調查在 Microsoft 365 中傳遞的惡意電子郵件
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
Microsoft 適用於 Office 365 的 Microsoft Defender 包含在其訂用帳戶中或以附加元件方式購買的 365 組織,其總管 (也稱為威脅總管) 或即時偵測。 這些功能是強大的近乎即時工具,可協助安全性作業 (SecOps) 小組調查和回應威脅。 如需詳細資訊,請參閱關於威脅總管和 適用於 Office 365 的 Microsoft Defender 中的即時偵測。
威脅總管和即時偵測可讓您調查讓組織中的人員面臨風險的活動,並採取動作來保護您的組織。 例如:
- 尋找和刪除訊息。
- 識別惡意電子郵件寄件者 IP 位址。
- 啟動事件以進行進一步調查。
本文說明如何使用威脅總管和即時偵測來尋找收件者信箱中的惡意電子郵件。
開始之前有哪些須知?
威脅總管包含在方案 2 適用於 Office 365 的 Defender 中。 適用於 Office 的 Defender 方案 1 包含即時偵測:
- 關於威脅總管和 適用於 Office 365 的 Microsoft Defender 中的即時偵測,說明威脅總管與即時偵測之間的差異。
- 適用於 Office 365 的 Defender 方案 2 與適用於 Office 的 Defender 方案 1 之間的差異,請參閱 適用於 Office 365 的 Defender 方案 1 與方案 2 小秘技。
對於需要您選取一或多個可用值的篩選屬性,在篩選條件中使用 屬性並選取所有值的結果與在篩選條件中不使用 屬性相同。
如需威脅總管和即時偵測的許可權和授權需求,請參閱威脅總管 和即時偵測的許可權和授權。
尋找已傳遞的可疑電子郵件
使用下列其中一個步驟來開啟威脅總管或即時偵測:
- 威脅總管:在 Defender 入口網站https://security.microsoft.com中,移至 Email & 安全>性總管]。 或者,若要直接移至 [ 總管] 頁面,請使用 https://security.microsoft.com/threatexplorerv3。
- 即時偵測:在Defender入口網站https://security.microsoft.com中,移至 Email & 安全>性即時偵測] 。 或者,若要直接移至 [實時偵測] 頁面,請使用 https://security.microsoft.com/realtimereportsv3。
在 [ 總管 ] 或 [實時偵測] 頁面上,選取適當的檢視:
- 威脅總管:確認已選取 [所有電子郵件] 檢視 。
- 實時偵測:確認已選取 [惡意代碼 ] 檢視,或選取 [網络釣魚] 檢視。
選取日期/時間範圍。 預設值為昨天和今天。
使用下列部分或所有目標屬性和值,建立一或多個篩選條件。 如需完整指示,請參閱 威脅總管中的屬性篩選和即時偵測。 例如:
傳遞動作:因現有原則或偵測而對電子郵件採取的動作。 有用的值包括:
- 已傳遞:Email 傳遞至使用者的 [收件匣] 或其他使用者可以存取訊息的資料夾。
- 垃圾郵件:Email 傳遞至使用者可存取郵件的垃圾郵件 Email 資料夾或 [刪除的郵件] 資料夾。
- 已封鎖:Email 已隔離、傳遞失敗或已卸除的訊息。
原始傳遞位置:電子郵件在系統或系統管理員進行任何自動或手動傳遞後動作之前, (,例如 ZAP 或移至隔離) 。 有用的值包括:
- 已刪除的項目資料夾
- 已卸除:郵件在郵件流程中的某處遺失。
- 失敗:郵件無法連線到信箱。
- 收件匣/資料夾
- 垃圾郵件資料夾
- 內部部署/外部:信箱不存在於Microsoft 365 組織中。
- 隔離區
- 未知:例如,傳遞之後,收件匣規則會將郵件移至預設資料夾 (例如 Draft 或 Archive) ,而不是 [收件匣] 或 [垃圾郵件] Email資料夾。
上次傳遞位置:在系統或系統管理員採取任何自動或手動傳遞後動作之後,電子郵件結束的位置。 原始 傳遞位置提供相同的值。
