在 適用於 Office 365 的 Microsoft Defender 中使用威脅總管和即時偵測來 Email 安全性
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
Microsoft 365 個組織在其訂用帳戶中包含 適用於 Office 365 的 Microsoft Defender 或以附加元件的形式購買,則總管 (也稱為威脅總管) 或即時偵測。 這些功能是強大的近乎即時工具,可協助安全性作業 (SecOps) 小組調查和回應威脅。 如需詳細資訊,請參閱關於威脅總管和 適用於 Office 365 的 Microsoft Defender 中的即時偵測。
本文說明如何使用威脅總管或即時偵測,檢視及調查電子郵件中偵測到的惡意代碼和網路釣魚嘗試。
提示
如需使用威脅總管和即時偵測的其他電子郵件案例,請參閱下列文章:
開始之前有哪些須知?
威脅總管包含在方案 2 適用於 Office 365 的 Defender 中。 適用於 Office 的 Defender 方案 1 包含即時偵測:
- 關於威脅總管和 適用於 Office 365 的 Microsoft Defender 中的即時偵測中,會說明威脅總管與即時偵測之間的差異。
- 適用於 Office 365 的 Defender 方案 2 和適用於 Office 的 Defender 方案 1 之間的差異,請參閱 適用於 Office 365 的 Defender 方案 1 與方案 2 小秘技。
如需威脅總管和即時偵測的許可權和授權需求,請參閱威脅總管 和即時偵測的許可權和授權。
檢視傳送給模擬使用者和網域的網路釣魚電子郵件
如需 適用於 Office 365 的 Defender 中反網路釣魚原則中使用者和網域模擬保護的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的模擬設定。
在預設或自定義的反網路釣魚原則中,您必須指定要防止仿真的使用者和網域,包括您擁有的網 域 (接受的網域) 。 在 Standard 或嚴格預設安全策略中,您擁有的網域會自動收到模擬保護,但您需要指定任何使用者或自定義網域以進行模擬保護。 如需指示,請參閱下列文章:
使用下列步驟來檢閱網路釣魚訊息,並搜尋仿真的使用者或網域。
使用下列其中一個步驟來開啟威脅總管或即時偵測:
- 威脅總管:在Defender入口網站https://security.microsoft.com中,移至 Email &安全>性總管]。 或者,若要直接移至 [ 總管] 頁面,請使用 https://security.microsoft.com/threatexplorerv3。
- 即時偵測:在Defender入口網站https://security.microsoft.com中,移至 Email &安全>性即時偵測。 或者,若要直接移至 [實時偵測] 頁面,請使用 https://security.microsoft.com/realtimereportsv3。
在 [ 總管 ] 或 [實時偵測] 頁面上,選取 [網络釣魚 ] 檢視。 如需 網路釣魚 檢視的詳細資訊,請參閱威脅總管 中的網路釣魚檢視和即時偵測。
選取日期/時間範圍。 預設值為昨天和今天。
執行下列任何步驟:
尋找任何使用者或網域模擬嘗試:
- 選取 [寄件者位址 (屬性) ] 方塊,然後在下拉式清單的 [基本] 區段中選取 [偵測技術]。
- 確認已選取 Equal any 作為篩選運算符。
- 在屬性值方塊中,選取 [模擬網域 ] 和 [模擬使用者]
尋找特定的模擬使用者嘗試:
- 選取 [寄件者位址 (屬性) ] 方塊,然後在下拉式清單的 [基本] 區段中選取 [模擬使用者]。
- 確認已選取 Equal any 作為篩選運算符。
- 在屬性值方塊中,輸入收件者的完整電子郵件位址。 以逗號分隔多個收件者值。
尋找特定的模擬網域嘗試:
- 選取 [寄件者位址 (屬性) ] 方塊,然後在下拉式清單的 [基本] 區段中選取 [模擬網域]。
- 確認已選取 Equal any 作為篩選運算符。
- 在屬性值方塊中,輸入網域 (例如,contoso.com) 。 以逗號分隔多個定義域值。
視需要使用其他可篩選屬性輸入更多條件。 如需指示,請參閱 威脅總管中的屬性篩選和即時偵測。
當您完成建立篩選條件時,請選取 [ 重新整理]。
在圖表下方的詳細數據區域中,確認已選取 Email 索引標籤 (檢視) 。
您可以排序專案,並顯示更多數據行,如威脅總管和即時偵測中網路釣魚檢視詳細數據區域 Email 檢視中所述。
如果您選取資料表中專案的 [ 主旨 ] 值,就會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,且包含訊息 Email 實體頁面上也提供的標準化摘要資訊。
