共用方式為


調查在 Microsoft 365 中傳遞的惡意電子郵件

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

Microsoft 適用於 Office 365 的 Microsoft Defender 包含在其訂用帳戶中或以附加元件方式購買的 365 組織,其總管 (也稱為威脅總管) 或即時偵測。 這些功能是強大的近乎即時工具,可協助安全性作業 (SecOps) 小組調查和回應威脅。 如需詳細資訊,請參閱關於威脅總管和 適用於 Office 365 的 Microsoft Defender 中的即時偵測

威脅總管和即時偵測可讓您調查讓組織中的人員面臨風險的活動,並採取動作來保護您的組織。 例如:

  • 尋找和刪除訊息。
  • 識別惡意電子郵件寄件者 IP 位址。
  • 啟動事件以進行進一步調查。

本文說明如何使用威脅總管和即時偵測來尋找收件者信箱中的惡意電子郵件。

開始之前有哪些須知?

  • 威脅總管包含在方案 2 適用於 Office 365 的 Defender 中。 適用於 Office 的 Defender 方案 1 包含即時偵測:

  • 對於需要您選取一或多個可用值的篩選屬性,在篩選條件中使用 屬性並選取所有值的結果與在篩選條件中不使用 屬性相同。

  • 如需威脅總管和即時偵測的許可權和授權需求,請參閱威脅總管 和即時偵測的許可權和授權

尋找已傳遞的可疑電子郵件

  1. 使用下列其中一個步驟來開啟威脅總管或即時偵測:

  2. 在 [ 總管 ] 或 [實時偵測] 頁面上,選取適當的檢視:

  3. 選取日期/時間範圍。 預設值為昨天和今天。

    在威脅總管中使用的日期篩選器螢幕快照,以及 Defender 入口網站中的即時偵測。

  4. 使用下列部分或所有目標屬性和值,建立一或多個篩選條件。 如需完整指示,請參閱 威脅總管中的屬性篩選和即時偵測。 例如:

    • 傳遞動作:因現有原則或偵測而對電子郵件採取的動作。 有用的值包括:

      • 已傳遞:Email 傳遞至使用者的 [收件匣] 或其他使用者可以存取訊息的資料夾。
      • 垃圾郵件:Email 傳遞至使用者可存取郵件的垃圾郵件 Email 資料夾或 [刪除的郵件] 資料夾。
      • 已封鎖:Email 已隔離、傳遞失敗或已卸除的訊息。
    • 原始傳遞位置:電子郵件在系統或系統管理員進行任何自動或手動傳遞後動作之前, (,例如 ZAP 或移至隔離) 。 有用的值包括:

      • 已刪除的項目資料夾
      • 已卸除:郵件在郵件流程中的某處遺失。
      • 失敗:郵件無法連線到信箱。
      • 收件匣/資料夾
      • 垃圾郵件資料夾
      • 內部部署/外部:信箱不存在於Microsoft 365 組織中。
      • 隔離區
      • 未知:例如,傳遞之後,收件匣規則會將郵件移至預設資料夾 (例如 Draft 或 Archive) ,而不是 [收件匣] 或 [垃圾郵件] Email資料夾。
    • 上次傳遞位置:在系統或系統管理員採取任何自動或手動傳遞後動作之後,電子郵件結束的位置。 原始 傳遞位置提供相同的值。

    • 方向性:有效值為:

      • 入境
      • 組織內部
      • 出埠

      此資訊有助於識別詐騙和模擬。 例如,來自內部網域發件人的訊息應該是 Intra-org,而不是 Inbound

    • 其他動作:有效值為:

    • 主要覆寫:如果組織或使用者設定允許或封鎖原本已封鎖或允許的訊息。 值為:

      • 組織原則允許
      • 用戶原則允許
      • 組織原則封鎖
      • 遭到使用者原則封鎖

      主要 覆寫來源 屬性會進一步精簡這些類別。

    • 主要覆寫來源 允許或封鎖原本已封鎖或允許之訊息的組織原則或使用者設定類型。 值為:

    • 覆寫來源:與 主要覆寫來源相同的可用值。

      提示

      [Email] 索引標籤 (檢視) [所有電子郵件]、[惡意代碼] 和 [網络釣魚] 檢視的詳細數據區域中,對應的覆寫數據行會命名為 [系統覆寫] 和 [系統覆寫來源]

    • URL 威脅:有效值為:

      • 惡意程式碼
      • 網路釣魚
      • 垃圾郵件
  5. 當您完成設定日期/時間和屬性篩選時,請選取 [ 重新整理]

[所有電子郵件]、[惡意代碼] 或 [網络釣魚] 檢視之詳細數據區域中的 [Email] 索引卷標 (檢視) 包含調查可疑電子郵件所需的詳細數據。

例如,使用 [傳遞動作]、[原始傳遞位置] 和 [Email] 索引標籤中的 [上次傳遞位置] 資料行 (檢視) ,以取得受影響訊息的完整位置。 這些值已在步驟 4 中說明。

使用 Export 選擇性地將最多 200,000 個篩選或未篩選的結果匯出至 CSV 檔案。

修復已傳遞的惡意電子郵件

識別已傳遞的惡意電子郵件訊息之後,您可以從收件者信箱中移除這些郵件。 如需指示,請參閱 補救在 Microsoft 365 中傳遞的惡意電子郵件

補救 Office 365 中傳送的惡意電子郵件

適用於 Office 365 的 Microsoft Defender

檢視 適用於 Office 365 的 Defender報表