可用:
- 威胁资源管理器: 移动或删除 和 建议修正 是可用的,但它们是相互排斥的, (你可以选择一个或另一个) 。
- 实时检测:仅 提交到Microsoft以供审阅 ,并在租户允许/阻止列表中创建相应的允许/阻止条目。
单击表中某个条目的 “主题 ”值。 打开的详细信息浮出控件包含浮出控件顶部的“执行操作”。
“执行操作”向导
选择“ 执行操作 ”将在浮出控件中打开 “执行操作 ”向导。 下表列出了计划 2 和Defender for Office 365计划 1 Defender for Office 365“执行操作”向导中的可用操作:
操作 | Defender for Office 365计划 2 |
Defender for Office 365计划 1 |
---|---|---|
移动或删除 | ✔¹ | |
向部分或所有原始收件人释放隔离邮件² | ✔ | |
提交到Microsoft以供审阅 | ✔ | ✔ |
允许或阻止租户允许/阻止列表中的条目 | ✔ | ✔ |
启动自动调查 | ✔ | |
建议修正 | ✔ |
¹ 此操作需要Email &协作权限中的搜索和清除角色。 默认情况下,此角色仅分配给 数据调查员 和组织 管理 角色组。 可以将用户添加到这些角色组,也可以创建分配有搜索和清除角色的新角色组,并将用户添加到自定义角色组。
² 选择“ 收件箱” 作为移动位置时,此选项可用于隔离邮件。
ー 此操作可在 “提交到Microsoft”下查看。
以下列表中介绍了 “执行操作 ”向导:
在 “选择响应操作” 页上,可以使用以下选项:
显示所有响应操作:此选项仅在威胁资源管理器中可用。
默认情况下,根据邮件 的“最新传递位置 ”值,某些操作不可用/灰显。 若要显示所有可用的响应操作,请将切换开关滑动到 “打开”。
移动或删除:选择显示的可用值之一:
垃圾邮件:将邮件移动到“垃圾邮件Email”文件夹。
收件箱:将邮件移动到“收件箱”。 选择此值可能还会显示以下选项:
移回“已发送邮件”文件夹:如果邮件是由内部发件人发送的,并且邮件已软删除 (移动到“可恢复项目\删除项”文件夹) ,则选择此选项会尝试将邮件移回“已发送邮件”文件夹。 如果之前选择了“ 移动或删除>软删除的项目 ”,并且还选中了邮件上的“ 删除发件人的副本 ”,则此选项是撤消操作。
对于值为“最新送达位置”属性的“隔离”的邮件,选择“收件箱”会将邮件从隔离区中释放出来,因此还可以使用以下选项:
- 释放给电子邮件的一个或多个原始收件人:如果选择此值,将显示一个框,你可以在其中选择或取消选择隔离邮件的原始收件人。
- 释放给所有收件人
已删除邮件:将邮件移动到“已删除邮件”文件夹。
软删除的项目:将邮件移动到“可恢复的项目\删除”文件夹,这相当于从“已删除邮件”文件夹中删除邮件。 用户和管理员可恢复该消息。
删除发件人的副本:如果邮件是由内部发件人发送的,也尝试从发件人的“已发送邮件”文件夹中软删除邮件。
硬删除的项目:清除已删除的邮件。 管理员可以使用单项恢复来恢复硬删除的项。 有关硬删除项和软删除项的详细信息,请参阅 软删除项和硬删除项。
提交到Microsoft以供审阅:选择显示的可用值之一:
我已确认它已干净:如果确定消息干净,请选择此值。 将显示以下选项:
-
允许这样的邮件:如果选择此值,允许条目添加到发件人的 租户允许/阻止列表 以及邮件中的任何相关 URL 或附件。 还会显示以下选项:
- 删除之后的条目:默认值为 1 天,但你也可以选择 7 天、 30 天或小于 30 天 的特定日期 。
- 允许输入注释:输入包含其他信息的可选注释。
-
允许这样的邮件:如果选择此值,允许条目添加到发件人的 租户允许/阻止列表 以及邮件中的任何相关 URL 或附件。 还会显示以下选项:
它看起来干净 或 看起来可疑:如果你不确定并且想要从Microsoft做出判决,请选择以下值之一。
我已确认存在威胁:如果确定该项目是恶意的,请选择此值,然后在显示的“ 选择类别” 部分中选择以下值之一:
- 网络钓鱼
- 恶意软件
- 垃圾邮件
选择其中一个值后,将打开 “选择要阻止的实体 ”浮出控件,你可以在其中选择一个或多个与邮件关联的实体, (发件人地址、发件人域、URL 或文件附件) 添加为阻止条目到租户允许/阻止列表。
选择要阻止的项目后,选择 “添加到阻止”规则 以关闭 “选择要阻止的实体 ”浮出控件。 或者,不选择任何项目,然后选择 “取消”。
返回“ 选择响应操作” 页,为块条目选择过期选项:
- 到期日期:选择块条目的到期日期。
- 永不过期