如需 Email 摘要面板中資訊的詳細資訊,請參閱 Email 摘要面板。
如需威脅總管和即時偵測 Email 摘要面板頂端可用動作的相關信息,請參閱所有電子郵件檢視中詳細數據區域的 Email 檢視 Email 詳細數據, (網路釣魚檢視) 也提供相同的動作。
如果您選取資料表中專案的 [ 收件者 ] 值,則會開啟不同的詳細數據飛出視窗。 如需詳細資訊,請參閱網路釣魚檢視中詳細數據區域 Email 檢視中的收件者詳細數據。
匯出 URL 點擊資料
您可以將 URL Click 數據匯出至 CSV 檔案,以檢視 網路訊息識別 碼和 按兩下決策 值,這有助於說明URL點選流量的來源。
使用下列其中一個步驟來開啟威脅總管或即時偵測:
- 威脅總管:在Defender入口網站https://security.microsoft.com中,移至 Email &安全>性總管]。 或者,若要直接移至 [ 總管] 頁面,請使用 https://security.microsoft.com/threatexplorerv3。
- 即時偵測:在Defender入口網站https://security.microsoft.com中,移至 Email &安全>性即時偵測。 或者,若要直接移至 [實時偵測] 頁面,請使用 https://security.microsoft.com/realtimereportsv3。
在 [ 總管 ] 或 [實時偵測] 頁面上,選取 [網络釣魚 ] 檢視。 如需 網路釣魚 檢視的詳細資訊,請參閱威脅總管 中的網路釣魚檢視和即時偵測。
選取日期/時間範圍,然後選取 [ 重新整理]。 預設值為昨天和今天。
在詳細數據區域中,選取 [ 頂端 URL] 或 [ 頂端點選] 索引卷標 (檢視) 。
在 [ 頂端 URL] 或 [頂端按兩下 ] 檢視中,選取第一個數據行旁邊的複選框,從數據表中選取一或多個專案,然後選取 [ 導出]。 資源管理員>網路釣魚>點擊>最上層 URL 或 URL 單擊滑鼠選取> 任何記錄以開啟 URL 飛出視窗。
您可以使用網路訊息識別碼值,在威脅總管或即時偵測或外部工具中搜尋特定訊息。 這些搜尋會識別與點選結果相關聯的電子郵件訊息。 擁有相互關聯的網路訊息標識碼可讓您更快速且更強大的分析。
檢視在電子郵件中偵測到的惡意代碼
使用威脅總管或即時偵測中的下列步驟,查看 Microsoft 365 在電子郵件中偵測到的惡意代碼。
使用下列其中一個步驟來開啟威脅總管或即時偵測:
- 威脅總管:在Defender入口網站https://security.microsoft.com中,移至 Email &安全>性總管]。 或者,若要直接移至 [ 總管] 頁面,請使用 https://security.microsoft.com/threatexplorerv3。
- 即時偵測:在Defender入口網站https://security.microsoft.com中,移至 Email &安全>性即時偵測。 或者,若要直接移至 [實時偵測] 頁面,請使用 https://security.microsoft.com/realtimereportsv3。
在 [ 總管 ] 或 [實時偵測] 頁面上,選取 [ 惡意代碼] 檢視 。 如需 網路釣魚 檢視的詳細資訊,請參閱威脅總管 中的惡意代碼檢視和即時偵測。
選取日期/時間範圍。 預設值為昨天和今天。
選取 [寄件者位址 (屬性) ] 方塊,然後在下拉式清單的 [基本] 區段中選取 [偵測技術]。
- 確認已選取 Equal any 作為篩選運算符。
- 在 [屬性值] 方塊中,選取下列一或多個值:
- Anti-malware protection
- 檔案擷取
- 檔案擷取信譽
- 檔案信譽
- 指紋比對
視需要使用其他可篩選屬性輸入更多條件。 如需指示,請參閱 威脅總管中的屬性篩選和即時偵測。
當您完成建立篩選條件時,請選取 [ 重新整理]。
此報告會使用您選取的技術選項,顯示惡意代碼在電子郵件中偵測到的結果。 您可以從這裡進行進一步分析。
將訊息回報為乾淨
您可以使用 Defender https://security.microsoft.com/reportsubmission 入口網站中的 [提交] 頁面,將訊息回報為清除 (誤判) Microsoft。 但您也可以從 [威脅總管] 或 [Email] 實體頁面中,以清除方式提交訊息Microsoft。
如需指示,請 參閱威脅搜捕:採取動作精靈。
摘要說明:
使用下列其中一種方法選取 [採取動作]:
- 選取項目複選框,從 [Email] 索引卷標中的 [詳細數據] 數據表中選取一或多個訊息, (檢視 [所有電子郵件]、[惡意代碼] 或 [網络釣魚] 檢視中的) 。
或