方向性:有效值為:
- 入境
- 組織內部
- 出埠
此資訊有助於識別詐騙和模擬。 例如,來自內部網域發件人的訊息應該是 Intra-org,而不是 Inbound。
其他動作:有效值為:
- 方案 2) 適用於 Office 365 的 Defender 自動補救 (
- 動態傳遞:如需詳細資訊,請參閱 安全附件原則中的動態傳遞。
- 手動補救
- 無
- 隔離發行
- 重新處理:訊息已追溯識別為良好。
- ZAP:如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的零時差自動清除 (ZAP) 。
主要覆寫:如果組織或使用者設定允許或封鎖原本已封鎖或允許的訊息。 值為:
- 組織原則允許
- 用戶原則允許
- 組織原則封鎖
- 遭到使用者原則封鎖
- 無
主要 覆寫來源 屬性會進一步精簡這些類別。
主要覆寫來源 允許或封鎖原本已封鎖或允許之訊息的組織原則或使用者設定類型。 值為:
- 第三方篩選
- 管理員 起始的時間移動
- 依文件類型封鎖反惡意代碼原則: 反惡意代碼原則中的常見附件篩選
- 反垃圾郵件原則設定
- 線上原則: 設定連線篩選
- 郵件流程規則 (Exchange 傳輸規則)
- 獨佔模式 (使用者覆寫) : 來自我安全發件人和網域清單中位址的唯一信任電子郵件 ,以及 信箱上 safelist 集合中的安全郵件清單設定。
- 因為內部部署組織而略過篩選
- 來自原則的IP區域篩選:反垃圾郵件原則中的 [從這些國家/地區篩選]。
- 原則中的語言篩選:在反垃圾郵件原則中包含特定語言篩選。
- 網路釣魚模擬: 在進階傳遞原則中設定第三方網路釣魚模擬
- 隔離釋放: 釋出隔離的電子郵件
- SecOps 信箱: 在進階傳遞原則中設定 SecOps 信箱
- (管理員 覆寫) 的寄件者位址清單:反垃圾郵件原則中允許的寄件者清單或封鎖的寄件人清單。
- 寄件者位址清單 (使用者覆寫) :信箱上安全清單集合中 [封鎖的寄件者] 清單中的寄件者電子郵件位址。
- 寄件者網域清單 (管理員 覆寫) :反垃圾郵件原則中允許的網域清單或封鎖的網域清單。
- 寄件者網域清單 (使用者覆寫) :信箱上 safelist 集合中 [封鎖的發件者] 清單中的發件者網域。
- 租用戶允許/封鎖清單檔案區塊: 建立檔案的區塊專案
- 租使用者允許/封鎖清單發件者電子郵件位址區塊: 建立網域和電子郵件地址的封鎖專案
- 租使用者允許/封鎖清單詐騙區塊: 建立詐騙發件人的封鎖專案
- 租使用者允許/封鎖清單 URL 區塊: 建立 URL 的區塊專案
- 受信任的聯繫人清單 (用戶覆寫) :信箱上安全清單集合中我的聯繫人信任電子郵件設定。
- 租用戶允許/封鎖清單檔案區塊: 建立檔案的區塊專案
- 受信任的網域 (使用者覆寫) :信箱上 safelist 集合中 [安全發件者] 清單中的發件者網域。
- 受信任的收件者 (使用者覆寫) :信箱上安全清單集合中安全收件者清單中的收件者電子郵件地址或網域。
- 受信任的寄件者僅 (使用者覆寫) :僅限安全 清單:只有來自安全寄件人清單或安全收件者清單上人員或網域的郵件,才會傳遞至信箱上 safelist 集合中的 [收件匣] 設定。
覆寫來源:與 主要覆寫來源相同的可用值。
URL 威脅:有效值為:
- 惡意程式碼
- 網路釣魚
- 垃圾郵件
當您完成設定日期/時間和屬性篩選時,請選取 [ 重新整理]。
[所有電子郵件]、[惡意代碼] 或 [網络釣魚] 檢視之詳細數據區域中的 [Email] 索引卷標 (檢視) 包含調查可疑電子郵件所需的詳細數據。
例如,使用 [傳遞動作]、[原始傳遞位置] 和 [Email] 索引標籤中的 [上次傳遞位置] 資料行 (檢視) ,以取得受影響訊息的完整位置。 這些值已在步驟 4 中說明。
使用 Export 選擇性地將最多 200,000 個篩選或未篩選的結果匯出至 CSV 檔案。
修復已傳遞的惡意電子郵件
識別已傳遞的惡意電子郵件訊息之後,您可以從收件者信箱中移除這些郵件。 如需指示,請參閱 補救在 Microsoft 365 中傳遞的惡意電子郵件。