阻止的实体数 (显示,例如, 要阻止) 的 4/4 个实体 。 选择“编辑”以重新打开“添加到阻止”规则并进行更改。
启动自动调查:仅限威胁资源管理器。 选择出现的以下值之一:
- 调查电子邮件
- 调查收件人
- 调查发件人:此值仅适用于组织中的发件人。
- 联系人收件人
建议修正:选择以下出现的值之一:
新建:此值触发一个软删除电子邮件挂起操作,该操作需要由操作中心的管理员批准。 此结果也称为 双重审批。
添加到现有:使用此值可对现有修正的此电子邮件应用操作。 在 “将电子邮件提交到以下修正 ”框中,选择现有修正。
提示
没有足够的权限的 SecOps 人员可以使用此选项来创建修正,但具有权限的人员需要在操作中心批准操作。
在“ 选择响应操作” 页上完成操作后,选择“ 下一步”。
在 “选择目标实体 ”页上,配置以下选项:
- 名称和说明:输入唯一的描述性名称和可选说明来跟踪和标识所选操作。
页面的其余部分是一个表,其中列出了受影响的资产。 表按以下列进行组织:
-
受影响的资产:上一页中受影响的资产。 例如:
- 收件人电子邮件地址
- 整个租户
-
操作:上一页中资产的选定操作。 例如:
- 从 “提交”到“Microsoft以供审阅的值:
- 以干净状态报告
- 报告
- 报告为恶意软件、 报告为垃圾邮件或 报告为钓鱼
- 阻止发件人
- 阻止发件人域
- 阻止 URL
- 块附件
-
启动自动调查中的值:
- 调查电子邮件
- 调查收件人
- 调查发件人
- 联系人收件人
-
建议修正中的值:
- 创建新的修正
- 添加到现有修正
- 从 “提交”到“Microsoft以供审阅的值:
-
目标实体:例如:
- 电子邮件的网络消息 ID 值 。
- 阻止的发件人电子邮件地址。
- 阻止的发件人域。
- 阻止的 URL。
- 被阻止的附件。
-
过期时间:值仅存在于租户/允许阻止列表中允许或阻止条目。 例如:
- 块条目永不过期。
- 允许或阻止条目的到期日期。
- 范围:通常,此值MDO。
在此阶段,还可以撤消某些操作。 例如,如果只想在租户允许/阻止列表中创建阻止条目,而不将实体提交到Microsoft,则可以在此处执行此操作。
完成“ 选择目标实体 ”页后,选择“ 下一步”。
在“ 审阅并提交 ”页上,查看以前的选择。
选择“导出”,将受影响的资产导出到 CSV 文件。 默认情况下,文件名为 “受影响的”assets.csv 位于 “下载” 文件夹中。
选择“ 后退 ”以返回并更改选择。
在“ 审阅和提交 ”页上完成操作后,选择“ 提交”。
提示
操作可能需要一些时间才能显示在相关页面上,但修正速度不受影响。
使用威胁资源管理器和实时检测的威胁搜寻体验
威胁资源管理器或实时检测可帮助安全运营团队有效地调查和响应威胁。 以下小节介绍了威胁资源管理器和实时检测如何帮助你查找威胁。
从警报中搜寻威胁
Defender 门户中的 “警报 ”页位于 “事件”&“警报>”“警报”中,或直接在 处 https://security.microsoft.com/alerts提供。
许多具有检测源值的警报MDO警报详细信息浮出控件顶部提供“在资源管理器中查看消息”操作。
单击警报旁边的检查框以外的任何位置时,将打开警报详细信息浮出控件。 例如:
- 检测到潜在的恶意 URL 单击
- 已完成管理员提交结果
- 传递后删除包含恶意 URL 的Email邮件
- 电子邮件在送达后删除
- 包含恶意实体的邮件在传递后未删除
- 由于 ZAP 被禁用,网络钓鱼未被查获
选择 “在资源管理器中查看邮件” ,在 “所有电子邮件 ”视图中打开“威胁资源管理器”,并为警报选择属性筛选器 “警报 ID ”。 警报 ID 值是警报 (的唯一 GUID 值,例如 89e00cdc-4312-7774-6000-08dc33a24419) 。
警报 ID 是威胁资源管理器和实时检测中以下视图中的可筛选属性:
在这些视图中, 警报 ID 在以下选项卡的图表下方的详细信息区域中作为可选列提供, (视图) :
- 威胁资源管理器中“所有电子邮件”视图的详细信息区域Email视图
- 威胁资源管理器和实时检测中恶意软件视图详细信息区域的Email视图
- 威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的Email视图
在单击其中一个条目中的“主题”值时打开的电子邮件详细信息浮出控件中,浮出控件的“Email详细信息”部分中提供了“警报 ID”链接。 选择“警报 ID”链接将打开“查看https://security.microsoft.com/viewalertsv2警报”页,其中选择了警报,并打开警报的详细信息浮出控件。