- 在詳細數據飛出視窗中,按兩下 [主旨] 值,從 [Email] 索引卷標的詳細數據數據表中選取訊息, (檢視 [所有電子郵件]、[惡意代碼] 或 [網络釣魚] 檢視中的) 。
在 [採取動作精靈] 中,選取 [提交至Microsoft以供檢閱>我確認其是否乾淨。
檢視網路釣魚 URL,然後按兩下決策數據
安全鏈接保護會追蹤允許、封鎖和覆寫的URL。 由於 預設安全策略中的內建保護,安全鏈接保護預設為開啟。 安全鏈接保護已在 Standard和嚴格預設安全策略中開啟。 您也可以在自定義安全鏈接原則中建立和設定 安全連結保護。 如需安全鏈接原則設定的詳細資訊,請參閱 安全鏈接原則設定。
使用下列步驟查看在電子郵件訊息中使用URL的網路釣魚嘗試。
使用下列其中一個步驟來開啟威脅總管或即時偵測:
- 威脅總管:在Defender入口網站https://security.microsoft.com中,移至 Email &安全>性總管]。 或者,若要直接移至 [ 總管] 頁面,請使用 https://security.microsoft.com/threatexplorerv3。
- 即時偵測:在Defender入口網站https://security.microsoft.com中,移至 Email &安全>性即時偵測。 或者,若要直接移至 [實時偵測] 頁面,請使用 https://security.microsoft.com/realtimereportsv3。
在 [ 總管 ] 或 [實時偵測] 頁面上,選取 [網络釣魚 ] 檢視。 如需 網路釣魚 檢視的詳細資訊,請參閱威脅總管 中的網路釣魚檢視和即時偵測。
選取日期/時間範圍。 預設值為昨天和今天。
選取 [寄件者位址 (屬性) ] 方塊,然後選取下拉式清單的 [URL] 區段中的 [按兩下決策]。
- 確認已選取 Equal any 作為篩選運算符。
- 在 [屬性值] 方塊中,選取下列一或多個值:
- 封鎖
- 已封鎖覆寫
如需 Click 決策值的說明,請參閱威脅總管中 [所有電子郵件] 檢視中的 [可篩選屬性] 中的[按兩下決策]。
視需要使用其他可篩選屬性輸入更多條件。 如需指示,請參閱 威脅總管中的屬性篩選和即時偵測。
當您完成建立篩選條件時,請選取 [ 重新整理]。
圖表下方詳細數據區域中 (檢視) 的 [ 最上層 URL ] 索引標籤會顯示前五個 URL 的 [已封鎖的郵件]、[ 已垃圾郵件] 和 [訊息傳遞 ] 計數。 如需詳細資訊,請參閱威脅總管 和即時偵測中網路釣魚檢視詳細數據區域的前一個URL檢視。
圖表下方詳細數據區域中的 [ 頂端點 選] 索引標籤 (檢視) 會顯示安全連結所包裝的前五個點選連結。 未包裝連結上的 URL 點選不會顯示於此處。 如需詳細資訊,請參閱威脅總管 中網路釣魚檢視的詳細數據區域和即時偵測的按滑鼠頂端檢視。
這些 URL 資料表會顯示儘管出現警告,仍遭到封鎖或流覽的 URL。 此信息顯示提供給使用者的潛在不良連結。 您可以從這裡進行進一步分析。
從檢視中的項目選取 URL 以取得詳細數據。 如需詳細資訊,請參閱網路釣魚 檢視中 [前一個 URL] 和 [最上一步] 索引卷標的 URL 詳細數據。
提示
在 URL 詳細資料飛出視窗中,會移除電子郵件訊息的篩選,以顯示您環境中 URL 曝光的完整檢視。 此行為可讓您篩選特定的電子郵件訊息、尋找潛在威脅的特定 URL,然後擴展您對環境中 URL 曝光的瞭解,而不需要在 網路 釣魚檢視中新增 URL 篩選。
按兩下決策的解譯
Click 決策屬性結果會顯示在下列位置:
- 按兩下 [URL] 的決策圖表樞紐,按兩下 [僅) 或網路釣魚] 檢視之 [所有電子郵件檢視] (詳細數據區域的檢視
- 威脅總管中 [所有電子郵件] 檢視詳細數據區域的 [最上層按兩下] 檢視
- 威脅總管和即時偵測中網路釣魚檢視詳細數據區域的按滑鼠頂端檢視
- [威脅總管] 中 URL 點選檢視詳細數據區域的最上層點選檢視
下列清單說明決策值:
- 允許:允許用戶開啟 URL。
- 封鎖覆寫:已封鎖使用者直接開啟 URL,但他們會覆寫區塊以開啟 URL。
- 已封鎖:已封鎖用戶開啟 URL。
- 錯誤:使用者看到錯誤頁面,或擷取決策時發生錯誤。
- 失敗:擷取決策時發生未知的例外狀況。 使用者可能已開啟 URL。
- 無:無法擷取 URL 的決策。 使用者可能已開啟 URL。
- 暫止的決策:使用者看到擱置中的擱置頁面。
- 略過暫止的決策:使用者看到遭到竊聽的頁面,但他們會覆寫訊息以開啟 URL。
在威脅總管中開始自動化調查和回應
適用於 Office 365 的 Defender 方案 2 中 AIR) (自動化調查和回應,可在您調查並減輕網路攻擊時節省時間和精力。 您可以設定觸發安全性劇本的警示,而且可以在 [威脅總管] 中啟動 AIR。 如需詳細資訊,請參閱 範例:安全性系統管理員從 Explorer 觸發調查。