威胁资源管理器中的标记
在Defender for Office 365计划 2 中,如果使用用户标记来标记高价值目标帐户 (,则优先级帐户标记) 可以将这些标记用作筛选器。 此方法显示在特定时间段内针对高价值目标帐户的钓鱼尝试。 有关用户标记的详细信息,请参阅 用户标记。
威胁资源管理器中的以下位置提供了用户标记:
- 所有电子邮件 视图:
- 恶意软件 视图:
- 网络钓鱼 视图:
- URL 单击视图 :
电子邮件的威胁信息
电子邮件的传递前和传递后操作将合并到单个记录中,而不管影响邮件的不同传递后事件如何。 例如:
- 零小时自动清除 (ZAP) 。
- 手动修正 (管理员操作) 。
- 动态交付。
“Email”选项卡的电子邮件详细信息浮出控件 (“所有电子邮件”、“恶意软件”或“网络钓鱼”视图中) 显示关联的威胁以及与电子邮件关联的相应检测技术。 一条消息可以包含零个、一个或多个威胁。
在 “传递详细信息 ”部分中, “检测技术 ”属性显示识别威胁的检测技术。 检测技术 还可以作为图表透视表或详细信息表中的列,用于威胁资源管理器和实时检测中的许多视图。
URL 部分显示消息中任何 URL 的特定威胁信息。 例如, 恶意软件、 网络钓鱼、**垃圾邮件或 无。
提示
判决分析不一定绑定到实体。 筛选器在分配判决之前评估电子邮件的内容和其他详细信息。 例如,电子邮件可能归类为网络钓鱼或垃圾邮件,但邮件中没有带有网络钓鱼或垃圾邮件判决的 URL 标记。
选择浮出控件顶部的“ 打开电子邮件实体 ”,查看有关电子邮件的详尽详细信息。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的Email实体页。
威胁资源管理器中的扩展功能
以下小节介绍威胁资源管理器独有的筛选器。
Exchange 邮件流规则 (传输规则)
若要查找受 Exchange 邮件流规则 (也称为传输规则) 影响的邮件,请在威胁资源管理器的 “所有电子邮件、 恶意软件和 网络钓鱼 ”视图中使用以下选项, (不在实时检测) :
- Exchange 传输规则 是 “主要替代源”、“ 替代源”和 “策略类型 可筛选”属性的可选值。
- Exchange 传输规则 是可筛选的属性。 为规则名称输入部分文本值。
有关详细信息,请参阅以下链接:
“Email”选项卡 (视图) 威胁资源管理器中“所有电子邮件”、“恶意软件”和“网络钓鱼”视图的详细信息区域,并且 Exchange 传输规则作为默认未选择的可用列。 此列显示传输规则的名称。 有关详细信息,请参阅以下链接:
- 威胁资源管理器中“所有电子邮件”视图的详细信息区域Email视图
- 威胁资源管理器和实时检测中恶意软件视图详细信息区域的Email视图
- 威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的Email视图
提示
有关在威胁资源管理器中按名称搜索邮件流规则所需的权限,请参阅 威胁资源管理器的权限和许可和实时检测。 无需特殊权限即可在电子邮件详细信息浮出控件、详细信息表和导出的结果中查看规则名称。
入站连接器
入站连接器为 Microsoft 365 指定电子邮件源的特定设置。 有关详细信息,请参阅 在 Exchange Online 中使用连接器配置邮件流。
若要查找受入站连接器影响的邮件,可以使用 连接器 可筛选属性在威胁资源管理器 的“所有电子邮件、 恶意软件和 网络钓鱼 ”视图中按名称搜索连接器, (不在实时检测) 。 为连接器的名称输入部分文本值。 有关详细信息,请参阅以下链接:
“Email”选项卡 (视图) 威胁资源管理器中“所有电子邮件”、“恶意软件”和“网络钓鱼”视图的详细信息区域,还会将连接器作为默认未选择的可用列。 此列显示连接器的名称。 有关详细信息,请参阅以下链接:
- 威胁资源管理器中“所有电子邮件”视图的详细信息区域Email视图
- 威胁资源管理器和实时检测中恶意软件视图详细信息区域的Email视图
- 威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的Email视图
在威胁资源管理器和实时检测中Email安全方案
有关特定方案,请参阅以下文章:
使用威胁资源管理器和实时检测的更多方法
除了本文中概述的方案外,还可以在资源管理器或实时检测中提供更多选项。 有关详细信息,请参阅以下文章: